가 windows vista 컴퓨터 보안
을 개선하기 위해 컴퓨터 보안을 강화하는 운영 체제를 상대로 공격, windows vista를 수정 많은 영역의 로컬 컴퓨터 보안 구성합니다. 일부의가 장까지 도달하여 수행할 수있는 보안 설정에 대한 변경 사항이 로컬 정책을 통해 관리가 될 수있는 액티브 디렉토리 그룹 정책 또는 로컬 그룹 정책을 통해합니다. 액티브 디렉터리를 관리하기 위해 그룹 정책, 그룹 정책 개체 편집기를 사용하실 수있습니다 또는 그룹 정책 관리 콘솔입니다. 로컬 그룹 정책을 관리하기 위해 로컬 컴퓨터에서 액세스할 수있습니다 보안 구성 관리 콘솔을 사용하여 보안 설정합니다. 의 섹션이 다음과 토론 변경 사항을 감사 정책, 사용자 권한 할당, 보안 옵션입니다. 탐색 감사 정책 변경 사항 감사 정책을 사용하여 리소스와 권한 사용에 관한 정보를 수집합니다. 감사 정책을 사용하여 구성할 수있습니다 보안 로깅을 추적하는 중요한 보안 이벤트, 같은 사용자가 컴퓨터에 로그온하는 경우 또는 사용자가 계정 설정을 변경합니다.
할 수있습니다 다음 단계를 수행하여 액세스 감사 정책은 로컬 보안 설정 콘솔 : -
시작을 누르고 모든 프로그램, 보조 프로그램을 누른 다음 실행을 누릅니다. -
유형 secpol.msc 열기 텍스트 상자를 선택한 다음 확인을 누릅니다. 지방 정책 노드를 확장합니다 왼쪽 창에서 다음 감사 정책 노드를 클릭합니다.
아래 표는 p 실무자에 대한 개요는 기본 감사 정책을 구성 사용되는 windows xp, windows vista. 으로 표에 표시, windows xp, 감사는 기본적으로 사용되지 않습니다. 이 보안 취약점 그러나, 성공적인 로그온은 모든 유형의 계정에 대한 추적합니다. 비교하는 감사 정책에 windows xp, windows vista | 정책 | 기본 보안 설정이 windows xp | 기본 보안 설정이 windows vista |
|---|
| 감사 계정 로그온 이벤트 | 아니오 감사 | 성공 | | 감사 계정 관리 | 아니오 감사 | 아니오 감사 | | 감사 디렉터리 서비스 액세스 | 아니오 감사 | 아니오 감사 | | 로그온 이벤트 감사 | 아니오 감사 | 성공 | | 개체 액세스 감사 | 아니오 감사 | 아니오 감사 | | 감사 정책 변경 | 아니오 감사 | 아니오 감사 | | 감사 권한 사용 | 아니오 감사 | 아니오 감사 | | 감사 과정을 추적 | 아니오 감사 | 아니오 감사 | | 감사 시스템 이벤트 | 아니오 감사 | 아니오 감사 | 네비게이션 사용자 권한 할당을 변경 사항 사용자 권한 할당 정책을 결정하는 사용자 또는 그룹이 작업을 수행하는 컴퓨터에있습니다. 다음 단계를 수행하여 액세스 사용자 권한 할당 정책의 로컬 보안 설정 콘솔 : 시작을 누르고 모든 프로그램, 보조 프로그램을 누른 다음 실행을 누릅니다. 유형 secpol.msc 열기 텍스트 상자를 선택한 다음 확인을 누릅니다. 지방 정책 노드를 확장합니다 왼쪽 창에서 누른 다음 사용자 권한 할당 노드입니다.
아래 테이블로 보여줍, 기본 사용자 권한이 변경 대폭 사이 windows xp, windows vista. 는 주요 이유가 이러한 변경 사항이 사용자 계정 컨트롤과 함께 작업을 수행합니다. 사용자 계정 컨트롤을 제공하는 새로운 계층의 보호를위한 진정한 분리의가있다는 것을 보장하여 컴퓨터 사용자와 관리자 계정입니다. 때문에 사용자 계정 관리, 사용자 권한 할당에 변경 사항이 많다 windows vista. 비교하는 사용자 권한 할당은 windows xp, windows vista | 정책 | 기본 보안 설정이 windows xp | 보안 설정이 windows vista |
|---|
| 액세스 자격 증명 관리자는 신뢰할 수있는 호출자 | 해당 사항 없음 | 아니오 기본 설정 | | 네트워크에서이 컴퓨터에 액세스 | 모든 사용자, 관리자, 사용자, 파워 유저, 백업 운영자 | 모든 사용자, 관리자, 사용자, 백업 운영자 | | 운영 체제의 일부로 활동 | 아니오 기본 설정 | 아니오 기본 설정 | | 추 워크 스테이션을 도메인 | 아니오 기본 설정 | 아니오 기본 설정 | | 메모리 할당량에 대한 조정 과정을 | 로컬 서비스, 네트워크 서비스, 관리자가 | 로컬 서비스, 네트워크 서비스, 관리자가 | | 로컬 로그온 허용 | 해당 사항 없음 | 손님, 관리자, 사용자, 백업 운영자 | | 터미널 서비스를 통한 로그온 허용 | 관리자, 원격 데스크톱 사용자를 | 관리자, 원격 데스크톱 사용자를 | | 백업 파일과 디렉터리 | 관리자, 백업 운영자 | 관리자, 백업 운영자 | | 트래버스 확인 | 모든 사용자, 관리자, 사용자, 파워 유저, 백업 운영자 | 모든 사용자, 관리자, 사용자, 백업 운영자 | | 시스템 시간을 변경합니다 | 관리자, 고급 사용자 | 로컬 서비스, 관리자 | | 시간대를 변경 | 해당 사항 없음 | 로컬 서비스, 관리자, 사용자가 | | 페이지를 만듭니다 | 관리자 | 관리자 | | 토큰 개체를 만듭니다 | 아니오 기본 설정 | 아니오 기본 설정 | | 전역 개체 만들기 | 관리자, 대화형, 서비스 | 관리자, 서비스 | | 영구 공유 개체 만들기 | 아니오 기본 설정 | 아니오 기본 설정 | | 심볼릭 링크 만들기 | 아니오 기본 설정 | 관리자 | | 디버그 프로그램 | 관리자 | 관리자 | | 네트워크에서이 컴퓨터 액세스를 거부 | 지원, 게스트 | 게스트 | | 일괄 작업으로 로그온 거부 | 아니오 기본 설정 | 아니오 기본 설정 | | 서비스로 로그온 거부 | 아니오 기본 설정 | 아니오 기본 설정 | | 로컬로 로그온 거부 | 지원, 게스트 | 게스트 | | 터미널 서비스를 통한 로그온 거부 | 아니오 기본 설정 | 아니오 기본 설정 | | 컴퓨터 및 사용자 계정을 활성화 위임에 트러스트되도록 | 아니오 기본 설정 | 아니오 기본 설정 | | 원격 시스템에서 강제 종료 | 관리자 | 관리자 | | 보안 감사 생성 | 로컬 서비스, 네트워크 서비스 | 로컬 서비스, 네트워크 서비스 | | 장하 인증 후 클라이언트로 | 관리자, 서비스 | 관리자, 서비스 | | 증가 프로세스 작업 집합 | 아니오 기본 설정 | 사용자가 | | 증 예약 우선 순위 | 관리자 | 관리자 | | 로드 및 언로드 장치 드라이버 | 관리자 | 관리자 | | 잠금 페이지에 메모리 | 아니오 기본 설정 | 아니오 기본 설정 | | 일괄 작업으로 로그온 | 지원, 관리자가 | 관리자, 백업 운영자 | | 서비스로 로그온 | 네트워크 서비스 | | | 로컬로 로그온 | 손님, 관리자, 사용자, 파워 유저, 백업 운영자 | 해당 사항 없음 | | 감사 및 보안 로그 관리 | 관리자 | 관리자 | | 수정을하는 개체 분류 | 해당 사항 없음 | 아니오 기본 설정 | | 펌웨어 환경 값 수정 | 관리자 | 관리자 | | 볼륨을 유지 관리 작업을 수행합니다 | 관리자 | 관리자 | | 프로필을 하나의 프로세스가 | 관리자, 고급 사용자 | 관리자 | | 프로필 시스템 성능 | 관리자 | 관리자 | | 도킹 스테이션에서 컴퓨터 제거 | 관리자, 사용자, 파워 유저 | 관리자, 사용자가 | | 대체하는 프로세스 수준 토큰 | 로컬 서비스, 네트워크 서비스 | 로컬 서비스, 네트워크 서비스 | | 복원 파일 및 디렉토리 | 관리자, 백업 운영자 | 관리자, 백업 운영자 | | 시스템 종료는 시스템 | 관리자, 사용자, 파워 유저, 백업 운영자 | 관리자, 사용자, 백업 운영자 | | 디렉터리 서비스 데이터를 동기화 | 아니오 기본 설정 | 아니오 기본 설정 | | 소유권의 파일이나 기타 개체 | 관리자 | 관리자 | 비교하여 사용자 권한을 할당하는 경우에 windows vista하는 사람 할당에 windows xp, 대부분의 변경 사항을 확인할 수있습니다. windows vista 단계별 명 전원 사용자 그룹과 이제이 그룹에 대해서만와의 호환성을 유지합니다 레거시 응용 프로그램입니다. 따라서 고급 사용자 그룹에서 사용자 권한이 부여되지 windows vista.
windows vista을 비롯하여 여러가 지 새로운 사용자 권한을 포함 : 액세스 자격 증명 관리자는 신뢰할 수있는 호출자을 사용하면 사용자 또는 그룹을 설정하는 신뢰할 수있는 연결을 자격 증명 관리자입니다. 이 보안 취약점 자격 증명 관리자가 사용자의 자격 증명을 관리하는 데 사용됩니다. 증명은 협회의 모든 정보를 필요에 로그온과 인증될에 특정 서버 또는시 특정 사이트와 같은 사용자 이름과 암호 또는 인증서입니다. 자격 증명을 제공 신분증 및 증명서를 식별합니다. 예가 자격 증명은 사용자 이름과 암호, 스마트 카드, 및 인증서입니다. 로컬 로그온 허용을 사용하면 사용자 또는 그룹에 로그온은 키보드입니다. 이 사용자 권한은 원래 이름은 로컬로 로그온하고있다 windows vista에서 이름을 바꿀 수 있도록 두가 지 이제 로컬 로그온 허용하고 로컬로 로그온 사용자 권한을 거부합니다. 시간대를 변경을 사용하면 사용자 또는 그룹의 시간대를 변경합니다. 사용자가이 오른쪽으로 기본적으로 사용자가 컴퓨터의 시간대를 변경할 수있는 관리자 권한을 사용하지 않고있습니다.
이 보안 취약점 사용자가 - 나 더 구체적으로, 프로세스를 시작하는 사용자가 -는 지금 늘리기위한 노력을 설정하는 과정입니다. 이 변경 사항이 중요합니다 일반 사용자 자격 증명을 사용하여 실행되는 응용 프로그램입니다. 이유가 무엇입니까? 작업을 설정하는 과정은 해당 금액의 실제 메모리가 할당되는 프로세스에 의해 운영 체제가있습니다. windows vista를 제한합니다 작업을 수행할 수있는 응용 프로그램과 시스템 영역을 쉽게 쓸 수있습니다. 만약 사용자 권한을 사용할 수없습니다 향상을 위해 노력을 설정하는 과정에서 표준 사용자 모드에서 실행하는 응용 프로그램의 메모리가 부족할 수있다. 탐색 보안 옵션을 변경 사항 보안 옵션을 설정 또는 해제하는 컴퓨터에 대한 보안 설정을합니다. 다음 단계를 수행하여 액세스 보안 옵션에서 로컬 보안 설정 콘솔 : 시작을 누르고 모든 프로그램, 보조 프로그램을 누른 다음 실행을 누릅니다. 유형 secpol.msc 열기 텍스트 상자를 선택한 다음 확인을 누릅니다. 지방 정책 노드를 확장합니다 왼쪽 창에서 누른 다음 보안 옵션을 노드입니다.
아래 테이블로 보여줍, 기본 보안 옵션이 변경 대폭 사이 windows xp, windows vista. 와 같이 사용자 권한 할당, 다수의 변경 사항이 있기 때문에 사용자 계정 제어 보안 옵션에 비교 windows xp, windows vista | 정책 | 기본 보안 설정이 windows xp | 보안 설정이 windows vista |
|---|
| 계정 : 관리자 계정 상태 | 해당 사항 없음 | 활성화 | | 계정 : 게스트 계정 상태 | 해당 사항 없음 | 장애인 | | 계정 : 한도가 로컬 계정에서 빈 암호 사용하여 콘솔 로그온 전용 | 활성화 | 활성화 | | 계정 : 이름을 바꾸 관리자 계정 | 관리자 | 관리자 | | 계정 : 이름을 바꾸 게스트 계정 | 게스트 | 게스트 | | 감사 : 감사의 액세스의 글로벌 시스템 개체 | 장애인 | 장애인 | | 감사 : 감사를 사용하는 백업 및 복원 권한 | 장애인 | 장애인 | | 감사 : 종료한 경우 즉시 시스템에 로그인할 수 보안 감사 | 장애인 | 장애인 | | dcom : 컴퓨터 액세스 제한에 보안 설명자를 정의 언어 (sddl) 구문 | 정의되지 않음 | 정의되지 않음 | | dcom : 컴퓨터 실행 제한의 보안 설명자 정의 언어 (sddl) 구문 | 정의되지 않음 | 정의되지 않음 | | 장치 : 허용 이동하지 않고도 로그온 | 활성화 | 활성화 | | 장치 : 허용을 포맷 및 꺼내기 이동식 미디어 | 관리자 | 정의되지 않음 | | 장치 : 프린터 드라이버를 설치하지 못하도록 | 장애인 | 장애인 | | 장치 : 로컬 기록에 대한 액세스를 제한할 수 cd - rom -에 대한 사용자만이 | 장애인 | 정의되지 않음 | | 장치 : 제한 플로피 액세스를 로컬로 기록 -에 대한 사용자만이 | 장애인 | 정의되지 않음 | | 장치 : 서명되지 않은 드라이버 설치 동작 | 경고했지만 설치 허용 | 조용히 성공 | | 도메인 컨트롤러 : 허용 서버 운영자를 예약할 작업 | 정의되지 않음 | 정의되지 않음 | | 도메인 컨트롤러 : 서버 서명 요구 사항 | 정의되지 않음 | 정의되지 않음 | | 도메인 컨트롤러 : 거부할 머신 계정 비밀 번호 변경 | 정의되지 않음 | 정의되지 않음 | | 도메인 구성원 : 보안 채널 데이터를 디지털 암호화 또는 서명 (항상) | 활성화 | 활성화 | | 도메인 구성원 : 디지털 암호화 보안 채널 데이터 (가능한) | 활성화 | 활성화 | | 도메인 구성원 : 디지털 서명 보안 채널 데이터 (가능한) | 활성화 | 활성화 | | 도메인 구성원 : 컴퓨터 계정 비밀 번호를 사용하지 않도록 변경 | 장애인 | 장애인 | | 도메인 구성원 : 최대 컴퓨터 계정 암호를 세 | 30 일 | 30 일 | | 도메인 구성원 : 필요로 강한 (windows 2000 또는 그 이상) 세션 키 | 장애인 | 장애인 | | 대화형 로그온 : 마지막 사용자 이름을 표시하지 않음 | 장애인 | 장애인 | | 대화형 로그온 : 필요하지 않습니다 + + 델 | 정의되지 않음 | 정의되지 않음 | | 대화형 로그온 : 로그온을 시도하는 사용자에 대한 메시지 텍스트 | | | | 대화형 로그온 : 메시지 제목에 대한 사용자를 시도하는 로그온 | 정의되지 않음 | 정의되지 않음 | | 대화형 로그온 : 수의 이전의 로그온을 위해 캐시 (이 사건 도메인 컨트롤러를 사용할 수없습니다) | 10 로그온 | 10 로그온 | | 대화형 로그온 : 프롬프트가 만료되기 전에 사용자가 비밀 번호를 변경하려면 | 14 일 | 14 일 | | 대화형 로그온 : 도메인 컨트롤러가 인증을 필요로 잠금을 해제하려면 워크 스테이션을 | 장애인 | 장애인 | | 대화형 로그온 : 스마트 카드가 필요합니다 | 정의되지 않음 | 장애인 | | 대화형 로그온 : 스마트 카드 제거 동작 | 아무 작업 | 아무 작업 | | microsoft 네트워크 클라이언트 : 디지털 서명 통신 (항상) | 장애인 | 장애인 | | microsoft 네트워크 클라이언트 : 디지털 서명 통신 (해당 서버는 것에 동의) | 활성화 | 활성화 | | microsoft 네트워크 클라이언트 : 보내 암호화되지 않은 비밀 번호를 제 3 - 정당 smb 서버 | 장애인 | 장애인 | | microsoft 네트워크 서버 : 규모의 유휴 시간이 필요하기 전에 정지 세션 | 15 분 | 15 분 | | microsoft 네트워크 서버 : 디지털 서명 통신 (항상) | 장애인 | 장애인 | | microsoft 네트워크 서버 : 디지털 서명 통신 (만약 고객 동의합니다) | 장애인 | 장애인 | | microsoft 네트워크 서버 : 로그온 시간이 만료되면 끊기 클라이언트 | 활성화 | 활성화 | | 네트워크 액세스 : 익명 허용 sid / 이름 변환 | 해당 사항 없음 | 장애인 | | 네트워크 액세스 : 샘 계정의 익명 열거를 허용하지 않습니다 | 활성화 | 활성화 | | 네트워크 액세스 : 마십시오 샘 계정과 공유의 익명 열거 허용 | 장애인 | 장애인 | | 네트워크 액세스 : 스토리지의 자격 증명을 허용하지 않습니다 나. 그물의 여권에 대한 네트워크 인증 | 장애인 | 장애인 | | 네트워크 액세스 : 사용자가 모든 권한을 익명 사용자에게 적용 | 장애인 | 장애인 | | 네트워크 액세스 : 명명된 파이프를 액세스할 수있는 익명 | comnap, comnode, sql \ 쿼리, spoolss, 프로, 브라우저 | sql \ 쿼리, spoolss, netlogon, lsarpc, samr, 브라우저 | | 네트워크 액세스 : 원격으로 액세스할 수 레지스트리 경로 | (여러 경로로 정의 접근할 수) | 정의되지 않음 | | 네트워크 액세스 : 원격으로 액세스할 수 레지스트리 경로와 서브 - 경로 | 해당 사항 없음 | 정의되지 않음 | | 네트워크 액세스 : 명명된 파이프와 공유에 대한 액세스를 제한할 수 익명 | 해당 사항 없음 | 활성화 | | 네트워크 액세스 : 공유에 액세스할 수있는 익명 | comcfg, dfs $ | | | 네트워크 액세스 : 로컬 계정에 대한 공유 및 보안 모델 | 게스트 전용 - 로컬 사용자를 인증으로 게스트 | 클래식 - 로컬 사용자를 그대로 인증 | | 네트워크 보안 :하지 않는 상점 랜 관리자가 해시 값을 다음 암호 변경 | 장애인 | 활성화 | | 네트워크 보안 : 로그온 시간이 만료되면 강제로 로그오프 | 장애인 | 장애인 | | 네트워크 보안 : 랜 관리자 인증 수준 | 보내 lm & 인증 반응 | 보내 ntlmv2 응답만 | | 네트워크 보안 : ldap 클라이언트 서명 요구 사항 | 서명 협상 | 서명 협상 | | 네트워크 보안 : 최소 세션 보안에 대한 인증 영어 기반 (비롯한 보안 rpc) 클라이언트 | 아니오 최소 | 아니오 최소 | | 네트워크 보안 : 최소 세션 보안에 대한 인증 영어 기반 (비롯한 보안 rpc) 서버 | 아니오 최소 | 아니오 최소 | | 복구 콘솔 : 자동 관리 로그온 허용 | 장애인 | 장애인 | | 복구 콘솔 : 모든 드라이브에 대한 액세스를 허용 플로피를 복사하고, 모든 폴더 | 장애인 | 장애인 | | 종료 : 허용 시스템에 로그온할 수를 종료하지 않고도 | 활성화 | 활성화 | | 종료 : 지우가 상 메모리 페이지 | 장애인 | 장애인 | | 시스템 암호화 : 강제로 강력한 키 보호를 위해 사용자가 키가 컴퓨터에 저장됩니다 | 해당 사항 없음 | 정의되지 않음 | | 시스템 암호화 : 사용 fips 호환 알고리즘에 대한 암호화, 해시, 서명 | 장애인 | 장애인 | | 시스템 개체 : 기본 소유자에 대한 개체 관리자 그룹의 구성원이 만든 | 개체를 작성기 | 개체를 작성기 | | 시스템 개체 : 필요할 경우 불감증에 대한 비 - windows 서브 시스템 | 활성화 | 활성화 | | 시스템 개체 : 강화 기본 권한의 내부 시스템 개체 (예를 들어, 심볼릭 링크) | 활성화 | 활성화 | | 시스템 설정 : 선택적 하위 | 해당 사항 없음 | posix | | 시스템 설정 : 사용 인증서 규칙에 대한 windows 실행 파일에 대한 소프트웨어 제한 정책 | 해당 사항 없음 | 장애인 | | 사용자 계정 제어 : 동작의 해발 고도 프롬프트에 대한 관리자의 관리자 승인 모드 | 해당 사항 없음 | 프롬프트에 대한 동의 | | 사용자 계정 제어 : 동작의 해발 고도 프롬프트에 대한 일반 사용자를 | 해당 사항 없음 | 프롬프트에 대한 자격 증명 | | 사용자 계정 제어 : 감지 응용 프로그램을 설치하고 프롬프트에 대한 해발 고도 | 해당 사항 없음 | 활성화 | | 사용자 계정 제어 : 유일한 상승 실행 파일이 서명 및 유효성 | 해당 사항 없음 | 장애인 | | 사용자 계정 제어 : 실행을 모든 관리자의 관리자 승인 모드 | 해당 사항 없음 | 활성화 | | 사용자 계정 제어 : 스위치를 확보 데스크톱을 때 메시지를 표시에 대한 해발 고도 | 해당 사항 없음 | 활성화 | | 사용자 계정 제어 : virtualize 파일 및 레지스트리 쓰기 실패가 당 - 사용자 위치 | 해당 사항 없음 | 활성화 | 일부의가 장 중요한 보안 변경 사항에 windows vista이 작업과 함께 다음과 같은 기본 설정에 대한 네트워크 액세스 및 네트워크 보안 : 원격 레지스트리 액세스에 windows xp, 여러 개의 레지스트리 경로는 기본적으로 원격으로 액세스할 수있습니다. 이 보안 취약점은 원격으로 액세스할 수없습니다 레지스트리 영역 기본적으로합니다. 이 변경 사항이 향상 레지스트리 보안입니다. 또한, windows vista 포함하고 새로운 보안 옵션을 관리에 대한 액세스를 레지스트리 subpaths. 익명 액세스를 명명된 파이프 및 공유를 windows vista를 추가 보안 옵션을 제한 익명 액세스를 명명된 파이프와 공유합니다. 이 변경 사항을 차단 익명 액세스를 명명된 파이프와 공유합니다. 공유 및 보안 모델에 대한 로컬 계정에 windows xp, 기본 공유 및 보안 모델에 대한 로컬 계정은 로컬 사용자를 인증으로 손님입니다. 이 보안 취약점 로컬 사용자는 그 자체로 인증합니다. 이 변경 사항을 향상 보안을 보장하는 사용자가 적절한 권한이 있어야합니다 파일 시스템의 모든 영역에 액세스할 수있습니다. 저장 랜 관리자 해시 값을 windows xp, 사용자가 변경되면 비밀 번호를 랜 관리자가 해시 값을 사용하는 데 도움이 후속 인증을 컴퓨터에 저장할 수있습니다. windows vista를 보장하는 이러한 해시 값을가 컴퓨터에 저장되지 않습니다. 이 향상됩니다 보안을 요구하는 사용자를 구하는 새로운 해시 값 언제든지 비밀 번호가 변경됩니다. 랜 관리자가 인증에 windows xp, 클라이언트 컴퓨터를 사용 lm 및 인증하고 인증 버전 2 세션 보안을 사용하지 마십시오. 이 보안 취약점 클라이언트 컴퓨터를 사용 인증 버전 2 인증서만하고 또한 인증 버전 2 세션 보안을 사용하여 서버에서 지원하는 경우입니다. 인증 버전 2가 있기 때문에보다 더 안전합니다 lm 및 인증을 인증 과정이 더 안전
|