Chapter 5. 접근 권한(Access Permission)
1. 접근 권한(Access Permission)
- 보안 주체(Security Principals)
· 인증에 사용될 수 있고 자원에 접근을 부여할 수 있는 객체(사용자, Group, Computer)
· 보안 주체의 ID
◦ SID(Security ID)
▹ 보안 주체들이 생성될 때 부여되는 유일한 식별 값
▹ Windows의 내부 Process는 계정의 사용자 이름 또는 Group 이름 보다 SID를 더 선호
◦ RID(Relative ID)
▹ SID의 한 부분이며, Domain에서 계정 또는 Group을 구분하는 값
- 권한(Permissions)
· 객체에 대한 접근을 허가하거나 거부하기위해 사용되는 규칙
· 접근을 제어하기 위해 사용
· 권한 부여
◦ Folder, Printer, File과 같은 자원에 허가 또는 거부 권한을 설정할 수 있다.
◦ Local이나 Domain의 계정에 권한 설정될 수 있다.
◦ 직접적으로 부여하거나 상속을 받을 수도 있고 암시적인 권한설정을 이용할 수도 있다.
· 접근 제어 목록(Access Control List)
◦ 임의 접근 제어 목록(DACL : Discretionary Access Control List)
▹ 자원에 접근이 허락되거나 거부되어 있는 사용자나 Group의 목록을 가지고 있다.
▹ NTFS Volume의 모든 File과 Folder는 DACL과 연관되어 있다.
◦ 시스템 접근 제어 목록(SACL : System Access Control List)
▹ SACL 자원 접근에 대한 감사를 제어한다.
◦ 접근 제어 엔트리(ACE : Access Control Entry)
▹ DACL 또는 SACL의 항목을 정의한다.
▹ DACL에 ACE가 명시 되지 않았다면 해당 자원에 대한 접근은 거부된다.
2. NTFS 권한 관리
- 개체에 사용자, Group 또는 Computer가 접근할 수 있는 권한
- File, Folder, Shared Folder, Printer와 가은 개체에 설정
- Active Directory 또는 Local Computer에 사용자와 Group을 이용하여 자원에 권한을 할당
- 권한의 종류
· 기본 권한(Standard Principal)
◦ 해당 File이나 Folder의 속성의 보안 Tab
※ 회색으로 Check된 권한은 상속받은 권한이다.
· 특수 권한(Special Principal)
◦ 해당 File이나 Folder의 속성의 보안 Tab → 고급 → 사용자 지정 → 편집 → 추가 또는 사용자 편집
- NTFS 권한 상속(NTFS Principal Inheritance)
· 각각의 객체에 직접 부여하지 않고 자원에 대한 접근을 관리하기위해 쓰이는 기능
· 기본적으로 NTFS 권한은 부모 자식 관계에서 상속된다.
· 상속 객체의 복사/이동
◦ 같은 Partition
▹ 이동 : 기존의 권한(상속받은 권한 포함)이 유지된다.
▹ 복사 : 기존의 권한(상속받은 권한 포함)은 해제되며 목적지의 권한을 상속받는다.
◦ 다른 Partition
▹ 이동 : 기존의 권한(상속받은 권한 포함)은 해제되며 목적지의 권한을 상속받는다.
▹ 복사 : 기존의 권한(상속받은 권한 포함)은 해제되며 목적지의 권한을 상속받는다.
3. 공유 폴더(Shared Folders)
- Folder의 자원에 대한 Network 접근을 허가해 놓은 Folder
- 공유될 수 있지만 개별 File들은 공유될 수 없다.
- 기본적으로 Folder를 공유한 사용자는 해당 Shared Folder에 대해 모든 권한을 갖는다.
- 공유 여부 확인
· 관리도구의 공유 및 저장소 관리 Tool
· Windows Explorer(Computer)의 Folder Icon 변화
· cmd 명령어 : net share
· 컴퓨터 관리자의 시스템 도구
- Shared Folder 종류
· Default Shared Folder(일반 공유)
◦ Folder의 자원에 대한 Network 접근을 허가하기 위한 공유
· Hide a Shared Folder(숨은 공유)
◦ Shared Folder 이름 뒤에 $가 포함되어 만들어 지는 공유
◦ 숨은 공유는 보이지 않지만 하위 주소로 접근하면 직접 연결 가능
· Administrative Shared Folder(관리 공유)
◦ C$, D$와 같은 Drive에 대한 관리 목적에 공유
◦ admin$
▹ %systemroot%(보통 c:\windows)를 관리 목적으로 공유
◦ print$
▹ Shared Printer를 만들 때마다 Driver를 저장해 두는 공유
◦ IPC$
▹ 서버간 통신에 가장 많이 사용되는 공유
▹ 다른 System에 Event Log를 읽을 때 등과 같이 관리 목적으로 공유되는 경우 Drive를 Mapping하지 않고 Named pipes를 통해 있는다.
◦ Repl$
▹ 복제 Service를 사용할 때마다 Data를 전송하는 Server에 만들어지는 공유
- Shared Folder 관리
· 실행 → storagemgmt.msc
· 현재 Computer의 Shared Folder를 관리 가능하다.
- Shared Folder 생성
· GUI : Windows
◦ 공유하고자하는 Folder의 속성 선택
◦ 공유 또는 고급 공유 선택
◦ 공유 선택 방법
▹ 공유
▸ 공유하고자 하는 사용자를 검색 후 추가, 공유 선택
▸ 공유한 Folder 내용을 확인 후 완료 선택
▹ 고급공유
▸ ‘선택한 폴더 공유’ Check 후 확인
◦ Shared Folder로 변경되면 ICON도 변경된다.
· CLI : Command-Line
◦ Command-Line에서 Net Share를 이용하면 쉽고 효율적으로 Network 공유를 관리할 수 있다.
◦ net share를 매개변수 없이 입력하면 현재 Shared Folder의 목록을 확인 가능하다.
- Shared Folder 권한
· 독자 : Read(읽기)
◦ File의 내용과 속성을 볼 수 있다.
◦ 하위 Folder를 열어볼 수 있다.
◦ Shared Folder의 Program을 실행할 수 있다.
◦ 기본적으로 Everyone Group에 적용된다.
· 참가자 : Change(변경)
◦ 읽기 항목의 모든 권한을 포함하며 File과 하위 Folder를 생성할 수 있다.
◦ File의 내용을 변경할 수 있으며 File과 하위 Folder를 삭제할 수 있다.
· 공동 소유자 : Full Control(모든 권한)
◦ 읽기와 변경 항목의 모든 권한을 포함한다,
◦ Shared Folder의 보안 설정을 변경할 수 있다.
- 공유 폴더 게시(Published Shared Folders)
· Active Directory에 Shared Folder를 개체로 등록하는 것
· Client는 Active Directory에 게시된 Shared Folder를 검색할 수 있다.
· Client는 Shared Folder의 Server 위치를 알 필요가 없으며 Active Directory에 공유 이름으로 검색 후 바로 접근 가능하다.
· Published Shared Folder 적용 방법
◦ 컴퓨터 관리 → 공유 → 해당 Shared Folder의 속성 선택
◦ Active Directory에 이 공유 게시 Check
- Offline Files
· Network에 연결되지 않거나 장애 발생 시에도 계속해서 접근이 가능하게 하는 기능
· Offline File의 장점
◦ Mobile User 지원
◦ 자동 동기화
◦ Backup
· Offline Files 동기화 과정
◦ Network 연결 끊김
▹ Windows Server 2008 Network File은 Local Cache로 복사되며 동기화 되어 있기 때문에 사용자가 작업한 내용은 Local Cache에 저장된다.
◦ Network에 Log on
▹ Windows 2008 Offline File 동기화는 File 수정 시 Network Version을 hd해 최신 정보로 동기화 한다.
◦ 만약 두 위치에서 모두 수정이 되었을 경우
▹ 경고 창을 출력해 사용자가 해당 File을 덮어 쓰기 하거나 다른 이름으로 저장해 두 Version 모두를 유지할 수 있게 한다.
· 설정 방법
◦ 제어판 설정
▹ 제어판에서 '오프라인 파일 사용'을 선택 시 Reboot를 해야 한다
▹ 설정 적용 후 접속자의 Computer에 ’동기화‘와 ’오프라인으로 작업‘ Tab이 생긴다.
▹ File 작업 후 적용시키기 위해서는 ‘동기화’를 선택해 적용 시켜야한다.
◦ Folder에서 설정
▹ 해당 Shared Folder의 속성의 공유 Tab의 ‘고급 공유’ 선택
▹ ‘캐싱’ 선택
▹ 원하는 Option 선택 후 확인
▹ Option
▸ 사용자가 지정한 파일 및 프로그램만 오프라인에서 사용할 수 있음
▫ 자정한 File만 Offline에서 사용 가능
▸ 사용자가 공유에서 열어 놓은 모든 파일 및 프로그램을 오프라인에서 사용할 수 있게 자동으로 설정
▫ Shared Folder 안의 모든 File을 Offline에서 사용 가능
▸ 공유의 파일 또는 프로그램을 오프라인에서 사용할 수 없음
▫ Offline 사용 불가
4. 분산 파일 시스템(Distributed File System)
- 두 개의 Server를 가진 Network 내의 하나의 Server가 문제가 생겼을 때 어떤 사용자가 해당 Server에 접근하면 다른 Server로 유도해 해당 사용자의 이용에 장애가 없도록 해준다.
· 조건 : 두 Server는 Data가 같아야 한다.
- 다수의 Server에 분산된 공유 Folder들을 묶어 내결함성 접근을 제공
- Name space라는 Folder의 가상 Tree에 배치 후 사용자에게 제공
- DFS 제공 기능
· DFS Name Spaces : 서로 다른 Server들에 위치한 Shared Folder에 대한 가상 보기 제공
· DFS Replication : File과 Folder들에 대해 높은 유용성과 내결함성 제공
· Remote Differential Compresstion : File의 변경된 부분만 복제하는 RDC Algorism을 사용하여 관리자가 대역폭을 효율적으로 사용하면서 복제가 가능하게 한다.
- Name Space
· 1) 사용자 입력 : \\contoso.com\marketing : Client Computer는 Name space Server에 접속해 Shared Folder를 제공하는 Server의 목록을 받는다.
· 2) Client Computer는 그 목록을 Cache에 저장하고 목록의 첫 번째 Server에 접속한다.
· Name Space 종류
◦ Domain 기반(Domain-Based)
▹ 경로(Path)
▸ \\Domain name\Name Space
▹ 위치(Location)
▸ Active Directory와 Memory Cache
▹ 크기(Size)
▸ Windows 2000 Server : 최대 5,000개 Folder
▸ Windows 2008 Server : 최대 50,000개 Folder
▹ 가용성(Availability)
▸ 다수의 Name Space Server를 사용 가능
▹ 복제(Replication)
▸ 지원
◦ 독립형(Stand-Alone)
▹ 경로(Path)
▸ \\Server Name\Name Space
▹ 위치(Location)
▸ Server Registry와 Memory Cache
▹ 크기(Size)
▸ 최대 50,000 Folder
▹ 가용성(Availability)
▸ Server Cluster를 이용
▹ 복제(Replication)
▸ 지원
'Windows > Windows 2008' 카테고리의 다른 글
| Chapter 7. 원격(Remote) (0) | 2015.08.10 |
|---|---|
| Chapter 6. Security & Audit Policy (0) | 2015.08.10 |
| Chapter 4. Group (0) | 2015.08.10 |
| Chapter 3. 계정 (0) | 2015.08.10 |
| Chapter 2. Windows Server 2008 환경 (0) | 2015.08.10 |
