Compartilhar via

보안의 시작.. 기본적인 권한 설정에서부터..

  • Artigo

4. ‘꼬알라’라는 사용자는 ‘동물원’이라는 보안 그룹에 포함되어져 있습니다. 특정 파일 서버의 FileDocument라는 폴더에 대해 부여된 권한은 아래와 같습니다. (10점)

꼬알라 : 수정(공유 권한), 읽기(NTFS 권한)
동물원 : 모든 권한(공유 권한), 읽기(NTFS 권한)

이 경우, 꼬알라라는 사용자가 네트워크를 통해 파일 서버 FileDocument에 접근하면 어떠한 권한을 가지게 되나요?

정답 : 읽기(Read)

지난 TechNet 실력 Test 이벤트에서 나왔던 문제입니다. 가장 많이 틀리신 항목입니다. 오늘은 권한 설정에 대해서 조금 이야기를 나눠볼까합니다.

Windows 플랫폼의 Permission은 크게 2가지로 나누어집니다. 공유 권한과 NTFS 권한으로 나누어지죠. 이 권한에 대한 설정이 보안에 대한 기본 설정이라고 생각합니다. 그렇다면 이 권한 설정에 대해서 여러분은 정확하게 이해하고 계신지요?

image image

왼쪽에 있는 권한이 공유시 부여되는 권한이며, 오른쪽에 권한이 바로 NTFS 권한입니다. 두 권한의 차이는 아래와 같습니다.

  • 공유 권한 - 원격 컴퓨터에서 UNC 경로(\\서버이름\공유폴더)를 통해 접근했을 경우, 적용되는 권한. 해당 컴퓨터에 직접 접근하는 로컬 접근시에는 적용안됨
  • NTFS 권한 - 로컬 & 원격 컴퓨터에서 접근했을 경우, 모두 적용

위의 문제는 이렇습니다. '꼬알라'라는 계정이 '동물원'이라는 보안 그룹에 포함되어져 있다는 첫번째 설명이 나왔습니다. 계정과 해당 계정이 포함된 그룹에 각각 권한을 부여한 경우, 권한은 거부를 제외하고는 더 높은 권한으로 합쳐지게 됩니다. 예를 들어...

꼬알라 - 읽기, 동물원 - 수정 = 결과 - 꼬알라는 수정
꼬알라 - 수정, 동물원 - 읽기 = 결과 - 꼬알라는 수정
꼬알라 - 모든 권한, 동물원 - 읽기 거부 = 결과 - 꼬알라는 읽기 거부

NTFS도 동일합니다.

그렇다면.. 이제 한가지 생각해보셔야 할 사항이 바로 원격에서 접근했을 경우, 공유 권한과 NTFS 권한 중 무엇이 동작할 것이냐?

공유 권한과 NTFS 권한이 개별적으로 계산된 후, 둘중 더 낮은 권한이 적용됩니다. 이번 실력 Test에 나왔던 문제를 생각해보죠.

꼬알라 : 수정(공유 권한), 읽기(NTFS 권한)
동물원 : 모든 권한(공유 권한), 읽기(NTFS 권한)

꼬알라의 경우 공유 권한은 최종적으로 모든 권한을 가지게 됩니다. NTFS 권한은 읽기가 되죠. 이 중 더 낮은 권한이 적용되기 때문에, 네트워크 공유로 접근시 바로 읽기가 적용되는 것입니다. 문제를 조금 변형해볼까요?

꼬알라 : 수정(공유 권한), 읽기(NTFS 권한)
동물원 : 모든 권한(공유 권한), 수정(NTFS 권한)

꼬알라의 공유 권한은 모든 권한, NTFS 권한은 수정 권한을 가지게 됩니다. 이 경우에는 바로 수정 권한이 부여되겠죠? 이제 이해가 되셨나요?

보안의 기본은 권한 부여입니다. 권한 부여에 대한 정확한 이해없이는 인프라내 자원에 대한 보안 강화가 어려워질 수 밖에 없습니다. 시간이 될때마다, 아주 기본적인 보안 사항에 대해서 포스팅해보도록 하겠습니다. 오늘 한번 회사내 파일 서버에 대해서 권한 설정을 생각해보세요~

Comments

  • Anonymous
    March 04, 2008
    꼬알라님, 늘 좋은 글 감사합니다. 그래서 실생활에서 IT 엔지니어가 파일 서버에 권한을 부여하려면, 먼저 NTFS 권한에서 실제로 각 그룹에 필요한 권한을 설정하고 (가급적 개인 계정에는 권한을 따로 부여하지 않으면서) 공유 권한에서는 통째로 모든 권한을 열어도 문제가 되지 않게 하라고 MOC 교재에 있었더랬습니다. (윈도우 2000 서버 시절에요. -_-;;)

  • Anonymous
    March 04, 2008
    네 맞습니다. 김홍석 부장님 맞으시죠? 파일 서버에서 권한 부여를 할때 처음부터 그룹을 사용하면 편하죠. ^^ 자주 방문해주세요~

  • Anonymous
    March 07, 2008
    기초 보안 포스팅 세번째 시간입니다. :) 이 포스팅을 처음 보시는 분들께서는 아래의 두개의 컨텐츠 보안의 시작.. 기본적인 권한 설정에서부터.. , 폴더나 파일에 권한은 누가 줄

  • Anonymous
    December 09, 2015
    권한 관련 공부를 하려고 합니다. 배우는 방법이나 책이 있을까요?

  • Anonymous
    July 03, 2018
    파일공유 옵션 검색하다가 부장님 블로그로 들어왔네요윈도우 기능 서칭은 기승전 꼬알라의 하얀집인거같아요!