31일차



윈도우 쓰는 법 알아보기
산업 기밀 유출 방지하기 위해 계정 통합관리 > 가장 민감한 부분이 계정
컴퓨터 윈도우 계정은 도매인 dns 로 해야 산특 계정으로 통합 할 수 있음

윈도우 아이피 DHCP로 DNS 192.168.0.103으로 설정
192.168.0.114/24 192.168.63.1 > 할당 받은 아이피 고정하기
nslookup st.kr로 확인

사용자 설정 변경
이름은 할당받은 아이피 주소로 그룹은 st.kr
사용자 이름 / 비밀번호 > administrator / p@ssw0rd!@123
설정 후 다시 시작하기 

관리자  : PC114\manager > 최초 비번은 없음 추가 해주어야 함

사용자 이름은 본인 이니셜에 st.kr > yys.st.kr

ST\yys
yys@st.kr
p@ssw0rd > 최초 로그인 암호

관리자에 사용자 추가시 다음 로그온 시 사용자가 반드시 암호를 변경해야 함 체크 시 
최초 로그인 시 사용자가 사용할 비번으로 변경해야 함
> 미 설정시 관리자가 언제든지 접속가능
암호 변경 불가 등 암호와 관련해 다양한 설정이 가능함


윈도우 22로 연습하기
관리자라 생각하고 
새로운 윈도우는 호스트로 네트워크 설정하기
192.168..56.102
192.168.56.101(윈도우 서버 : 101)

네트워크 고정    192.168.56.101
호스트 이름   win2025 or win2022
AD 설치       설치하고 설정

서버관리자 > 서버 아이피 확인 > 도메인 서비스 기능 추가 > 설치 
승격하기
root name : st.kr
password : p@ssw0rd > p@ssw0rd!@123

다시 시작
윈도우 7에서 nslookup 확인

오늘까지 쉬는 날 나오는 사람이 이상함
계정 사용하지 못하도록 막기


http://www.splunk.com/ko_kr
일반 사용자로 설치는 가능한가?
불가능

일반 사용자로 삭제는 가능한가?
삭제 가능?
아이피 변경 가능? > 불가능

uf 설치할 것
윈도우 보안 조치
관리자 계정
일반사용자 계정 > AD를 통한 인증 (통합 관리)
리눅스 보안 조치
> 패스워드 인증 방식 > 키 인증 방식 > 커버로스 인증 방식
> 외부 접속차단

깨끗한 우분투 서버에 splunk 설치 22 8000 8089 9997열기
tar zxvf splunk[tab] 압축해제

cd bin
 ./splunk start
admin / 12345678

nat 설치 후 > 
윈도우 splunk 서버 아이피 192.168.56.103 설정 로컬 설정 모두 체크

실제 컴퓨터에서 192.168.0.208:8000로 접속 admin / 12345678
전달 및 수신 > 데이터 수신에 9997 포트 추가 해주기

cmd로 9997 열려 있는지 확인
netstat -ant | find 9997

전달된 데이터 확인
이벤트 로그 확인하기

포워더 설정나오게 하는 법

cd /home/splunk/splunk/etc/system/local
server.conf

[diskUsage]
mainFreesSpace=50

[queue] > 맨 아래에 추가
maxSize = 1024MB

sudo /home/splunk/splunk/bin/splunk restart
> 재부팅 후 > 설정 > 포워더 관리

포워더가 보이게 하는 방법
 ; 전체 서버 용량 올리기
 ; 설정을 수정하기


source = "WinEventLog:*"