웹서버 보안 프로토콜 사용 자제 권고 관련 (SSL, TLS)
최근 일부 업체들에서 요청되는 사항이 중첩되는데, 내용을 살펴 보면 아래와 같다.
KISA, 한국정보인증을 비롯한 각 기관에서 권장하는 SSL Protocol 은 TLS1.2 이며 TLS1.1/ TLS1.0 / SSL 2.0 / SSL3.0 은 보안에 취약하여 사용이 권장되지 않습니다. 따라서 구 버전의 프로토콜(SSL2.0/SSL3.0/TLS1.0/TLS1.1)을 은 반드시 SSL Protocol 설정을 TLS 1.2이상 버전으로 변경 하시기 바랍니다. |
웹서버 구동 중일 경우, 보안 인증서를 적용하였어도 프로토콜이 하위 버전일 경우 보안상 취약하니 TLS 1.2 이상만 사용 하도록 해라 이다.
윈도우 서버의 경우 레지스트리에서 항목 추가하고 리부팅 하면 완료되는 간단한 작업이다.
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\ ----여기 부분----
그런데 레지스트리 넣는 것도 귀찮다면, 아래에 소개되는 프로그램을 권장 한다.
IISCrypto (https://www.nartac.com/)
홈페이지 들어가면 영어로 설명되어 있는데, 중학교만 나와도 이해될 만한 내용이다.
비영리 프로그램이므로 다운로드해서 바로 서버에 적용하면 된다.
IISCrypto 3.0.exe실행하면 너무나 직관적으로 되어 있어서 금방 적용하고 끝난다.
구버전에서는 없던 레지스트리 백업 기능이 추가 되어, 레지스트리 수정 후 원복도 가능하다.
아주 작은 단점은 "IIS Crypto requires Windows Server 2008 and the .Net 4.0 framework or greater." 이 정도?
뭐 필요하면 구버전으로 돌리거나 레지스트리 직접 수정하면 되니깐 대충 넘어가도 될 것 같다.
CLI 버전도 있는데 불편하니깐 안쓰는게 낫다. CLI 로 할 거면 레지스트리 직접 수정하고 말지;;;
'윈도우 이야기 > SSL' 카테고리의 다른 글
| Win2012 Exchange Server 2007 CSR 생성법 (0) | 2016.07.21 |
|---|---|
| Win2008 R2 Exchange Server 2007, 2013 CSR 생성 메뉴얼 (0) | 2016.07.21 |
Windows Server 2012 이상 버전의 가장 오래된 VSS 백업 복사본 삭제
# Windows Server 2012 이상 버전의 가장 오래된 VSS 백업 복사본 삭제 / 2008 이하는 안 됨
1) 백업 복사본이 여러 파티션에 저장되는 경우 / 저장 영역의 볼륨을 지정
CMD WBADMIN DELETE BACKUP -backupTarget:f: -deleteOldest |
2) 백업 복사본이 단일 파티션에 저장되는 경우
CMD WBADMIN DELETE BACKUP -deleteOldest |
# 스케쥴러 등록시
위 명령어 실행시 'y' 를 입력해야 정상 작동 되므로 스케쥴러에 등록시에는 아래와 같이 한다.
1) 배치 파일 생성 oldest_vss_del.cmd @echo off echo y| wbadmin delete backup -deleteoldest 2) 작업 스케쥴러 등록 설정에 맞게 알아서 등록 |
# 정해진 복사본 수량만 남기고 전부 삭제 / 백업 복사본이 여러 파티션에 저장되어 있어도 설정한 값의 복사본 수량만 남기고 전부 삭제 됨
백업 복사본이 과하게 저장된 서버의 경우 아래 명령어 실행
CMD WBADMIN DELETE BACKUP -keepVersions:30 |
# 기타
vssadmin 의 delete 명령어를 이용해서 백업 복사본 리스트 삭제 가능한데, 아래와 같이 오류 메시지 출력하면서 안되는 경우가 있다.
vssadmin delete shadows /for=H: /Oldest
|
이렇게 되면
DiskShadow 툴을 이용해서 백업 복사본 삭제를 해야 하는데, 이 프로그램으로 삭제 진행하면 백업 복사본 리스트에 등록 된 항목은 삭제되지 않는다.
삭제 된 백업 복사본이 사용한 만큼의 디스크 공간은 확보가 되는데, 리스트에는 삭제 된 백업 복사본 항목이 호출 된다.
CMD diskshadow delete shadows oldest H: |
스케쥴러에 등록해서 사용시에는 아래와 같이 한다.
1) 스크립트 파일 생성 oldest_vss_del.txt delete shadows oldest H: 2) 작업 스케쥴러 등록 diskshadow.exe -s h:\oldest_vss_del.txt |
카탈로그 전체를 날릴게 아니라면 그냥 이런 방식이라도 사용해야 한다.
파워쉘로 가능할 것 같은데........테스트 후 추가 해야 할 것 같다.
'윈도우 이야기 > Etc' 카테고리의 다른 글
| SAM 잠금 도구 (Syskey) 초기화 (0) | 2021.05.03 |
|---|---|
| OS 업그레이드 테스트 2 (2012 R2 -> 2019) (2) | 2020.03.09 |
| node.js 모듈 설치를 위한 npm install 오류 발생 처리 (1) | 2018.09.05 |
| MS-SQL 2016 장애 조치 클러스터링 테스트 : MSCS 구성 (0) | 2018.08.28 |
| 액티브디렉토리 (Active Directory) 및 MSCS , AlwaysOn 구축 테스트 #2 (1) | 2018.08.23 |
WSUS (Windows Server Update Services) 를 통한 윈도우 업데이트 진행
일반적으로 윈도우 데스크탑, SERVER OS 를 이용하는 사용자들은 MS 에서 매달 제공하는 윈도우 업데이트를 진행한다.
MS 서버에 등록 된 업데이트 파일을 다운로드 및 설치를 하게 되는데, 해당 기능을 업데이트 전용 서버 구축을 통해 내부적으로도 이용이 가능하다.
윈도우 서버에서 제공하는 WSUS (Windows Server Update Services) 구축 및 테스트를 진행한다.
구성 서버 : WSUS 기반 서버 (W1) / 클라이언트 서버 1 (C1) / 클라이언트 서버 2 (C2)
OS : Windows 2012 R2 STD
# 1 서비스 설치
W1 서버 관리자에서 역할 및 기능 추가
Default 로 쭉쭉 간다.
컨텐츠 위치 선택에서 임의 지정한 경로를 입력한다.
IIS 설치 관련도 그냥 Default 로 간다.
설치 완료 후, Windows Server Update Services 를 실행하면, 아래와 같이 나오는데 그냥 실행 하면 된다.
설치 완료까지 시간이 소요 될 수 있다.
설치 마법사 나오는데 또 Default 로 간다.
업스트림 서버에 연결 부분에서 시간이 많이 소요되는 것 같다. 서버나 네트워크 환경에 따라 달라질 것 같다.
언어 선택도 그냥 Default 로 간다.
업데이트 제품 선택이 나오는데 Default 로 정해진 옵션을 사용해도 되고, 원하는 항목을 추가해도 된다.
선택 항목에 따라 다운로드 해야하는 파일이 증가한다.
테스트 목적이기 때문에 Windows Server 2012 R2 항목만 체크했다.
업데이트 제품은 나중에도 추가, 제거 가능하다.
업데잍 등급 선택이 나오는데 이것도 나중에 추가, 제거 가능하니깐 Default 로 간다.
동기화 일정도 본인이 편한대로 하면 된다. 대부분 자동을 선택하겠지만.
마무리 단계에서 초기 동기화 시작을 체크하고 다음을 진행한다.
업데이트 서비스 실행하면 이런 화면을 볼 수 있다. 추가 구성은 클라이언트 세팅 후 한다.
# 2 클라이언트 환경 설정
C1, C2 에서는 W1 에서 업데이트 항목을 받아오는 설정을 진행해야 한다.
실행에서 gpedit.msc 입력
컴퓨터 구성 - 관리 템플릿 - Windows 구성 요소 - Windows 업데이트 - 인트라넷 Microsoft 업데이트 서비스 위치 지정 선택
상태 : 사용
옵션에는 W1 의 주소값을 입력한다. (ex: http://W1:8530) / 내 경우에는 hosts 파일에 아이피 호스트명을 직접 등록했기 때문에 예시와 같이 설정이 가능하다.
일반적으로는 http://192.168.1.5:8530 으로 입력한다.
설정 했으면 실행에서 gpupdate /force 입력해서 적용해준다.
레지스트리에서 확인하면 아래와 같다.
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
업데이트 실행하면 "시스템 관리자가 관리합니다." 로 변경되어 있음을 확인 할 수 있다.
하단 "Windows 업데이트에서 온라인 업데이트 확인" 누르면 기존처럼 MS 업데이트 서버에서 다운로드 되니깐 본인 편한대로 하면 된다.
# 3 업데이트 항목 호출
W1 으로 돌아와서 컴퓨터 카테고리를 누르면 C1, C2 가 추가 된 것을 확인 할 수 있다.
그룹에 할당되지 않았기 때문에 "할당되지 않은 컴퓨터 그룹"에 자동으로 들어간다.
표시되는 정보는 클라이언트의 정보를 그대로 갖고 오기 때문에 수정은 안 된다.
테스트용 그룹을 만들어서 그룹 이동을 진행한다.
그룹 구성원 변경 확인 되었다.
업데이트 카테고리- 모든 업데이트 - 전체 선택 - 우클릭 - 승인 - WSUS_TEST 그룹 선택 - 설치 승인
C1 을 선택 후 상태 보고서를 실행하면 업데이트 현황에 대해 확인 가능하다.
OS 설치 후 업데이트를 진행하지 않았기 때문에 설치 내역을 확인 할수가 없다.
W1 을 통해 다운로드 및 설치 가능한 업데이트 항목을 확인 할 수 있다.
C1, C2 에서 업데이트 확인을 다시 누르면 설치 가능 업데이트 항목이 출력 된다.
WSUS 를 통해서 업데이트하면 수동으로 업데이트 승인 및 선택, 설치를 해야하기 때문에 번거로울 수 있으나, 특정 업데이트만 설치를 하고자 할 경우에는 유용 할 수 있다. (WSUS 에 해당 업데이트 파일이 존재해야 함)
물론 특정 업데이트도 MS 업데이트 카탈로그에서 검색하면 다운로드 받을 수 있다. (https://www.catalog.update.microsoft.com/Home.aspx)
MS 를 통한 보안 업데이트시에는 아래와 같이 자동으로 필요한 항목들에 대해서만 정보를 갖고 온다.
그러므로 가급적이면 MS 업데이트 사용을 권장한다.
폐쇄망 네트워크로 인해 외부 접근이 용이하지 않은 업체에서나 WSUS 기능을 이용하는 것이지, 일반 네트워크 환경은 MS 업데이트를 이용하는 것이 낫다.
굳이 불편을 감수할 필요는 없을 것 같다.
간혹 MS 업데이트 서비스 비정상 작동으로 80072EE2 오류 코드 출력될 때 이용하는 것도 좋은 방법이다.
'윈도우 이야기 > 업데이트' 카테고리의 다른 글
| (중요) MS 2020.09월 보안 업데이트시 wsecedit.dll 호출 오류 발생 (0) | 2020.09.15 |
|---|---|
| 2018.05월 MS 보안 업데이트 이후 원격 접속 (RDP) 불가 이슈 : KB 4093120 (1) | 2018.05.11 |
| [랜섬웨어] 워너크라이 대비 보안 패치 KB4012598 (0) | 2017.05.15 |
| Windows Update 중 80240016 오류 발생 (0) | 2016.07.20 |
