현재 위치: WiKi Security Spirit » 보안 하드닝 가이드 » Windows 2003 보안가이드라인

차이

문서의 선택한 두 판 사이의 차이를 보여줍니다.

차이 보기로 링크

양쪽 이전 판이전 판
다음 판		이전 판
다음 판양쪽 다음 판
guide:win2003 [2013/07/22 09:42] wiki1122guide:win2003 [2017/08/21 06:18] – 바깥 편집 127.0.0.1
줄 54: 줄 54:
 |   Mcmservice    |  전화연동을 위한 서비스 계정                        | |   Mcmservice    |  전화연동을 위한 서비스 계정                        |
 |   Tbmsadmin       tbms 관리자 계정                                  | |   Tbmsadmin       tbms 관리자 계정                                  |
-+++++
  
 ==== 계정 잠금 정책 설정(중요도 : 상) ==== ==== 계정 잠금 정책 설정(중요도 : 상) ====
줄 87: 줄 87:
 5번 잘못된 로그온 시도 후 계정 잠금 : 로그인 시도 횟수를 5번으로 설정하며, 5번 이상 로그인에 실패 하였을 경우 계정 잠금 시간만큼 계정은 잠기게 됩니다. 5번 잘못된 로그온 시도 후 계정 잠금 : 로그인 시도 횟수를 5번으로 설정하며, 5번 이상 로그인에 실패 하였을 경우 계정 잠금 시간만큼 계정은 잠기게 됩니다.
  
-+++++
  
 ==== 암호 정책 설정(중요도 : 상) ==== ==== 암호 정책 설정(중요도 : 상) ====
줄 93: 줄 93:
 패스워드 추측 공격을 방지하기 위한 사용자 패스워드 정책 설정   패스워드 추측 공격을 방지하기 위한 사용자 패스워드 정책 설정  
  
-** - 기준 **+=== 기준 ===
  
 가. 암호정책 설정\\ 가. 암호정책 설정\\
줄 108: 줄 108:
 **※ AMS(접근제어관리시스템)에 연동되어 있을 경우(레드아울, Control-SA 등) Active Directory 로 로그인한 경우 예외처리**\\ **※ AMS(접근제어관리시스템)에 연동되어 있을 경우(레드아울, Control-SA 등) Active Directory 로 로그인한 경우 예외처리**\\
 \\ \\
-** - 설정방법 **\\+=== 설정방법 ===
 \\ \\
 1. 암호정책 설정 방법\\ 1. 암호정책 설정 방법\\
줄 135: 줄 135:
     *  "root", "rootroot", "root123", "123root", "admin", "admin123", "123admin", "osadmin", "adminos"     *  "root", "rootroot", "root123", "123root", "admin", "admin123", "123admin", "osadmin", "adminos"
  
-** - 상세설명 **+=== 상세설명 ===
  
 패스워드 추측공격을 피하기 위하여 패스워드 최소길이를 설정하고, 패스워드가 임의의 경로를 통해 유출되었을 때, 임의로 접속한 사용자가 언제든 다시 접속할 수 있는 환경을 방지하기 위해 패스워드 날짜 제한을 점검합니다.\\ 패스워드 추측공격을 피하기 위하여 패스워드 최소길이를 설정하고, 패스워드가 임의의 경로를 통해 유출되었을 때, 임의로 접속한 사용자가 언제든 다시 접속할 수 있는 환경을 방지하기 위해 패스워드 날짜 제한을 점검합니다.\\
 더욱 보안을 강화하기 위하여, 각 사용자의 로그온 시간 및 로그온 가능 워크스테이션 정의, 계정 사용기간 정의, RAS(Remote Access Service) 기능 사용시 Call-back 기능 등 대단히 다양한 보안기능을 설정할 수 있으며 사용자 권한 정책의 변화는 사용자가 다음에 로그온 할 때 적용됩니다. 더욱 보안을 강화하기 위하여, 각 사용자의 로그온 시간 및 로그온 가능 워크스테이션 정의, 계정 사용기간 정의, RAS(Remote Access Service) 기능 사용시 Call-back 기능 등 대단히 다양한 보안기능을 설정할 수 있으며 사용자 권한 정책의 변화는 사용자가 다음에 로그온 할 때 적용됩니다.
  
-+++++---- 
  
 ===== 2. 파일 시스템 ===== ===== 2. 파일 시스템 =====
줄 163: 줄 164:
  
 IIS는 batch파일을 Interpret하기 위해서 자동적으로 cmd를 실행하는데 여기서 요청된 파일의 다른 부분을 이용해 공격자는 '&' 와 같은 Character를 삽입함으로써 원하는 명령을 실행 가능합니다. IIS는 batch파일을 Interpret하기 위해서 자동적으로 cmd를 실행하는데 여기서 요청된 파일의 다른 부분을 이용해 공격자는 '&' 와 같은 Character를 삽입함으로써 원하는 명령을 실행 가능합니다.
-+++++
  
 ==== 사용자 홈 디렉터리 접근 제한(중요도 : 중) ==== ==== 사용자 홈 디렉터리 접근 제한(중요도 : 중) ====
줄 169: 줄 170:
 임의의 사용자 다른 사용자 계정 별 홈 디렉터리 접근제한 설정    임의의 사용자 다른 사용자 계정 별 홈 디렉터리 접근제한 설정   
  
-** - 기준 **+=== 기준 ===
  
 가. 홈 디렉터리 권한 중 Users:F 또는 Everyone: 설정 금지 가. 홈 디렉터리 권한 중 Users:F 또는 Everyone: 설정 금지
  
-** - 설정방법 **\\+=== 설정방법 ===
 사용자 홈 디렉터리 권한 설정 사용자 홈 디렉터리 권한 설정
   - 디렉터리 위치   - 디렉터리 위치
줄 185: 줄 186:
 사용자 계정 별 홈 디렉터리의 권한이 제한되어 있지 않을 경우 임의의 사용자가 파일 및 디렉터리에 접근이 가능하므로 해당 사용자만의 접근 권한을 설정해야 합니다. 사용자 계정 별 홈 디렉터리의 권한이 제한되어 있지 않을 경우 임의의 사용자가 파일 및 디렉터리에 접근이 가능하므로 해당 사용자만의 접근 권한을 설정해야 합니다.
  
-+++++
  
 ==== 공유 폴더 설정(중요도 : 상) ==== ==== 공유 폴더 설정(중요도 : 상) ====
줄 246: 줄 247:
 또한 디폴트 공유인 C$, D$, Admin$, IPC$ 등을 제외한 공유폴더를 everyone 그룹으로 공유가 금지되었는지 여부를 점검합니다. EveryOne이 공유계정에 포함 되어 있을 경우 익명 사용자의 접근이 가능하므로 접근을 확인하여 제어 하게 되면 익명사용자에 의한 접근을 차단 할 수 있습니다. 또한 디폴트 공유인 C$, D$, Admin$, IPC$ 등을 제외한 공유폴더를 everyone 그룹으로 공유가 금지되었는지 여부를 점검합니다. EveryOne이 공유계정에 포함 되어 있을 경우 익명 사용자의 접근이 가능하므로 접근을 확인하여 제어 하게 되면 익명사용자에 의한 접근을 차단 할 수 있습니다.
  
-+++++
  
 ==== SAM(Security Account Manager)파일 권한 설정(중요도 : 상) ==== ==== SAM(Security Account Manager)파일 권한 설정(중요도 : 상) ====
줄 269: 줄 270:
 Security Account Manager (SAM) 파일은 사용자와 그룹 계정들을 다루고, LSA를 위한 인증을 제공합니다. 패스워드 공격 시도에 의한 Password Database 노출될 수 있으므로 Administrator 및 System 그룹외에는 SAM 파일에 대한 접근이 제한 되어야 합니다. Security Account Manager (SAM) 파일은 사용자와 그룹 계정들을 다루고, LSA를 위한 인증을 제공합니다. 패스워드 공격 시도에 의한 Password Database 노출될 수 있으므로 Administrator 및 System 그룹외에는 SAM 파일에 대한 접근이 제한 되어야 합니다.
  
-+++++
  
 ===== 3. 네트워크 서비스 ===== ===== 3. 네트워크 서비스 =====
줄 306: 줄 307:
 |       자동         | 부팅 시에 해당 장치 드라이버가 로드 된 후에 운영 체제에 의해 시작됨   | |       자동         | 부팅 시에 해당 장치 드라이버가 로드 된 후에 운영 체제에 의해 시작됨   |
  
-+++++
  
 ==== 터미널 서비스 암호화 수준 설정(중요도 : 중) ==== ==== 터미널 서비스 암호화 수준 설정(중요도 : 중) ====
줄 329: 줄 330:
 터미널 서비스는 원격지에 있는 서버를 관리하기 위한 유용한 도구이나 취약한 패스워드를 사용하거나 접근제어가 적절치 못할 경우 해킹의 도구로 악용될 수 있으므로 불필요하게 터미널 서비스가 사용되고 있는지 점검합니다. 터미널 서비스는 원격지에 있는 서버를 관리하기 위한 유용한 도구이나 취약한 패스워드를 사용하거나 접근제어가 적절치 못할 경우 해킹의 도구로 악용될 수 있으므로 불필요하게 터미널 서비스가 사용되고 있는지 점검합니다.
  
-+++++
  
 ====  방화벽 정책 적용(중요도 : 상) ==== ====  방화벽 정책 적용(중요도 : 상) ====
줄 345: 줄 346:
 신규 서비스 오픈 시 보안진단 신청을 완료해야 방화벽 오픈이 가능하며 Any Open(사내 망 Any Open 합니다. 대외 망 다수의 IP 오픈 포함)은 보안진단 후 취약점 조치가 완료 되야 방화벽 오픈이 가능합니다. 신규 서비스 오픈 시 보안진단 신청을 완료해야 방화벽 오픈이 가능하며 Any Open(사내 망 Any Open 합니다. 대외 망 다수의 IP 오픈 포함)은 보안진단 후 취약점 조치가 완료 되야 방화벽 오픈이 가능합니다.
  
-+++++
  
 ===== 4. 주요 응용 설정 ===== ===== 4. 주요 응용 설정 =====
줄 368: 줄 369:
 또한, 엄격한 계정정책을 사용하지 않으면 외부의 비인가자에 의한 침해의 통로가 될 수 있으며 Telnet을 이용한 통신은 암호화 되지 않은 평문으로 전송되므로 간단한 Sniffer 에 의해서도 정보가 유출될 수 있습니다.\\ 또한, 엄격한 계정정책을 사용하지 않으면 외부의 비인가자에 의한 침해의 통로가 될 수 있으며 Telnet을 이용한 통신은 암호화 되지 않은 평문으로 전송되므로 간단한 Sniffer 에 의해서도 정보가 유출될 수 있습니다.\\
  
-+++++
  
 ==== DNS(Domain Name Service)보안 설정(중요도 : 중) ==== ==== DNS(Domain Name Service)보안 설정(중요도 : 중) ====
줄 389: 줄 390:
 DNS 서버에 저장되어 있는 도메인 정보를 승인된 DNS서버가 아닌 다른 외부로 유출하는 것은 보안상 바람직하지 않으며 적절한 설정을 통하여 이러한 정보의 전송을 제한할 수 있습니다. DNS 서버를 사용하지 않을 경우 중지시킵니다. DNS 서버에 저장되어 있는 도메인 정보를 승인된 DNS서버가 아닌 다른 외부로 유출하는 것은 보안상 바람직하지 않으며 적절한 설정을 통하여 이러한 정보의 전송을 제한할 수 있습니다. DNS 서버를 사용하지 않을 경우 중지시킵니다.
  
-+++++
  
 ==== SNMP(Simple Network Management Protocol)서비스 보안 설정(중요도 : 상) ==== ==== SNMP(Simple Network Management Protocol)서비스 보안 설정(중요도 : 상) ====
줄 413: 줄 414:
 SNMP 서비스는 시스템 상태를 실시간으로 파악하거나 설정하기 위하여 사용하는 서비스입니다. 그러나 이 정보를 받기 위한 일종의 패스워드인 Community String이 Default로 public, private로 설정되어 있는 경우가 많으며, 이를 변경하지 않으면 이 String을 악용하여 비인가 사용자가 시스템의 주요 정보 및 설정 상황을 파악 할 수 있는 취약성이 존재합니다. SNMP 서비스는 시스템 상태를 실시간으로 파악하거나 설정하기 위하여 사용하는 서비스입니다. 그러나 이 정보를 받기 위한 일종의 패스워드인 Community String이 Default로 public, private로 설정되어 있는 경우가 많으며, 이를 변경하지 않으면 이 String을 악용하여 비인가 사용자가 시스템의 주요 정보 및 설정 상황을 파악 할 수 있는 취약성이 존재합니다.
  
-+++++
 ===== 5. 보안패치 ===== ===== 5. 보안패치 =====
  
줄 433: 줄 434:
 서비스 팩은 Windows 시스템을 마이크로소프트에서 출시하고 난 뒤 Windows와 관련된 응용프로그램, 서비스, 실행파일 등 여러 수정 파일들을 모아 놓은 프로그램 입니다. 서비스 팩은 Windows 시스템을 마이크로소프트에서 출시하고 난 뒤 Windows와 관련된 응용프로그램, 서비스, 실행파일 등 여러 수정 파일들을 모아 놓은 프로그램 입니다.
  
-+++++
 ==== 최신 HOT FIX 적용(중요도 : 상) ==== ==== 최신 HOT FIX 적용(중요도 : 상) ====
 시스템 안정 및 보안성 향상을 위한 최신 HOT FIX적용여부 점검   시스템 안정 및 보안성 향상을 위한 최신 HOT FIX적용여부 점검  
줄 458: 줄 459:
 Hot Fix는 즉시 교정되어야만 하는 주요한 취약점(주로 보안과 관련된)을 패치하기 위해 배포되는 프로그램입니다. Hot Fix는 각각의 Service Pack 이 발표된 이후 패치가 추가될 필요가 있을 때 별도로 발표됩니다. 때론, Hot Fix 보다 취약성을 이용한 공격도구가 먼저 출현 할 수 있으므로 Hot Fix는 발표 후 가능한 빨리 설치 할 것을 권장합니다. Hot Fix는 즉시 교정되어야만 하는 주요한 취약점(주로 보안과 관련된)을 패치하기 위해 배포되는 프로그램입니다. Hot Fix는 각각의 Service Pack 이 발표된 이후 패치가 추가될 필요가 있을 때 별도로 발표됩니다. 때론, Hot Fix 보다 취약성을 이용한 공격도구가 먼저 출현 할 수 있으므로 Hot Fix는 발표 후 가능한 빨리 설치 할 것을 권장합니다.
  
-+++++
 ===== 6. 시스템 보안 설정 ===== ===== 6. 시스템 보안 설정 =====
  
줄 477: 줄 478:
 일반적으로 시스템 로그파일은 C:\WINDOWS\system32\config에 저장되나 어플리케이션 로그파일은 각각의 어플리케이션마다 로그저장 위치가 다름. 웹 서버에 많이 사용하는 IIS 의 경우에는 C:\WINDOWS\system32\LogFiles에 IIS 로그 저장이 이루어집니다.\\ 일반적으로 시스템 로그파일은 C:\WINDOWS\system32\config에 저장되나 어플리케이션 로그파일은 각각의 어플리케이션마다 로그저장 위치가 다름. 웹 서버에 많이 사용하는 IIS 의 경우에는 C:\WINDOWS\system32\LogFiles에 IIS 로그 저장이 이루어집니다.\\
  
-+++++
  
 ==== 화면 보호기 설정(중요도 : 하) ==== ==== 화면 보호기 설정(중요도 : 하) ====
줄 499: 줄 500:
 로그오프하거나 워크스테이션 잠김 설정이 되어있는지 여부를 확인합니다. 자리 이탈시의 정보 유출 가능성을 최소화 합니다.\\ 로그오프하거나 워크스테이션 잠김 설정이 되어있는지 여부를 확인합니다. 자리 이탈시의 정보 유출 가능성을 최소화 합니다.\\
  
-+++++
  
 ==== 이벤트 뷰어 설정(중요도 : 상) ==== ==== 이벤트 뷰어 설정(중요도 : 상) ====
줄 521: 줄 522:
 보안 로그의 크기를 유지하여 접근자 추적 및 불법 접근자 확인 자료로 이용합니다.\\ 보안 로그의 크기를 유지하여 접근자 추적 및 불법 접근자 확인 자료로 이용합니다.\\
  
-+++++
  
 ==== 로그인 시 경고 메시지 표시 설정(중요도 : 중) ==== ==== 로그인 시 경고 메시지 표시 설정(중요도 : 중) ====

추적: