정보보안-이론/KISA주요정보통신기반시설 취약점가이드
[KISA 주요정보통신기반시설] W-10 IIS 서비스 구동 점검
일반사항 점검내용 : 불필요한 IIS 서비스 구동 여부 점검 점검목적 : 불필요한 IIS 서비스가 구동 상태인지를 점검하여 제거하고, 해당 서비스가 취약점이 제거되지 않은 상태로 외부 위협에 노출되지 않도록 하기 위함 보안위협 : IIS 서비스는 WEB, FTP 등의 서비스를 제공해주는 유용한 서비스이나 프로파 일링, 서비스 거부, 불법적인 접근, 임의의 코드실행, 정보 공개, 바이러스, 웜, 트로이목마 등의 위협에 노출될 수 있어 서비스 불필요 시 삭제하여야 함 참고 : 일반적으로 불필요한 서비스가 시스템 내 구동되고 있는 경우에는 관리되지 않은 상 태로 방치되는 경우가 많아 보안 취약점이 그대로 노출되어 악의적인 공격의 대상이 될 수 있음 점검대상 및 판단기준 대상 : Window NT, 2000, ..
[KISA 주요정보통신기반시설] W-09 불필요한 서비스 제거
일반사항 점검내용 : 점검목적 : 관리자 그룹 구성원에 불필요한 사용자의 포함 여부를 점검하여, 관리 권한 사용자를 최소화 하고자 함 보안위협 : Administrators와 같은 관리자 그룹에 속한 구성원은 컴퓨터 시스템에 대한 완전하고 제한 없는 액세스 권한을 가지므로, 사용자를 관리자 그룹에 포함 시킬 경우 비인가 사용자에 대한 과도한 관리 권한이 부여될 수 있음 참고 관리 권한의 오남용으로 인한 시스템 피해를 줄이기 위해서 관리 업무를 위한 계정과 일 반 업무를 위한 계정을 분리하여 사용하는 것이 바람직함 시스템 관리를 위해서 관리권한 계정과 일반권한 계정을 분리하여 운영하는 것을 권고 시스템 관리자는 원칙적으로 1명 이하로 유지하고, 부득이하게 2명 이상의 관리 권한자를 유지하여야 하는 경우에는..
[KISA 주요정보통신기반시설] W-08 하드디스크 기본 공유 제거
일반사항 점검내용 : 하드디스크 기본 공유 제거 여부 점검 점검목적 : 하드디스크 기본 공유를 제거하여 시스템 정보 노출을 차단하고자 함 보안위협 : Windows는 프로그램 및 서비스를 네트워크나 컴퓨터 환경에서 관리하기 위 해 시스템 기본 공유 항목을 자동으로 생성함. 이를 제거하지 않으면 비인가 자가 모든 시스템 자원에 접근할 수 있는 위험한 상황이 발생할 수 있으며 이러한 공유 기능의 경로를 이용하여 바이러스가 침투될 수 있음 참고 : 기본 공유: 관리목적으로 자동 생성되는 공유 드라이브(Administrative share). 이러한 드라이브들은 C$, D$, E$ 등과 같이 이름 뒤에 $가 붙어서 숨겨진 공유로 처리되며, Windows 2000, XP에서는 관리자 ID와 Password를 알고..
[KISA 주요정보통신기반시설] W-07 공유 권한 및 사용자 그룹 설정
일반사항 점검내용 : 공유 디렉토리 내 Everyone 권한 존재 여부 점검 점검목적 : 디폴트 공유인 C$, D$, Admin$, IPC$ 등을 제외한 공유 폴더에 Everyone 그룹으로 공유되는 것을 금지하여 익명 사용자의 접근을 차단하기 위함 보안위협 : Everyone이 공유계정에 포함되어 있으면 익명 사용자의 접근이 가능하여 내 부 정보 유출 및 악성코드의 감염 우려가 있음 점검대상 및 판단기준 대상 : Window NT, 2000, 2003, 2008, 2012, 2016, 2019 판단기준 양호 : 일반 공유 디렉토리가 없거나 공유 디렉토리 접근 권한에 Everyone 권한이 없는 경우 취약 : 일반 공유 디렉토리의 접근 권한에 Everyone 권한이 있는 경우 점검 및 조치 Window ..
[KISA 주요정보통신기반시설] W-06 관리자 그룹에 최소한의 사용자 포함
일반사항 점검내용 : 관리자 그룹에 불필요한 사용자의 포함 여부 점검 점검목적 : 관리자 그룹 구성원에 불필요한 사용자의 포함 여부를 점검하여, 관리 권한 사용자를 최소화 하고자 함 보안위협 : Administrators와 같은 관리자 그룹에 속한 구성원은 컴퓨터 시스템에 대한 완전하고 제한 없는 액세스 권한을 가지므로, 사용자를 관리자 그룹에 포함 시킬 경우 비인가 사용자에 대한 과도한 관리 권한이 부여될 수 있음 참고 관리 권한의 오남용으로 인한 시스템 피해를 줄이기 위해서 관리 업무를 위한 계정과 일 반 업무를 위한 계정을 분리하여 사용하는 것이 바람직함 시스템 관리를 위해서 관리권한 계정과 일반권한 계정을 분리하여 운영하는 것을 권고 시스템 관리자는 원칙적으로 1명 이하로 유지하고, 부득이하게 2..
[KISA 주요정보통신기반시설] W-05 해독 가능한 암호화를 사용하여 암호 저장 해제
일반사항 점검내용 : 해독 가능한 암호화 사용 여부 점검 점검목적 : ‘해독 가능한 암호화를 사용하여 암호 저장‘ 정책이 설정되어 사용자 계정 비밀번호가 해독 가능한 텍스트 형태로 저장 되는 것을 차단하기 위함 보안위협 : 위 정책이 설정된 경우 OS에서 사용자 ID, PW를 입력받아 인증을 진행하는 응용프로그램 프로토콜 지원 시 OS 는 사용자의 PW 를 해독 가능한 방식 으로 암호를 저장하기 때문에, 노출된 계정에 대해 공격자가 암호 복호화 공 격으로 PW를 획득하여 네트워크 리소스에 접근할 수 있음 참고 : ‘해독 가능한 암호화를 사용하여 암호 저장‘ 정책은 암호를 암호화 하지 않은 상태로 저장하여 일반 텍스트 버전의 암호를 저장하는 것과 같으나 시스템에서 기본적으로 동 작하지는 않음 점검대상 및 ..