차이
문서의 선택한 두 판 사이의 차이를 보여줍니다.
양쪽 이전 판이전 판다음 판 | 이전 판마지막 판양쪽 다음 판 | ||
guide:win2003 [2013/07/22 09:40] – [로컬 계정 사용 설정(중요도 : 상)] wiki1122 | guide:win2003 [2023/05/22 08:33] – wiki1122 | ||
---|---|---|---|
줄 13: | 줄 13: | ||
나. GUEST 계정 비활성화\\ | 나. GUEST 계정 비활성화\\ | ||
다. 사용하는 계정에 대해 " | 다. 사용하는 계정에 대해 " | ||
+ | \\ | ||
=== 설정방법 === | === 설정방법 === | ||
1. Administrators그룹에 관리자 계정인 Administrator 계정 변경\\ | 1. Administrators그룹에 관리자 계정인 Administrator 계정 변경\\ | ||
시작> | 시작> | ||
\\ | \\ | ||
- | {{: | + | {{: |
\\ | \\ | ||
Administrator 변경시 보안옵션을 이용하여 변경\\ | Administrator 변경시 보안옵션을 이용하여 변경\\ | ||
시작> | 시작> | ||
- | {{: | + | {{: |
\\ | \\ | ||
2. GUEST 계정 비활성화\\ | 2. GUEST 계정 비활성화\\ | ||
시작> | 시작> | ||
\\ | \\ | ||
- | {{: | + | {{: |
\\ | \\ | ||
3. 사용하는 계정에 대해 " | 3. 사용하는 계정에 대해 " | ||
시작> | 시작> | ||
| | ||
- | {{: | + | {{: |
\\ | \\ | ||
※ 계정 삭제를 Command Line 에서 할 경우\\ | ※ 계정 삭제를 Command Line 에서 할 경우\\ | ||
* net user 명령을 이용하여 현재 사용자 파악 | * net user 명령을 이용하여 현재 사용자 파악 | ||
* net user " | * net user " | ||
+ | \\ | ||
=== 상세설명 === | === 상세설명 === | ||
- | - Administrators그룹에 관리자 계정인 Administrator 계정 변경\\ 일반적으로 관리자를 위한 계정과 일반 사용자들을 위한 계정을 분리하여 사용하는 것이 바람직하며 만일 시스템 관리자라면 두 개의 계정을 가지는 것이 좋습니다. 하나는 관리업무를 위한 것이고, 다른 하나는 일반적인 일을 하기 위한 것입니다. 예를 들어 일반사용자 권한으로부터 활성화된 바이러스에 비해 관리자 권한을 가진 계정으로부터 활성화된 바이러스라면 시스템에 훨씬 많은 피해를 줄 수 있습니다.\\ 또한 관리자 계정으로 설정되어 있는 " | + | - Administrators그룹에 관리자 계정인 Administrator 계정 변경\\ 일반적으로 관리자를 위한 계정과 일반 사용자들을 위한 계정을 분리하여 사용하는 것이 바람직하며 만일 시스템 관리자라면 두 개의 계정을 가지는 것이 좋습니다. 하나는 관리업무를 위한 것이고, 다른 하나는 일반적인 일을 하기 위한 것입니다. 예를 들어 일반사용자 권한으로부터 활성화된 바이러스에 비해 관리자 권한을 가진 계정으로부터 활성화된 바이러스라면 시스템에 훨씬 많은 피해를 줄 수 있습니다.\\ \\ 또한 관리자 계정으로 설정되어 있는 " |
- GUEST 계정 비활성화\\ 대부분의 시스템은 Guest 계정의 사용을 필요치 않으며 앞으로도 계속 Guest 계정의 사용을 제한해야 하며, 불특정 다수의 접근이 필요할 경우 Guest 가 아닌 일반 사용자 계정을 생성해 사용 하도록 해야 합니다. | - GUEST 계정 비활성화\\ 대부분의 시스템은 Guest 계정의 사용을 필요치 않으며 앞으로도 계속 Guest 계정의 사용을 제한해야 하며, 불특정 다수의 접근이 필요할 경우 Guest 가 아닌 일반 사용자 계정을 생성해 사용 하도록 해야 합니다. | ||
- 사용하는 계정에 대해 " | - 사용하는 계정에 대해 " | ||
줄 53: | 줄 55: | ||
| | | | ||
- | ---- | ||
==== 계정 잠금 정책 설정(중요도 : 상) ==== | ==== 계정 잠금 정책 설정(중요도 : 상) ==== | ||
시스템 보안을 위한 계정잠금 설정 | 시스템 보안을 위한 계정잠금 설정 | ||
- | ** 기준 | + | === 기준 |
가. 계정 잠금 기간 60분 이상, 계정 잠금 임계값 5번 이하, 계정 잠금 기간 원래대로 설정 60분 이상\\ | 가. 계정 잠금 기간 60분 이상, 계정 잠금 임계값 5번 이하, 계정 잠금 기간 원래대로 설정 60분 이상\\ | ||
\\ | \\ | ||
※ AMS(접근제어관리시스템)에 연동되어 있을 경우(레드아울, | ※ AMS(접근제어관리시스템)에 연동되어 있을 경우(레드아울, | ||
- | ** 설정방법 | + | === 설정방법 |
시작> | 시작> | ||
줄 69: | 줄 70: | ||
계정 잠금 임계 값을 5로 설정 \\ | 계정 잠금 임계 값을 5로 설정 \\ | ||
\\ | \\ | ||
- | {{: | + | {{: |
\\ | \\ | ||
※ AMS 확인방법 예시(레드아울)\\ | ※ AMS 확인방법 예시(레드아울)\\ | ||
| | ||
- | {{: | + | {{: |
- | ** 상세설명 | + | === 상세설명 |
시스템 보안향상을 위해 보안정책 설정에서 로그온 실패 횟수와 시간에 따른 계정 잠금 기간 및 계정 잠금 복귀 시간을 설정함으로써 brute force 공격이나 패스워드 크랙 공격에 대응할 수 있도록 잠금 정책을 점검 합니다. | 시스템 보안향상을 위해 보안정책 설정에서 로그온 실패 횟수와 시간에 따른 계정 잠금 기간 및 계정 잠금 복귀 시간을 설정함으로써 brute force 공격이나 패스워드 크랙 공격에 대응할 수 있도록 잠금 정책을 점검 합니다. | ||
줄 92: | 줄 93: | ||
패스워드 추측 공격을 방지하기 위한 사용자 패스워드 정책 설정 | 패스워드 추측 공격을 방지하기 위한 사용자 패스워드 정책 설정 | ||
- | ** - 기준 | + | === 기준 |
가. 암호정책 설정\\ | 가. 암호정책 설정\\ | ||
줄 107: | 줄 108: | ||
**※ AMS(접근제어관리시스템)에 연동되어 있을 경우(레드아울, | **※ AMS(접근제어관리시스템)에 연동되어 있을 경우(레드아울, | ||
\\ | \\ | ||
- | ** - 설정방법 | + | === 설정방법 |
\\ | \\ | ||
1. 암호정책 설정 방법\\ | 1. 암호정책 설정 방법\\ | ||
로컬 보안 설정> | 로컬 보안 설정> | ||
\\ | \\ | ||
- | | + | |
※ AMS 확인방법 예시(레드아울) | ※ AMS 확인방법 예시(레드아울) | ||
컴퓨터 관리> | 컴퓨터 관리> | ||
\\ | \\ | ||
- | {{: | + | {{: |
\\ | \\ | ||
2. 패스워드 설정 기준\\ | 2. 패스워드 설정 기준\\ | ||
줄 134: | 줄 135: | ||
* " | * " | ||
- | ** - 상세설명 | + | === 상세설명 |
패스워드 추측공격을 피하기 위하여 패스워드 최소길이를 설정하고, | 패스워드 추측공격을 피하기 위하여 패스워드 최소길이를 설정하고, | ||
더욱 보안을 강화하기 위하여, 각 사용자의 로그온 시간 및 로그온 가능 워크스테이션 정의, 계정 사용기간 정의, RAS(Remote Access Service) 기능 사용시 Call-back 기능 등 대단히 다양한 보안기능을 설정할 수 있으며 사용자 권한 정책의 변화는 사용자가 다음에 로그온 할 때 적용됩니다. | 더욱 보안을 강화하기 위하여, 각 사용자의 로그온 시간 및 로그온 가능 워크스테이션 정의, 계정 사용기간 정의, RAS(Remote Access Service) 기능 사용시 Call-back 기능 등 대단히 다양한 보안기능을 설정할 수 있으며 사용자 권한 정책의 변화는 사용자가 다음에 로그온 할 때 적용됩니다. | ||
+ | ---- | ||
줄 148: | 줄 150: | ||
IIs 사용시 CMD.EXE 보안 취약점 방지 설정 | IIs 사용시 CMD.EXE 보안 취약점 방지 설정 | ||
- | ** 기준 | + | === 기준 |
가. IIS 서비스가 실행 중이 아니거나, | 가. IIS 서비스가 실행 중이 아니거나, | ||
- | ** 설정방법 | + | === 설정방법 |
* 탐색기 -> C: | * 탐색기 -> C: | ||
- | {{: | + | {{: |
- | ** 상세설명 | + | === 상세설명 |
IIS는 batch파일을 Interpret하기 위해서 자동적으로 cmd를 실행하는데 여기서 요청된 파일의 다른 부분을 이용해 공격자는 '&' | IIS는 batch파일을 Interpret하기 위해서 자동적으로 cmd를 실행하는데 여기서 요청된 파일의 다른 부분을 이용해 공격자는 '&' | ||
줄 168: | 줄 170: | ||
임의의 사용자 다른 사용자 계정 별 홈 디렉터리 접근제한 설정 | 임의의 사용자 다른 사용자 계정 별 홈 디렉터리 접근제한 설정 | ||
- | ** - 기준 | + | === 기준 |
가. 홈 디렉터리 권한 중 Users:F 또는 Everyone: | 가. 홈 디렉터리 권한 중 Users:F 또는 Everyone: | ||
- | ** - 설정방법 | + | === 설정방법 |
사용자 홈 디렉터리 권한 설정 | 사용자 홈 디렉터리 권한 설정 | ||
- 디렉터리 위치 | - 디렉터리 위치 | ||
줄 178: | 줄 180: | ||
- 해당 사용자에 대한 권한외 일반 계정 삭제 | - 해당 사용자에 대한 권한외 일반 계정 삭제 | ||
- | {{: | + | {{: |
** - 상세설명 ** | ** - 상세설명 ** | ||
줄 205: | 줄 207: | ||
- 마우스 오른쪽 버튼 클릭 후 공유 중지 클릭 | - 마우스 오른쪽 버튼 클릭 후 공유 중지 클릭 | ||
- | | + | |
\\ | \\ | ||
[ 공유제거 방법 2 ]\\ | [ 공유제거 방법 2 ]\\ | ||
줄 211: | 줄 213: | ||
- net share 공유명 /delete 명령을 통해 공유 제거 | - net share 공유명 /delete 명령을 통해 공유 제거 | ||
- | | + | |
\\ | \\ | ||
[ 레지스트리 값 입력 방법 ]\\ | [ 레지스트리 값 입력 방법 ]\\ | ||
줄 226: | 줄 228: | ||
아래 그림과 같이 AutoShareServer(또는 AutoShareWks)를 추가하고 값을 ' | 아래 그림과 같이 AutoShareServer(또는 AutoShareWks)를 추가하고 값을 ' | ||
\\ | \\ | ||
- | {{: | + | {{: |
\\ | \\ | ||
- | {{: | + | {{: |
\\ | \\ | ||
또한, 방화벽과 라우터에서 135, | 또한, 방화벽과 라우터에서 135, | ||
줄 235: | 줄 237: | ||
공유디렉터리 -> 속성 -> 공유 탭 선택 -> 사용 권한 에서 Everyone 으로 된 공유를 제거하고 접근이 필요한 계정의 적절한 권한을 추가 | 공유디렉터리 -> 속성 -> 공유 탭 선택 -> 사용 권한 에서 Everyone 으로 된 공유를 제거하고 접근이 필요한 계정의 적절한 권한을 추가 | ||
\\ | \\ | ||
- | {{: | + | {{: |
\\ | \\ | ||
- | ** 상세설명 | + | === 상세설명 |
시스템의 기본공유 항목이 제거되지 않게 되면 모든 시스템 자원에 접근할 수 있는 위험한 상황이 발생할 수 있습니다. 최근에 발생한 Nimda 바이러스도 여러 가지 방법 중에서 이러한 공유기능을 침투의 한 경로로 이용한 것입니다.\\ | 시스템의 기본공유 항목이 제거되지 않게 되면 모든 시스템 자원에 접근할 수 있는 위험한 상황이 발생할 수 있습니다. 최근에 발생한 Nimda 바이러스도 여러 가지 방법 중에서 이러한 공유기능을 침투의 한 경로로 이용한 것입니다.\\ | ||
줄 258: | 줄 260: | ||
* [Windows]\WINDOWS\System32\config\SAM파일> | * [Windows]\WINDOWS\System32\config\SAM파일> | ||
- | {{: | + | {{: |
\\ | \\ | ||
- | {{: | + | {{: |
\\ | \\ | ||
* 액티브 디렉터리가 설치된 경우 SAM 위치 : C: | * 액티브 디렉터리가 설치된 경우 SAM 위치 : C: | ||
줄 276: | 줄 278: | ||
보안상 취약한 불필요한 서비스 제거 | 보안상 취약한 불필요한 서비스 제거 | ||
- | ** 기준 | + | === 기준 |
가. 불필요한 서비스 제거 | 가. 불필요한 서비스 제거 | ||
줄 284: | 줄 286: | ||
* Simple TCP/IP Services 사용 안 함(default 미설치) | * Simple TCP/IP Services 사용 안 함(default 미설치) | ||
- | ** 설정방법 | + | === 설정방법 |
Windows Server 2003은 시작> | Windows Server 2003은 시작> | ||
- | {{: | + | {{: |
각 서비스 마다 옵션을 설정할 수 있으며 해당 서비스를 선택하고 더블 클릭하게 되면 시작 유형을 선택할 수 있으며 시작 시 로그온 계정을 별도로 설정할 수 있음. 만약, 시스템 시작 시 자동으로 시작되게 하려면 [자동], 수동으로 서비스를 시작하려면 [수동], 서비스 자체를 사용하지 않으려면 [사용 안 함]을 선택한 후 [확인]을 클릭\\ | 각 서비스 마다 옵션을 설정할 수 있으며 해당 서비스를 선택하고 더블 클릭하게 되면 시작 유형을 선택할 수 있으며 시작 시 로그온 계정을 별도로 설정할 수 있음. 만약, 시스템 시작 시 자동으로 시작되게 하려면 [자동], 수동으로 서비스를 시작하려면 [수동], 서비스 자체를 사용하지 않으려면 [사용 안 함]을 선택한 후 [확인]을 클릭\\ | ||
- | {{: | + | {{: |
- | ** 상세설명 | + | === 상세설명 |
일반적으로 시스템에는 필요하지 않은 서비스들이 디폴트로 설치되어 실행되고 있습니다. 이러한 서비스들은 해커가 침입할 수 있는 취약점을 드러내게 되는 원인이 될 수 있으며 또한 시스템 자원을 낭비하게 되므로 필요하지 않은 서비스를 중지시켜야 합니다.\\ | 일반적으로 시스템에는 필요하지 않은 서비스들이 디폴트로 설치되어 실행되고 있습니다. 이러한 서비스들은 해커가 침입할 수 있는 취약점을 드러내게 되는 원인이 될 수 있으며 또한 시스템 자원을 낭비하게 되므로 필요하지 않은 서비스를 중지시켜야 합니다.\\ | ||
줄 323: | 줄 325: | ||
* 암호화 수준을 중간 이상으로 설정 | * 암호화 수준을 중간 이상으로 설정 | ||
- | | + | |
=== 상세설명 === | === 상세설명 === | ||
줄 359: | 줄 361: | ||
Telnet 서비스에 대한 설정은 설정> | Telnet 서비스에 대한 설정은 설정> | ||
\\ | \\ | ||
- | {{: | + | {{: |
\\ | \\ | ||
=== 상세설명 === | === 상세설명 === | ||
줄 379: | 줄 381: | ||
승인된 DNS서버로만 전송이 되도록 제한을 해야 하며 설정> | 승인된 DNS서버로만 전송이 되도록 제한을 해야 하며 설정> | ||
\\ | \\ | ||
- | | + | |
DNS 서버를 사용하지 않을 경우 아래 그림과 같이 제어판> | DNS 서버를 사용하지 않을 경우 아래 그림과 같이 제어판> | ||
\\ | \\ | ||
- | | + | |
=== 상세설명 === | === 상세설명 === | ||
줄 403: | 줄 405: | ||
* 시작> | * 시작> | ||
- | | + | |
* 불필요시 해당 서비스 제거 | * 불필요시 해당 서비스 제거 | ||
* 시작> | * 시작> | ||
- | ** 상세설명 | + | === 상세설명 |
SNMP 서비스는 시스템 상태를 실시간으로 파악하거나 설정하기 위하여 사용하는 서비스입니다. 그러나 이 정보를 받기 위한 일종의 패스워드인 Community String이 Default로 public, private로 설정되어 있는 경우가 많으며, 이를 변경하지 않으면 이 String을 악용하여 비인가 사용자가 시스템의 주요 정보 및 설정 상황을 파악 할 수 있는 취약성이 존재합니다. | SNMP 서비스는 시스템 상태를 실시간으로 파악하거나 설정하기 위하여 사용하는 서비스입니다. 그러나 이 정보를 받기 위한 일종의 패스워드인 Community String이 Default로 public, private로 설정되어 있는 경우가 많으며, 이를 변경하지 않으면 이 String을 악용하여 비인가 사용자가 시스템의 주요 정보 및 설정 상황을 파악 할 수 있는 취약성이 존재합니다. | ||
줄 470: | 줄 472: | ||
* 시스템 로그파일 경로 : C: | * 시스템 로그파일 경로 : C: | ||
- | | + | |
=== 상세설명 === | === 상세설명 === | ||
줄 493: | 줄 495: | ||
* 바탕화면> | * 바탕화면> | ||
- | {{: | + | {{: |
=== 상세설명 === | === 상세설명 === | ||
줄 511: | 줄 513: | ||
시작> | 시작> | ||
\\ | \\ | ||
- | | + | |
\\ | \\ | ||
* 최대 로그 크기를 10Mbyte(10240KB) | * 최대 로그 크기를 10Mbyte(10240KB) | ||
줄 541: | 줄 543: | ||
\\ | \\ | ||
- | | + | |
\\ | \\ | ||
줄 552: | 줄 554: | ||
* LegalNoticeText : 메시지 내용 | * LegalNoticeText : 메시지 내용 | ||
\\ | \\ | ||
- | | + | |
\\ | \\ | ||
**[방법3]**\\ | **[방법3]**\\ | ||
줄 559: | 줄 561: | ||
* " | * " | ||
\\ | \\ | ||
- | | + | |
\\ | \\ | ||
=== 상세설명 === | === 상세설명 === | ||
줄 583: | 줄 585: | ||
* DontDisplayLastUserName = 1 | * DontDisplayLastUserName = 1 | ||
\\ | \\ | ||
- | | + | |
\\ | \\ | ||
**[방법2]**\\ | **[방법2]**\\ | ||
줄 610: | 줄 612: | ||
* ShutdownWithoutLogon = 0 | * ShutdownWithoutLogon = 0 | ||
\\ | \\ | ||
- | | + | |
\\ | \\ | ||
**[설정방법2]**\\ | **[설정방법2]**\\ | ||
줄 616: | 줄 618: | ||
* ' | * ' | ||
\\ | \\ | ||
- | | + | |
\\ | \\ | ||
=== 상세설명 === | === 상세설명 === | ||
줄 638: | 줄 640: | ||
개체 액세스 감사, 계정 관리 감사, 계정 로그온 이벤트 감사, 권한 사용 감사, 로그온 이벤트 감사에 대해서는 반드시 " | 개체 액세스 감사, 계정 관리 감사, 계정 로그온 이벤트 감사, 권한 사용 감사, 로그온 이벤트 감사에 대해서는 반드시 " | ||
\\ | \\ | ||
- | | + | |
\\ | \\ | ||
=== 상세설명 === | === 상세설명 === | ||
줄 677: | 줄 679: | ||
시작> | 시작> | ||
\\ | \\ | ||
- | | + | |
\\ | \\ | ||
=== 상세설명 === | === 상세설명 === | ||
줄 732: | 줄 734: | ||
* 시작> | * 시작> | ||
\\ | \\ | ||
- | | + | |
\\ | \\ | ||
HKEY_LOCAL_MACHINE\SAM 키를 선택 -> 마우스 우 클릭 -> 사용 권한\\ | HKEY_LOCAL_MACHINE\SAM 키를 선택 -> 마우스 우 클릭 -> 사용 권한\\ | ||
\\ | \\ | ||
- | | + | |
\\ | \\ | ||
| | ||
\\ | \\ | ||
- | | + | |
\\ | \\ | ||
[감사] 탭에서 [추가]를 선택, 감사할 사용자 및 그룹 추가(Everyone 권고)\\ | [감사] 탭에서 [추가]를 선택, 감사할 사용자 및 그룹 추가(Everyone 권고)\\ | ||
\\ | \\ | ||
- | | + | |
\\ | \\ | ||
개체 액세스 모든 옵션에 대해 성공/ | 개체 액세스 모든 옵션에 대해 성공/ | ||
\\ | \\ | ||
- | | + | |
\\ | \\ | ||
SAM Registry의 Everyone 그룹에 대한 감사 기능이 설정된 화면 | SAM Registry의 Everyone 그룹에 대한 감사 기능이 설정된 화면 | ||
줄 767: | 줄 769: | ||
3. 오른쪽 버튼을 눌러 새로 만들기 |DWORD값을 선택 | 3. 오른쪽 버튼을 눌러 새로 만들기 |DWORD값을 선택 | ||
\\ | \\ | ||
- | | + | |
\\ | \\ | ||
4. RestrictAnonymous 를 입력. 이때 값을 " | 4. RestrictAnonymous 를 입력. 이때 값을 " | ||
\\ | \\ | ||
- | | + | |
\\ | \\ | ||
* 방화벽과 라우터에서 135, | * 방화벽과 라우터에서 135, | ||
줄 794: | 줄 796: | ||
반드시 필요한 경우를 제외하고는 " | 반드시 필요한 경우를 제외하고는 " | ||
\\ | \\ | ||
- | | + | |
\\ | \\ | ||
꼭 필요한 경우 다음과 같은 방법으로 원격 레지스트리 접근을 제한\\ | 꼭 필요한 경우 다음과 같은 방법으로 원격 레지스트리 접근을 제한\\ | ||
줄 808: | 줄 810: | ||
4. 원격 레지스트리 접근을 허용할 계정 추가\\ | 4. 원격 레지스트리 접근을 허용할 계정 추가\\ | ||
\\ | \\ | ||
- | | + | |
\\ | \\ | ||
=== 상세설명 === | === 상세설명 === | ||
줄 831: | 줄 833: | ||
4. DefaultPassword 엔트리가 존재한다면 삭제\\ | 4. DefaultPassword 엔트리가 존재한다면 삭제\\ | ||
\\ | \\ | ||
- | | + | |
\\ | \\ | ||
=== 상세설명 === | === 상세설명 === | ||
Autologon 기능을 사용하면 침입자가 해킹 도구를 이용하여 레지스트리에서 로그인 계정 및 암호를 확인할 수 있으므로 Autologon 기능을 사용하지 말아야 합니다. | Autologon 기능을 사용하면 침입자가 해킹 도구를 이용하여 레지스트리에서 로그인 계정 및 암호를 확인할 수 있으므로 Autologon 기능을 사용하지 말아야 합니다. |