반응형
가끔 공공기관이나 금융사에 Windows Server 를 설치하면 보안 취약점 점검을 해달라고 하는 경우가 있습니다.
주어진 가이드대로 진행하다보면 기존에 값이 무엇인지 모를 때가 있는데, 아래 표처럼 진행하면 간편하게 보안 취약점 점검을 할 수 있습니다.
2014.01. KISA(한국인터넷진흥원) 에서 준 가이드를 통해서 작업을 진행했으며,
Windows Server 2012 R2 설치 후 점검하여 체크하였습니다.
맨 오른쪽에 조치결과가 있는 부분에 대해서만 작업을 했습니다.
| 점검항목 | 항목코드 | 결과 | 점검결과(현상태) | 조치결과(조치내용 기술) |
| Administrator 계정 이름 바꾸기 | W-01 | 양호 | administrator | tempadmin |
| Guest 계정 상태 | W-02 | 양호 | Guest 계정 비활성화 | |
| 불필요한 계정 제거 | W-03 | 양호 | 불필요 계정 X | |
| 계정 잠금 임계값 설정 | W-04 | 양호 | 0 번 | 5 번 |
| 해독 가능한 암호화를 사용하여 암호 저장 | W-05 | 양호 | “해독 가능한 암호화를 사용하여 암호 저장” 정책이 “사용 안 함” | |
| 관리자 그룹에 최소한의 사용자 포함 | W-06 | 양호 | Administrators 그룹에 불필요한 관리자 계정 X | |
| Everyone 사용 권한을 익명 사용자에게 적용 | W-07 | 양호 | “Everyone 사용 권한을 익명 사용자에게 적용” 정책이 “사용 안 함” | |
| 계정 잠금 기간 설정 | W-08 | 양호 | 해당 없음 | 60 분 |
| 패스워드 복잡성 설정 | W-09 | 양호 | “암호는 복잡성을 만족해야 함” 정책이 “사용” | |
| 패스워드 최소 암호 길이 | W-10 | 양호 | 0 문자 | 8 문자 |
| 패스워드 최대 사용 기간 | W-11 | 양호 | 42 일 | 90 일 |
| 패스워드최소사용기간 | W-12 | 양호 | 0 일 | 1 일 |
| 마지막 사용자 이름 표시 안함 | W-13 | 양호 | “마지막 사용자 이름 표시 안 함”이 “사용 안 함” | |
| 로컬 로그온 허용 | W-14 | 양호 | Administrators, Backup Operators, Users | Backup Operators, Users 삭제 |
| 익명 SID/이름 변환 허용 | W-15 | 양호 | “익명 SID/이름 변환 허용” 정책이 “사용 안 함” | |
| 최근 암호 기억 | W-16 | 양호 | 0 개 암호 기억 | 12 개 암호 기억 |
| 콘솔 로그온 시 로컬 계정에서 빈 암호 사용 제한 | W-17 | 양호 | “콘솔 로그온 시 로컬 계정에서 빈 암호 사용 제한” 정책이 “사용” | |
| 원격터미널 접속 가능한 사용자 그룹 제한 | W-18 | 양호 | 원격접속 사용자 그룹에 불필요한 계정이 등록 X | |
| 공유 권한 및 사용자 그룹 설정 | W-19 | 양호 | 일반 공유 디렉터리 X | |
| 하드디스크 기본 공유 제거 | W-20 | 양호 | (REG)AutoShareServer X, 기본공유 O | C$ 삭제 및 AutoShareServer 값 추가(1) |
| 불필요한 서비스 제거 | W-21 | 양호 | 불필요 서비스 X | |
| IIS 서비스 구동 점검 | W-22 | 양호 | 해당 없음 | |
| IIS 디렉토리 리스팅 제거 | W-23 | 양호 | 해당 없음 | |
| IIS CGI 실행 제한 | W-24 | 양호 | 해당 없음 | |
| IIS 상위 디렉토리 접근 금지 | W-25 | 양호 | 해당 없음 | |
| IIS 불필요한 파일 제거 | W-26 | 양호 | 해당 없음 | |
| IIS 웹 프로세스 권한 제한 | W-27 | 양호 | 해당 없음 | |
| IIS 링크 사용금지 | W-28 | 양호 | 해당 없음 | |
| IIS 파일 업로드 및 다운로드 제한 | W-29 | 양호 | 해당 없음 | |
| IIS DB 연결 취약점 점검 | W-30 | 양호 | 해당 없음 | |
| IIS 가상 디렉토리 삭제 | W-31 | 양호 | 해당 없음 | |
| IIS 데이터 파일 ACL 적용 | W-32 | 양호 | 해당 없음 | |
| IIS 미사용 스크립트 매핑 제거 | W-33 | 양호 | 해당 없음 | |
| IIS Exec 명령어 쉘 호출 진단 | W-34 | 양호 | 해당 없음 | |
| IIS WebDAV 비활성화 | W-35 | 양호 | 해당 없음 | |
| NetBIOS 바인딩 서비스 구동 점검 | W-36 | 양호 | TCP/IP와 NetBIOS 간의 바인딩이 제거 X | TCP/IP와 NetBIOS 간의 바인딩이 제거 |
| FTP 서비스 구동 점검 | W-37 | 양호 | 해당 없음 | |
| FTP 디렉토리 접근권한 설정 | W-38 | 양호 | 해당 없음 | |
| Anonymouse FTP 금지 | W-39 | 양호 | 해당 없음 | |
| FTP 접근 제어 설정 | W-40 | 양호 | 해당 없음 | |
| DNS Zone Transfer 설정 | W-41 | 양호 | 해당 없음 | |
| RDS(RemoteDataServices)제거 | W-42 | 양호 | 2008 이상 양호 | |
| 최신 서비스팩 적용 | W-43 | 취약 | 최신 업데이트 X | 최신 업데이트 O |
| 터미널 서비스 암호화 수준 설정 | W-44 | 양호 | 해당 없음 | |
| IIS 웹서비스 정보 숨김 | W-45 | 양호 | 해당 없음 | |
| SNMP 서비스 구동 점검 | W-46 | 양호 | 해당 없음 | |
| SNMP 서비스 커뮤니티스트링의 복잡성 설정 | W-47 | 양호 | 해당 없음 | |
| SNMP Access control 설정 | W-48 | 양호 | 해당 없음 | |
| DNS 서비스 구동 점검 | W-49 | 양호 | 해당 없음 | |
| HTTP/FTP/SMTP 배너 차단 | W-50 | 양호 | 해당 없음 | |
| Telnet 보안 설정 | W-51 | 양호 | 해당 없음 | |
| 불필요한 ODBC/OLE-DB 데이터 소스와 드라이브 제거 | W-52 | 양호 | 해당 없음 | |
| 원격터미널 접속 타임아웃 설정 | W-53 | 양호 | 구성되지 않음 | 30 분 |
| 예약된 작업에 의심스러운 명령이 등록되어 있는지 점검 | W-54 | 양호 | 예약된 작업에 접속하여 불필요한 명령어나 파일 X | |
| 최신 HOT FIX 적용 | W-55 | 취약 | 최신 업데이트 X | 최신 업데이트 O |
| 백신 프로그램 업데이트 | W-56 | 양호 | 백신 설치 X | |
| 정책에 따른 시스템 로깅 설정 | W-57 | 양호 | 감사 설정 X | 가이드에 따라 감사 설정 |
| 로그의 정기적 검토 및 보고 | W-58 | 양호 | 해당 없음 | 로그 기록에 대해 정기적으로 검토, 분석, 리포트 작성 및 보고 |
| 원격으로 액세스할 수 있는 레지스트리 경로 | W-59 | 양호 | Remote Registry Service 사용 중 | Remote Registry Service 중지 |
| 이벤트 로그 관리 설정 | W-60 | 양호 | 최대 로그 크기 20480 MB | |
| 원격에서 이벤트 로그 파일 접근 차단 | W-61 | 양호 | 로그 디렉터리의 권한에 Everyone 권한 X | |
| 백신 프로그램 설치 | W-62 | 양호 | 백신 설치 X | |
| SAM 파일 접근 통제 설정 | W-63 | 양호 | SAM 파일 접근권한에 Administrator, System 그룹만 모든 권한 | |
| 화면보호기설정 | W-64 | 양호 | 화면 보호기 X | 화면 보호기 설정, 10분, 로그온 |
| 로그온하지 않고 시스템 종료 허용 | W-65 | 양호 | “로그온 하지 않고 시스템 종료 허용”이 “사용 안 함”으로 설정 | |
| 원격 시스템에서 강제로 시스템 종료 | W-66 | 양호 | “원격 시스템에서 강제로 시스템 종료” 정책에 “Administrators”만 존재 | |
| 로그온 시 경고 메시지 제공 | W-67 | 양호 | “보안 감사를 로그할 수 없는 경우 즉시 시스템 종료” 정책이 “사용 안 함” | |
| SAM 계정과 공유의 익명 열거 허용 안 함 | W-68 | 양호 | “SAM
계정과 공유의 익명 열거 허용 안 함” - 사용 안함 “SAM 계정의 익명 열거 허용 안 함” - 사용 |
“SAM 계정과 공유의 익명
열거 허용 안 함” - 사용 “SAM 계정의 익명 열거 허용 안 함” - 사용 |
| Autologon 기능 제어 | W-69 | 양호 | 해당 없음 | |
| 이동식 미디어 포맷 및 꺼내기 허용 | W-70 | 양호 | “이동식 미디어 포맷 및 꺼내기 허용” 정책이 “Administrator” X | “이동식 미디어 포맷 및 꺼내기 허용” 정책이 “Administrator” O |
| 디스크볼륨 암호화 설정 | W-71 | 양호 | 해당 없음 | |
| Dos공격 방어 레지스트리 설정 | W-72 | 양호 | 해당 없음 | |
| 사용자가 프린터 드라이버를 설치할 수 없게 함 | W-73 | 양호 | “사용자가 프린터 드라이버를 설치할 수 없게 함” 정책이 “사용” | |
| 세션 연결을 중단하기 전에 필요한 유휴시간 | W-74 | 양호 | “로그온
시간이 만료되면 클라이언트 연결 끊기” 정책을 “사용” “세션 연결을 중단하기 전에 필요한 유휴 시간” 정책을 “15분”으로 설정 |
|
| 경고 메시지 설정 | W-75 | 양호 | 로그인 경고 메시지제목 및 내용이 설정 X | 로그인 경고 메시지제목 및 내용이 설정 O |
| 사용자별 홈 디렉터리 권한 설정 | W-76 | 양호 | 홈 디렉터리에 Everyone 권한 X | "LAN Manager 인증 수준" 정책에 "NTLMv2 응답만 보냄"이 설정 |
| LAN Manager 인증 수준 | W-77 | 양호 | 정의되지 않음 | |
| 보안 채널 데이터 디지털 암호화 또는 서명 | W-78 | 양호 | 모두 사용 | |
| 파일 및 디렉토리 보호 | W-79 | 양호 | NTFS 파일 시스템 사용 | |
| 컴퓨터 계정 암호 최대 사용 기간 | W-80 | 양호 | "컴퓨터 계정 암호 최대 사용 기간" 정책이 “30일” | "컴퓨터 계정 암호 최대 사용 기간" 정책이 “90일” |
| 시작프로그램 목록 분석 | W-81 | 양호 | 불필요 서비스 X | |
| Windows 인증 모드 사용 | W-82 | 양호 | 해당 없음 |
다들 하고나시면, 똑같은 서버를 여러대 작업하실 때도 있을 겁니다.
작업 후에
secedit /export /cfg c:\winsec.inf
하시고, 해당 파일 여시고
[Privilege Rights] 항목은 삭제하시는게 좋습니다.
다른 서버에 가셔서 관리자권한으로 CMD 실행 후
secedit /configure /db C:\test.sdb /cfg C:\test.inf
입력하시면 대부분 취약점 점검이 완료됩니다.
스크립트 작업 후에 수동으로 작업해야할 부분은 아래와 같습니다.
W-20
C$ 삭제
W-36
TCP/IP와 NetBIOS 간의 바인딩 제거
W-59
Remote Registry Service 사용 안함 후 중지 - 해당 서비스는 특정 Windows 기능을 사용하는 데 있어서 문제가 생길 수 있음.
W-64
화면 보호기, 10분, 로그온
위 4가지에 대해서만 직접 설정해주시면 Windows Server 2012 R2 에 대한 보안 취약점 점검은 끝입니다.
우리 모두 노가다는 그만합시다.
스마트한 IT 인이 됩시다.
반응형
'SW > Operation System' 카테고리의 다른 글
| Windows 볼륨라이선스(Volume Lisence) 키 발급 방법. (0) | 2017.11.09 |
|---|---|
| IT 엔지니어로써 유용한 단축키 완전 정리!! (1) | 2017.10.19 |
| Windows 설치 이미지 종류 및 인증, 전화 인증 팁 (0) | 2017.09.05 |
| Red Hat(RHEL) Subscription 등록 및 인증서 다운 (0) | 2017.09.04 |
| Event ID 1111 해결. (0) | 2017.08.28 |
