일반사항
- 점검내용 :
- 점검목적 : 관리자 그룹 구성원에 불필요한 사용자의 포함 여부를 점검하여, 관리 권한 사용자를 최소화 하고자 함
- 보안위협 : Administrators와 같은 관리자 그룹에 속한 구성원은 컴퓨터 시스템에 대한 완전하고 제한 없는 액세스 권한을 가지므로, 사용자를 관리자 그룹에 포함 시킬 경우 비인가 사용자에 대한 과도한 관리 권한이 부여될 수 있음
- 참고
- 관리 권한의 오남용으로 인한 시스템 피해를 줄이기 위해서 관리 업무를 위한 계정과 일 반 업무를 위한 계정을 분리하여 사용하는 것이 바람직함
- 시스템 관리를 위해서 관리권한 계정과 일반권한 계정을 분리하여 운영하는 것을 권고
- 시스템 관리자는 원칙적으로 1명 이하로 유지하고, 부득이하게 2명 이상의 관리 권한자를 유지하여야 하는 경우에는 관리자 그룹에는 최소한의 사용자만 포함하도록 하여야 함
- 점검내용 : 불필요한 서비스 가동 여부 점검
- 점검목적 : 사용자 환경에 필요하지 않은 서비스 및 실행 파일을 제거하거나 비활성화 처리하여 이를 통한 악의적인 공격을 차단하기 위함
- 보안위협 : 시스템에 기본적으로 설치되는 불필요한 취약 서비스들이 제거되지 않은 경 우, 해당 서비스의 취약점으로 인한 공격이 가능하며, 네트워크 서비스의 경우 열린 포트를 통한 외부 침입의 가능성이 존재함
- 참고 : OS 버전에 따라 ‘일반적으로 불필요한 서비스’ 목록에 나열된 서비스가 제공되지 않을 수 있음
- 점검대상 및 판단기준
- 대상 : Window NT, 2000, 2003, 2008, 2012, 2016, 2019
- 판단기준
- 양호 : 일반적으로 불필요한 서비스(아래 목록 참조)가 중지되어 있는 경우
- 취약 : 일반적으로 불필요한 서비스(아래 목록 참조)가 구동 중인 경우
- 점검 및 조치
- Window NT
- 시작> 설정> 제어판> 서비스를 선택하여 불필요한 서비스를 중지하고, 시작 옵션에 서 "시작 유형"을 "사용 안함"으로 수정
- 해당 서비스를 선택하고 오른쪽 메뉴에서 "시작 옵션"을 클릭하면 시스템이 시작할 때에 해당 서비스의 시작 유형을 선택할 수 있음. 만약, 시스템 시작 시 자동으로 시 작되게 하려면 [자동], 수동으로 서비스를 시작하려면 [수동], 서비스 자체를 사용하지 않으려면 [사용 안함]을 선택한 후 [확인]을 클릭함
- Windows 2000, 2003, 2008, 2012, 2016, 2019
- 시작> 실행> SERVICES.MSC> "해당 서비스" 선택> 속성
- 시작 유형 -> 사용 안 함
- 서비스 상태 -> 중지 설정
- Window NT
일반적으로 불필요한 서비스(By KISA 주요정보통신기반시설 취약점 분석 W-09)
서비스명 | 기능 및 설명 |
Alerter | 네트워크에서 사용자와 컴퓨터에 관리용 경고메시지를 전송하는 기능 |
Automatic updates | 중요한 윈도우 업데이트를 다운로하고 설치할 수 있도록 하는 애플리케이션, 수동패치를 적용하거나, MS패치 관리 서버로 패치를 일괄적으로 관리하는 경우 불필요한 서비스 |
Clipbook | 서버 내 Slipbook을 다른 클라이언트와 공유 |
Computer Browser | 네트워크에 있는 모든 컴퓨터의 목록을 업데이트 하고 관리하는 기능 |
Cryptographic Services |
윈도우 파일의 서명을 확인하는 카탈로그 데이터베이스 서비스를 총괄 |
DHCP Client | IP 주소와 DNS 이름을 DHCP 서버에 등록하거나 DHCP 서버로부터 동적으 로 IP주소를 가져오는 기능을 수행. 단독으로 시스템을 수행하며 고정IP를 사용하는 경우 불필요한 서비스 |
Distributed Link Tracking Client, Server |
네트워크 도메인의 여러 컴퓨터나 일반컴퓨터에서 NTFS 파일간의 연결을 관리하는 도구. Active Directory가 구성되어 있지 않은 서버에서는 불필요 한 서비스 |
DNS Client | 컴퓨터에 대한 도메인 이름 시스템(DNS)이름을 확인하고 캐시에 보관하는 기능. DNS 서버가 아닌 시스템에서는 유명무실하나, IPSEC을 사용하는 경 우 필요한 경우 있음 |
Error reporting Service |
프로그램 오류가 시 응용프로그램의 오류를 MS에 보고한다는 내용을 표시 하는 기능 |
Human Interface Device Access |
키보드 또는 기타 멀티미디어 장치에 사전 정의된 버튼들을 사용하는 HID 장치들을 위한 서비스 |
IMAPI CD-Burning COM Service | 서버에 CD-RW 또는 DVD-RW가 장착되어 보조백업장치 역할을 하기 위해 서 자체 레코딩 백업을 할 수 있음 |
Messenger | 클라이언트와 서버 사이에 netsend 및 경고서비스 메시지를 전송하는 기능 |
NetMeeting Remote Desktop Sharing | 윈도우9X 운영체제부터 인증된 사용자가 넷미팅을 사용해서 원격으로 컴퓨 터에 접근할 수 있도록 하는 기능 |
Portable Media Serial Number | 컴퓨터에 연결된 이동성 음악연주기(미디기기)의 등록번호를 복원하는 기능 |
Print Spooler | 인쇄 과정에 있는 스풀링을 관리하는 서비스. 프린터가 있는 경우 필수 서 비스이나, 프린터가 연결되지 않은 시스템에서는 불필요함 |
Remote Registry | 원격 사용자가 이 컴퓨터에서 레지스트리 설정을 수정할 수 있도록 설정 하는 애플리케이션 |
Simple TCP/IP Services | Echo, Discard, Character Generator, Daytime, Quote of the Day 지원 |
Wireless Zero Configuration | 802.11 어댑터에 대해 자동 구성을 공급하는 기본적인 도구 |
스크립트
@echo off
chcp 437 >nul 2>&1
:W_06
set YEAR=%date:~0,4%
set MONTH=%date:~5,2%
set DAY=%date:~8,2%
set OUTPUT_DIRECTORY=C:\INSPECT\%YEAR%_%MONTH%_%DAY%_INSPECTION\
set OUTPUT_FILE=%OUTPUT_DIRECTORY%INSPECTION_OUTPUT.txt
set DETAIL_FILE=%OUTPUT_DIRECTORY%W_09.txt
:: FILE EXISTENCE CHECK
if NOT EXIST %OUTPUT_DIRECTORY% (mkdir %OUTPUT_DIRECTORY%)
echo. >> %DETAIL_FILE%
echo :::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: > %DETAIL_FILE%
echo :: >> %DETAIL_FILE%
echo :: [W-09] Unneeded Service Check >> %DETAIL_FILE%
echo :: >> %DETAIL_FILE%
echo :: Check Wheter Unneeded Services running or not >> %DETAIL_FILE%
echo :: >> %DETAIL_FILE%
echo :: RESULT : Always "Need Review" >> %DETAIL_FILE%
echo :: >> %DETAIL_FILE%
echo :: MADE By REDUCTO https://tutoreducto.tistory.com/ >> %DETAIL_FILE%
echo :: >> %DETAIL_FILE%
echo :::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: >> %DETAIL_FILE%
echo. >> %DETAIL_FILE%
net start >> %DETAIL_FILE%
set result=W-09 = Need Review
echo %result%
echo %result% >> %OUTPUT_FILE%
:FINISH
pause >nul 2>&1
파일의 검사결과는 C:\INPSECT아래 오늘날짜로 이루어진 폴더에 들어가 있다.
- INSPECT_OUTPUT.txt : W-09 Need Review가 기록되어있다. 다른 점검항목과 같이 기록되는 파일이다.
- W_09.txt : W-09 Need Review가 기록되어있다.
첨언
불필요한 서비스는 위험하다. 서비스가 돌아간다는 것은 필연적으로 Attack Surface를 높힌다는 것이다. 설령 그것이 보안프로그램일지라도 말이다. 불필요한 서비스로 침투당한다면 그것보다 기분 더러운일이 있을까 KISA에서 불필요한 서비스 목록을 제공하기는 하지만, 다 그대로 적용하면 운영환경에 영향이 갈 수 있으니, 조심해서 판단하고 내릴건 내리자
'정보보안-이론 > KISA주요정보통신기반시설 취약점가이드' 카테고리의 다른 글
[KISA 주요정보통신기반시설] W-11 IIS 디렉토리 검색 비활성화 (0) | 2022.03.01 |
---|---|
[KISA 주요정보통신기반시설] W-10 IIS 서비스 구동 점검 (0) | 2022.02.27 |
[KISA 주요정보통신기반시설] W-08 하드디스크 기본 공유 제거 (2) | 2022.02.27 |
[KISA 주요정보통신기반시설] W-07 공유 권한 및 사용자 그룹 설정 (0) | 2022.02.27 |
[KISA 주요정보통신기반시설] W-06 관리자 그룹에 최소한의 사용자 포함 (0) | 2022.02.26 |