필자의 홈서버는 Windows Server 2003 운영체제를 사용하고 있지만, Intelⓡ ATOM 저전력 프로세서를 사용하고 있기 때문에 하드웨어 자원이 부족하기 때문에 보안성을 해치지 않는 범위내에서 최적화를 진행해보았습니다. 참고로, 이 포스트에서 소개하는 내용은 필자의 홈서버를 통해 몇 달 동안 직접 테스트했을 때 문제가 발생하지 않습니다.
부팅시 Ctrl + Alt + Del키 누르지 않도록 설정하기
Windows Server 2003 운영체제는 로그인 전 CTRL+ALT+DEL 키 동시 입력을 요구하고 있지만, 사용자 기호에 따라 gpedit.msc → 컴퓨터 구성 → Windows 설정 → 보안 설정 → 로컬정책 → 보안옵션에서 ‘대화형 로그온:[CTRL+ALT+DEL]을 사용할 필요 없음’을 선택한 후 ‘사용’을 선택해 해당 기능을 끌 수 있습니다.
시스템 종료 이벤트 추적기 사용안함
Windows Server 2003 운영체제는 서버 계열 운영체제의 특성상 시스템 종료 또는 재시작을 위해 이유를 작성해야 하지만, 사용자 기호에 따라 gpedit.mbc → 컴퓨터 구성 → 관리 템플릿 → 시스템에서 ‘시스템 종료 이벤트 추적기 표시’와 ‘시스템 종료 이벤트 추적 시스템 상태 기능 활성화’ 두 가지를 선택한 후 ‘사용 안 함’을 선택합니다. (단, 해당 기능을 사용 안 함으로 변경하면 작업 스케줄러에 의한 시스템 재부팅이 불가능합니다.)
시각효과 설정하기
Windows Server 2003 운영체제를 조금이라도 더 가볍게 사용하고 싶으시다면 내 컴퓨터→마우스 오른쪽 버튼→속성→고급 탭→성능 설정을 클릭한 후 시각효과 탭에서 ‘최적 성능으로 조정(P)’에 체크한 후 확인 버튼을 눌러 변경된 사항을 저장합니다.
최고 관리자 로그인 이름 변경
Windows 운영체제 최고 관리자 이름을 Administrator로 사용하는 것은 보안상 안전하지 않기 때문에, 컴퓨터→컴퓨터 관리→시스템 도구→로컬 사용자 및 그룹→사용자를 통해 사용자 이름과 비밀번호를 변경 후 사용하는 것을 권장합니다. 참고로, 비밀번호는 특수문자를 섞어 사용하는 것을 권장합니다.
Guest 아이디 사용안함 설정 및 이름변경
Windows 운영체제의 Guest 계정을 사용으로 설정하고 사용하는 경우에는 보안상 심각한 문제가 발생할 수 있기 때문에, 제어판→관리 도구→로컬 보안 설정→로컬 정책→보안 옵션에서 ‘계정: Guest 계정 이름 바꾸기’에서 이름을 바꾸고, ‘계정: Guest 계정 상태’를 사용 안 함으로 설정합니다.
원격 데스크톱 연결 포트 변경
원도우 서버를 비롯한 모든 서버는 원격으로 접속하여 서버의 상태를 파악하고 설정을 변경합니다. 원도우 서버의 경우 서버에 접속하기 위해서 ‘원격 데스크톱 연결(이하 mstsc)’을 사용하고 알려진 포트 주소(3389)를 사용하고 있습니다. 원격데스크톱 기능을 사용하기 위해서는 내 컴퓨터→마우스 오른쪽 버튼→속성→원격에서 ‘이 컴퓨터에 원격 데스크톱 사용(E)’이 활성화되어 있어야 합니다. 포트 주소를 변경하기 위해서 시작→실행→regedit를 입력하여 레지스터리 편집기를 실행한 후 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp→PortNumber REG_DWORD 0x00000d3d(3389) 수정 모드에서 10진수를 선택하고 원하는 포트 번호를 입력한 후, HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDPTcp→ PortNumber REG_DWORD 0x00000d3d(3389) 수정 모드에서 10진수를 선택하고 원하는 포트 번호를 입력한 후 시스템을 다시 시작 하면 됩니다. (포트 번호를 변경한 후에는 원격 데스크톱 연결사용 시 변경한 포트(예:123.123.123.123:1234)를 입력하여야 서버에 접속할 수 있습니다. 더불어, Windows 방화벽에서 원격 데스크톱을 체크한 후 [편집(E)]를 클릭하여 변경한 포트 주소를 기재해야 합니다.)
익명 사용자의 접근차단
레지스터리를 수정하여 자동 공유기능과 익명 사용자가 내 서버에 액세스하는 것을 차단할 수 있습니다. 물론 기본값은 내 서버에 액세스가 가능하도록 설정이 되어 있지만, 보안의 향상을 위해서 자동 공유기능을 끄고, 익명 사용자의 접근도 차단하도록 하겠습니다. 우선 시작→실행→regedit를 입력하여 레지스터리 편집기를 실행한 후 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters→AutoShareServer의 값을 0으로 변경합니다. 이어서 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa→restrictanonymous의 값을 2로 변경한 후 시스템 다시 시작을 해줍니다.
불필요한 서비스 종료하기
Computer Browser DHCP Client DNS Client IMAPI CD-Burning COM Service Kerberos Key Distribution Center Messenger NetMeeting Remote Desktop Sharing Print Spooler (프린터 서버를 사용한다면 이 기능은 사용안함으로 변경하지마세요.) Remote Access Connection Manager Remote Registry (원격 데스크톱에서 레지스터리를 수정해야한다면 이 기능은 사용안함으로 변경하지마세요.) Routing and Remote Access Smart Card TCP/IP NetBIOS Helper Telephony Telnet Terminal Services Session Directory Windows Audio Windows Image Acquisition (WIA) WinHTTP Web Proxy Auto-Discovery Service
Windows Server 2003 운영체제는 Windows XP가 모체이기 때문에 다소 불필요한 서비스가 포함되어 있습니다. 필자의 경우에는 상기 언급된 서비스를 포함해서 몇 가지 기능을 추가로 사용 안 함으로 설정하여 사용하고 있으며, 기본적인 항목은 위와 같습니다. 위의 설정은 제어판→관리 도구→서비스에서 사용 안 함으로 바꾸어주시면 됩니다.