일반사항
- 점검내용 : 시스템 내 불필요한 계정 및 의심스러운 계정의 존재 여부를 점검
- 점검목적 : 퇴직, 전직, 휴직 등의 이유로 더 이상 사용하지 않는 계정, 불필요한 계정 및 의심스러운 계정을 삭제하여, 일반적으로 로그인이 필요치 않은 해당 계정들을 통한 로그인을 차단하고, 계정의 패스워드 추측 공격 시도를 차단하고자 함
- 보안위협 : 관리되지 않은 불필요한 계정은 장기간 패스워드가 변경되지 않아 무작위 대입 공격(Brute Force Attack)이나 패스워드 추측 공격 (Password Guessing Attack)의 가능성이 존재하며, 또한 이런 공격에 의해 계정 정보가 유출되어 도 유출 사실을 인지하기 어려움
- 참고 : ※ 무작위 대입 공격(Brute Force Attack): 컴퓨터로 암호를 해독하기 위해 조합 가능한 모든 경우의 수를 다 대입해보는 것을 말함
- 점검대상 및 판단기준
- 대상 : Window NT, 2000, 2003, 2008, 2012, 2016, 2019
- 판단기준
- 양호 : 불필요한 계정이 존재하지 않는 경우
- 취약 : 불필요한 계정이 존재하는 경우
- 점검 및 조치
- Window NT
- 시작 > 프로그램 > 관리도구 > 도메인 사용자 관리 > 계정 선택 > 등록 정보
- "계정 사용 안 함"에 체크하거나 계정 삭제
- 2000, 2003, 2008, 2012, 2016, 2019
- 시작 > 실행 > Lusrmgr.msc > 사용자
- 등록된 계정 중 불필요한 사용자 선택 > 속성 > "계정 사용 안 함"에 체크하거나 계정 삭제
- Window NT
스크립트
@echo off
chcp 437 >nul 2>&1
:W_03
set YEAR=%date:~0,4%
set MONTH=%date:~5,2%
set DAY=%date:~8,2%
set OUTPUT_DIRECTORY=C:\INSPECT\%YEAR%_%MONTH%_%DAY%_INSPECTION\
set OUTPUT_FILE=%OUTPUT_DIRECTORY%INSPECTION_OUTPUT.txt
set DETAIL_FILE=%OUTPUT_DIRECTORY%W_03.txt
:: FILE EXISTENCE CHECK
if NOT EXIST %OUTPUT_DIRECTORY% (mkdir %OUTPUT_DIRECTORY%)
echo. >> %DETAIL_FILE%
echo :::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: > %DETAIL_FILE%
echo :: >> %DETAIL_FILE%
echo :: [W-03] Unneeded Account Check >> %DETAIL_FILE%
echo :: >> %DETAIL_FILE%
echo :: Check Existence of Unneeded Account >> %DETAIL_FILE%
echo :: >> %DETAIL_FILE%
echo :: RESULT : Always "Need Review" >> %DETAIL_FILE%
echo :: >> %DETAIL_FILE%
echo :: MADE By REDUCTO https://tutoreducto.tistory.com/ >> %DETAIL_FILE%
echo :: >> %DETAIL_FILE%
echo :::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: >> %DETAIL_FILE%
echo. >> %DETAIL_FILE%
net user >> %DETAIL_FILE%
rem Please Write Customized DSQUERY Command for needed
set result=W_03 = Need Review
echo %result%
echo %result% >> %OUTPUT_FILE%
:FINISH
pause >nul 2>&1
파일의 검사결과는 C:\INPSECT아래 오늘날짜로 이루어진 폴더에 들어가 있다.
- INSPECT_OUTPUT.txt : W-03 = Need Review가 들어있다.
- W_03.txt : 단말기의 계정 목록이 들어있다.
첨언
해당명령 net user은 로컬계정에 대한 정보만을 불러온다. Window Server의 Active Directory User는 dsquery 문을 사용하여야한다. dsquery는 옵션을 AD구성에 맞추어 주어야하기 때문에 우선은 스크립트에 포함하지 않았다.(루프돌리면 되는거 같긴한데, 귀찮다. 다음에 할 일있으면 작성해봐야징 에헿) net user 아래 주석(rem)에 dsquery list문을 추가해서 사용해주시기를 바란다.
불필요한 계정의 차단은 정보보안의 접근통제에서 많이 중요하다. 과거의 계정은 누군가가 사용했던 계정이고, 접근을 다시 허가할 수 있는 Point를 주는것이기도 하며, 관리책임의 바깥에 존재하는 계정을 살려둠으로서 Attack Surface또한 증가될 수 있다. 오랜기간(보통 30~60일)미사용되었거나, 전속, 퇴직을 하게되는 인원은 비활성화/삭제해두도록 하자
[KISA 주요정보통신기반시설] 취약점 가이드 목록
KISA에서 배포하는 기술적 취약점 분석 평가 방법상세가이드라는 가이드가 있다. OS별로, 서버/클라이언트별로 세부항목으로 관리해야하는 기본적인 정보보안 기법이 기재되어있는데, 최근에 사
tutoreducto.tistory.com
'정보보안-이론 > KISA주요정보통신기반시설 취약점가이드' 카테고리의 다른 글
| [KISA 주요정보통신기반시설] W-05 해독 가능한 암호화를 사용하여 암호 저장 해제 (0) | 2022.02.26 |
|---|---|
| [KISA 주요정보통신기반시설] W-04 계정 잠금 임계값 설정 (0) | 2022.02.26 |
| [KISA 주요정보통신기반시설] W-02 Guest 계정 비활성화 여부 (0) | 2022.02.26 |
| [KISA 주요정보통신기반시설] W-01 Administrator 계정 이름 변경 및 보안성 강화 (0) | 2022.02.26 |
| [KISA 주요정보통신기반시설] 취약점 분석 스크립트 올리기 (1) | 2022.02.26 |