12. #WSUS#정책
#1 WSUS
ReportViewer.exe
Windows Servers 보안의 증가
EX 1. Windows 방화벽 규칙 배포
1. NYC-DC1 -> 시작 -> 관리도구 -> 그룹정책관리 -> 포리스트 : contoso.com -> 도메인 확장 -> contoso.com -> 이 도메인에서 GPO를 만들어 여기에 연결 -> GPO 이름 : Firewall 확인
2. Firewall GPO -> 편집 -> 컴퓨터 구성 -> WINDOWS 설정 -> 보안 세팅 -> 고급 보안이 포함된 Windows 방화벽 ->인바운드 -> 새 규칙 -> 인바운트 규칙 마법사 -> 다음 Port -> TCP 특정 로컬 포트 번호 : 10005 -> 연결 허용 -> 도메인 프로필만 테크 나머지 해제 -> 마침
3. NYC-SVR1 gpupdate /force
4. nyc-dc1 인터넷 익스플로러 http://nyc-svr1.contoso.com/status.xml
EX2 WSUS 수행
1. NYC-DC1 -> 관리도구 -> 그룹정책 관리 ->포리스트 : contoso.com -> 도메인 확장 -> contoso.com -> 이 도메인에서 GPO를 만들어 여기에 연결 -> GPO 이름 : WSUS -> 편집 -> 컴퓨터 구성 -> 관리템플릿 -> Windows 구성 요소 -> Winodws Update : 자동업데이트 구성 : 사용 -> 다음 -> 자동 업데이트 구성 : 4번 자동으로 다운로드 및 예약 설치 -> 다음 -> 인트라넷 업데이트 서비스에서 업데이트을 검색하도록 설정 :http://nyc-svr1, 인트라넷 통계서버 설정 : http://nyc-svr1-> 다음 -> 자동 업데이트 검색 주기 : 사용 -> 다음
gpupdate /force 와 wuauclt /detectnow
2. NYC-SVR1 에 WSUS 3.0 SP2 설치
(전제 조건 : 인터넷망에 연결이 되어 있어야 가능)
시작 -> 관리도구 -> Windows Server Update services
->설치 시간이 어느 정도 시간이 걸린다...
3. 서버에 대한 컴퓨터 그룹 생성
모든프로그렘 -> Windows Update Service -> 컴퓨터 확장 -> 모든 컴퓨터 -> 컴퓨터 그룹 추가 -> 이름 : WIN2008R2 랑 WIN7 두개의 컴퓨터 그룹 생성 -> 할당되지 않은 컴퓨터 : 상태 : 모두 새로고침 하면 할당 되지 않은 컴퓨터 목록이 나옴
NYC.DC1.contoso.com 오른쪽 클릭 -> 구성원 변경 -> 컴퓨터 그룹 구성원 설정 : WIN2008R2 선택 같은 방식으로 nyc-cl1.contoso.com 도 WIN7 컴퓨터 그룹에 편입 -> 확인
4. 컴퓨터 구성원 확인
NYC-SVR1 에서 WIN2008R2 컴퓨터 그룹 -> 상태 : 모두 : 새로고침해서 확인 -> nyc-dc1.contoso.com 상태 보고서 확인 을 하려면 전제 조건이 MS Report Viewer 2008 이상이 설치 되어 있어 야한다.
5. NYC-SVR1 -> 처음 업데이트 컴퓨터 보고서 -> 승인 안함으로 설정 되어 있음 -> 필요한 업데이트 항목에 대해서 WIN2008R2 컴퓨터 그룹에게 설치 승인해서 업데이트가 가능하도록 할 수 있다.
#2 정책
- 그룹정책
- GPO : Group Polic Object
- 그룹정책
# 상속개념
# 조직단위 : 그룹정책을 적용할수 있는 최소 단위
# 컴퓨터 구성 : 그룹 정책을 적용하면, 정책 에 따라 리부팅을 요구함
# 사용자 구성 : 그룹 정책을 적용하면, 로그오프 만 하기만 하면됨
# SYSVOL : 그룹정책 중앙 저장소
# ADM : 정책을 수정하기 힘듬 # 검색기능 없음
# ADMX : XML언어로 되어 있음 # 검색 기능 있음
# 도메인의 전체의 그룹 정책
- 마직막 사용자 이름 표시 안함
- 암호를 세번 잘못 입력 하면 계정이 잠기도록 하시오
- ctrl + alt + delete 사용하도록 설정
- 일반 사용자 계정에서 관리자로 권한 상승 하는 것을 방지
