서버들을 원격으로 점검하는 상황과 침해사고 중에 사용되는 용도와 관점의 차이에 따라서 조금 다를 수도 있다.
원격으로 처리하기 위해서는 스크립트를 서버가 한가한 시간에 돌려도 좋지만, 상황에 따라선 EDR이 제공하는
RTR을 이용해서 원격으로 실행시키고 결과물을 EDR에서 내려받는 방식으로 해도 된다.
물론, Tanium처럼 자체적으로 그러한 기능을 설정해두고 정기적으로 점검하면서 자동으로 대응하는 방식의
접근 법도있다.
일단 윈도우즈 서버에 대한 접근은 여러가지가 있으며 Hardeing의 관점에서 무엇을 봐야할지 여러부분이 있지만
우선 여기부터 제일먼저 확인해두는게 좋겠다. 뭐...방대해서 뭐 부터 봐야할지가 문제일뿐.
https://www.cisecurity.org/benchmark/microsoft_windows_server
CIS Microsoft Windows Server Benchmarks
Download our step-by-step checklist to secure your platform: An objective, consensus-driven security guideline for Microsoft Windows Server.
www.cisecurity.org
아울러, 최근의 트렌드에 대한 정보들은 아래의 링크에서 확인해보는 것도 좋겠다.
https://www.upguard.com/blog/the-windows-server-hardening-checklist
The Windows Server Hardening Checklist 2022 | UpGuard
Follow these 10 simple steps to harden your Windows server against the most common cyber attacks and exploits before you put them into production.
www.upguard.com
IT감사라던가, 자체적으로 안전성을 점검하는데 있어서 가장 기본적인 방법은 관리자 스스로, 보안 관련 설정들이 적절하게 준비되어있는지 스스로 확인하는 일이다. 서버는 각기 다른 목적과 방침이 있으므로, 일률적인 접근보다는 해당 시스템에 잘 적응된 관리자야 말로 가장 적절한 감시자이기 때문이다. 물론, 한두대는 감시하는 역할은 세세하게 돌볼수 있지만, 수십대를 넘어서는 분량이라면 돌보는 방법도 바뀌어야 할것이다. 서버에 부담이 적은 방법으로 가볍게 정기적으로 관찰할수도 있고, 때에 따라서는 외부의 조력자를 통해서 본격적으로 확인 하는 과정을 거치는 것도 좋다고 본다.
https://docs.microsoft.com/en-us/powershell/scripting/learn/security-features?view=powershell-7.2
PowerShell security features - PowerShell
PowerShell has several features designed to improve the security of your scripting environment.
docs.microsoft.com
https://github.com/zaneGittins/Huntress
GitHub - zaneGittins/Huntress: PowerShell tool to triage systems
PowerShell tool to triage systems. Contribute to zaneGittins/Huntress development by creating an account on GitHub.
github.com