일반사항
- 점검내용 : 하드디스크 기본 공유 제거 여부 점검
- 점검목적 : 하드디스크 기본 공유를 제거하여 시스템 정보 노출을 차단하고자 함
- 보안위협 : Windows는 프로그램 및 서비스를 네트워크나 컴퓨터 환경에서 관리하기 위 해 시스템 기본 공유 항목을 자동으로 생성함. 이를 제거하지 않으면 비인가 자가 모든 시스템 자원에 접근할 수 있는 위험한 상황이 발생할 수 있으며 이러한 공유 기능의 경로를 이용하여 바이러스가 침투될 수 있음
- 참고 : 기본 공유: 관리목적으로 자동 생성되는 공유 드라이브(Administrative share). 이러한 드라이브들은 C$, D$, E$ 등과 같이 이름 뒤에 $가 붙어서 숨겨진 공유로 처리되며, Windows 2000, XP에서는 관리자 ID와 Password를 알고 있으면 네트워크를 통해 이러 한 공유 드라이브들에 자유롭게 접근할 수 있음. 그러나 이후 버전 Windows에서는 보 안상의 이유로 로컬시스템의 관리자가 네트워크를 통해 시스템을 관리하지 못하도록 기본적으로 차단됨
- 점검대상 및 판단기준
- 대상 : Window NT, 2000, 2003, 2008, 2012, 2016, 2019
- 판단기준
- 양호 : 레지스트리의 AutoShareServer (WinNT: AutoShareWks)가 0이며 기본 공유가 존재하지 않는 경우
- 취약 : 레지스트리의AutoShareServer (WinNT: AutoShareWks)가 1이거나 기본 공유가 존재하는 경우
- 점검 및 조치
- Window NT
- 시작 > 프로그램 > 제어판 > 관리도구 > 서버 관리자 > 컴퓨터 > 공유 디렉토리 > 공유
- 2000, 2003, 2008, 2012, 2016, 2019
- 시작 > 실행 > FSMGMT.msc > 공유 > 기본 공유 선택 > 마우스 우클릭 > 공유 중지
- 시작> 실행> REGEDIT 아래 레지스트리 값을 0으로 수정함(키 값이 없을 경우 새로 생성함) "HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters\AutoShareServer”(Windows NT일 경우: AutoShareWks)
- Window NT
스크립트
@echo off
chcp 437 >nul 2>&1
:W_08
set YEAR=%date:~0,4%
set MONTH=%date:~5,2%
set DAY=%date:~8,2%
set OUTPUT_DIRECTORY=C:\INSPECT\%YEAR%_%MONTH%_%DAY%_INSPECTION\
set OUTPUT_FILE=%OUTPUT_DIRECTORY%INSPECTION_OUTPUT.txt
set DETAIL_FILE=%OUTPUT_DIRECTORY%W_08.txt
:: FILE EXISTENCE CHECK
if NOT EXIST %OUTPUT_DIRECTORY% (mkdir %OUTPUT_DIRECTORY%)
echo. >> %DETAIL_FILE%
echo :::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: > %DETAIL_FILE%
echo :: >> %DETAIL_FILE%
echo :: [W-08] Unable default share >> %DETAIL_FILE%
echo :: >> %DETAIL_FILE%
echo :: Inspect Default Share is configured >> %DETAIL_FILE%
echo :: and Registry key Authoshare is configured >> %DETAIL_FILE%
echo :: >> %DETAIL_FILE%
echo :: PASS : Always "Partially PASS", Autoshare is configured >> %DETAIL_FILE%
echo :: Need Futher review to Default Share Drive to confirm PASS >> %DETAIL_FILE%
echo :: FAIL : Autoshare is not configured >> %DETAIL_FILE%
echo :: MADE By REDUCTO https://tutoreducto.tistory.com/ >> %DETAIL_FILE%
echo :: >> %DETAIL_FILE%
echo :::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: >> %DETAIL_FILE%
echo. >> %DETAIL_FILE%
echo Need Review to this share drives are really need : >> %DETAIL_FILE%
net share >> %DETAIL_FILE%
echo. >> %DETAIL_FILE%
set conf=100
reg query "HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters" | find /i "AutoShareServer" >nul 2>&1
if %errorlevel% EQU 0 (
reg query "HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters" | find /i "AutoShareServer" > %OUTPUT_DIRECTORY%tmp_w_08.txt
for /f "tokens=1,3 delims= " %%a in (%OUTPUT_DIRECTORY%tmp_w_08.txt) do set conf=%%b
) else (
set result=W-08 = FAIL
)
if %conf% EQU 0x0 (
set result=W-08 = Partially PASS
) else (
set result=W-08 = FAIL
)
echo %result%
echo %result% >> %OUTPUT_FILE%
if EXIST %OUTPUT_DIRECTORY%tmp_w_08.txt (del %OUTPUT_DIRECTORY%tmp_w_08.txt)
:FINISH
pause >nul 2>&1
파일의 검사결과는 C:\INPSECT아래 오늘날짜로 이루어진 폴더에 들어가 있다.
- INSPECT_OUTPUT.txt : W-08의 점검결과가 포함되어 있다.
- W_08.txt : 공유되고 있는 드라이브의 목록이 포함되어 있다.
첨언
공유에 대한 위험성은 W-07항목에서도 간단하게 짚고 넘어간적이 있다. 만약 FAIL이 떳다면, registry 키를 생성해 두도록 하자. 윈도우는 적용되는 모든 레지스트리 항목을 키로 만들어 두지는 않는다.
[KISA 주요정보통신기반시설] 취약점 가이드 목록
KISA에서 배포하는 기술적 취약점 분석 평가 방법상세가이드라는 가이드가 있다. OS별로, 서버/클라이언트별로 세부항목으로 관리해야하는 기본적인 정보보안 기법이 기재되어있는데, 최근에 사
tutoreducto.tistory.com
'정보보안-이론 > KISA주요정보통신기반시설 취약점가이드' 카테고리의 다른 글
| [KISA 주요정보통신기반시설] W-10 IIS 서비스 구동 점검 (0) | 2022.02.27 |
|---|---|
| [KISA 주요정보통신기반시설] W-09 불필요한 서비스 제거 (0) | 2022.02.27 |
| [KISA 주요정보통신기반시설] W-07 공유 권한 및 사용자 그룹 설정 (0) | 2022.02.27 |
| [KISA 주요정보통신기반시설] W-06 관리자 그룹에 최소한의 사용자 포함 (0) | 2022.02.26 |
| [KISA 주요정보통신기반시설] W-05 해독 가능한 암호화를 사용하여 암호 저장 해제 (0) | 2022.02.26 |