우키의 보안이야기

KISA에서 운영하는보안실무자를 위한  정보보호기술 온라인학습장 사이트입니다.
이론적인 것 뿐아니라 실습까지도 진행이 가능합니다.
사이트에 소개된 내역은 일반적인 수준을 벗어나  전문적인 수준이라고 할수있습니다.
SIS자격을 준비하는 분들에게도 유용한 사이트라고 생각됩니다.
IE로 접속해야 사이트의 모든 기능을 이용할수있습니다.
(Firefox에선 훈련공간에서 서버접속하는 기능이 작동하지 않았습니다.)

http://www.sis.or.kr

▶ 학습공간
학습공간에선 이론학습과 각종 보안문서들을 보실수있습니다.
이론학습과 테스트까지 해볼수있어서 매우 유용합니다. ^^

아래 보이시는 것처럼  실력테스트도 해볼수있답니다.   ^^

▶ 훈련공간
훈련공간에선 실제 실습을 해볼수있습니다. 
실제 서버에 접속하여 다양한 실습이 가능합니다.
훈련공간내에서 얼마나 실습을 진행했는지에 대한 통계는 마이페이지에서 보실수있습니다.
서버접속하기 버튼을 누르면  아래처럼 브라우저에 서버창이 열린답니다.

보안메일 도입사례가 있어서 여기에 소개합니다.
도입처는 서울시이며  솔루션은  아이모션의 SensMail 기관용입니다.

===============================================================
▶ 서울시 통합메일시스템 구축사업 진행
1단계: 국정원의 기관메일 보안강화 지침에 따른 보안메일시스템 구축
2단계:  서울특별시의 25개 자치구에 기관 보안메일을 적용하여 단일시스템으로 통합

▶ 서울시가 도입한 보안메일시스템의 특징
1. 행정전자서명(GPKI) 인증서 로그인 기능
2. 국가 표준 알고리즘(ARIA)을 적용한 메일내용 암호화 기능
3. 서울시 디렉토리 서비스와 연동한 조직도
4. 알리미시스템, SMS시스템 연계
5. 사용자 교육동영상을 쉽게 볼수있게함


서울시 통합메일시스템 구축 프로젝트를 총괄했던 정연찬 개발팀장은 “보안기능의 강화와 사용자 편의성 향상이라는 쉽게 어울릴 수 없는 두 가지 목표를 모두 이룬 아주 드문 케이스”라며 “행정전자서명(GPKI)인증서의 사용은 시스템의 신뢰성을 높였고, 어렵고 불편할 것으로 예상했던 메일암호화 인터페이스를 최대한 쉽게 구현한 것이 만족도 향상의 열쇠”였다고 평가했다.

아이모션의 보안메일 도입처 (레퍼런스)
대구광역시, 법제처, 국가인권위원회 ,서울특별시교육청

  AD는 강력한 중앙관리를 제공하는 MS의 디렉토리 서비스입니다.
수많은 기업에서 사용하고 있지요…   중앙관리라는 면에 있어서.. 정말 좋습니다.
하지만 내부에서 이루어지는 많은 일들에 대해서 감사하는 것은  너무 단순한듯합니다.
인터페이스도 그렇고 감사수준도 그렇습니다.

  AD상에선 특정 보안그룹의 유저들에게  중요권한을 제공하여서  권한을 행사할수있도록 할수있습니다.
예를 들자면  특정 사업부의 유저그룹과  관리자그룹을  OU (AD상의 권한관리를 위한 카테고리) 내에 생성하여
관리자 그룹에게 해당 OU 내의  그룹에 해당하는 유저들을 추가하거나 제거하도록 권한을 위임할수있습니다.
이렇게 함으로써  좀더 현장에서 기민하게  필요한 권한을 부여하거나 제거하도록 도울수있습니다.
제 경우엔  권한위임을 할때 모든 활동은 감사되며 기록에 남는다고 경고하고 있지요..

  이런 권한부여작업이 제대로 되고 있는지 감사하지 않는다면  보다 더 큰 보안위협이 발생할수있죠..
따라서 이럴땐 AD상에 적절한 보안권한을 설정해 두고 있어야 합니다.
이 글에선 어떻게 감사정책을 설정하는지와  어떻게 확인하는지 정리해보도록 하겠습니다.

아래의 작업은 DC에서 이루어져야하며   감사로그도 DC에서 가능하다는 것을 알려드립니다.

1. 모든 DC에서 Domain Controller Security 를 이용하여  계정관리를 감사하겠다고 설정한다.
   -  모든 프로그램/  관리도구 / Domain Controller Security Setting 을 연다.
   -  Local Policies / Audit Policy 항목으로 이동
   -  Audit account management 를 Success로 세팅한다.
        (실패로는 권한이 없는 사람이 시도한 것을 나타내고  성공은 권한있는 사람이 작업한 이력을 보여줌)

2. dsa.msc를 이용하여 도메인 보안그룹에 유저를 추가하거나 제거한다.
      –  혹은 사전에 제작한 Taskpad를 활용하여 그룹관리를 시행한다.

3. 이벤트로그를 열어서  계정관리 로그를 확인한다.
      -  이벤트뷰어의 Security 항목을 연다.
      -  category중  Account management 라고 된 부분을 찾는다.
      -  이벤트코드: 633은 그룹의 멤버에서 유저를 제거한것  632는 유저를 추가한 것이다.
      -  user 란엔 실제로 이 작업을 한 주체가 누구인지 표시가 된다.       

CISSP라는 자격은  따고 끝이 아니고 자격유지를 위한 노력을 해야하죠.. ^^

지난주 CISSP KOREA에서 개최한 세미나를 참석하기도 했었죠.. ^^ 6CPE를 주더군요..

3CPE를  주는 웹 세미나를 소개합니다.  시간이 좀 늦는게 흠이지만.. 

그래도 3 CPE를 주니깐..  ^^ 

========================================================================

(ISC)2 e-Symposium 웹 세미나

주제 : Working Intelligently and Protecting Your Windows Infrastructure
일시 : 2009년 4월 30일 새벽 02:30 (한국시간)
CPE 포인트: 3 CPE 획득
웨비나 사이트 : http://isc2.brighttalk.com/

영어로 진행됩니다. ^^  

Cobit에 대해서 관심을 가지고 계신분들에게 도움이 될만한 동영상 강의입니다.  하지만 영어라는…
하지만  파워포인트 화면이 함께 나오기때문에 이해하시는데 별 무리는 없다고 봅니다.
Cobit에 대해 이해가 있으신 분들에겐 좋은 동영상 강의가 될 듯합니다.

ISACA 지식 파워특강의 공지메일에 포함되어 있어서 저두 보게 되었습니다.
Cobit은 ISACA의 기본서이며  IT 거버넌스 프레임워크입니다.
ISACA 지식파워특강에선 Cobit 4.1에 대해서 다루고 있구요..
바로 오늘 저녁 강남에서 파워특강이 열리는데 저는 따로 신청하지 않아서..  아래 영상강좌만..  ^^

동영상을 볼수있는 URL은 다음과 같습니다.
http://www.isaca.org/webcasts/cobit-overview/COBIT-07-Board-Presentation.htm

ISACA국제 협회의
International Vice President 인  Robert
Stroud의 영상강좌입니다.

서비스로  ISACA 기본서  15권 목록을 다운로드 받을수있는  다운로드페이지를 소개합니다.

다운로드 페이지 보기

요즘 가짜 백신이 문제가 많이 되고 있습니다. 직원들에게 교육이 필요한 부분이죠.. 
인지되지못한채로  많은 사람의 컴퓨터에 가짜 백신이 여러개 설치되어 있는 경우를 많이 보게됩니다.
아래 메일에서는 하우리의 라이브콜을 썼는데요..   그외에도 좋은 웹백신이 많습니다.
라이브콜은 유료입니다.  소규모 회사라면 유료 웹백신으로 추천하시는게 좋을듯합니다.
개인이라면  무료 웹백신을 쓰셔야 하겠죠?   트렌드나 비트디펜더같은..  ^^

  원하지 않는 정상적인 파일이 바이러스로 인식되어서 쿼런틴으로 옮겨질 수있습니다. 이런 경우  복구하는 과정에 대해 적어봅니다.

▶ 쿼런틴으로 옮겨진 파일의 위치
   client 내: Trend Micro\OfficeScan Client\Suspect
   서버 내:   OfficeScan\PCCSRV\Admin\Utility\VSEncrypt

▶ 복원에 필요한 도구 준비
복원도구가 필요한 이유는  쿼런틴에 들어갈때  파일이 암호화되어 저장되기 때문에 
  VSEncode.exe
   Vsapi32.dll
Officescan 중앙관리 서버에 위치  ( OfficeScan\PCCSRV\Admin\Utility\VSEncrypt  폴더  )

▶ 복원 과정
1. 복원하고자 파일이 복원하고자 하는 컴퓨터의 OfficeScan Client\SUSPECT 폴더 있어야 합니다  
   (서버의 쿼런틴으로 옮겨진 경우  클라언트의 suspect폴더로  옮겨주세요)
2. c:\temp와 같은 임의의 폴더에 아래 파일을 복사해 오셔서 명령프롬프트 창에서 실행하시면 됩니다.
·         주 파일: VSEncode.exe
·         필수 DLL 파일: Vsapi32.dll

3. 명령 프롬프트를 열고 VSEncrypt 폴더를 복사한 위치로 이동  
    c:\>cd temp
4. 다음 매개 변수를 사용하여 암호화된 바이러스 복원을 실행
 
-d: Suspect 폴더의 파일을  복호화합니다.
 /f  {filename}: 특정 파일을 복호화합니다.
옵션이 없으면 Suspect 폴더의 파일들을 암호화합니다.

    c:\temp>vsencode.exe -d  (모든 파일이 복원됩니다.)
    –> 별도의 메시지는 뜨지 않으며  복원이 잘 될 경우  파일의 만들어진 날짜가  최신으로 변경됩니다.

트렌드의 참고 URL:
http://esupport.trendmicro.com/4/Restoring-quarantined-files-in-OfficeScan-80.aspx?print=true

백신들은 설치되고 나면  삭제를 함부로 할수없도록 되어있는 경우가 많습니다.
Mcafee 백신을 최근 테스트를 하고있는데..  삭제가 상당히 어렵더군요…. 
프로세스 보호기능을 적용해두어서인지…  ^^

제어판에서 삭제를 하면 Virusprotect는 삭제되지만  Mcafee agent는 삭제되지않습니다.
강제로 삭제를 하게되면 (process유틸이나  unlocker동원)  삭제야 가능하지만
다시 설치하거나 할때 제대로 설치가 안되게 됩니다.

삭제할때는 반드시 아래의 명령을 통해서 삭제해주세요
frminst.exe  /forceuninstall