우키의 보안이야기

   보호나라 사이트에 방문해보니  정보보호 알림이 서비스를 신청하라는 공지가 떴더군요
해킹,웜,바이러스등  인터넷상의 위험과 사고발생시 대처방법등을 문자메시지로 알려주는
무료 문자메시지 서비스 되겠습니다. 아래 URL에서  관련 공지및 통신사별 바로가기가 제공됩니다.

  저두 오늘 신청했구요..  아직은 메시지를 받아보진 않았지만  일단 KISA에서 진행하는 거니깐..
믿을 만 하다구 보구요  또 무료니깐..  바로 신청했습니다.

http://www.boho.or.kr/sms_service_.htm

저는 M4650을 쓰는 관계로..  LGT랍니다.  아래와 같이 신청완료했습니다.
이젠 문자를 기다려봅니다.  그래도 위급상황시 신속대응하는데 작은 도움이나마 되지않을까 기대해봅니다.

▶ 도메인 정책을  컴퓨터에 즉시 적용하려면

AD를 운영해보면  도메인정책이 서버나 컴퓨터에 바로 적용이 안되기때문에 답답한 경우를 경험합니다.  지금 바로  도메인 정책을 적용하고자 할때  다음과 같이 하시면 됩니다.

관련 URL: http://support.microsoft.com/kb/601499/ko

 ● 윈도우XP/ 비스타/  윈도우2003/ 윈도우2008에서
커맨드에서 아래의 명령을 실행하면  즉시 도메인으로부터 정책을 받아옵니다.
  gpupdate /force  

 ● 윈도우2000
커맨드에서 아래의 명령을 실행하면  즉시 도메인으로부터 정책을 받아옵니다.
  secedit /refreshpolicy machine_policy  /enforce   (컴퓨터정책)
  secedit /refreshpolicy user_policy /enforce (사용자정책)

▶ 도메인 정책을  잘 받아왔는지 확인하고 싶다면..

잘 받아왔는지 확인할 방법이 필요하겠죠? ^^
gpresult.exe로  RSoP(정책결과집합)을 확인할 수 있다.
 gpresult 
관련 URL:  http://technet.microsoft.com/ko-kr/library/cc756960.aspx

구문
Gpresult [/s computer [/u domain\user /p password]] [/user TargetUserName] [/scope {user|computer}] [/v] [/z]
예제
gpresult /s srvmain /u maindom\hiropln /p p@ssW23 /user targetusername /z >policy.txt

항상 그렇지만 요즘들어 스팸이 더욱 기승을 부리고 있습니다.
회사 메일서버에서도 상당 부분 거르고 있는데도 불구하고 많은 스팸들이 여전히 들어오고 있습니다.
그래서 무료 스팸차단 프로그램을 알아보게 되었습니다.  ^^

스팸체커는 방송통신 심의위원회에서 배포하는 무료 스팸차단 프로그램입니다.
최근 많아진 스팸때문에 사용해보고 있는데  괜챦은듯합니다.
스팸체커는  음란스팸차단을 주목적으로 하고 있습니다.

▶스팸체커의 장점
1. 음란스팸 차단 (음란사이트 DB, 음란키워드,음란이미지등을 인식)
2. 다음,네이버,야후등 웹메일의 스팸 차단 기능
3. 아웃룩으로 수신되는 스팸 차단  (POP3서버 지원)
4. 별도의 프로그램형태로 제공하여 자동으로 스팸을 제거함
5. 제거된 스팸을 지정한 날동안 보관 가능

회사에서 거르지 못한 스팸도 추가로 걸러주는 모습을 볼수있습니다.
하지만 자세히 보면 스팸아닌것도 스팸으로 분류되기도 하기때문에 확인이 필요합니다.
저는 선별기준을 높게 가져갔더니   Cisco에서 온 행사 안내 메일도 스팸으로 들어갔더군요..  ^^
POP3메일서버들 뿐 아니라  유명 웹메일업체들도 지원한답니다.

여러 계정으로 들어온 스팸메일을 동시에 정리해줍니다. 회사메일 + 다수의 웹메일 등

아래 그림은 차단메일로 들어간 일반 메일을  eml포맷으로 저장하고 있는 장면입니다.

스팸체커 홈페이지:  http://spam.icec.or.kr
스팸체커 프로그램및 매뉴얼 다운로드:  http://spam.icec.or.kr/sub/down.html
스팸체커 동영상 매뉴얼: http://spam.icec.or.kr/sub/scenario.html
스팸체커 이용중 궁금한 사항은  아래의 연락처로 문의하면 된다고 합니다.
          콜센터:  1377         Email: spam@kocsc.or.kr

원문참조: http://support.microsoft.com/kb/962007

▶ 감염현상
1. 계정잠금정책이 실행될 수 있음
2. 자동업데이트, BITS, Windows Defender및 오류보고서비스가 disable 될 수 있음
3. DC가 클라이언트 요청에 느리게 응답할수 있음
4. 네트웍 정체
5. 다양한 보안관련 웹사이트에 액세스할 수 없음

▶ 감염경로
1. MS08-067 취약성 위용 (보안업데이트 KB958644 안되어 있으면 감염)
2. 네트웍 공유 사용 (관리공유)
3. Autorun 기능 사용

▶ 예방조치
1. 보안업데이트 KB958644 설치후 리부팅
2. 아래 레지스트리의 하위키에 대한 쓰기권한 제거 (admin, system에 대한 모든권한,쓰기권한 제거)
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
3. %windir%\tasks 폴더에 대한 쓰기 권한 제거 (admin, system에 대한 모든권한,쓰기권한 제거)
4. 자동 실행 기능이 사용되지 않도록 설정 (autorun.inf의 실행방지)

▶ 바이러스 제거
1. 로컬계정을 사용하여 시스템에 로그온 하라  (도메인계정을 사용하여 시스템 로그온하지 말것)
    웜은 로그온된 사용자 자격증명을 사용하여 로그온한 사용자를 가장하여 네트웍 리소스에 액세스한다.
2. 서버 서비스를 중지  (이 경우 업무용으로 제공되는 서비스가 있다면  실행하지 말것, 모든 공유가 중단됨)
3. 모든 AT생성 예약작업을 제거 (커맨드: AT / Delete / Yes )
4. 작업 스케쥴러 서비스를 중지
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule에서 Start DWORD를 4로 수정
   -> 이것도 역시 시스템관리용 또는 업무용으로 스케줄 작업을 사용중이라면 사용하지 말것
5. 보안업데이트 설치  KB958644  (MS08-067)
  http://www.microsoft.com/korea/technet/security/bulletin/Ms08-067.mspx
6. local admin 및 Domain admin암호를 강력한 새암호로 재 설정
  http://technet.microsoft.com/ko-kr/library/cc875814.aspx
7. Svchost의 레지스트리 항목에 들어와 있는 맬웨어 코드 제거및 권한설정
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
   위 레지스트리 항목의 netsvcs 항목을 수정합니다. confiker.b웜이 무작위한 서비스 이름을 넣어둔 것 제거
   위 레지스트리 항목에 대한 사용권한 제거 (admin, system에 대한 모든권한,쓰기권한 제거)
8. 레지스트리의 Run 하위 키에서 맬웨어 서비스 항목을 제거
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
9. 시스템 드라이브에 autorun.inf 파일이 있는지 확인하여 제거
10. 시스템 리부팅
11. 숨김파일을 보이게 설정
   reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 0×1 /f
12. 맬웨어에 대한 참조된 DLL 파일을 삭제

▶ 시스템 보안설정 보강
1. Autorun 기능 해제
     패치 953252 설치:  http://support.microsoft.com/kb/953252/
2. 탐색기 원격코드 실행 방지를 위한 패치
     패치 950582 설치:    http://support.microsoft.com/kb/950582/
3. 로컬관리자 계정을 사용하지 않도록 설정