윈도우서버 랜섬웨어 감염 대비
페이지 정보
작성자 운영자 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 게시판 댓글 0건 조회 4,511회 작성일 19-01-31 11:19본문
완전한 방지가 있기는 한가?
감염됐을 때 공격자와 협상하지 않고 디코드할 방법은 있는가?
없다.
도둑 맞으려면 개도 안 짖으니 그저 만약을 대비하고 피해를 최소화하는 수밖에 없다.
서버
-
Windows Server 2003과 Windows Server 2008은 Windows Server 2016 이상으로 교체를 고려
-
윈도우를 최신으로 업데이트
-
윈도우 크랙을 사용하지 말 것, KMS나 MAK 뭐든 정식이 아니면 안하는 게 나음, Windows Server 2012 부터는 정품인증을 하지 않아도 사용상 문제가 없음
-
Administrator 이름과 설명을 변경, 다른 계정들도 식별할 수 없도록 설명을 변경, 불필요 계정들 정리
-
smith, orange, tomas, helper, admin 등과 같이 잘 알려진 단어로 계정을 만들지 말 것
-
Guest 계정은 꼭 사용하지 말 것, 윈도우 몇몇 서비스에 일반 계정보다 Guest가 우선함
-
Administrators 그룹에 아무나 소속시키지 않음
-
원격 데스크 톱을 켰으면 3389 포트를 변경, 원격 데스크 톱을 나올 때는 로그오프, 일반 계정의 원격 데스크 톱 사용을 제한
-
로그인 상태라야 실행이 유지되는 프로그램은 개선하거가 실행 권한을 조정
-
컴퓨터 이름은 그냥 놔둠, 암호 정책을 완화하지 않음, 계정 잠금 횟수와 시간을 적절히 설정
-
감사 정책에서 개체 엑세스, 계정 관리, 계정 로그온 이벤트, 권한 사용, 로그온 이벤트는 성공과 실패를 로깅하도록 설정
-
대화형 로그온에서 '마지막 로그인 사용자 이름 표시 안 함'을 사용으로 설정
-
로컬 로그온 허용 속성에서 필요한 그룹만 외 제거
-
Windows 방화벽을 내리지 않음
-
IPSec으로 인바운드, 아웃바운드 IP, 프로토콜을 모두 차단하고 꼭 필요한 포트만 오픈, 백신과 윈도우 업데이트를 위한 아웃바운드 UDP 53번, TCP 80과 443 포트를 아웃바운드에서 별도 관리하고 수동으로 업데이트 할 때만 잠시 허용하고 평소는 막음, IPSec의 룰 작성시 IP, 서브넷, 프로토콜, 포트를 조합해서 허용 범위를 가급적 좁힘
-
공유 폴더를 운영하면 Everyone은 제거하고 필요한 계정이나 그룹에 적정 권한만 부여, 모든이나 특정 권한은 주지 않고 최대 수정 권한까지만 부여, 윈도우의 모든 계정은 Everyone에 해당함에 유의
-
공유 폴더의 권한과 NTFS의 권한은 차이가 좀 있으니 나눠서 적용
-
노출할 필요가 없는 공유 폴더 숨기기, UNC 주소 사용, 네트워크 드라이브 설정 자제
-
Users 그룹에는 기본 권한 외에 권한 부여 금지, 필요시 다른 그룹을 만들어서 계정을 소속시킴, 계정에서 Users를 제거해도 좋음, 계정을 만들면 기본으로 Users 그룹에 들어가며 폴더나 파일 생성시 Users 그룹에 읽기, 리스팅, 실행 권한이 기본으로 있으며 윈도우의 모든 계정은 역시 Users에 해당함을 유의
-
IIS 웹서버 운영시 IIS_IUSRS의 권한이 적용된 곳에 쓰기, 수정 등의 권한을 주지 말 것, 웹루트라도 Users에 기본 읽기, 실행 권한만 있으면 충분
-
IIS 운영시 기본 웹 사이트는 제거
-
백신 업데이트 및 감시, 검사 설정
-
압축, FTP 클라이언트, 팀뷰어, 애니데스크, 오피스 등 잡 프로그램 설치 금지, zip은 윈도우에서 유틸리티 없이 풀 수 있음, 파일을 올릴 일이 있으면 원격 데스크톱에서 로컬 리소스 옵션을 사용하고 끝나면 해제, 업로드 해서 용무가 끝난 파일은 바로 삭제
-
필요한 서비스는 가급적 윈도우가 내장하는 것 사용, 예를 들어 FTP를 서비스해야 한다면 IIS로 FTPs를 구성하고 계정 및 접속을 제한
-
서비스 최소화, 예를 들어 DNS는 외부 도메인 업체 것을 이용, SMTP 용도가 많지 않다면 외부 것 사용
-
서버에서 익스플로러 사용 금지, 크롬, 파이어폭스 등 브라우저 설치 금지
-
cmd.exe 실행을 관리자에게만 허용, 레지스트리 편집 제한, 레지스트리 가끔씩 백업
-
원격 모니터링 관련 프로그램 설치 금지, 부득이 하면 최소화, 필수 서비스 또는 포트만 체크하는 선으로 제한
-
관련 직원 퇴사시 로그인 암호 변경
-
Windows Server Backup 사용, 최소 별도 디스크에 백업, 드라이브로 노출이 되지 않는 백업 전용 디스크 방식 권장, 완전복구 옵션, 무리가 없을 것 같으면 매일 백업, 백업이 자동으로 잘 되고 있는지 종종 확인
-
디스크에 새도우 복사 설정, 디스크의 잔여 용량은 30~40%로 유지
-
불필요 서비스 중지, 예를 들어 MS SQL Server를 설치하면 IIS까지 올라 오는데 필요 없을 경우가 많을테니 중지하고 방화벽에서 제거하는 등
-
서버 자체로 열려있는 포트를 점검해서 서비스에서 모두 중지 후 사용 안함으로 변경
-
DHCP Client, Distributed Link Tracking Client, DNS Client, Human Interface Device Service, Print Spooler, Remote Registry 중지 및 사용 안함
-
Null Session(익명 로그인) 비활성(레지스트리에서 restrictanonymous 값 1)
-
이벤트 뷰어 수시 점검, 특히 보안 항목에서 로그인 실패를 내는 것들 체크
- 꼬박꼬박 윈도우 및 백신 업데이트
- 일주일에 한번 정도는 백신으로 전체검사, MRT를 실행해서 전체 검사, 백신에 랜섬웨어 실행 방지 같은 것 있으면 설정
- 가급적 최신 윈도우 10을 사용하고 '랜섬웨어 방지'를 사용으로 하고 데이터가 저장되는 폴더나 드라이브를 등록
- 운영체제, 오피스, 아도브, 캐드 등을 소프트웨어적으로 크랙해서 사용하는 것 자제
- 복원 지점, 파일 히스토리, 저장소 공간 중에서 적어도 하나는 사용
- 중요한 자료는 별도로 백업, 외장하드나 USB 또는 클라우드의 무슨 드라이브로 이중 관리
- 인터넷, 이메일에서 아무 파일이나 다운로드 자제, 수상한 메일과 첨부 파일 열람 금지
- 음란, 도박, P2P, 파일공유 사이트 이용 자제, 사이트 방문시 Flash Player 설치를 요구하면 거부하고 재방문이나 추가 이용을 회피
- Windows 방화벽 내리지 말 것
- 자리를 오래 비울 때는 컴퓨터 종료
- PC 간에 가급적 공유를 금지하고 Guest 계정은 사용하지 않음
- 갑자기 브라우저상에서 이상한데로 간다거나 뭐가 손상됐다면 복구하려면 뭐 눌러라 하는 게 나오면 바로 브라우저 종료
- PC 사용중 문득 느려지거나 버벅거리면 의심
- Windows를 신뢰하지 말 것
댓글목록
등록된 댓글이 없습니다.