'윈도우 취약점가이드' 태그의 글 목록 (2 Page)

일반사항

점검내용 : 관리자 그룹에 불필요한 사용자의 포함 여부 점검
점검목적 : 관리자 그룹 구성원에 불필요한 사용자의 포함 여부를 점검하여, 관리 권한 사용자를 최소화 하고자 함
보안위협 : Administrators와 같은 관리자 그룹에 속한 구성원은 컴퓨터 시스템에 대한 완전하고 제한 없는 액세스 권한을 가지므로, 사용자를 관리자 그룹에 포함 시킬 경우 비인가 사용자에 대한 과도한 관리 권한이 부여될 수 있음
참고
- 관리 권한의 오남용으로 인한 시스템 피해를 줄이기 위해서 관리 업무를 위한 계정과 일 반 업무를 위한 계정을 분리하여 사용하는 것이 바람직함
- 시스템 관리를 위해서 관리권한 계정과 일반권한 계정을 분리하여 운영하는 것을 권고
- 시스템 관리자는 원칙적으로 1명 이하로 유지하고, 부득이하게 2명 이상의 관리 권한자를 유지하여야 하는 경우에는 관리자 그룹에는 최소한의 사용자만 포함하도록 하여야 함

점검대상 및 판단기준
- 대상 : Window NT, 2000, 2003, 2008, 2012, 2016, 2019
- 판단기준
  - 양호 : Administrators 그룹의 구성원을 1명 이하로 유지하거나, 불필요한 관리 자 계정이 존재하지 않는 경우
  - 취약 : Administrators 그룹에 불필요한 관리자 계정이 존재하는 경우

점검 및 조치
- Window NT
  - 시작 > 프로그램 > 제어판 > 관리도구 > 도메인 사용자 관리 > Administrators 계정 선택 > 등록정보
  - "Administrator" 그룹에서 불필요한 계정 제거 후 그룹 변경
- 2000, 2003, 2008, 2012, 2016, 2019
  - 시작 > 실행 > Lusrmgr.msc > 그룹 > Administrators > 속성
  - Administrator 그룹에서 불필요한 계정 제거 후 그룹 변경

스크립트

@echo off
chcp 437 >nul 2>&1

:W_06

set YEAR=%date:~0,4%
set MONTH=%date:~5,2%
set DAY=%date:~8,2%

set OUTPUT_DIRECTORY=C:\INSPECT\%YEAR%_%MONTH%_%DAY%_INSPECTION\
set OUTPUT_FILE=%OUTPUT_DIRECTORY%INSPECTION_OUTPUT.txt
set DETAIL_FILE=%OUTPUT_DIRECTORY%W_06.txt

:: FILE EXISTENCE CHECK
if NOT EXIST %OUTPUT_DIRECTORY% (mkdir %OUTPUT_DIRECTORY%)
echo. >> %DETAIL_FILE%
echo :::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: 			> %DETAIL_FILE%
echo :: 							>> %DETAIL_FILE%
echo ::  [W-06] Administrator Group's Member 			>> %DETAIL_FILE% 
echo :: 							>> %DETAIL_FILE%
echo ::  Check whether Administrator Groups include 		>> %DETAIL_FILE%
echo ::  Unneeded Member or Not	 			>> %DETAIL_FILE%
echo ::							>> %DETAIL_FILE%
echo ::  RESULT : Always "Need Review"			>> %DETAIL_FILE%
echo ::							>> %DETAIL_FILE%
echo ::  MADE By REDUCTO https://tutoreducto.tistory.com/	>> %DETAIL_FILE%
echo ::							>> %DETAIL_FILE%
echo ::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::			>> %DETAIL_FILE%
echo. 							>> %DETAIL_FILE%

net localgroup Administrators >> %DETAIL_FILE%
set result=W-06 = Need Review

echo %result%
echo %result% >> %OUTPUT_FILE%

:FINISH
pause >nul 2>&1

W_06.zip

0.00MB

파일의 검사결과는 C:\INPSECT아래 오늘날짜로 이루어진 폴더에 들어가 있다.

INSPECT_OUTPUT.txt : W-06 Need Review가 기록되어있다.
W_02.txt : 점검 결과인 관리자 그룹 'Administrator'의 그룹구성원이 포함되어있다.

첨언

효과적인 접근통제를 위하여 Window의 파일에는 DAC기반의 접근통제가 들어가 있다. 파일에 접근가능한 사용자 OR 그룹을 추가하는 것인데, 대부분의 프로그램 설정파일이 들어가 있는 C드라이브에 접근하기 위해서는 Administrator 그룹 권한은 필수적이다. 따라서 Administrator 그룹에 들어가 있는 인원이 꼭 C:\드라이브에서 모든 권한을 가지는 Administrator에 있어야 하는지 고려가 필요한 항목이다.

[KISA 주요정보통신기반시설] 취약점 가이드 목록

KISA에서 배포하는 기술적 취약점 분석 평가 방법상세가이드라는 가이드가 있다. OS별로, 서버/클라이언트별로 세부항목으로 관리해야하는 기본적인 정보보안 기법이 기재되어있는데, 최근에 사

tutoreducto.tistory.com

저작자표시

'정보보안-이론 > KISA주요정보통신기반시설 취약점가이드' 카테고리의 다른 글

[KISA 주요정보통신기반시설] W-08 하드디스크 기본 공유 제거 (2)	2022.02.27
[KISA 주요정보통신기반시설] W-07 공유 권한 및 사용자 그룹 설정 (0)	2022.02.27
[KISA 주요정보통신기반시설] W-05 해독 가능한 암호화를 사용하여 암호 저장 해제 (0)	2022.02.26
[KISA 주요정보통신기반시설] W-04 계정 잠금 임계값 설정 (0)	2022.02.26
[KISA 주요정보통신기반시설] W-03 불필요 계정점검 (0)	2022.02.26

일반사항

점검내용 : 해독 가능한 암호화 사용 여부 점검
점검목적 : ‘해독 가능한 암호화를 사용하여 암호 저장‘ 정책이 설정되어 사용자 계정 비밀번호가 해독 가능한 텍스트 형태로 저장 되는 것을 차단하기 위함
보안위협 : 위 정책이 설정된 경우 OS에서 사용자 ID, PW를 입력받아 인증을 진행하는 응용프로그램 프로토콜 지원 시 OS 는 사용자의 PW 를 해독 가능한 방식 으로 암호를 저장하기 때문에, 노출된 계정에 대해 공격자가 암호 복호화 공 격으로 PW를 획득하여 네트워크 리소스에 접근할 수 있음
참고 : ‘해독 가능한 암호화를 사용하여 암호 저장‘ 정책은 암호를 암호화 하지 않은 상태로 저장하여 일반 텍스트 버전의 암호를 저장하는 것과 같으나 시스템에서 기본적으로 동 작하지는 않음

점검대상 및 판단기준
- 대상 : Window NT, 2000, 2003, 2008, 2012, 2016, 2019
- 판단기준
  - 양호 : "해독 가능한 암호화를 사용하여 암호 저장" 정책이 "사용 안함"으로 되어 있는 경우
  - 취약 : "해독 가능한 암호화를 사용하여 암호 저장" 정책이 "사용" 으로 되어 있는 경우

점검 및 조치
- Window NT, 2000, 2003, 2008, 2012, 2016, 2019
  - 시작 > 실행 > Secpol.msc > 계정 정책 > 암호 정책
  - "해독 가능한 암호화를 사용하여 암호 저장"을 "사용 안 함"으로 설정

스크립트

@echo off
chcp 437 >nul 2>&1

:W_05

set YEAR=%date:~0,4%
set MONTH=%date:~5,2%
set DAY=%date:~8,2%

set OUTPUT_DIRECTORY=C:\INSPECT\%YEAR%_%MONTH%_%DAY%_INSPECTION\
set OUTPUT_FILE=%OUTPUT_DIRECTORY%INSPECTION_OUTPUT.txt
set DETAIL_FILE=%OUTPUT_DIRECTORY%W_05.txt

:: FILE EXISTENCE CHECK
if NOT EXIST %OUTPUT_DIRECTORY% (mkdir %OUTPUT_DIRECTORY%)
echo. >> %DETAIL_FILE%
echo :::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: 			> %DETAIL_FILE%
echo :: 							>> %DETAIL_FILE%
echo ::  [W-05] ClearPassword Check 			>> %DETAIL_FILE% 
echo :: 							>> %DETAIL_FILE%
echo ::  Check ClearPassword is set			>> %DETAIL_FILE%
echo ::							>> %DETAIL_FILE%
echo ::  PASS : ClearTextPassword is disabled at policy		>> %DETAIL_FILE%
echo ::							>> %DETAIL_FILE%
echo ::  MADE By REDUCTO https://tutoreducto.tistory.com/	>> %DETAIL_FILE%
echo ::							>> %DETAIL_FILE%
echo ::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::			>> %DETAIL_FILE%
echo. 							>> %DETAIL_FILE%

secedit /export /cfg %OUTPUT_DIRECTORY%secedit.txt >nul 2>&1

type %OUTPUT_DIRECTORY%secedit.txt | findstr /bic:"ClearTextPassword" > %OUTPUT_DIRECTORY%tmp_w_05.txt
for /f "tokens=1,2 delims==" %%a in (%OUTPUT_DIRECTORY%tmp_w_05.txt) do set conf=%%b

if %conf% EQU 0 (
  set result=W-05 = FAIL
  echo ClearPassword is set	>> %DETAIL_FILE%
) else (
  set result=W-05 = PASS
  echo ClearPassword is unset	>> %DETAIL_FILE%
)

echo %result%
echo %result% >> %OUTPUT_FILE%

if EXIST %OUTPUT_DIRECTORY%tmp_w_05.txt (del %OUTPUT_DIRECTORY%tmp_w_05.txt)
if EXIST %OUTPUT_DIRECTORY%secedit.txt (del %OUTPUT_DIRECTORY%secedit.txt)

:FINISH
pause >nul 2>&1

W_05.zip

0.00MB

파일의 검사결과는 C:\INPSECT아래 오늘날짜로 이루어진 폴더에 들어가 있다. secedit은 관리자 권한을 필요로 하니, "반드시" 관리자 권한으로 실행시켜주기를 바란다.

INSPECT_OUTPUT.txt : W-05 항목의 PASS/FAIL여부가 들어있다. 다른 취약점 스크립트의 결과도 이곳에 기록된다.
W_05.txt : 점검 결과인 평문으로 패스워드 저장 정책의 결과가 기록되어있다.

첨언

평문저장 패스워드는 어떻게 되던간에 위험하다. 윈도우의 계정정보파일인 SAM에 평문이 저장된다는것은 이 파일이 탈취되는 순간 패스워드의 정보가 다 보여진다는 뜻이니 말이다. 왜 만든것인지는 모르겠지만 우선 ClearTextPassword는 사용하지 말자

[KISA 주요정보통신기반시설] 취약점 가이드 목록

KISA에서 배포하는 기술적 취약점 분석 평가 방법상세가이드라는 가이드가 있다. OS별로, 서버/클라이언트별로 세부항목으로 관리해야하는 기본적인 정보보안 기법이 기재되어있는데, 최근에 사

tutoreducto.tistory.com

저작자표시

'정보보안-이론 > KISA주요정보통신기반시설 취약점가이드' 카테고리의 다른 글

[KISA 주요정보통신기반시설] W-07 공유 권한 및 사용자 그룹 설정 (0)	2022.02.27
[KISA 주요정보통신기반시설] W-06 관리자 그룹에 최소한의 사용자 포함 (0)	2022.02.26
[KISA 주요정보통신기반시설] W-04 계정 잠금 임계값 설정 (0)	2022.02.26
[KISA 주요정보통신기반시설] W-03 불필요 계정점검 (0)	2022.02.26
[KISA 주요정보통신기반시설] W-02 Guest 계정 비활성화 여부 (0)	2022.02.26

일반사항

점검내용 : Guest 계정 비활성화 여부 점검
점검목적 : Guest 계정을 비활성화 하여 불특정 다수의임시적인 시스템 접근을 차단하기 위함
보안위협 : 일반적으로 관리자 계정으로 잘 알려진 Administrator를 변경하지 않은 경우 악의적인 사용자의 패스워드 추측 공격을 통해 사용 권한 상승의 위험이 있으며, 관리자를 유인하여 침입자의 액세스를 허용하는 악성코드를 실행할 우려가 있음
보안위협 : Guest 계정은 시스템에 임시로 액세스해야 하는 사용자용 계정으로, 이 계정을 사용하여 권한 없는 사용자가 시스템에 익명으로 액세스할 수 있으므로 비인가자 접근, 정보 유출 등 보안 위험이 따를 수 있음=
참고 : 윈도우즈 Guest 계정은 삭제가 불가능한 built-in 계정으로 보안 강화 목적으로 반드시 비활성화 처리 하여야 함

점검대상 및 판단기준
- 대상 : Window NT, 2000, 2003, 2008, 2012, 2016, 2019
- 판단기준
  - 양호 : Guest 계정이 비활성화 되어있는 경우
  - 취약 : Guest 계정이 활성화 되어있는 경우

점검 및 조치
- Window NT
  - 시작 > 프로그램 > 제어판 > 관리도구 > 도메인 사용자 관리 > Guest 계정 선택 > 등록정보
  - "계정 사용 안함"에 체크
- 2000, 2003, 2008, 2012, 2016, 2019
  - 시작 > 실행 > Lusrmgr.msc > 사용자 > GUEST > 속성
  - "계정 사용 안 함"에 체크

스크립트

@echo off
chcp 437 >nul 2>&1

:W_02

set YEAR=%date:~0,4%
set MONTH=%date:~5,2%
set DAY=%date:~8,2%

set OUTPUT_DIRECTORY=C:\INSPECT\%YEAR%_%MONTH%_%DAY%_INSPECTION\
set OUTPUT_FILE=%OUTPUT_DIRECTORY%INSPECTION_OUTPUT.txt
set DETAIL_FILE=%OUTPUT_DIRECTORY%W_02.txt

:: FILE EXISTENCE CHECK
if NOT EXIST %OUTPUT_DIRECTORY% (mkdir %OUTPUT_DIRECTORY%)
echo. >> %DETAIL_FILE%
echo :::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: 			> %DETAIL_FILE%
echo :: 							>> %DETAIL_FILE%
echo ::  [W-02] Guest Account Disabled 			>> %DETAIL_FILE%
echo :: 							>> %DETAIL_FILE%
echo ::  Check Disabled Status of Guest Account		>> %DETAIL_FILE%
echo ::							>> %DETAIL_FILE%
echo ::  PASS : Pass if Guest Account is Disabled		>> %DETAIL_FILE%
echo ::							>> %DETAIL_FILE%
echo ::  MADE By REDUCTO https://tutoreducto.tistory.com/	>> %DETAIL_FILE%
echo ::							>> %DETAIL_FILE%
echo ::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::			>> %DETAIL_FILE%
echo. 							>> %DETAIL_FILE%

secedit /export /cfg %OUTPUT_DIRECTORY%secedit.txt >nul 2>&1

type %OUTPUT_DIRECTORY%secedit.txt | findstr /bic:"NewGuestName" > %OUTPUT_DIRECTORY%tmp_w_02.txt
for /f "tokens=1,2 delims==" %%a in (%OUTPUT_DIRECTORY%tmp_w_02.txt) do set conf=%%b

echo Guest Name is %conf%			>> %DETAIL_FILE%

net user %conf% | find /i "Account active" > %OUTPUT_DIRECTORY%tmp_w_02.txt
for /f "tokens=1,3 delims= " %%a in (%OUTPUT_DIRECTORY%tmp_w_02.txt) do set conf=%%b

echo Guest Account is activated? "%conf%"		>> %DETAIL_FILE%

if %conf% EQU Yes (set result=W_02 = FAIL) else (set result=W_02 = PASS)
echo %result%
echo %result% >> %OUTPUT_FILE%

if EXIST %OUTPUT_DIRECTORY%tmp_w_02.txt (del %OUTPUT_DIRECTORY%tmp_w_02.txt)
if EXIST %OUTPUT_DIRECTORY%secedit.txt (del %OUTPUT_DIRECTORY%secedit.txt)

:FINISH
pause >nul 2>&1

W_02.zip

0.00MB

파일의 검사결과는 C:\INPSECT아래 오늘날짜로 이루어진 폴더에 들어가 있다. secedit은 관리자 권한을 필요로 하니, "반드시" 관리자 권한으로 실행시켜주기를 바란다.

INSPECT_OUTPUT.txt : W-01 항목의 PASS/FAIL여부가 들어있다. 다른 취약점 스크립트의 결과도 이곳에 기록된다.
W_02.txt : 점검 결과인 Guest 계정의 비활성화 여부가 기록되어있다. 혹시나해서 Guest의 이름도 적어둔다.

첨언

Guest계정의 가장 큰 문제중 하나는 책임추적이 불가하다는 것이다. Built-in 계정이자 공용계정이기 떄문에 여러명이 접근하는 서버의 특성상 이 계정으로 무엇인가를 하면, 책임추적을 성립시킬 방법이 없다. 비활성화는 "반드시" 하도록 하자 혹은 이를 보완할 수 있는 다른 정책을 수립하여야한다.

[KISA 주요정보통신기반시설] 취약점 가이드 목록

KISA에서 배포하는 기술적 취약점 분석 평가 방법상세가이드라는 가이드가 있다. OS별로, 서버/클라이언트별로 세부항목으로 관리해야하는 기본적인 정보보안 기법이 기재되어있는데, 최근에 사

tutoreducto.tistory.com

저작자표시

'정보보안-이론 > KISA주요정보통신기반시설 취약점가이드' 카테고리의 다른 글

[KISA 주요정보통신기반시설] W-05 해독 가능한 암호화를 사용하여 암호 저장 해제 (0)	2022.02.26
[KISA 주요정보통신기반시설] W-04 계정 잠금 임계값 설정 (0)	2022.02.26
[KISA 주요정보통신기반시설] W-03 불필요 계정점검 (0)	2022.02.26
[KISA 주요정보통신기반시설] W-01 Administrator 계정 이름 변경 및 보안성 강화 (0)	2022.02.26
[KISA 주요정보통신기반시설] 취약점 분석 스크립트 올리기 (1)	2022.02.26

TUTOR 리덕토의 배움세상