WINDOWS 계열 취약성 점검 체크 리스트

1. administrator 계정 관리

Administrator (디폴트 관리자 계정) → 다른 이름으로 변경해서 사용  (일반사용자 계정 권한 부여)   실행 - LUSRMGR.MSC 입력 - 그룹 → administrators 그룹에 존재하는 관리자 권한을 가지는 계정 확인 실행 - LUSRMGR.MSC 입력 - 사용자 → administrator 를 다른 이름으로 변경해서 사용   관리자가 여러명일 경우 administrator 계정의 이름 변경 + 일반 사용자 권한 다른 관리자 계정에 (administrators 권한 부여) 하고 최소한의 관리자계정만 유지 Administrator 계정의 암호 강도는 9자 이상 : 영문 + 숫자 + 특수문자 조합

  

권고안

administrator : 관리자 ID 변경하거나 일반 권한 부여 일반계정 : 관리자 권한 부여 administrators 그룹에 관리자 계정이 하나만 존재 (양호) 2개 이상 취약

 

2. GUEST 계정 관리

실행 - LUSRMGR.MSC 입력 - 사용자 → guest 속성 - 계정 사용안함 (체크) GUEST 계정은 무조건 사용하지 말아야 하며 계정이 필요한 경우 일반 계정 생성  계정이 필요한 경우 GUEST 계정보다 일반 계정을 생성하여 사용하도록 함

 

  

3. 사용자 계정 컨트롤 관리 (UAC)

앱 (프로그램) 혹은 사용자가 컴퓨터 작동에 영향을 줄수 있는 작업을 실행 or 다른 사용자에게 영향을 줄수 있는 설정 변경을 하려고 할때 사용권한 혹은 관리자 패스워드를 요구하는 방식으로 malware 혹은 spyware 가 시스템에 동의없이 설치 실행되는것을 방지하기 위한 설정 제어판 - 사용자 계정 - 사용자 계정 - 사용자 계정 컨트롤 설정 (4단계로 보안 세기를 설정가능) 윈도우 버젼에 따라 틀리겠지만 보안세기 설정을 하는 버젼도 있으며 아래와 같이 체크 옵션을 선택 가능 "사용자 계정 컨트를 사용/사용안함" --> 사용함 체크 "사용자 계정 컨트롤을 사용하여 컴퓨터를 보다 안전하게 보호"  --> 체크

  

4. 사용자 계정 관리 (무자격 ID)

사용하는 계정을 제외한 모든 계정 삭제

실행 - LUSRMGR.MSC - 사용자 - 불필요한 계정 삭제 혹은 계정 사용 안함체크

  

"계정 사용 안함" 은 삭제는 하지 않되 해당 관리자가 휴가 혹은 나중에 복귀할 가능성이 존재할때 체크

관리자가 많은 경우 해당 관리자에 대한 설명 탭에 자세한 설명을 붙이는것을 권고

CMD 에서 계정 관리

net user : 계정 리스트

net user "계정" /delete : 해당 계정 삭제

5. 계정 잠금 정책

로그온 실패 횟수 / 시간에 따른 계정 잠금 기간 및 복귀 시간 설정 --> bruteforce 공격이나 패스워드 유추 공격에 대한 대비

시작 → 실행 → SECPOL.MSC → 계정 정책 → 계정 잠금 정책

계정잠금기간 : 15분 이상 계정 잠금 임계값 : 5번 (로그인 5번 실패시 계정 잠김) 다음 시간 후 계정 잠금 수를 원대대로 설정 15분 이상

계정정책은 아래와 같이 설정

암호는 복잡성을 만족해야 함 : 사용 최근 암호 기억 : 12개 이상 (24개 권고) 최대 암호 사용기간 : 30일 (ISMS 심사시 권고하는 기간은 30일임) 최소 암호 길이 : 14문자 이상 최소 암호 사용 시간 : 1일 이상 (패스워드 변경후 다시 변경을 위해서는 1일이 지나야 함) 해독가능한 암호화를 사용하여 암호 저장 : 사용안함 최근 암호 기억 : 24개 기억이라고 함은 최근 사용자가 사용한 24개의 암호는 재사용할수 없음

패스워드 최대 기간 적용되지 않는 경우

로컬 사용자 및 그룹 - 사용자 계정 - 계정별 속성 확인 아래에 체크된 경우는 최대 사용기간 적용되지 않음

각 계정에 패스워드 설정

시작 → 실행 → COMPMGMT.MSC → 시스템 도구 → 로컬 사용자 및 그룹 → 사용자

각 계정 마다 패스워드 설정을 한다. 간혹 보면 시스템 계정이 보일텐데 시스템 계정은 놔둔다. 

ex) SQLAdmin, IWAN_ADMIN 등...

마지막 사용자 이름 표시 안함

마지막에 로그온한 사용자의 이름을 볼수 있는 경우 공격자가 암호를 추측하거나 무작위 대입 공격 시도의 원인이 될수 있음

공유폴더

시작 - 실행 - FSMGMT.MSC - 공유 

CMD - net share 명령어로도 확인 가능

체크사항

ADMIN$, C$, D$, Admin$, IPC$ 를 제외한 공유폴더가 존재하는가? 존재하는 경우 everyone 그룹으로 공유가 금지되었는가? 공유 폴더가 존재하더라도 everyone 그룹 (누구나 접근 가능) 접근 권한은 없어야 함 꼭 필요하지 않는 경우 공유 폴더는 사용하지 않는다 (Nimda 바이러스 취약)

기본 공유 폴더

$ : 관리자가 저장장치의 루트 디렉터리에 연결할 수 있도록 해 주는 공유로 A$, B$, C$, D$ 등으로 표시된다. 이 리소스를 이용하 여 관리자는 네트워크를 통해 해당 드라이브에 액세스할 수 있다. ADMIN$ : 컴퓨터를 원격 관리하는 동안 시스템에서 사용하는 리 소스이며, 이 리소스의 경로는 항상 루트의 경로와 같다. IPC$ : 프로그램 간 통신에 필요한 명명된 파이프를 공유하는 리 소스이다

                                                                                             출처 : SUA 윈도우 2012 보안 가이드

기본 공유 폴더 공유 중지 

CMD 창에서 net share "공유이름" /delete 삭제하거나 아래와 같이 메뉴에서 공유 중지 하면 된다.

기본 공유의 경우 리부팅시 다시 공유가 된다고 하니

레지스터리 편집 (REGEDIT) HEKY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ LanmanServer\Parameters>DWORD 값 생성 AutoShareServer 설정 값 입력 : 디폴트 값인 0을 그대로 둔다. Professional인 경우 AutoShareServer --> AutoShareWks

6. 보안로그의 감사 기능 설정

원인파악 및 법적 대응을 위한 증거로 사용하기 위함

시작 → 제어판 → 관리도구 → 로컬보안정책 → 로컬정책 → 감사정책 설정

아래와 같이 설정하면 됨

정 책	설 명
개체 액세스	시스템 액세스 컨트롤 목록(SACL)이 있는 Windows기반 네트워크의 모든 개체에 대해 감사를 활성화 보안 로그에 이벤트를 표시하려면 먼저 개체 액세스 감사를 활성화한 후 감사할 각 개체에 대해 SACL을 정의
계정 관리	사용자나 그룹이 작성, 변경 또는 삭제된 시간을 판단하는데 사용
계정 로그온 이벤트	사용자가 도메인에 로그온 하면 도메인 컨트롤러에 로그온 시도가 기록
권한 사용	권한 사용의 성공 및 실패를 감사할 경우 사용자 권한을 이용하려고 할 때마다 이벤트가 생성
디렉터리 서비스  액세스	Active Directory 개체의 SACL에 나열된 사용자가 해당 개체에 액세스를 시도할 때 감사 항목이 생성
로그온 이벤트	사용자가 컴퓨터에 로그온 하거나 로그오프 할 때마다 로그온이 시도된 컴퓨터의 보안 로그에 이벤트가 생성
시스템 이벤트	사용자나 프로세스가 컴퓨터 환경을 변경 시 시스템 이벤트 생성 시스템 이벤트를 감사할 경우 보안 로그가 삭제된 시간도 감사
정책 변경	감사 정책 변경의 성공 및 실패를 감사
프로세스 추적	실행되는 프로세스에 대한 자세한 추적 정보를 감사하는 경우 이벤트 로그에 프로세스를 작성하고 종료하려고 한 시도가 나타남

7. 로그오프 워크스테이션 잠김

바탕화면 → 속성 → 화면보호기 에서 “화면 보호기”선택, “암호 사용”설정, “대기 시간” 10분 이하 권장

8.  WEBDAV 취약점 점검

WebDAV(Web Distributed Authoring and Versioning)

웹상의 공동개발을 지원하기 위한 IETF 표준안 (RFC 2518) 원격지 사용자들간에 인터넷상의 파일을 공동 편집하고 관리하기 해줌

요청이 조작되는 경우, 매개 변수를 정확하게 점검 하지 않는 WEBDAV 에 의해 호출된 구성요소중 하나에 결함이 존재하여 이로 인해 버퍼 오버런 발생 가능성

아래 중 1개라도 해당되는 경우 양호하다 볼 수 있음

1. IIS 사용하지 않음 2. IIS 에서 WebDAV가 금지되어 있는 경우 3. Disable WEBDAV 값이 1로 설정되어 있는 경우

해결책

1. IIS를 사용하지 않을 경우 시작 → 실행 → SERVICES → [World Wide Web Publishing Service] 속성 선택 → [서비스 상태] 중지 → [시작유형] “사용 안 함” 설정 2. IIS 사용하지만 WebDAV를 사용하지 않을 경우 시작 → 실행 → REGEDIT → HKLM\SYSTEM\CurrenControlSet\Services \W3SVC\Parameters → 새로만들기(DWORD) → 이름: DisableWebDAV, 데이터: 1 3. IIS 를 사용하고, WebDAV도 필요한 경우 MicroSoft에서 배포한 WebDAV 취약점 패치를 설치 (재부팅후 적용됨)

9. 백신 설치 및 보안 패치

백신사용 실시간 감지, 최신 엔진 업데이트, 시스템 전체검사 로그 확인, 회사의 경우 정품 라이센스 확인 윈도우즈 보안패치 최신 서비스팩, 보안패치, 리부팅하여 적용 확인 업데이트 설치에 따라 시스템 및 어플리케이션에 영향을 줌

10. 불필요한 서비스 제거 및 중지

사용안함 : 설치되어 있으나 실행되지 않음 수동 : 다른 서비스나 응용프로그램에서 해당 기능을 필요할때만 시작함 자동 : 부팅시에 해당 장치 드라이버가 로드된 후에 운영체제에 의해 시작함  시작시 로그온 계정을 별도로 지정할수도 있음

불필요하다 판단되는 서비스 리스트 (불필요하다 판단되면 사용중지 권고)

- Alerter - Clipbook - Computer Browser - DHCP Client (VPN 서비스 사용시 접근시 필요함) - FTP publishing Service - Internet Connection Sharing Service - Indexing Service - Infared Monitor Service - Messenger - NetLogon - Network DDE - Network DDE DSDM - NetMeeting Remote Desktop Sharing Service - Print Spooler - Remote Registry Service - Routing and Remote Access Service - Simple TCP/IP Service - SMTP Service - Task Scheduler Service - TCP/IP NetBIOS Helper - Terminal Service - Telnet Service - Windows Media Service

윈도우를 운영하기 위한 최소한의 서비스

- Logical Logging Manager - Network Connections - NTLM Security Support Provider - Plug and Play - Server

윈도우 2003 기준이라 좀 틀린 부분도 있을수도 있음

END