우키의 블로그

ActiveDirectory의 장점은  사용자관리를 현업에 있는 관리자들에게 위임할수있다는것입니다.
부서내에서 어떤 사람들이 특정부서에 이동되고 있는지  중앙의 AD관리자가 확인할수 없기때문에
위임이 가능하다는 것은 AD관리의 효율성을 높이는 동시에 보안수준도 높일수있게해줍니다.
불필요한 인원의 권한을 좀더 긴밀하게 관리할수있게 되니까요...
아래와 같은 프로그램창을  현업의 관리자에게 제공하여 직접 관리할수 있게 해줍니다.
Taskpad라고 하는데   어떻게 권한을 위임하고   툴을 현업에 제공할수있는지 알아보겠습니다.

▶ AD에서  부서관리자에게 권한을 위임하자
1. dsa.msc를 실행하여  AD상에  관리하고자 하는 부서의 OU를  만든다.
2. OU내에 관리자 그룹,사용자 그룹등을 만든다.
3. 관리자 그룹에  관리자 아이디를 소속시킨다.
4. 해당OU에서 마우스우클릭하여  제어위임메뉴를 실행한다.

5. 제어위임 마법사에서  관리자 그룹을 추가해준다.

6. [다음 일반작업 을 위임] 옵션에서  [그룹의 구성원 변경]을 선택해주고   [다음], [마침]을 누른다.
    이렇게 하면 현업의 관리자가 자기부서의 사용자그룹을 직접 관리할수 있게 해줄수있다.
▶ 부서관리자에게 권한을 관리할수있는 툴을 제작해보자
mmc를 이용하면 부서관리자가 직접 권한관리할수있는 툴을 제작할 수 있습니다.
1. 시작버튼/  실행창에서 mmc 라고 입력하고 엔터..  

2. 아래쪽의 [추가]버튼을 누르고  [Active Directory 사용자및 컴퓨터]를 클릭하고 아래쪽의 [추가]버튼을 클릭합니다.  그리고 닫기 버튼 클릭
3. 스냅인 추가/제거 창에  [Active Directory 사용자및 컴퓨터]가 보이실 겁니다. 이때 확인을 눌러서 콘솔화면으로 나옵니다. 
4. 콘솔창의 왼쪽 트리에서  관리하고자하는  부서OU로 이동합니다. 해당OU에서 마우스 우클릭하시고
   새 작업창 메뉴를 클릭해줍니다. 그럼 [새 작업창 보기 마법사]가 시작하는데  [다음]을 클릭해주세요
5. 새 작업창 보기 마법사에서 아래 그림과 같이 옵션을 선택한후  마침을 눌러주세요

6. 새 작업 마법사가 뜨는데  맨 처음과 두번째 화면에서 모두 default로 두고 [다음] 을 클릭해주세요
    바로가기 메뉴명령 창이 뜨는데 이때 명령원본에 [세부 정보창에 자세히]  사용가능한 명령에는 [등록정보]를 선택한후 다음을 클릭합니다.  그리고 이름및 설명을  입력해줍니다.  그리고 아이콘을 지정해주고 나면 비로서  우리가 만들고자 하는 작업창이  나타납니다.

불필요한 것들이 보이지 않도록  모양을 다듬어서   현업관리자가 쓸수있도록 해야합니다.
7. 콘솔메뉴에서 [옵션] 선택하여  콘솔모드를 사용자모드-제한된 권한,단일창으로 설정하며  변경된 내용을 이 콘솔에 저장안함을 체크해주세요..

8. 콘솔루트의  보기메뉴에서 사용자정의 메뉴를 실행합니다. 그리고 보기사용자 정의의 모든 옵션을 꺼서 화면이 단순하게 보이도록 해줍니다.



9. 만들어진 보안권한관리 MMC콘솔을 바탕화면에 저장합니다.
이 MMC콘솔파일을  해당 부서의 관리자에게 제공해주시면 됩니다.
10. 만든 아이콘을 사용하기에 앞서서 협업 관리자에게 adminpak을 설치해주셔야 합니다.
     아이콘만으론 아무것도 실행할수 없으니깐요...
    MS사이트에서 adminpak 이라고 검색하셔서  다운로드 받으시면 되겠습니다.
http://www.microsoft.com/downloads/details.aspx?FamilyID=E487F885-F0C7-436A-A392-25793A25BAD7&displaylang=en

우키

바이러스의 배포방법이 최근 많이 바뀌었습니다.
네트웍단의 여러가지 방호책들이 늘어나면서  사용자의 부주의나 호기심을 이용하여
사용자 스스로가 바이러스를 호출하는 방법으로 배포방법이 바뀌고있습니다.
때문에  reverse attack이라고 해야 할 것 같습니다.

최근 급증한 바이러스중 하나가 USB저장매체를 이용한  신종웜들입니다.
usb guard는 이 usb 바이러스의 확산을 저지 합니다.
요즘은 누구나 하나쯤 USB 메모리를 가지지 않는 사람이 없죠..
더우기 USB로 전염되는 웜은 네트웍으로 막는게 불가능합니다.
집이나 PC방에서 usb메모리를 사용하다 웜에 걸리고 그 메모리는 포켓에 담겨서
안전하게 회사내부로 들어와서  내부PC들에  확산되게 되는 것입니다.

usb메모리나 CD롬엔 autorun.inf 라는 파일을 들어가 있어서
윈도우시스템이 autorun.inf를 자동으로 호출하게 되고 
이때 autorun.inf는 진짜 바이러스를 실행하게 되는 것입니다.
autorun.inf 를 이용하는 바이러스는 변종도 너무 많아서  사실상 백신이 제대로 대처하지못하고있습니다.
때문에 일단 PC에서 autorun.inf 를 시스템이 호출하지않도록  막는게 급선무입니다.

국가정보원에서 권고하는 이 파일은 usb장치가 장착될때 autorun.inf를 호출하지않게 합니다
물론 이프로그램을 실행하면 cd롬을 넣었을때 자동실행하게 되는 기능도 같이 꺼집니다.
하지만 웜으로부터 보호가 더 될수 있기때문에 꼭 이 프로그램을 다운받으셔서 실행하시기 바랍니다.
▶ 다운로드
<< 국가 사이버 안전센타   usb guard 배포 페이지 >>

<<  다운로드: usb guard.exe >>    <<  다운로드: usb guard.zip >>
▶ 사용법
1. usb guard를 실행합니다.

2. 자동실행 차단 버튼을 클릭하세요..  (윈도우 시스템의 default 세팅은 '자동실행 허용'입니다.)
       허용하시려면.. 자동실행 허용 버튼을 클릭

우키

백신이 있는데도 아무런 alert가 없었는데
네트웍이 매우 느려지거나 컴퓨터조작이 심하게 느려진다면...
뭔가 바이러스의 활동이 있을수있습니다.
요즘은 변형이 많아서 백신이 발견못하는 바이러스가 다수 존재한다고 할수있습니다.
이런 경우 어떻게 대처할 것인지  적어봅니다.

1. 네트웍을 공격하는 웜이 있는지 점검합니다.
Tcpview사용하면 네트웍을 나 모르게 접속중인 프로그램을 찾을수있습니다. 
작업관리자를 보시면 CPU의 부하상태와 부하를 주는 프로세스를 찾을수있습니다.
pslist를 사용하시면 감춰진 프로세스까지 보실수있습니다.
<< tcpview 에 대해 더 자세히 알아보기>>

2. (회사일 경우) 웜발견시 상단의 네트웍장비에 block하는 정책을 설정합니다.
 개인PC라면 모르지만 회사나 단체에선 추가적인 피해및 바이러스 확산을 방지하기위해
네트웍단에서 -스위치,방화벽- block정책을 세팅하는것이필수적입니다.)

3. 바이러스 프로세스를 kill합니다.
pslist로 process를 봐가면서 pskill을 이용하여 바이러스 프로세스를 kill합니다.
이때 한번에 안죽는 바이러스가 있어서 10회정도 반복을 해주면 좋습니다.
pskill은 윈도우시스템 실행파일까지도 kill할수있는 강력함을 보유하고있습니다.
바이러스 프로세스가 두개가 존재하는경우 하나가 죽었을때 다른 하나가 되살리는것을 봅니다.
pskill을 이용해 배치파일로 작성하여 모든 바이러스프로세스를 동시에 kill하는것이 좋습니다.
프로세스를 kill하고 나면 바이러스 실행파일을 삭제할수있습니다.
삭제하기전 실행파일의 확장자를 변경한후 별도의 장소(USB등에) 복사해둡니다.(나중에 필요)
원래의 .exe라고 된 확장자를  .ex_ 로 변경해두면 됩니다. 실행이 되지않죠..
<< pslist , pskill 알아보기 >>

4. 바이러스가 연계된 dll을 unlock 합니다.
dll바이러스가 돌아가는 경우 백신이 발견했으면서도 삭제를 못하는 경우가 많습니다.
dll바이러스를 감지못하는 경우 processexplorer를 이용하여 dll을 찾을수있습니다.
시스템파일에 들러붙은 dll은 삭제하기가 매우 어렵습니다.
인터넷익스플로어, 탐색기, 백신프로그램등에 들러붙는 경우 삭제가 불가능합니다.
이때 먼저 기존에 연결된 관계를 unlock시키면 바로 삭제하는것 가능합니다.
unlocker를 추천합니다. 리부팅하지않고서도 잘 unlock시키는것을 확인하였습니다.
unlocker에 대한 자세한 설명은 옆의 링크를 클릭하세요...  << unlocker  >>

5. 시작프로그램상의 불필요한 프로세스/ 서비스 제거합니다.
msconfig나 regedit를 이용하여 불필요한 프로세스,서비스를 모두 제거합니다.
이를 위해선 평소에 자신의 컴터에 어떤 프로세스,서비스가 존재하는지 알고있어야합니다.
잘 모를경우 google검색을 이용하여 정보를 얻으셔야합니다.

6. 리부팅후 정상작동하는지 확인합니다.
tcpview와 pslist등을 이용하여 프로세스및 통신상태를 점검합니다.
삭제했던 바이러스파일이 다시 생성되지않았는지 확인합니다.
삭제했던 바이러스 실행파일이나 dll이 다시 리부팅후 생기는 경우가 있습니다.
일단 안전모드로 부팅하여 파일을 삭제하는것도 좋은 방법입니다.
안전모드삭제후 또 파일이 생길수있습니다. 그건 바이러스를 다 찾지못한것인데요...
정체를 다 파악하지못해도 편법으로 바이러스 파일이 다시 만들어지는것을 막는 방법을 소개합니다.
앞서의 3번부터 5번을 실행한후 해당 바이러스 파일이 있는위치에 파일이름과 동일한 폴더를
일부러 만듭니다. 바이러스가 만들려고 하는 파일과 동일한 폴더가 이미 자리를 차지하고있으면
바이러스의 파일 생성시도는 실패하게 됩니다. (실제로 효과가 있더군요.. ^^; )

7. 발견된 바이러스 파일을 백신회사에 보내어 신규 패턴에 반영하게 합니다.
3번 4번에서 발견한 바이러스 파일을 별도로 보관했었습니다.
.ex_라고 확장자 변경해서 보관한 파일을 다시 압축프로그램을 이용하여 암호를 걸어서 압축 해주세요..
메일을 보낼때  메일서버에서 삭제되어서 전송되지않을수있으니까요..
백신회사에 보낼때 압축해제위한 암호는 알려줘야겠죠..
신규패턴이 1-2일이면 배포될거라고 봅니다.

우키

우키의 블로그는 애초에 회사에서 무료로 사용할수있는 프리웨어와 유용한 IT지식이 중심인데
최근 제가 보안에 관심을 가지고 여러업무를 하다보니 보안관련 글도 많이 올리게되고
특징이 불명확해지고 있어서   차라리 보안관련 블로그를 따로 만들어서 운영하려고합니다.
도메인도 하나 구매했답니다.. 안사려다가  오래 운영하려면 결국 필요할것 같아서...ㅋㅋ

http://secuworld.net/

회사에서 네트웍및 서버관리를 하면서 보안 관련된 일을 많이 해오기도 했지만
요즘은 본격적으로 보안에 관해서 정리하고 업무를 하고있답니다.
CISSP도 올해 취득한데다  CISA도 12월에 시험보기위해서 준비하는 과정이니만큼
보안에 관한 좋은 정보들을 정리하고 또 보안에 관심을 가지신 분들에게도 도움이 될까하여
드디어 "우키의 시큐월드"를 시작합니다.
텍스트큐브로 (테터 다음 버전..) 만들었구요  아직은 인터페이스는 손을 봐야할듯합니다. ㅋㅋ

앞으로 [우키의 블로그]에 이미 올라간 글중에서 보안관련글들을 [우키의 시큐월드]로 옮길 예정입니다.
물론 새로운 글들도 많이 올릴 생각입니다.
CISA를 공부하다보니 보안의 영역이 참 넓고 할일이 많다는생각입니다.
단순히 바이러스나 해킹을 막는 것이상의  기업의 정보/가치를 지키는 그 무엇인것이죠..

오늘은 그림에 메시지를 숨겨서 전달하는 스테가노그라피 툴에 대해서 포스팅했습니다.
http://secuworld.net/entry/Invisible-secrets-21
기대해주세요..ㅋ

우키

MSN 메신저를 이용하여  여러분들의 패스워드를 노리는 피싱사이트가  전파되고있습니다.
아래의 내용을 잘 읽어보시고 피해를 보시는 일이 없도록 조심해주시기 바랍니다.

▶ 왜 MSN 메신저에 속으면 안되는가?
1. 여러분의 MSN 패스워드를 유출시킵니다. (매우 위험)
인터넷사이트에서 동일한 아이디/패스워드를 사용하는 경우가 많으니만큼 매우 위험합니다.
아이디/패스워드가 유출되면  바이러스에 걸리는 것보다 더 심각한 결과가 초래됩니다.
2. 여러분을 또다른 공격자로 만듭니다.
   msn바이러스나 피싱에 속아넘어간 순간 여러분은 의도하지않게 다른사람을 공격하게됩니다.
3. 여러분의 PC가 바이러스에 의해 제역할을 못하게 되어 업무에 지장을 받게됩니다.
이번에 전파되는 MSN피싱메시지의 경우엔  바이러스 기능은 없음을 먼저 알려드립니다. 하지만...
유사한 공격으로 인해 PC에 바이러스가 심겨지고 업무에 큰 지장을 받게되는 경우가 많습니다.


▶ 여러분은 속으셨습니까?
최근 아래와 같은 MSN메시지를 받으셨나요?  
그림에 보면 지인으로부터 msn메시지가 도착하여 뭔가를 알려줍니다. 
( 이미지는 인터넷에 이미 올라와있는것들을 조금씩 편집하여 올렸습니다  ^^; )
출처: http://link.allblog.net/5121177/http://shinyhappy.tistory.com/35 

예전에는 영문으로 MSN바이러스 등을 유포되어서 무시해왔는데....
이번엔 MSN에 등록된 친구로부터 한글 메시지가 전송되었습니다.  속아넘어가기 쉽죠....
( 메신저에 뜬 링크엔 바이러스가 없고 단순히 아래의 사이트로 연결해주는 일만 합니다.)
--> 그런면에서 MSN바이러스라고는 할수없겠습니다. MSN피싱이라고.. ^^

어쨋든 계속 진도 나가겠습니다...... ^^
사이트에선 누가 내 msn계정을 block했는지 알려준다며 MSN계정과 패스워드를 입력해달라고 합니다.
호기심에, 혹은 무심결에 아이디,패스워드를 입력했고 아래쪽의 오렌지색 아이콘을 클릭했습니다.
그순간 여러분의 MSN아이디와 패스워드는 유출되어  누군가의 손에 들어가게 되었습니다. 
뿐만 아니라 여러분의 모든 MSN 친구들에게  ‘그 메시지’가 자동으로 전송되게 됩니다

▶ 그렇다면 어떻게 해야 하나요?
1. 혹시 MSN 패스워드가 유출되었다면 즉시 패스워드를 변경하시기 바랍니다.
hotmail 사이트에 접속하셔서 즉시 패스워드를 변경해주세요
  (패스워드를 정기적으로 바꿀 것을 권해드립니다. MSN은 72일을 기본값으로 하는군요)
  길지만 안 바꾸는 20자의 패스워드보다 자주 바꾸는 8자 패스워드가 훨씬 강력한 패스