[정보보안 정리] 시스템 - 윈도우 서버 취약점

*Administrator 계정 이름 변경

: 악의적 공격자에 의해 Brute Force Attack에 취약하여 유추하기 어려운 관리자 계정명으로 변경 권장

-윈도우 관리자 계정은 로그온 실패 횟수 제한 없음

 

---

 

*Guest 계정 사용 제한

: Guest 계정은 소프트웨어나 하드웨어 설치 등은 불가하고, 외부 사용자가 잠시 컴퓨터를 접근가능.

불특정 사용자의 시스템 접근을 허용하므로 사용 제한 권장

 

---

 

*불필요한 계정 제거

: 불필요한 계정, 의심스러운 계정, 장기간 사용하지 않는 계정은 삭제 또는 계정 잠금

 

---

 

*관리자 그룹에 최소한의 사용자

: 관리자 그룹(Administrators)에는 최소한의 계정만을 포함

 

---

 

*암호/패스워드 정책 설정

 

-패스워드 복잡성 설정

(1) 영문자(대소)/숫자/특수문자 모두 포함

• 4가지 종류 중 2가지 종류 조합 시 최소 10자리 이상, 3가지 이상 종류 조합 시 8자리 이상

(2) 부적절한 패스워드

• 길이가 짧은 패스워드
• 사전에 나오는 단어 or 이 조합
• 키보드 자판의 연속된 문자
• 사용자 계정 정보로 유추 가능한 단어

 

-최근 패스워드 기억 설정

(1) 최근에 사용했던 패스워드를 동일하게 사용할 수 없도록 설정

 

-패스워드 최대 사용 기간 설정

(1) 주기적으로 패스워드를 변경하여 위험성 줄임

(2) 암호 사용 기간 제한 없음 해제

 

-패스워드 최소 사용 기간 설정

(1) 이전에 사용하던 패스워드로 변경 가능하므로 최소 사용 기간 설정

 

-패스워드 최소 길이 설정

(1) 적절한 패스워드로 설정하여 보안상 안정한 패스워드 생성

 

-해독 가능한 암호화 사용 설정

(1) 사용 안함으로 설정

 

---

 

*계정 잠금 정책

 

-계정 잠금 기간

(1) 패스워드 틀린 횟수가 계정 잠금 임계값에 도달시 지정한 시간동안 계정 잠금

 

-계정 잠금 임계값

(1) 로그온 실패 횟수에 대한 제한

 

-다음 시간 후 계정 잠금 수를 원래대로 설정

(1) 실패한 로그온 시도 후 실패한 로그온 시도 카운트가 0으로 설정될 때 까지의 시간

 

---

 

*하드디스크 기본 공유 제거

: 하드디스크 기본 공유인 C$, D$ 등 제거X시 바이러스 침투 가능

하드디스크 기본 공유 : C$, D$ 등

원격 및 IPC 용 기본 공유 : ADMIN$, IPC$

 

-net share 명령을 통해 공유 중지

(1) C:\>net share C$ /delete

(2) 재부팅 시 초기화되므로 레지스터리 수정 필요

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters 선택 후 AutoShareServer Dword값 생성 후 0으로 설정

 

---

 

*공유 권한 및 사용자 그룹 설정

: 공유 폴더에 Everyone 그룹 포함 시 익명 사용자에 의한 접근이 가능하므로 Everyone 그룹 제거

 

---

 

*불필요한 서비스 제거

(1) Alerter : 서버에서 클라이언트로 경고 메시지 보냄

(2) Clipbook : 서버 내 Clipbook 을 다른 클라이언트와 공유

(3) Messenger : net send 명령어를 이용하여 클라이언트에 메시지 보냄

(4) Simple TCP/IP Services(Echo, Discard, Character Generator, Daytime, Quote of the Day)

 

---

 

*감사 정책 설정

:  어떤 로그를 남길지 정의한 규칙

-감사 설정 구성X or 감사 설정 수준 낮음 : 보안 관련 문제 발생 시 원인 파악 어려움, 법적 대응 증거로 사용 불가

-감사 설정 수준 높음 : 보안 로그에 불필요한 항목 기록으로 중요한 항목과 혼동, 시스템 성능에 영향

 

개체 엑세스	감사안함	파일, 디렉터리, 레지스트리, 프린터 등의 객체에 의한 접근 성공/실패 여부 기록 결정
계정 관리	실패	계정 관리 이벤트 감사 여부 결정 사용자 계정 또는 그룹 생성,변경,삭제,암호 설정 및 변경 등의 이벤트 성공/실패 로그 기록
계정 로그온 이벤트	성공, 실패	도메인 계정에 대한 로그온 성공/실패 관련 이벤트 로그 기록
권한 사용	실패	권한 사용 성공 및 실패 감사 사용자 권한 이용하려고 할 때마다 이벤트 생성
디렉터리 서비스 액세스	실패	Active Directory 개체의 시스템 엑세스 컨트롤 목록(SACL)에 나열된 사용자가 해당 개체에 엑세스 시도할 때 이벤트 생성
로그온 이벤트	성공, 실패	로컬 계정에 대한 로그온/오프 성공/실패에 관한 이벤트 기록
시스템 이벤트	감사안함	시스템 시작 또는 종료, 보안 로그에 영향을 미치는 이벤트 감사 여부
정책 변경	성공, 실패	감사 정책 변경의 성공 및 실패 검사
프로세스 추적	감사안함	실행되는 프로세스에 대한 자세한 추적 정보 감사 프로세스 생성, 프로세스 종료, 핸들 복제 및 간접 개체 액세스 등과 같은 프로세스 관련 이벤트 감사