현재 위치: WiKi Security Spirit » 보안 하드닝 가이드 » Windows 2003 보안가이드라인

차이

문서의 선택한 두 판 사이의 차이를 보여줍니다.

차이 보기로 링크

양쪽 이전 판이전 판
다음 판		이전 판
guide:win2003 [2013/07/22 09:40] – [로컬 계정 사용 설정(중요도 : 상)] wiki1122guide:win2003 [2024/04/04 05:12] (현재) – 바깥 편집 127.0.0.1
줄 13: 줄 13:
 나. GUEST 계정 비활성화\\ 나. GUEST 계정 비활성화\\
 다. 사용하는 계정에 대해 "전체이름"또는 "설명" 부분 내용 기입\\ 다. 사용하는 계정에 대해 "전체이름"또는 "설명" 부분 내용 기입\\
 +\\
 === 설정방법 === === 설정방법 ===
  1. Administrators그룹에 관리자 계정인 Administrator 계정 변경\\  1. Administrators그룹에 관리자 계정인 Administrator 계정 변경\\
 시작>설정>제어판>관리도구>컴퓨터관리>로컬사용자 및 그룹>그룹 Administrators그룹을 선택하여 구성원 중 불필요한 관리자 계정 제거\\ 시작>설정>제어판>관리도구>컴퓨터관리>로컬사용자 및 그룹>그룹 Administrators그룹을 선택하여 구성원 중 불필요한 관리자 계정 제거\\
 \\ \\
-{{:ws2003:1.jpg|}} \\+{{:ws2003:1.jpg?nolink|}} \\
 \\ \\
 Administrator 변경시 보안옵션을 이용하여 변경\\ Administrator 변경시 보안옵션을 이용하여 변경\\
 시작>설정>제어판>관리도구>로컬 보안 정책>로컬 정책>보안 옵션>' 계정 : Administrator 계정이름 바꾸기'를 더블 클릭 -> Administraotr 계정 변경 \\  시작>설정>제어판>관리도구>로컬 보안 정책>로컬 정책>보안 옵션>' 계정 : Administrator 계정이름 바꾸기'를 더블 클릭 -> Administraotr 계정 변경 \\ 
-{{:ws2003:2.jpg|}}+{{:ws2003:2.jpg?nolink|}}
 \\ \\
  2. GUEST 계정 비활성화\\  2. GUEST 계정 비활성화\\
 시작>설정>제어판>관리도구>컴퓨터관리>로컬사용자 및 그룹>사용자를 선택하여 Guest 계정의 속성에서 Guest 계정에 대한 사용 제한 설정\\ 시작>설정>제어판>관리도구>컴퓨터관리>로컬사용자 및 그룹>사용자를 선택하여 Guest 계정의 속성에서 Guest 계정에 대한 사용 제한 설정\\
  \\  \\
-{{:ws2003:3.jpg|}}\\ +{{:ws2003:3.jpg?nolink|}}\\ 
 \\ \\
  3. 사용하는 계정에 대해 "전체이름 또는 "설명" 부분 내용 기입\\   3. 사용하는 계정에 대해 "전체이름 또는 "설명" 부분 내용 기입\\ 
 시작>설정>제어판>관리도구>컴퓨터관리>로컬사용자 및 그룹>사용자를 선택하여 더 이상 사용되지 않는 계정을 제거\\ 시작>설정>제어판>관리도구>컴퓨터관리>로컬사용자 및 그룹>사용자를 선택하여 더 이상 사용되지 않는 계정을 제거\\
  \\   \\ 
-{{:ws2003:4.png|}} \\ +{{:ws2003:4.png?nolink|}} \\ 
 \\ \\
 ※ 계정 삭제를 Command Line 에서 할 경우\\ ※ 계정 삭제를 Command Line 에서 할 경우\\
   * net user 명령을 이용하여 현재 사용자 파악   * net user 명령을 이용하여 현재 사용자 파악
   * net user "제거할 계정명" /delete를 입력하여 삭제   * net user "제거할 계정명" /delete를 입력하여 삭제
 +\\
 === 상세설명 === === 상세설명 ===
-  - Administrators그룹에 관리자 계정인 Administrator 계정 변경\\ 일반적으로 관리자를 위한 계정과 일반 사용자들을 위한 계정을 분리하여 사용하는 것이 바람직하며 만일 시스템 관리자라면 두 개의 계정을 가지는 것이 좋습니다. 하나는 관리업무를 위한 것이고, 다른 하나는 일반적인 일을 하기 위한 것입니다. 예를 들어 일반사용자 권한으로부터 활성화된 바이러스에 비해 관리자 권한을 가진 계정으로부터 활성화된 바이러스라면 시스템에 훨씬 많은 피해를 줄 수 있습니다.\\ 또한 관리자 계정으로 설정되어 있는 "Administrator" 계정을 다른 이름으로 바꾸고 "Administrator"라는 가짜 계정을 만들어 아무런 권한도 주지 않는 방법을 사용할 수 있는데, 이러한 방법은 "모호함을 통한 보안(Security through obscurity)"의 한 예입니다. 즉 Bogus 계정을 만드는 것입니다. \\ Administrator 계정은 로그온 시 몇 번이고 실패해도 절대 접속을 차단하지 않기 때문에 시스템을 공격하려는 사람들은 이 계정의 패스워드 유추를 계속 시도할 수 있습니다. 따라서 관리자 계정의 이름을 바꿈으로써 공격자는 패스워드뿐만 아니라 계정이름도 유추 하여야 하는 어려움을 줄 수 있습니다.\\ 또 하나의 방법은 보안정책 설정에서 로그온 실패 횟수에 따른 계정 잠금을 설정함으로써 brute force 공격이나 사전공격에 대응할 수 있습니다.\\ Administrator 계정을 관리자 계정이 아닌 일반 계정으로 사용하거나 Administrator 가 아닌 다른 이름의 관리자 계정을 생성해 사용하도록 해야 하며, Administrator 권한을 가지는 유저는 최소한의 숫자로 제한 되어야 합니다. 또한, Password는 최소 8자리 이상으로 숫자와 영어, 특수문자를 혼합하여 사용합니다.+  - Administrators그룹에 관리자 계정인 Administrator 계정 변경\\ 일반적으로 관리자를 위한 계정과 일반 사용자들을 위한 계정을 분리하여 사용하는 것이 바람직하며 만일 시스템 관리자라면 두 개의 계정을 가지는 것이 좋습니다. 하나는 관리업무를 위한 것이고, 다른 하나는 일반적인 일을 하기 위한 것입니다. 예를 들어 일반사용자 권한으로부터 활성화된 바이러스에 비해 관리자 권한을 가진 계정으로부터 활성화된 바이러스라면 시스템에 훨씬 많은 피해를 줄 수 있습니다.\\ \\ 또한 관리자 계정으로 설정되어 있는 "Administrator" 계정을 다른 이름으로 바꾸고 "Administrator"라는 가짜 계정을 만들어 아무런 권한도 주지 않는 방법을 사용할 수 있는데, 이러한 방법은 "모호함을 통한 보안(Security through obscurity)"의 한 예입니다. 즉 Bogus 계정을 만드는 것입니다. \\ \\ Administrator 계정은 로그온 시 몇 번이고 실패해도 절대 접속을 차단하지 않기 때문에 시스템을 공격하려는 사람들은 이 계정의 패스워드 유추를 계속 시도할 수 있습니다. 따라서 관리자 계정의 이름을 바꿈으로써 공격자는 패스워드뿐만 아니라 계정이름도 유추 하여야 하는 어려움을 줄 수 있습니다.\\ \\ 또 하나의 방법은 보안정책 설정에서 로그온 실패 횟수에 따른 계정 잠금을 설정함으로써 brute force 공격이나 사전공격에 대응할 수 있습니다.\\ \\ Administrator 계정을 관리자 계정이 아닌 일반 계정으로 사용하거나 Administrator 가 아닌 다른 이름의 관리자 계정을 생성해 사용하도록 해야 하며, Administrator 권한을 가지는 유저는 최소한의 숫자로 제한 되어야 합니다. 또한, Password는 최소 8자리 이상으로 숫자와 영어, 특수문자를 혼합하여 사용합니다.
   - GUEST 계정 비활성화\\ 대부분의 시스템은 Guest 계정의 사용을 필요치 않으며 앞으로도 계속 Guest 계정의 사용을 제한해야 하며, 불특정 다수의 접근이 필요할 경우 Guest 가 아닌 일반 사용자 계정을 생성해 사용 하도록 해야 합니다.   - GUEST 계정 비활성화\\ 대부분의 시스템은 Guest 계정의 사용을 필요치 않으며 앞으로도 계속 Guest 계정의 사용을 제한해야 하며, 불특정 다수의 접근이 필요할 경우 Guest 가 아닌 일반 사용자 계정을 생성해 사용 하도록 해야 합니다.
   - 사용하는 계정에 대해 "전체이름" 또는 "설명" 부분 내용 기입\\ 퇴직, 전직, 휴직 등의 이유로 더 이상 사용하지 않는 계정, 불필요한 계정, 의심스러운 계정이 있는지 점검 합니다.   - 사용하는 계정에 대해 "전체이름" 또는 "설명" 부분 내용 기입\\ 퇴직, 전직, 휴직 등의 이유로 더 이상 사용하지 않는 계정, 불필요한 계정, 의심스러운 계정이 있는지 점검 합니다.
줄 53: 줄 55:
 |   Tbmsadmin       tbms 관리자 계정                                  | |   Tbmsadmin       tbms 관리자 계정                                  |
  
----- 
  
-\\ 
 ==== 계정 잠금 정책 설정(중요도 : 상) ==== ==== 계정 잠금 정책 설정(중요도 : 상) ====
 시스템 보안을 위한 계정잠금 설정   시스템 보안을 위한 계정잠금 설정  
  
-** 기준 **+=== 기준 ===
 가. 계정 잠금 기간 60분 이상, 계정 잠금 임계값 5번 이하, 계정 잠금 기간 원래대로 설정 60분 이상\\  가. 계정 잠금 기간 60분 이상, 계정 잠금 임계값 5번 이하, 계정 잠금 기간 원래대로 설정 60분 이상\\ 
 \\ \\
 ※ AMS(접근제어관리시스템)에 연동되어 있을 경우(레드아울, Control-SA 등) Active Directory 로 로그인한 경우 예외처리\\ ※ AMS(접근제어관리시스템)에 연동되어 있을 경우(레드아울, Control-SA 등) Active Directory 로 로그인한 경우 예외처리\\
  
-** 설정방법 **+=== 설정방법 ===
  
 시작>설정>제어판>관리도구>로컬 보안 설정>계정정책>계정 잠금 정책> \\ 시작>설정>제어판>관리도구>로컬 보안 설정>계정정책>계정 잠금 정책> \\
줄 70: 줄 70:
 계정 잠금 임계 값을 5로 설정 \\  계정 잠금 임계 값을 5로 설정 \\ 
 \\ \\
-{{:ws2003:5.jpg|}} \\+{{:ws2003:5.jpg?nolink|}} \\
 \\ \\
 ※ AMS 확인방법 예시(레드아울)\\ ※ AMS 확인방법 예시(레드아울)\\
  컴퓨터 관리>서비스>secure_os_cmmd 서비스 [시작됨] \\   컴퓨터 관리>서비스>secure_os_cmmd 서비스 [시작됨] \\ 
-{{:ws2003:6.jpg|}} \\+{{:ws2003:6.jpg?nolink|}} \\
  
  
-** 상세설명 **+=== 상세설명 ===
  
 시스템 보안향상을 위해 보안정책 설정에서 로그온 실패 횟수와 시간에 따른 계정 잠금 기간 및 계정 잠금 복귀 시간을 설정함으로써 brute force 공격이나 패스워드 크랙 공격에 대응할 수 있도록 잠금 정책을 점검 합니다. 시스템 보안향상을 위해 보안정책 설정에서 로그온 실패 횟수와 시간에 따른 계정 잠금 기간 및 계정 잠금 복귀 시간을 설정함으로써 brute force 공격이나 패스워드 크랙 공격에 대응할 수 있도록 잠금 정책을 점검 합니다.
줄 93: 줄 93:
 패스워드 추측 공격을 방지하기 위한 사용자 패스워드 정책 설정   패스워드 추측 공격을 방지하기 위한 사용자 패스워드 정책 설정  
  
-** - 기준 **+=== 기준 ===
  
 가. 암호정책 설정\\ 가. 암호정책 설정\\
줄 108: 줄 108:
 **※ AMS(접근제어관리시스템)에 연동되어 있을 경우(레드아울, Control-SA 등) Active Directory 로 로그인한 경우 예외처리**\\ **※ AMS(접근제어관리시스템)에 연동되어 있을 경우(레드아울, Control-SA 등) Active Directory 로 로그인한 경우 예외처리**\\
 \\ \\
-** - 설정방법 **\\+=== 설정방법 ===
 \\ \\
 1. 암호정책 설정 방법\\ 1. 암호정책 설정 방법\\
 로컬 보안 설정>계정정책>암호 정책 선택 후 설정\\ 로컬 보안 설정>계정정책>암호 정책 선택 후 설정\\
 \\ \\
- {{:ws2003:7.jpg|}}\\+ {{:ws2003:7.jpg?nolink|}}\\
  
 ※ AMS 확인방법 예시(레드아울) ※ AMS 확인방법 예시(레드아울)
 컴퓨터 관리>서비스>secure_os_cmmd 서비스 [시작]\\ 컴퓨터 관리>서비스>secure_os_cmmd 서비스 [시작]\\
  \\  \\
-{{:ws2003:8.jpg|}}\\+{{:ws2003:8.jpg?nolink|}}\\
 \\ \\
 2. 패스워드 설정 기준\\ 2. 패스워드 설정 기준\\
줄 135: 줄 135:
     *  "root", "rootroot", "root123", "123root", "admin", "admin123", "123admin", "osadmin", "adminos"     *  "root", "rootroot", "root123", "123root", "admin", "admin123", "123admin", "osadmin", "adminos"
  
-** - 상세설명 **+=== 상세설명 ===
  
 패스워드 추측공격을 피하기 위하여 패스워드 최소길이를 설정하고, 패스워드가 임의의 경로를 통해 유출되었을 때, 임의로 접속한 사용자가 언제든 다시 접속할 수 있는 환경을 방지하기 위해 패스워드 날짜 제한을 점검합니다.\\ 패스워드 추측공격을 피하기 위하여 패스워드 최소길이를 설정하고, 패스워드가 임의의 경로를 통해 유출되었을 때, 임의로 접속한 사용자가 언제든 다시 접속할 수 있는 환경을 방지하기 위해 패스워드 날짜 제한을 점검합니다.\\
 더욱 보안을 강화하기 위하여, 각 사용자의 로그온 시간 및 로그온 가능 워크스테이션 정의, 계정 사용기간 정의, RAS(Remote Access Service) 기능 사용시 Call-back 기능 등 대단히 다양한 보안기능을 설정할 수 있으며 사용자 권한 정책의 변화는 사용자가 다음에 로그온 할 때 적용됩니다. 더욱 보안을 강화하기 위하여, 각 사용자의 로그온 시간 및 로그온 가능 워크스테이션 정의, 계정 사용기간 정의, RAS(Remote Access Service) 기능 사용시 Call-back 기능 등 대단히 다양한 보안기능을 설정할 수 있으며 사용자 권한 정책의 변화는 사용자가 다음에 로그온 할 때 적용됩니다.
  
 +----
  
  
줄 149: 줄 150:
 IIs 사용시 CMD.EXE 보안 취약점 방지 설정   IIs 사용시 CMD.EXE 보안 취약점 방지 설정  
  
-** 기준 **+=== 기준 ===
  
 가. IIS 서비스가 실행 중이 아니거나, administrators 와 system 그룹만 실행 권한 설정 가. IIS 서비스가 실행 중이 아니거나, administrators 와 system 그룹만 실행 권한 설정
  
-** 설정방법 **+=== 설정방법 ===
  
   * 탐색기 -> C:\WINDOWS\system32\cmd.exe 파일선택>속성>보안 -> administrators 와 system 이외의 그룹은 제거 권고 ( [보안탭] 이 보이지 않는 경우 폴더 옵션 보기 > 고급설정 에서 "모든 사용자에게 동일한 폴더 공유 권한을 지정(권장)" 을 해지 후 설정)   * 탐색기 -> C:\WINDOWS\system32\cmd.exe 파일선택>속성>보안 -> administrators 와 system 이외의 그룹은 제거 권고 ( [보안탭] 이 보이지 않는 경우 폴더 옵션 보기 > 고급설정 에서 "모든 사용자에게 동일한 폴더 공유 권한을 지정(권장)" 을 해지 후 설정)
  
-{{:ws2003:9.jpg|}}\\+{{:ws2003:9.jpg?nolink|}}\\
    
  
-** 상세설명 **+=== 상세설명 ===
  
 IIS는 batch파일을 Interpret하기 위해서 자동적으로 cmd를 실행하는데 여기서 요청된 파일의 다른 부분을 이용해 공격자는 '&' 와 같은 Character를 삽입함으로써 원하는 명령을 실행 가능합니다. IIS는 batch파일을 Interpret하기 위해서 자동적으로 cmd를 실행하는데 여기서 요청된 파일의 다른 부분을 이용해 공격자는 '&' 와 같은 Character를 삽입함으로써 원하는 명령을 실행 가능합니다.
줄 169: 줄 170:
 임의의 사용자 다른 사용자 계정 별 홈 디렉터리 접근제한 설정    임의의 사용자 다른 사용자 계정 별 홈 디렉터리 접근제한 설정   
  
-** - 기준 **+=== 기준 ===
  
 가. 홈 디렉터리 권한 중 Users:F 또는 Everyone: 설정 금지 가. 홈 디렉터리 권한 중 Users:F 또는 Everyone: 설정 금지
  
-** - 설정방법 **\\+=== 설정방법 ===
 사용자 홈 디렉터리 권한 설정 사용자 홈 디렉터리 권한 설정
   - 디렉터리 위치   - 디렉터리 위치
줄 179: 줄 180:
   - 해당 사용자에 대한 권한외 일반 계정 삭제   - 해당 사용자에 대한 권한외 일반 계정 삭제
    
-{{:ws2003:10.jpg|}}+{{:ws2003:10.jpg?nolink|}}
  
 ** - 상세설명 ** ** - 상세설명 **
줄 206: 줄 207:
   - 마우스 오른쪽 버튼 클릭 후 공유 중지 클릭   - 마우스 오른쪽 버튼 클릭 후 공유 중지 클릭
  
- {{:ws2003:11.jpg|}}\\+ {{:ws2003:11.jpg?nolink|}}\\
 \\ \\
 [ 공유제거 방법 2 ]\\ [ 공유제거 방법 2 ]\\
줄 212: 줄 213:
   - net share 공유명 /delete 명령을 통해 공유 제거   - net share 공유명 /delete 명령을 통해 공유 제거
  
- {{:ws2003:12.jpg|}}\\+ {{:ws2003:12.jpg?nolink|}}\\
 \\ \\
 [ 레지스트리 값 입력 방법 ]\\ [ 레지스트리 값 입력 방법 ]\\
줄 227: 줄 228:
 아래 그림과 같이 AutoShareServer(또는 AutoShareWks)를 추가하고 값을 '0'으로 입력(default 값:0) 아래 그림과 같이 AutoShareServer(또는 AutoShareWks)를 추가하고 값을 '0'으로 입력(default 값:0)
  \\  \\
-{{:ws2003:13.jpg|}}\\+{{:ws2003:13.jpg?nolink|}}\\
 \\ \\
-{{:ws2003:14.jpg|}}\\+{{:ws2003:14.jpg?nolink|}}\\
 \\ \\
 또한, 방화벽과 라우터에서 135,139(TCP/UDP)포트를 차단하여 외부로부터의 위험을 제거함으로써 보안성을 높일 수 있음.\\ 또한, 방화벽과 라우터에서 135,139(TCP/UDP)포트를 차단하여 외부로부터의 위험을 제거함으로써 보안성을 높일 수 있음.\\
줄 236: 줄 237:
 공유디렉터리 -> 속성 -> 공유 탭 선택 -> 사용 권한 에서 Everyone 으로 된 공유를 제거하고 접근이 필요한 계정의 적절한 권한을 추가 공유디렉터리 -> 속성 -> 공유 탭 선택 -> 사용 권한 에서 Everyone 으로 된 공유를 제거하고 접근이 필요한 계정의 적절한 권한을 추가
 \\  \\ 
-{{:ws2003:15.jpg|}}\\+{{:ws2003:15.jpg?nolink|}}\\
 \\ \\
-** 상세설명 **+=== 상세설명 ===
  
 시스템의 기본공유 항목이 제거되지 않게 되면 모든 시스템 자원에 접근할 수 있는 위험한 상황이 발생할 수 있습니다. 최근에 발생한 Nimda 바이러스도 여러 가지 방법 중에서 이러한 공유기능을 침투의 한 경로로 이용한 것입니다.\\ 시스템의 기본공유 항목이 제거되지 않게 되면 모든 시스템 자원에 접근할 수 있는 위험한 상황이 발생할 수 있습니다. 최근에 발생한 Nimda 바이러스도 여러 가지 방법 중에서 이러한 공유기능을 침투의 한 경로로 이용한 것입니다.\\
줄 259: 줄 260:
   * [Windows]\WINDOWS\System32\config\SAM파일>속성보안>Administrators, System 그룹만 모든 권한으로 등록되어 있는지 확인   * [Windows]\WINDOWS\System32\config\SAM파일>속성보안>Administrators, System 그룹만 모든 권한으로 등록되어 있는지 확인
  
-{{:ws2003:16.jpg|}}\\+{{:ws2003:16.jpg?nolink|}}\\
  \\  \\
-{{:ws2003:17.jpg|}}\\+{{:ws2003:17.jpg?nolink|}}\\
 \\ \\
   * 액티브 디렉터리가 설치된 경우 SAM 위치 :  C:\(D:\)WINDOWS/ntds/ntds.dit   * 액티브 디렉터리가 설치된 경우 SAM 위치 :  C:\(D:\)WINDOWS/ntds/ntds.dit
줄 277: 줄 278:
 보안상 취약한 불필요한 서비스 제거   보안상 취약한 불필요한 서비스 제거  
  
-** 기준 **+=== 기준 ===
  
 가. 불필요한 서비스 제거 가. 불필요한 서비스 제거
줄 285: 줄 286:
   * Simple TCP/IP Services 사용 안 함(default 미설치)   * Simple TCP/IP Services 사용 안 함(default 미설치)
  
-** 설정방법 **+=== 설정방법 ===
  
 Windows Server 2003은 시작>설정>제어판>관리도구>서비스를 선택하여 속성에서 불필요한 서비스를 중지하고, "시작유형"을 "사용 안 함"으로 수정 Windows Server 2003은 시작>설정>제어판>관리도구>서비스를 선택하여 속성에서 불필요한 서비스를 중지하고, "시작유형"을 "사용 안 함"으로 수정
    
-{{:ws2003:18.jpg|}}\\+{{:ws2003:18.jpg?nolink|}}\\
  
 각 서비스 마다 옵션을 설정할 수 있으며 해당 서비스를 선택하고 더블 클릭하게 되면 시작 유형을 선택할 수 있으며 시작 시 로그온 계정을 별도로 설정할 수 있음. 만약, 시스템 시작 시 자동으로 시작되게 하려면 [자동], 수동으로 서비스를 시작하려면 [수동], 서비스 자체를 사용하지 않으려면 [사용 안 함]을 선택한 후 [확인]을 클릭\\ 각 서비스 마다 옵션을 설정할 수 있으며 해당 서비스를 선택하고 더블 클릭하게 되면 시작 유형을 선택할 수 있으며 시작 시 로그온 계정을 별도로 설정할 수 있음. 만약, 시스템 시작 시 자동으로 시작되게 하려면 [자동], 수동으로 서비스를 시작하려면 [수동], 서비스 자체를 사용하지 않으려면 [사용 안 함]을 선택한 후 [확인]을 클릭\\
  
-{{:ws2003:19.jpg|}}\\+{{:ws2003:19.jpg?nolink|}}\\
  
-** 상세설명 **+=== 상세설명 ===
  
 일반적으로 시스템에는 필요하지 않은 서비스들이 디폴트로 설치되어 실행되고 있습니다. 이러한 서비스들은 해커가 침입할 수 있는 취약점을 드러내게 되는 원인이 될 수 있으며 또한 시스템 자원을 낭비하게 되므로 필요하지 않은 서비스를 중지시켜야 합니다.\\ 일반적으로 시스템에는 필요하지 않은 서비스들이 디폴트로 설치되어 실행되고 있습니다. 이러한 서비스들은 해커가 침입할 수 있는 취약점을 드러내게 되는 원인이 될 수 있으며 또한 시스템 자원을 낭비하게 되므로 필요하지 않은 서비스를 중지시켜야 합니다.\\
줄 324: 줄 325:
   * 암호화 수준을 중간 이상으로 설정   * 암호화 수준을 중간 이상으로 설정
  
- {{:ws2003:20.jpg|}}\\+ {{:ws2003:20.jpg?nolink|}}\\
  
 === 상세설명 === === 상세설명 ===
줄 360: 줄 361:
 Telnet 서비스에 대한 설정은 설정>제어판>관리도구>텔넷서버 설정을 통하여 할 수 있음\\ Telnet 서비스에 대한 설정은 설정>제어판>관리도구>텔넷서버 설정을 통하여 할 수 있음\\
  \\  \\
-{{:ws2003:21.png|}}\\+{{:ws2003:21.png?nolink|}}\\
 \\ \\
 === 상세설명 === === 상세설명 ===
줄 380: 줄 381:
 승인된 DNS서버로만 전송이 되도록 제한을 해야 하며 설정>제어판>관리도구>DNS>영역전송 탭에서 각각 도메인의 속성을 선택하여 설정 및 확인 가능. 영역전송을 아무 서버에게나 허용해서는 안 됨\\ 승인된 DNS서버로만 전송이 되도록 제한을 해야 하며 설정>제어판>관리도구>DNS>영역전송 탭에서 각각 도메인의 속성을 선택하여 설정 및 확인 가능. 영역전송을 아무 서버에게나 허용해서는 안 됨\\
 \\ \\
- {{:ws2003:22.jpg|}}\\+ {{:ws2003:22.jpg?nolink|}}\\
  
 DNS 서버를 사용하지 않을 경우 아래 그림과 같이 제어판>관리도구>서비스 항목의 속성에서 시작 유형란은 수동으로 변경하고, 상태란은 중지를 눌러 DNS 서버를 중지시킴\\ DNS 서버를 사용하지 않을 경우 아래 그림과 같이 제어판>관리도구>서비스 항목의 속성에서 시작 유형란은 수동으로 변경하고, 상태란은 중지를 눌러 DNS 서버를 중지시킴\\
 \\ \\
- {{:ws2003:23.jpg|}}\\+ {{:ws2003:23.jpg?nolink|}}\\
  
 === 상세설명 === === 상세설명 ===
줄 404: 줄 405:
     * 시작>제어판>관리도구>서비스>SNMP Service>속성>보안 탭에서 커뮤니티 이름을 편집     * 시작>제어판>관리도구>서비스>SNMP Service>속성>보안 탭에서 커뮤니티 이름을 편집
  
- {{:ws2003:24.jpg|}}\\+ {{:ws2003:24.jpg?nolink|}}\\
  
   * 불필요시 해당 서비스 제거   * 불필요시 해당 서비스 제거
     * 시작>제어판>관리도구>서비스>SNMP Service 에서 [시작 유형]을 [사용 안 함]으로 만든 후, SNMP 서비스를 중지     * 시작>제어판>관리도구>서비스>SNMP Service 에서 [시작 유형]을 [사용 안 함]으로 만든 후, SNMP 서비스를 중지
  
-** 상세설명 **+=== 상세설명 ===
  
 SNMP 서비스는 시스템 상태를 실시간으로 파악하거나 설정하기 위하여 사용하는 서비스입니다. 그러나 이 정보를 받기 위한 일종의 패스워드인 Community String이 Default로 public, private로 설정되어 있는 경우가 많으며, 이를 변경하지 않으면 이 String을 악용하여 비인가 사용자가 시스템의 주요 정보 및 설정 상황을 파악 할 수 있는 취약성이 존재합니다. SNMP 서비스는 시스템 상태를 실시간으로 파악하거나 설정하기 위하여 사용하는 서비스입니다. 그러나 이 정보를 받기 위한 일종의 패스워드인 Community String이 Default로 public, private로 설정되어 있는 경우가 많으며, 이를 변경하지 않으면 이 String을 악용하여 비인가 사용자가 시스템의 주요 정보 및 설정 상황을 파악 할 수 있는 취약성이 존재합니다.
줄 471: 줄 472:
   * 시스템 로그파일 경로 : C:\WINDOWS\system32\config   * 시스템 로그파일 경로 : C:\WINDOWS\system32\config
  
- {{:ws2003:30.jpg|}}\\+ {{:ws2003:30.jpg?nolink|}}\\
  
 === 상세설명 === === 상세설명 ===
줄 494: 줄 495:
   * 바탕화면>속성>화면보호기 에서 "화면 보호기" 선택, "암호 사용" 설정, "대기 시간" 5분 권장   * 바탕화면>속성>화면보호기 에서 "화면 보호기" 선택, "암호 사용" 설정, "대기 시간" 5분 권장
  
-{{:ws2003:31.jpg|}}\\ +{{:ws2003:31.jpg?nolink|}}\\ 
  
 === 상세설명 === === 상세설명 ===
줄 512: 줄 513:
 시작>설정>제어판>관리도구>이벤트 뷰어>응용프로그램로그|보안로그|시스템로그>선택>속성\\ 시작>설정>제어판>관리도구>이벤트 뷰어>응용프로그램로그|보안로그|시스템로그>선택>속성\\
 \\ \\
- {{:ws2003:32.png|}}\\+ {{:ws2003:32.png?nolink|}}\\
 \\ \\
   * 최대 로그 크기를 10Mbyte(10240KB)   * 최대 로그 크기를 10Mbyte(10240KB)
줄 542: 줄 543:
  
 \\ \\
- {{:ws2003:33.jpg|}}\\+ {{:ws2003:33.jpg?nolink|}}\\
 \\  \\ 
  
줄 553: 줄 554:
   * LegalNoticeText : 메시지 내용   * LegalNoticeText : 메시지 내용
 \\ \\
- {{:ws2003:34.jpg|}}\\+ {{:ws2003:34.jpg?nolink|}}\\
 \\  \\ 
 **[방법3]**\\ **[방법3]**\\
줄 560: 줄 561:
   * "대화형 로그온 :로그온 시도하는 사용자에 대한 메세지 텍스트" 정책란에 내용을 삽입   * "대화형 로그온 :로그온 시도하는 사용자에 대한 메세지 텍스트" 정책란에 내용을 삽입
 \\ \\
- {{:ws2003:35.jpg|}}\\+ {{:ws2003:35.jpg?nolink|}}\\
 \\   \\  
 === 상세설명 === === 상세설명 ===
줄 584: 줄 585:
   * DontDisplayLastUserName = 1   * DontDisplayLastUserName = 1
 \\ \\
- {{:ws2003:36.jpg|}}\\+ {{:ws2003:36.jpg?nolink|}}\\
 \\  \\ 
 **[방법2]**\\ **[방법2]**\\
줄 611: 줄 612:
   * ShutdownWithoutLogon = 0   * ShutdownWithoutLogon = 0
 \\ \\
- {{:ws2003:37.jpg|}}\\+ {{:ws2003:37.jpg?nolink|}}\\
 \\  \\ 
 **[설정방법2]**\\ **[설정방법2]**\\
줄 617: 줄 618:
   * '로그온 하지 않고 시스템 종료 허용'을 더블 클릭 -> 사용 안 함   * '로그온 하지 않고 시스템 종료 허용'을 더블 클릭 -> 사용 안 함
 \\ \\
- {{:ws2003:38.jpg|}}\\+ {{:ws2003:38.jpg?nolink|}}\\
 \\   \\  
 === 상세설명 === === 상세설명 ===
줄 639: 줄 640:
 개체 액세스 감사, 계정 관리 감사, 계정 로그온 이벤트 감사, 권한 사용 감사, 로그온 이벤트 감사에 대해서는 반드시 "성공|실패" 감사 설정\\ 개체 액세스 감사, 계정 관리 감사, 계정 로그온 이벤트 감사, 권한 사용 감사, 로그온 이벤트 감사에 대해서는 반드시 "성공|실패" 감사 설정\\
 \\ \\
- {{:ws2003:40.jpg|}}\\+ {{:ws2003:40.jpg?nolink|}}\\
 \\  \\ 
 === 상세설명 === === 상세설명 ===
줄 678: 줄 679:
 시작>제어판>관리도구>로컬보안설정>로컬정책>보안 옵션에서 시스템이 종료할 때 가상 메모리 페이지 파일 지움’ 항목을 사용으로 설정함 시작>제어판>관리도구>로컬보안설정>로컬정책>보안 옵션에서 시스템이 종료할 때 가상 메모리 페이지 파일 지움’ 항목을 사용으로 설정함
 \\ \\
- {{:ws2003:41.jpg|}}\\+ {{:ws2003:41.jpg?nolink|}}\\
 \\  \\ 
 === 상세설명 === === 상세설명 ===
줄 733: 줄 734:
   * 시작>실행>regedt32 실행   * 시작>실행>regedt32 실행
 \\ \\
- {{:ws2003:42.jpg|}}\\+ {{:ws2003:42.jpg?nolink|}}\\
 \\   \\  
 HKEY_LOCAL_MACHINE\SAM 키를 선택 -> 마우스 우 클릭 -> 사용 권한\\ HKEY_LOCAL_MACHINE\SAM 키를 선택 -> 마우스 우 클릭 -> 사용 권한\\
 \\ \\
- {{:ws2003:43.jpg|}}\\+ {{:ws2003:43.jpg?nolink|}}\\
 \\  \\ 
  [고급] 옵션 선택\\  [고급] 옵션 선택\\
  \\  \\
- {{:ws2003:44.jpg|}}\\+ {{:ws2003:44.jpg?nolink|}}\\
 \\  \\ 
 [감사] 탭에서 [추가]를 선택, 감사할 사용자 및 그룹 추가(Everyone 권고)\\ [감사] 탭에서 [추가]를 선택, 감사할 사용자 및 그룹 추가(Everyone 권고)\\
 \\ \\
- {{:ws2003:45.jpg|}}\\+ {{:ws2003:45.jpg?nolink|}}\\
 \\  \\ 
 개체 액세스 모든 옵션에 대해 성공/실패 감사 체크 -> 확인\\ 개체 액세스 모든 옵션에 대해 성공/실패 감사 체크 -> 확인\\
 \\ \\
- {{:ws2003:46.jpg|}}\\+ {{:ws2003:46.jpg?nolink|}}\\
 \\  \\ 
 SAM Registry의 Everyone 그룹에 대한 감사 기능이 설정된 화면 SAM Registry의 Everyone 그룹에 대한 감사 기능이 설정된 화면
줄 768: 줄 769:
 3. 오른쪽 버튼을 눌러 새로 만들기 |DWORD값을 선택 3. 오른쪽 버튼을 눌러 새로 만들기 |DWORD값을 선택
 \\ \\
- {{:ws2003:47.jpg|}}\\+ {{:ws2003:47.jpg?nolink|}}\\
 \\  \\ 
 4. RestrictAnonymous 를 입력. 이때 값을 "2"로 변경 4. RestrictAnonymous 를 입력. 이때 값을 "2"로 변경
 \\ \\
- {{:ws2003:48.jpg|}}\\+ {{:ws2003:48.jpg?nolink|}}\\
 \\  \\ 
   * 방화벽과 라우터에서 135,139(TCP, UDP)포트의 차단을 통해 외부로부터의 위협을 차단하도록 함   * 방화벽과 라우터에서 135,139(TCP, UDP)포트의 차단을 통해 외부로부터의 위협을 차단하도록 함
줄 795: 줄 796:
 반드시 필요한 경우를 제외하고는 "불필요한 서비스제거" 항목을 참조하여 "Remote Registry Service" 를 중지\\ 반드시 필요한 경우를 제외하고는 "불필요한 서비스제거" 항목을 참조하여 "Remote Registry Service" 를 중지\\
 \\ \\
- {{:ws2003:49.jpg|}}\\+ {{:ws2003:49.jpg?nolink|}}\\
 \\  \\ 
 꼭 필요한 경우 다음과 같은 방법으로 원격 레지스트리 접근을 제한\\ 꼭 필요한 경우 다음과 같은 방법으로 원격 레지스트리 접근을 제한\\
줄 809: 줄 810:
 4. 원격 레지스트리 접근을 허용할 계정 추가\\ 4. 원격 레지스트리 접근을 허용할 계정 추가\\
 \\ \\
- {{:ws2003:50.jpg|}}\\+ {{:ws2003:50.jpg?nolink|}}\\
 \\  \\ 
 === 상세설명 === === 상세설명 ===
줄 832: 줄 833:
 4. DefaultPassword 엔트리가 존재한다면 삭제\\ 4. DefaultPassword 엔트리가 존재한다면 삭제\\
 \\ \\
- {{:ws2003:51.jpg|}}\\+ {{:ws2003:51.jpg?nolink|}}\\
 \\  \\ 
 === 상세설명 === === 상세설명 ===
 Autologon 기능을 사용하면 침입자가 해킹 도구를 이용하여 레지스트리에서 로그인 계정 및 암호를 확인할 수 있으므로 Autologon 기능을 사용하지 말아야 합니다. Autologon 기능을 사용하면 침입자가 해킹 도구를 이용하여 레지스트리에서 로그인 계정 및 암호를 확인할 수 있으므로 Autologon 기능을 사용하지 말아야 합니다.

추적: