저장소우

암호 재설정 디스크(Password Reset Disk)

윈도우 시스템 사용 중 비밀번호를 분실하여 시스템에

접속하지 못 하는 경우가 발생할 수도 있는데,

이런 경우를 대비하여 미리 외부 저장장치(USB, 외장 HDD, SDD...)등에 

*.psw(Windows Password Reset Disk File)형식의 

파일을 저장하여 해당 파일로 암호 재설정을 할 수 있도록

인증해주는 방식이다.

* 실습환경 : Intel i7-1260P(AMD64)

** 네트워크 대역 : 192.168.100.0/24

*** 해당 실습에서 사용된 가상머신 : WinSer1(.200)

● 암호 재설정 디스크 만들기

먼저 해당 실습이 원격지에 있는 윈도우 시스템에서 진행되었기에

물리적인 USB를 실제로 삽입 및 제거가 어려워

임시적으로 가상머신의 플로피디스크를 추가하여 진행하였다.

암호 재설정 디스크를 생성하는 작업을 진행하면

외부장치(플로피 디스크)에 암호 키가 들어가기 때문에

부팅에 영향을 주지 않도록 사전에 부팅 시퀀스(Hard Drive First)를 변경해주었다.

작업 시작 전 빠른 포맷을 체크하여 새롭게 추가된 외장 디스크 포맷을 진행해준다.

(위 그림에서는 플로피디스크로 실습을 진행하여 FAT 시스템으로 포맷을 진행함)

'제어판' -> '사용자 계정' -> '좌측 상단의 암호 재설정 디스크 만들기' 클릭

암호 기억 마법사의 진행 양식에 맞추어 작업을 진행하다보면,

암호 키가 저장 될 디스크를 지정할 수 있는 선택창이 나온다.

현재 로그온 되어있는 사용자의 패스워드를 입력

절차대로 진행 시 완료 되었다는 알림과 함께 마법사가 종료된다.

외부 저장장치의 스페이스를 확인해보면,

암호 키가 추가된 것을 확인할 수 있다.

● 실제 사용 예시

암호 재설정을 위하여 "암호 초기화..." 문구가

발생하도록 패스워드를 2회 정도 고의로 틀린 상태이다.

암호 재설정 방식 중 '암호 재설정 디스크'를 선택하여 

절차를 진행한다.

재설정 암호 키가 해당 유저의 소유임이 정상적으로 확인되면

암호를 재설정 할 수 있도록 양식이 표시된다.

정상적으로 패스워를 변경한 것을 확인할 수 있다.

보안 상에서 암호 재설정 키를 생성해두고 로그인을 시도할 때 마다 

패스워드를 주기적으로 변경해주는 것도 보안상에 이점이 될 수 있을 것 같다.

윈도우 원격 데스크톱(Windows Remote Desktop)

원격지 혹은 로컬에 존재하는 다른 PC나 서버로 접속해서 작업을 수행해야할 때 사용되는

윈도우 운영체제에서 공식적으로 지원해주는 프로토콜로, 클라이언트(HOME / PRO)에서

윈도우 서버 2008로 원격 데스크톱을 설정한 뒤 접속해보는 실습을 진행한다.

필자도 현재 M1 기반의 Mac과 Intel 기반의 Windows 랩탑을 사용하며

VMWare Workstation을 사용해야 하거나 Intel 칩셋 기반에서의 작업이 요구되는 수업 진행 시

윈도우 원격 데스크톱을 요긴하게 사용하고 있는데 개인적으로 정말 편하다...

(Mac <-> Windows 간 원격 데스크톱 사용 시 네트워크 상태만 좋다면 이질감이 거의 없는 수준으로 사용이 가능)

참고로 윈도우 원격 데스크톱의 경우 Home 버전에서는 원격지(서버)가 될 수 없지만,

원격지로 접속을 하는 클라이언트는 가능하다.

즉 , 윈도우 Home 버전 사용 시 외부에서 내 컴퓨터로의 원격 접속은 불가능 하지만

외부에 존재하는 다른 컴퓨터로의 원격접속은 가능

* 실습환경 : Intel i7-1260P(AMD64)

** 네트워크 대역 : 192.168.100.0/24

*** 해당 실습에서 사용된 가상머신 : WinSer1(.200), Windows7(.147)

● 윈도우 원격 데스크톱 설정 및 실행

제어판에 들어간 뒤 '시스템' 아이콘을 클릭하여 설정에 진입했을 때의 화면이다.

일반적인 윈도우 10/11 에서는 '설정 -> 원격 데스크톱 검색' 시에 유사한 내용을 확인해볼 수 있음

(Windows Server 2008 기준으로 작성되었기 때문에 현재 윈도우 버전과의 인터페이스 차이가 있음)

원격 데스크톱 활성화 및 활성화 시 보안 수준에 관한 부분을 통제할 수 있는 부분으로,

'네트워크 수준 인증을 가진 원격 데스크톱을 실행 중인 컴퓨터에서만 연결 허용' 선택 시,

▼ 아래의 사진과 같이 표기가 되어있는 PC에서만 접속을 허용 하는 것

'원격 데스크톱 연결' 실행 후 '메시지 박스 안의 빈 공간 우 클릭 -> 정보(A)'를 선택하여 확인할 수 있다.

원격 데스크톱 활성화 시 중요한 부분으로 유저 지정이 잘못 됐을 때에는 원격으로 접속이 안되는 경우가 있다.

해당 설정은 관리자 권한으로 실행되어야 하며, 관리자로 접속이 되어있지 않은 경우

관리자 패스워드를 입력하라는 문구를 확인할 수 있다.

유저 지정이 정상적으로 이루어졌다면 위 처럼 표기되는 것을 확인할 수 있다.

* 해당 실습에서는 일반 권한의 사용자의 계정으로 원격 접속을 허용했음

▼ N개의 계정을 한 번에 설정하는 것도 가능하다

위의 그림과 같이 "WINSER1\winser_user2;" 세미콜론으로 하나의 계정임을 구분지어준 뒤,

띄어쓰기 없이 '[로컬 머신 이름]\[계정]'을 입력한 후,  우측에 보이는 '이름 확인' 버튼을 클릭해서 계정을 추가해볼 수 있다.

('컴퓨터 관리' -> '그룹' 선택 시 보여지는 그룹들은 운영체제 설치 시 기본적으로 포함 되어있는 내장 그룹이다.)

'시작' 버튼을 클릭 후 '방화벽'을 검색하여 Windows 방화벽에 진입하여

좌측 상단의 'Windows 방화벽을 통해 프로그램 허용'을 클릭해서

방화벽에서 허용할 원격 데스크톱의 예외 포트(Default : 3389)를 허용해준다.

여기까지 마쳤다면 원격 데스크톱 서버에서의 설정은 끝났다.

클라이언트의 PC로 넘어가 원격 데스크톱을 실행해본다.

● Windows7(.147)에서의 작업

WINSER1의 IP주소인 192.168.100.200을 입력한 뒤,

인증서 증명 알림창으로 인해 사용자 이름이 가려져 보이지 않지만

위 그림에서 사용자는 앞에서 미리 추가해두었던 'winser1_user1'이며

두 가지 정보를 기입해준 뒤 연결요청을 해보았다.

정상적으로 WINSER1 머신에 winser1_user1 이라는 유저의 계정으로  원격 세션이 성사된 모습이다.

인터페이스를 보면 화면 상단에 '192.168.100.200'이 표기되어 해당 머신에

원격으로 접속하여 작업중인 것을 알아볼 수 있다.

▼ 이미 원격세션이 있는 상태에서 다른 PC가 또 다른 원격 데스크톱 연결을 요청 시

원격 데스크톱은 1:N 연결이 불가능하다.

즉, 1:1로만 연결이 가능하며 기본 값으로 설정이 된 상태에서는 추가적으로

연결을 요청하는 쪽이 기존의 세션을 끊어버릴 수 있다는 점이 존재한다.

(이 부분은 다시 포스팅)

● 권한 부여가 되지 않은 계정에 접속 시도

앞에서 계정을 추가했을 때 'winser1_user1'은 원격 데스크톱 사용자로 권한이 부여되었지만

'winser1_user2'의 경우 별도의 설정이 이루어지지 않았다.

권한이 설정 되지않은 사용자를 입력한 후 원격 접속을 요청해본다.

위의 그림과 같이 권한이 없기 때문에 연결이 거부되었다는 경고문을 확인할 수 있다.

이번 실습 환경은 로컬(LAN)을 배경으로 진행되었기 때문에 별도의 포트포워딩이 필요 없었지만

만일 외부(WAN) 구간을 통과해야하는 원격 접속의 경우 라우터(공유기)에서의 포트포워딩이 필수적으로 필요하다.

(상황에 따라 DDNS 주소를 할당 받아서 갱신되는 공인 IP에 대한 매핑 작업이 필요할 수도 있다.)

윈도우즈 서버(Windows Server)

Windows서버는 Linux(Server)와 동일하게 조직의 도메인 구성 및 다양한 서비스(FTP, HTTP, DNS ...)를

위해 사용되는 운영체제로 우리가 일반적으로 사용하는 Windows Home / Pro 와 UI가

비슷할 수는 있어도 내재 되어있는 구성과 기능들은 다른 점이 많다.

Windows서버의 핵심 기능으로는 IIS(Internet Information System), AD(Active Directory) 등이 있으며

수업이 진행중인 상태이므로 차차 풀어나가보도록 하겠다.

Windows서버도 리눅스와 유사하게 CLI 기반 시스템 구동이 가능하다.

이를 Server Core라고 칭하며, 그래픽 없이 서버의 핵심 기능만으로 운영하는 방식이다.

리소스 사용률이 적으며 보안이 좋다는 장점이 존재한다.

Linux와 비교했을 때 Windows서버만의 장점으로는,

- 모든 도메인 내의 노드들에 적용되는 GPO(Group Policy Object)

(그룹 정책 관리)

- 여러 개의 Domain 구축 시 확장성과 연계성이 편리함

(Domain 간 Trust 관계를 갖음)

두 가지를 대표적으로 꼽아볼 수 있다.

특히 시스템 관리자의 입장에서 GPO의 경우 Domain에 속한 

구성원들에 대해서 중앙 집중식 관리를 통해, 일관된 정책 사항들을 반영할 수 있다는 점이 가장 큰 장점이다.

ex) 1(관리자) : N(구성원) 의 관리를 한 번의 작업으로 가능하게 하는 것

* 실습환경 : Intel i7-1260P(AMD64)

** 네트워크 대역 : 192.168.100.0/24

*** 해당 실습에서 사용된 이미지파일 버전 : Windows Server 2008 x64

● VMWare를 사용하여 가상머신(Windows Server)를 생성

위의 그림과 같이 가상머신의 리소스를 구성했다.

* Hyper-V가 요구되는 작업 시에는 Processors의 옵션에서 가상화 허용을 체크해줘야함

원활한 실습을 위해 '네트워크 및 공유센터'에서 공유에 관련된 권한을 위의 그림과 같이 설정

Windows Server의 핵심이라고 할 수 있는 부분이다.

리눅스와 달리 윈도우 레지스트리 편집기와 동일하게 정책반영 시,

그래픽이 주가 되기 때문에 자주 사용되는 도구의 위치는 미리 알고 있는 게 도움이 될 수 있다.

시작 버튼 → 서버 관리자 → IE ESC(Internet Explorer Enhanced Security Configuration) 구성 선택 시

위의 그림과 같은 설정화면이 출력되는데, 이는 일반적인 윈도우 클라이언트(Home/Pro) 버전이 아니기 때문에

Default는 웹 기반 콘텐츠에 관한 제재가 설정이 되어져 있다. 

(해당 옵션 활성 시 외부로 연결되는 웹 사이트 접속 시에 실습을 위해 해제함 본래에는 사용 해야함)

● '로컬 그룹 정책'의 역할 확인을 위한 실습

테스트를 위해 만들어 본 'jerry'라는 이름의 유저

해당 작업은 GUI 환경에서도 수행 가능하지만

임시 사용자를 생성할 때에는 명령 프롬프트가 간결하고 빠르다.

Windows서버(2008)에서는 사용자 계정 추가를 위해

컴퓨터 관리를 사용하며 새로운 계정 추가 시 위의 그림처럼

'다음 로그온할 때 반드시 암호 변경'옵션이 기본값으로 체크 되어있는 것을 확인할 수 있다.

위의 과정과 동일하게 유저 생성 시 초기 로그온 화면에서 

암호를 바꾸어야 한다는 경고문을 확인할 수 있다.

이후 로그온 진행 시 기존 패스워드와 변경할 패스워드를 입력하여 

정상적으로 시스템에 로그온 할 수 있다.

● '최소 암호 길이' 정책 실습

기본 값으로 설정된 Windows서버에서 새로운 계정 추가 시,

패스워드를 지정할 때 별도의 제한이 없어서 '1234', '1', 'password' ... 등의

예측하기 쉬운 문자(Easy-Passphrase)로의 설정이 가능했었다.

이 부분도 역시 로컬 보안 정책을 통하여 일괄적으로 규제를 걸어줄 수 있다.

(위 그림의 경우 최소 암호 길이를 기존 '0'에서 '5'로 변경 후 저장함)

위의 그림에 해당하는 정책 설정은 로그온 과정에서 N회 이상 틀린 값을 대입하였을 때

일정 시간동안 해당 계정을 잠금상태(Lock)로 전환시키는 옵션으로,

Linux 시스템에서의 Fail2ban과 유사한 동작을 수행하는 정책 설정이다.

앞에서 설정된 내용을 기반으로하여 어떤 식으로 동작하기 위해서

설정된 정책에 위배되는 동작을 수행하였음

위 사진은 '암호 정책'에서 암호의 최소 문자 길이를 5문자로 설정한 뒤,

1자리수의 문자만으로 비밀번호 생성을 시도 하였을 때 나타나는 경고문

위의 사진은 '계정 잠금 정책'에서 설정 되었던 내용으로 

로그온 시 3회 이상 특정 유저에 대한 패스워드 입력값이 틀렸으므로

앞에서 설정한 시간인 1분 동안 계정이 '잠금 상태'로 전환된 것을 확인할 수 있다.