일반적으로 관리자라면 시스템 파티션과 데이터 파티션은 분리하여 사용할 것이다.
또한, NTFS 파일시스템을 사용해야 보안상 안전하다고 알고 있다. NTFS 파티션을 사 용하면 FAT이나 FAT32, FAT32x 파일 시스템에서는 불가능한 액세스 제어와 파일 보 호가 가능하다. 만약 NTFS가 아니라면 convert 유틸리티를 사용하면 데이터의 손상 없이 FAT 파티션을 NTFS로 변환할 수 있다.
최초 설치시 디스크는 드라이브 루트상에 [EveryOne] 그룹에 [Full Control] 권한 이 부여된 상태인데, Windows 98과 같은 상태라고 보면 된다.
[그림 43] 공유폴더의 사용권한
※ Windows 2000 이상의 경우 권한설정에서 허용과 거부가 동시에 적용이 될 때 는 거부권한이 우선권을 가지게 된다. 예를 들면, 위의 그림에서 EveryOne 권한 의 허용에 읽기권한이 체크되고 거부에 모든 권한이 체크되면, 아무도 접근을 할 수 없게 된다.
※ convert 유틸리티를 사용하면 ACL은 변환된 드라이브를 모든 사용자가 모든 권
홈 페 이 지 보 안 가 이 드
1) 권한 설정 및 변경
① 각 드라이브의 등록정보를 클릭하여 [보안]을 선택하여 [EveryOne]을 제거한다.
② [추가] 버튼을 클릭하여 [administrators]와 [SYSTEM] 및 각 서비스에 필요한 계정만 접근할 수 있도록 권한을 부여한다. [administrators]와 [SYSTEM]에는 [모든 권한]에 체크를 한다.
[그림 44] 기본적인 사용권한
[그림 45] 계정 선택 [그림 46] 사용권한 설정
Ⅱ . 웹 서 버 운 영 관 리 를 위 한 보 안 매 뉴 얼
2) 권한 변경 시 주의사항
폴더에 권한 부여 시 사용자 별로 권한을 부여하는 것이 좋지만, 차후 계정이 삭제 되어도“S-x-xxx-....”형태로 권한은 부여된 상태로 남아있게 되기 때문에 계정을 삭제할 경우 디스크에 부여된 권한도 같이 제거를 해주도록 한다.
예를 들어“test”라는 폴더를 생성하고“testsvr”라는 계정을 추가해보자.
“testsvr”라는 사용자가 퇴사를 하여 계정이 불필요하게 되어서 삭제만 하고 폴더 에는 별다른 작업을 하지 않았다면 그 계정의 SID 는 그대로 남아있게 된다. S-1-5-21-xxx... 이“testsvr”계정의 실제 아이디인 셈이다.
[그림 47] testsvr계정 설정
[그림 48] 계정 삭제 시 등록 정보에 보이는 화면
홈 페 이 지 보 안 가 이 드
시스템 파티션의 경우는 Windows를 설치할 때 권한이 이미 부여되는데, 그중 Winnt 폴더의 경우 권한을 재설정시에는 신중을 기해 설정하도록 한다. 만약, 이미 설정된 권한을 제거한 후 [administrators] 와 [SYSTEM]에게만 권한을 부여할 경 우 서비스에 장애가 나타날 수 도 있다.
C : 루트 상에서 권한을 수정한다고 해서 하부의 권한이 제거되지는 않는데, 이는 상속은 되지만, 각각의 폴더에서 다시 권한이 추가된 상태이기 때문이다. 특히, 데이 터 폴더의 경우는 최소한의 권한만 주어야 한다.
상속된 권한의 경우는 수정이 불가능 하도록 바탕이 회색으로 나타나며, 권한이 새 롭게 설정된 경우는 바탕이 흰색으로 나타난다.