윈도우 보안 시스템 최적화

윈도우 보안 시스템 최적화

프로세스 종류

• csrss.exe : Client/Server Runtime SubSystem의 약자로서, Winsows 콘솔을 관장하고 스레드를 생성/삭제하며, 16bit 가상 MS DOS 모드 지원
• lsass.exe : Local Security Authentication Subsystem Server의 약자로서, Winlogon 서비스에 필요한 인증 프로세스를 담당. 이 과정은 Msgina.dll과 같은 인증 패키지를 이용하여 이루어짐
• mstask.exe : 작업 스케줄러 서비스
• smss.ese : Session Manager SubSystem의 약자로서, 사용자 세션을 시작하는 기능을 담당. 시스템 스레드에 의해 실행되며, Winlogon Win32(csrss.exe)를 구동시키고 시스템 변수를 설정
• svchost.exe : DLL로부터 실행되는 다른 프로세스들의 host 역할을 해 줌. 따라서 작업관리자의 프로세스 창에는 하나 이상의 svchost.exe가 존재할 수 있음
• services.exe : Service Control Manager로서 시스템 서비스를 시작/정지시키고, 상호작용을 하는 기능을 수행
• system : 대부분의 커널 모드 스레드들의 시작점이 되는 프로세스
• winlogon.exe : 사용자 로그인/로그오프를 담당하는 프로세스, Windows의 시작/종료 시에 활성화되며 Ctrl+Alt+Delelte 키를 눌렀을 때 활성화됨
• taskmgr.exe : 작업관리자 자신
• winmgmt.exe : 클라이언트 관리의 핵심 요소

시스템 최적화

Windows 서버의 불필요한 서비스 비활성화

• [시작] - [Windows 관리 도구] - [서비스] - 실행
• 필요한 서비스를 비활성화하지 않도록 주의

Windows 성능 모니터링

• [시작] - [Windows 관리 도구] - [컴퓨터 관리] - 성능

불필요한 서비스 제거

일반적으로 시스템에 필요하지 않은 취약한 서비스들이 기본으로 설치되어 실행되고 있으며 이러한 서비스 또는 응용 프로그램은 공격 지점이 될 수 있으므로 사용자의 환경에서 필요하지 않은 서비스와 실행 파일은 사용하지 않거나 제거해야 함(서비스 중지 후 시작 유형 “사용 안 함” 설정)

취약한 서비스 목록

• Alerter : 서버에서 클라이언트로 경고 메시지를 보내는 서비스
• Clipbook : 서버 내 Clipboard 데이터를 다른 클라이언트와 공유하는 서비스
• Messenger : ‘net send’ 명령어를 이용하여 클라이언트에 메시지를 보내는 서비스
• Echo : 수신한 데이터를 그대로 돌려주는 서비스
• Discard : 데이터를 받고 아무 응답을 반환하지 않는 서비스
• Character Generator : 일정한 문자열을 클라이언트에게 전송하는 서비스
• Daytime : 현재 날짜와 시간을 클라이언트에게 제공하는 서비스
• Quote of the Day(QOTD) : 오늘의 인용구를 클라이언트에게 제공하는 서비스