3월의 DDOS공격 바이러스 해결방법과 안전모드

[3월 어느 날..] 따릉 따르릉~ 따릉 따르릉~ Sankim: 여보세요 엄마: sankim아, 집에 컴퓨터가 이상하구나.. 이상하게 느려.. Sankim: 잉? 왜요? 그냥 쓸데없는 프로그램들 다 제거하고 백신 프로그램 한번 돌려보세요. 엄마: 니가 설치 해줬던 그 백신 프로그램이 실행이 안되.. Sankim: (흠.. 바이러스인가 보군..) 엄마, 그럼 컴퓨터 끄고 ‘안전 모드 (네트워크 실행)’으로 들어가보세요. 엄마: 안전모드? Sankim: 네, 컴퓨터 껏다…

4

[보안감사 3탄] 파일 삭제 감사(Audit); 누가 언제 내 파일을 삭제 하였나?

지난주 Workshop으로 남이섬을 다녀 왔는데 벌써 봄기운이 느껴지더군요. 추위를 잘타는 체질이라 따뜻함을 한껏 느끼고 돌아 왔습니다. ^^ 이번 포스트는 누군가 중요 파일을 삭제 하였는지 감사하기 위한 설정과 감사 방법입니다. [파일 감사를 위한 구성환경] 공유 파일 위치: 컴퓨터 W2K3SP1 연결 클라이언트: XPSP2sk 테스트 계정: DELTEST, TESTDEL 삭제할 파일: C:\TEST 폴더 안의 test1.txt, test2.txt, test3.txt 1. 해당…

3

[보안감사 2탄] 언제/누가/어떻게 원격에서 로그온 했는지 Audit 해보자!

아래 보안감사에 이은 2탄 입니다. 질문: 원격에서 로그온한 사용자를 감사(Thanks가 아니라 audit )하고 싶다, 즉 누가 원격에서 액세스했는지 알고 싶다. 해답: 원격에서 로그온한 사용자의 정보와 사용자 Action을 보안 감사를 통해서 확인하실 수 있습니다, 보안 감사를 설정하시고 아래와 같이 보안 이벤트 로그를 확인 하십시오. 원격에서 사용자가 원격로그인 했을때 해당 로그온을 허락한 컴퓨터는 Event ID 540 발생합니다. (콘솔로 직접…

4

[보안감사] 누가 사용자 계정을 삭제 하였나? – AD 환경에서 계정 삭제 감사(Audit) 방법

“AD 환경에서 누군가 계정을 삭제 했다 누가 언제 삭제 했는지 알고 싶다”를 가지고 문의가 종종 들어 옵니다. 그래서 간단하게 아래와 같이 정리해 보았습니다. *시나리오는 Test라는 계정이 삭제된것으로 하였습니다. 1. Default domain policy에서 아래 같이 계정 관리 감사, 개체 액세스 감사, 디렉터리 서비스 액세스 감사 를 설정 합니다ㅏ. 2. GPUPDATE /force를 실행합니다. 3. 계정이 삭제 되면…

4

도메인 환경에서 패스워드 정책이 적용되지 않는 원인 [Bydesign]

일반적으로 도메인 관리자들은 서로 다른 OU를 생성한 뒤 각 OU 별로 서로 다른 패스워드 정책을 설정 하려고 하는 경우가 많이 있습니다, 그런데 이때 정책이 적용되지 않아 의아해 하시는 분들이 많이 있습니다.(경험해보지 못하신 분들께서는 한번 테스트해 보시죠) 원인은 패스워드 정책은 오직 도메인 레벨(Domain Level)에서만 적용될 수 있기 때문입니다. 간단히 말씀드리면 AD 초기에 생성된 ‘기본 도메인 정책(Default domain policy)’에서…

3