일반사항
- 점검내용 : NetBIOS 바인딩 서비스 구동 여부 점검
- 점검목적 : NetBIOS와 TCP/IP 바인딩을 제거하여 TCP/IP를 거치게 되는 파일 공유서비 스를 제공하지 못하도록 하고, 인터넷에서의 공유자원에 대한 접근 시도를 방지하고자 함
- 보안위협 : 인터넷에 직접 연결되어 있는 윈도우 시스템에서 NetBIOS TCP/IP 바인딩이 활성화 되어 있을 경우 공격자가 네트워크 공유자원을 사용할 우려 존재
- 참고 : NetBIOS(Network Basic Input/Output System)는 별개의 컴퓨터상에 있는 애플리케이 션들이 근거리통신망 내에서 서로 통신 할 수 있게 해주는 프로그램. IBM pc를 위한 네트워크 인터페이스 체계로 네임, 세션, 데이터그램의 세가지 서비스를 제공하며 NetBIOS를 통해 파일 공유와 프린터 공유 등을 서비스로 이용
- 점검대상 및 판단기준
- 대상 : Windows NT, 2000, 2003, 2008, 2012, 2016, 2019
- 판단기준
- 양호 : TCP/IP와 NetBIOS 간의 바인딩이 제거 되어 있는 경우
- 취약 : TCP/IP와 NetBIOS 간의 바인딩이 제거 되어있지 않은 경우
- 점검 및 조치
- Windows NT, 2000, 2003, 2008, 2012, 2016, 2019
- 시작> 실행> ncpa.cpl> 로컬 영역 연결> 속성> TCP/IP> [일반] 탭에서 [고급] 클릭> [WINS] 탭에서 TCP/IP에서 “NetBIOS 사용 안 함” 또는, “NetBIOS over TCP/IP 사용 안 함” 선택
- Windows NT, 2000, 2003, 2008, 2012, 2016, 2019
스크립트
@echo off
chcp 437 >nul 2>&1
:W_24
set YEAR=%date:~0,4%
set MONTH=%date:~5,2%
set DAY=%date:~8,2%
set OUTPUT_DIRECTORY=C:\INSPECT\%YEAR%_%MONTH%_%DAY%_INSPECTION\
set OUTPUT_FILE=%OUTPUT_DIRECTORY%INSPECTION_OUTPUT.txt
set DETAIL_FILE=%OUTPUT_DIRECTORY%W_24.txt
set TEMP_FILE=%OUTPUT_DIRECTORY%tmp_w.24.txt
:: FILE EXISTENCE CHECK
if NOT EXIST %OUTPUT_DIRECTORY% (mkdir %OUTPUT_DIRECTORY%)
echo. >> %DETAIL_FILE%
echo :::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: > %DETAIL_FILE%
echo :: >> %DETAIL_FILE%
echo :: [W-24] NIC Netbios over TCP config check >> %DETAIL_FILE%
echo :: >> %DETAIL_FILE%
echo :: Check whether NIC Netbios over TCP config is turned off >> %DETAIL_FILE%
echo :: >> %DETAIL_FILE%
echo :: PASS : all TCPOverIP is off >> %DETAIL_FILE%
echo :: Need Review : In case of no TCPOverIP is used >> %DETAIL_FILE%
echo :: >> %DETAIL_FILE%
echo :: MADE By REDUCTO https://tutoreducto.tistory.com/ >> %DETAIL_FILE%
echo :: >> %DETAIL_FILE%
echo :::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: >> %DETAIL_FILE%
echo. >> %DETAIL_FILE%
set vulcount=0
wmic nicconfig get TcpipNetbiosOptions | find "0" >nul 2>&1
if %errorlevel% EQU 0 (
set /A vulcount+=1
)
wmic nicconfig get TcpipNetbiosOptions | find "1" >nul 2>&1
if %errorlevel% EQU 0 (
set /A vulcount+=1
)
if %vulcount% GEQ 1 (
echo. >> %DETAIL_FILE%
wmic /output:%TEMP_FILE% nicconfig where "TcpipNetbiosOptions is not null" get caption,TcpipNetbiosOptions >nul 2>&1
type %TEMP_FILE% >> %DETAIL_FILE%
set result=W-24 = Need Review
) else (
echo All NIC's TcpipNetbiosOptions config is off >> %DETAIL_FILE%
set result=W-24 = PASS
)
if EXIST %TEMP_FILE% (del %TEMP_FILE%)
echo %result%
echo %result% >> %OUTPUT_FILE%
:FINISH
pause >nul 2>&1
파일의 검사결과는 C:\INSPECT아래 오늘날짜로 이루어진 폴더에 들어가 있다.
- INPSECT_OUTPUT.txt : 결과가 기재되어있다. 하나의 Network 어댑터라도 NetBios Over TCP가 켜져있는경우 Need Review이며, 모두 꺼져있는경우에 PASS이다.
- W_24.txt : 결과가 NEED REVIEW 인경우 어댑터의 이름과 NetBiosOverTCP 설정이 기재되어있다.(2가 꺼진거다.)
첨언
NETBIOS를 사용하는 서비스나 응용프로그램들도 있다. 이때문에 설정이 켜져있다고 해서 무작정 취약하다고는 볼 수 없다.
[KISA 주요정보통신기반시설] 취약점 분석 스크립트 올리기
KISA에서 배포하는 기술적 취약점 분석 평가 방법상세가이드라는 가이드가 있다. OS별로, 서버/클라이언트별로 세부항목으로 관리해야하는 기본적인 정보보안 기법이 기재되어있는데, 최근에 사
tutoreducto.tistory.com
'정보보안-이론 > KISA주요정보통신기반시설 취약점가이드' 카테고리의 다른 글
| [KISA 주요정보통신기반시설] W-19 IIS 가상 디렉토리 삭제 [미완] (0) | 2022.11.03 |
|---|---|
| [KISA 주요정보통신기반시설] W-14 IIS 불필요한 파일 제거 (0) | 2022.06.01 |
| [KISA 주요정보통신기반시설] W-13 IIS 상위 디렉토리 접근 금지 (0) | 2022.06.01 |
| [KISA 주요정보통신기반시설] W-12 IIS CGI 실행 제한 (0) | 2022.03.01 |
| [KISA 주요정보통신기반시설] W-11 IIS 디렉토리 검색 비활성화 (0) | 2022.03.01 |