보안의 시작.. 기본적인 권한 설정에서부터..

4. ‘꼬알라’라는 사용자는 ‘동물원’이라는 보안 그룹에 포함되어져 있습니다. 특정 파일 서버의 FileDocument라는 폴더에 대해 부여된 권한은 아래와 같습니다. (10점)

꼬알라 : 수정(공유 권한), 읽기(NTFS 권한)
동물원 : 모든 권한(공유 권한), 읽기(NTFS 권한)

이 경우, 꼬알라라는 사용자가 네트워크를 통해 파일 서버 FileDocument에 접근하면 어떠한 권한을 가지게 되나요?

정답 : 읽기(Read)

지난 TechNet 실력 Test 이벤트에서 나왔던 문제입니다. 가장 많이 틀리신 항목입니다. 오늘은 권한 설정에 대해서 조금 이야기를 나눠볼까합니다.

Windows 플랫폼의 Permission은 크게 2가지로 나누어집니다. 공유 권한과 NTFS 권한으로 나누어지죠. 이 권한에 대한 설정이 보안에 대한 기본 설정이라고 생각합니다. 그렇다면 이 권한 설정에 대해서 여러분은 정확하게 이해하고 계신지요?

왼쪽에 있는 권한이 공유시 부여되는 권한이며, 오른쪽에 권한이 바로 NTFS 권한입니다. 두 권한의 차이는 아래와 같습니다.

• 공유 권한 - 원격 컴퓨터에서 UNC 경로(\\서버이름\공유폴더)를 통해 접근했을 경우, 적용되는 권한. 해당 컴퓨터에 직접 접근하는 로컬 접근시에는 적용안됨
• NTFS 권한 - 로컬 & 원격 컴퓨터에서 접근했을 경우, 모두 적용

위의 문제는 이렇습니다. '꼬알라'라는 계정이 '동물원'이라는 보안 그룹에 포함되어져 있다는 첫번째 설명이 나왔습니다. 계정과 해당 계정이 포함된 그룹에 각각 권한을 부여한 경우, 권한은 거부를 제외하고는 더 높은 권한으로 합쳐지게 됩니다. 예를 들어...

꼬알라 - 읽기, 동물원 - 수정 = 결과 - 꼬알라는 수정
꼬알라 - 수정, 동물원 - 읽기 = 결과 - 꼬알라는 수정
꼬알라 - 모든 권한, 동물원 - 읽기 거부 = 결과 - 꼬알라는 읽기 거부

NTFS도 동일합니다.

그렇다면.. 이제 한가지 생각해보셔야 할 사항이 바로 원격에서 접근했을 경우, 공유 권한과 NTFS 권한 중 무엇이 동작할 것이냐?

공유 권한과 NTFS 권한이 개별적으로 계산된 후, 둘중 더 낮은 권한이 적용됩니다. 이번 실력 Test에 나왔던 문제를 생각해보죠.

꼬알라 : 수정(공유 권한), 읽기(NTFS 권한)
동물원 : 모든 권한(공유 권한), 읽기(NTFS 권한)

꼬알라의 경우 공유 권한은 최종적으로 모든 권한을 가지게 됩니다. NTFS 권한은 읽기가 되죠. 이 중 더 낮은 권한이 적용되기 때문에, 네트워크 공유로 접근시 바로 읽기가 적용되는 것입니다. 문제를 조금 변형해볼까요?

꼬알라 : 수정(공유 권한), 읽기(NTFS 권한)
동물원 : 모든 권한(공유 권한), 수정(NTFS 권한)

꼬알라의 공유 권한은 모든 권한, NTFS 권한은 수정 권한을 가지게 됩니다. 이 경우에는 바로 수정 권한이 부여되겠죠? 이제 이해가 되셨나요?

보안의 기본은 권한 부여입니다. 권한 부여에 대한 정확한 이해없이는 인프라내 자원에 대한 보안 강화가 어려워질 수 밖에 없습니다. 시간이 될때마다, 아주 기본적인 보안 사항에 대해서 포스팅해보도록 하겠습니다. 오늘 한번 회사내 파일 서버에 대해서 권한 설정을 생각해보세요~