정보보안-이론/KISA주요정보통신기반시설 취약점가이드

[KISA 주요정보통신기반시설] W-06 관리자 그룹에 최소한의 사용자 포함

일반사항

  • 점검내용 : 관리자 그룹에 불필요한 사용자의 포함 여부 점검
  • 점검목적 : 관리자 그룹 구성원에 불필요한 사용자의 포함 여부를 점검하여, 관리 권한 사용자를 최소화 하고자 함
  • 보안위협 : Administrators와 같은 관리자 그룹에 속한 구성원은 컴퓨터 시스템에 대한 완전하고 제한 없는 액세스 권한을 가지므로, 사용자를 관리자 그룹에 포함 시킬 경우 비인가 사용자에 대한 과도한 관리 권한이 부여될 수 있음
  • 참고
    • 관리 권한의 오남용으로 인한 시스템 피해를 줄이기 위해서 관리 업무를 위한 계정과 일 반 업무를 위한 계정을 분리하여 사용하는 것이 바람직함
    • 시스템 관리를 위해서 관리권한 계정과 일반권한 계정을 분리하여 운영하는 것을 권고
    • 시스템 관리자는 원칙적으로 1명 이하로 유지하고, 부득이하게 2명 이상의 관리 권한자를 유지하여야 하는 경우에는 관리자 그룹에는 최소한의 사용자만 포함하도록 하여야 함
  • 점검대상 및 판단기준 
    • 대상 : Window NT, 2000, 2003, 2008, 2012, 2016, 2019
    • 판단기준
      • 양호 : Administrators 그룹의 구성원을 1명 이하로 유지하거나, 불필요한 관리 자 계정이 존재하지 않는 경우
      • 취약 : Administrators 그룹에 불필요한 관리자 계정이 존재하는 경우

 

  • 점검 및 조치
    • Window NT 
      • 시작 > 프로그램 > 제어판 > 관리도구 > 도메인 사용자 관리 > Administrators 계정 선택 > 등록정보
      • "Administrator" 그룹에서 불필요한 계정 제거 후 그룹 변경
    • 2000, 2003, 2008, 2012, 2016, 2019
      • 시작 > 실행 > Lusrmgr.msc > 그룹 > Administrators > 속성
      • Administrator 그룹에서 불필요한 계정 제거 후 그룹 변경

스크립트

@echo off
chcp 437 >nul 2>&1

:W_06

set YEAR=%date:~0,4%
set MONTH=%date:~5,2%
set DAY=%date:~8,2%

set OUTPUT_DIRECTORY=C:\INSPECT\%YEAR%_%MONTH%_%DAY%_INSPECTION\
set OUTPUT_FILE=%OUTPUT_DIRECTORY%INSPECTION_OUTPUT.txt
set DETAIL_FILE=%OUTPUT_DIRECTORY%W_06.txt

:: FILE EXISTENCE CHECK
if NOT EXIST %OUTPUT_DIRECTORY% (mkdir %OUTPUT_DIRECTORY%)
echo. >> %DETAIL_FILE%
echo :::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: 			> %DETAIL_FILE%
echo :: 							>> %DETAIL_FILE%
echo ::  [W-06] Administrator Group's Member 			>> %DETAIL_FILE% 
echo :: 							>> %DETAIL_FILE%
echo ::  Check whether Administrator Groups include 		>> %DETAIL_FILE%
echo ::  Unneeded Member or Not	 			>> %DETAIL_FILE%
echo ::							>> %DETAIL_FILE%
echo ::  RESULT : Always "Need Review"			>> %DETAIL_FILE%
echo ::							>> %DETAIL_FILE%
echo ::  MADE By REDUCTO https://tutoreducto.tistory.com/	>> %DETAIL_FILE%
echo ::							>> %DETAIL_FILE%
echo ::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::			>> %DETAIL_FILE%
echo. 							>> %DETAIL_FILE%

net localgroup Administrators >> %DETAIL_FILE%
set result=W-06 = Need Review

echo %result%
echo %result% >> %OUTPUT_FILE%

:FINISH
pause >nul 2>&1

 

 

W_06.zip
0.00MB

 

 

파일의 검사결과는 C:\INPSECT아래 오늘날짜로 이루어진 폴더에 들어가 있다. 

  • INSPECT_OUTPUT.txt : W-06 Need Review가 기록되어있다.
  • W_02.txt : 점검 결과인 관리자 그룹 'Administrator'의 그룹구성원이 포함되어있다.

첨언

효과적인 접근통제를 위하여 Window의 파일에는 DAC기반의 접근통제가 들어가 있다. 파일에 접근가능한 사용자 OR 그룹을 추가하는 것인데, 대부분의 프로그램 설정파일이 들어가 있는 C드라이브에 접근하기 위해서는 Administrator 그룹 권한은 필수적이다. 따라서 Administrator 그룹에 들어가 있는 인원이 꼭 C:\드라이브에서 모든 권한을 가지는 Administrator에 있어야 하는지 고려가 필요한 항목이다.

 

 

[KISA 주요정보통신기반시설] 취약점 가이드 목록

KISA에서 배포하는 기술적 취약점 분석 평가 방법상세가이드라는 가이드가 있다. OS별로, 서버/클라이언트별로 세부항목으로 관리해야하는 기본적인 정보보안 기법이 기재되어있는데, 최근에 사

tutoreducto.tistory.com