현재 위치: WiKi Security Spirit » 보안 하드닝 가이드 » Windows 2003 보안가이드라인

차이

문서의 선택한 두 판 사이의 차이를 보여줍니다.

차이 보기로 링크

양쪽 이전 판이전 판
다음 판		이전 판
guide:win2003 [2013/07/22 09:42] wiki1122guide:win2003 [2024/04/04 05:12] (현재) – 바깥 편집 127.0.0.1
줄 18: 줄 18:
 시작>설정>제어판>관리도구>컴퓨터관리>로컬사용자 및 그룹>그룹 Administrators그룹을 선택하여 구성원 중 불필요한 관리자 계정 제거\\ 시작>설정>제어판>관리도구>컴퓨터관리>로컬사용자 및 그룹>그룹 Administrators그룹을 선택하여 구성원 중 불필요한 관리자 계정 제거\\
 \\ \\
-{{:ws2003:1.jpg|}} \\+{{:ws2003:1.jpg?nolink|}} \\
 \\ \\
 Administrator 변경시 보안옵션을 이용하여 변경\\ Administrator 변경시 보안옵션을 이용하여 변경\\
 시작>설정>제어판>관리도구>로컬 보안 정책>로컬 정책>보안 옵션>' 계정 : Administrator 계정이름 바꾸기'를 더블 클릭 -> Administraotr 계정 변경 \\  시작>설정>제어판>관리도구>로컬 보안 정책>로컬 정책>보안 옵션>' 계정 : Administrator 계정이름 바꾸기'를 더블 클릭 -> Administraotr 계정 변경 \\ 
-{{:ws2003:2.jpg|}}+{{:ws2003:2.jpg?nolink|}}
 \\ \\
  2. GUEST 계정 비활성화\\  2. GUEST 계정 비활성화\\
 시작>설정>제어판>관리도구>컴퓨터관리>로컬사용자 및 그룹>사용자를 선택하여 Guest 계정의 속성에서 Guest 계정에 대한 사용 제한 설정\\ 시작>설정>제어판>관리도구>컴퓨터관리>로컬사용자 및 그룹>사용자를 선택하여 Guest 계정의 속성에서 Guest 계정에 대한 사용 제한 설정\\
  \\  \\
-{{:ws2003:3.jpg|}}\\ +{{:ws2003:3.jpg?nolink|}}\\ 
 \\ \\
  3. 사용하는 계정에 대해 "전체이름 또는 "설명" 부분 내용 기입\\   3. 사용하는 계정에 대해 "전체이름 또는 "설명" 부분 내용 기입\\ 
 시작>설정>제어판>관리도구>컴퓨터관리>로컬사용자 및 그룹>사용자를 선택하여 더 이상 사용되지 않는 계정을 제거\\ 시작>설정>제어판>관리도구>컴퓨터관리>로컬사용자 및 그룹>사용자를 선택하여 더 이상 사용되지 않는 계정을 제거\\
  \\   \\ 
-{{:ws2003:4.png|}} \\ +{{:ws2003:4.png?nolink|}} \\ 
 \\ \\
 ※ 계정 삭제를 Command Line 에서 할 경우\\ ※ 계정 삭제를 Command Line 에서 할 경우\\
줄 54: 줄 54:
 |   Mcmservice    |  전화연동을 위한 서비스 계정                        | |   Mcmservice    |  전화연동을 위한 서비스 계정                        |
 |   Tbmsadmin       tbms 관리자 계정                                  | |   Tbmsadmin       tbms 관리자 계정                                  |
-+++++
  
 ==== 계정 잠금 정책 설정(중요도 : 상) ==== ==== 계정 잠금 정책 설정(중요도 : 상) ====
줄 70: 줄 70:
 계정 잠금 임계 값을 5로 설정 \\  계정 잠금 임계 값을 5로 설정 \\ 
 \\ \\
-{{:ws2003:5.jpg|}} \\+{{:ws2003:5.jpg?nolink|}} \\
 \\ \\
 ※ AMS 확인방법 예시(레드아울)\\ ※ AMS 확인방법 예시(레드아울)\\
  컴퓨터 관리>서비스>secure_os_cmmd 서비스 [시작됨] \\   컴퓨터 관리>서비스>secure_os_cmmd 서비스 [시작됨] \\ 
-{{:ws2003:6.jpg|}} \\+{{:ws2003:6.jpg?nolink|}} \\
  
  
줄 87: 줄 87:
 5번 잘못된 로그온 시도 후 계정 잠금 : 로그인 시도 횟수를 5번으로 설정하며, 5번 이상 로그인에 실패 하였을 경우 계정 잠금 시간만큼 계정은 잠기게 됩니다. 5번 잘못된 로그온 시도 후 계정 잠금 : 로그인 시도 횟수를 5번으로 설정하며, 5번 이상 로그인에 실패 하였을 경우 계정 잠금 시간만큼 계정은 잠기게 됩니다.
  
-+++++
  
 ==== 암호 정책 설정(중요도 : 상) ==== ==== 암호 정책 설정(중요도 : 상) ====
줄 93: 줄 93:
 패스워드 추측 공격을 방지하기 위한 사용자 패스워드 정책 설정   패스워드 추측 공격을 방지하기 위한 사용자 패스워드 정책 설정  
  
-** - 기준 **+=== 기준 ===
  
 가. 암호정책 설정\\ 가. 암호정책 설정\\
줄 108: 줄 108:
 **※ AMS(접근제어관리시스템)에 연동되어 있을 경우(레드아울, Control-SA 등) Active Directory 로 로그인한 경우 예외처리**\\ **※ AMS(접근제어관리시스템)에 연동되어 있을 경우(레드아울, Control-SA 등) Active Directory 로 로그인한 경우 예외처리**\\
 \\ \\
-** - 설정방법 **\\+=== 설정방법 ===
 \\ \\
 1. 암호정책 설정 방법\\ 1. 암호정책 설정 방법\\
 로컬 보안 설정>계정정책>암호 정책 선택 후 설정\\ 로컬 보안 설정>계정정책>암호 정책 선택 후 설정\\
 \\ \\
- {{:ws2003:7.jpg|}}\\+ {{:ws2003:7.jpg?nolink|}}\\
  
 ※ AMS 확인방법 예시(레드아울) ※ AMS 확인방법 예시(레드아울)
 컴퓨터 관리>서비스>secure_os_cmmd 서비스 [시작]\\ 컴퓨터 관리>서비스>secure_os_cmmd 서비스 [시작]\\
  \\  \\
-{{:ws2003:8.jpg|}}\\+{{:ws2003:8.jpg?nolink|}}\\
 \\ \\
 2. 패스워드 설정 기준\\ 2. 패스워드 설정 기준\\
줄 135: 줄 135:
     *  "root", "rootroot", "root123", "123root", "admin", "admin123", "123admin", "osadmin", "adminos"     *  "root", "rootroot", "root123", "123root", "admin", "admin123", "123admin", "osadmin", "adminos"
  
-** - 상세설명 **+=== 상세설명 ===
  
 패스워드 추측공격을 피하기 위하여 패스워드 최소길이를 설정하고, 패스워드가 임의의 경로를 통해 유출되었을 때, 임의로 접속한 사용자가 언제든 다시 접속할 수 있는 환경을 방지하기 위해 패스워드 날짜 제한을 점검합니다.\\ 패스워드 추측공격을 피하기 위하여 패스워드 최소길이를 설정하고, 패스워드가 임의의 경로를 통해 유출되었을 때, 임의로 접속한 사용자가 언제든 다시 접속할 수 있는 환경을 방지하기 위해 패스워드 날짜 제한을 점검합니다.\\
 더욱 보안을 강화하기 위하여, 각 사용자의 로그온 시간 및 로그온 가능 워크스테이션 정의, 계정 사용기간 정의, RAS(Remote Access Service) 기능 사용시 Call-back 기능 등 대단히 다양한 보안기능을 설정할 수 있으며 사용자 권한 정책의 변화는 사용자가 다음에 로그온 할 때 적용됩니다. 더욱 보안을 강화하기 위하여, 각 사용자의 로그온 시간 및 로그온 가능 워크스테이션 정의, 계정 사용기간 정의, RAS(Remote Access Service) 기능 사용시 Call-back 기능 등 대단히 다양한 보안기능을 설정할 수 있으며 사용자 권한 정책의 변화는 사용자가 다음에 로그온 할 때 적용됩니다.
  
-+++++---- 
  
 ===== 2. 파일 시스템 ===== ===== 2. 파일 시스템 =====
줄 157: 줄 158:
   * 탐색기 -> C:\WINDOWS\system32\cmd.exe 파일선택>속성>보안 -> administrators 와 system 이외의 그룹은 제거 권고 ( [보안탭] 이 보이지 않는 경우 폴더 옵션 보기 > 고급설정 에서 "모든 사용자에게 동일한 폴더 공유 권한을 지정(권장)" 을 해지 후 설정)   * 탐색기 -> C:\WINDOWS\system32\cmd.exe 파일선택>속성>보안 -> administrators 와 system 이외의 그룹은 제거 권고 ( [보안탭] 이 보이지 않는 경우 폴더 옵션 보기 > 고급설정 에서 "모든 사용자에게 동일한 폴더 공유 권한을 지정(권장)" 을 해지 후 설정)
  
-{{:ws2003:9.jpg|}}\\+{{:ws2003:9.jpg?nolink|}}\\
    
  
줄 163: 줄 164:
  
 IIS는 batch파일을 Interpret하기 위해서 자동적으로 cmd를 실행하는데 여기서 요청된 파일의 다른 부분을 이용해 공격자는 '&' 와 같은 Character를 삽입함으로써 원하는 명령을 실행 가능합니다. IIS는 batch파일을 Interpret하기 위해서 자동적으로 cmd를 실행하는데 여기서 요청된 파일의 다른 부분을 이용해 공격자는 '&' 와 같은 Character를 삽입함으로써 원하는 명령을 실행 가능합니다.
-+++++
  
 ==== 사용자 홈 디렉터리 접근 제한(중요도 : 중) ==== ==== 사용자 홈 디렉터리 접근 제한(중요도 : 중) ====
줄 169: 줄 170:
 임의의 사용자 다른 사용자 계정 별 홈 디렉터리 접근제한 설정    임의의 사용자 다른 사용자 계정 별 홈 디렉터리 접근제한 설정   
  
-** - 기준 **+=== 기준 ===
  
 가. 홈 디렉터리 권한 중 Users:F 또는 Everyone: 설정 금지 가. 홈 디렉터리 권한 중 Users:F 또는 Everyone: 설정 금지
  
-** - 설정방법 **\\+=== 설정방법 ===
 사용자 홈 디렉터리 권한 설정 사용자 홈 디렉터리 권한 설정
   - 디렉터리 위치   - 디렉터리 위치
줄 179: 줄 180:
   - 해당 사용자에 대한 권한외 일반 계정 삭제   - 해당 사용자에 대한 권한외 일반 계정 삭제
    
-{{:ws2003:10.jpg|}}+{{:ws2003:10.jpg?nolink|}}
  
 ** - 상세설명 ** ** - 상세설명 **
줄 185: 줄 186:
 사용자 계정 별 홈 디렉터리의 권한이 제한되어 있지 않을 경우 임의의 사용자가 파일 및 디렉터리에 접근이 가능하므로 해당 사용자만의 접근 권한을 설정해야 합니다. 사용자 계정 별 홈 디렉터리의 권한이 제한되어 있지 않을 경우 임의의 사용자가 파일 및 디렉터리에 접근이 가능하므로 해당 사용자만의 접근 권한을 설정해야 합니다.
  
-+++++
  
 ==== 공유 폴더 설정(중요도 : 상) ==== ==== 공유 폴더 설정(중요도 : 상) ====
줄 206: 줄 207:
   - 마우스 오른쪽 버튼 클릭 후 공유 중지 클릭   - 마우스 오른쪽 버튼 클릭 후 공유 중지 클릭
  
- {{:ws2003:11.jpg|}}\\+ {{:ws2003:11.jpg?nolink|}}\\
 \\ \\
 [ 공유제거 방법 2 ]\\ [ 공유제거 방법 2 ]\\
줄 212: 줄 213:
   - net share 공유명 /delete 명령을 통해 공유 제거   - net share 공유명 /delete 명령을 통해 공유 제거
  
- {{:ws2003:12.jpg|}}\\+ {{:ws2003:12.jpg?nolink|}}\\
 \\ \\
 [ 레지스트리 값 입력 방법 ]\\ [ 레지스트리 값 입력 방법 ]\\
줄 227: 줄 228:
 아래 그림과 같이 AutoShareServer(또는 AutoShareWks)를 추가하고 값을 '0'으로 입력(default 값:0) 아래 그림과 같이 AutoShareServer(또는 AutoShareWks)를 추가하고 값을 '0'으로 입력(default 값:0)
  \\  \\
-{{:ws2003:13.jpg|}}\\+{{:ws2003:13.jpg?nolink|}}\\
 \\ \\
-{{:ws2003:14.jpg|}}\\+{{:ws2003:14.jpg?nolink|}}\\
 \\ \\
 또한, 방화벽과 라우터에서 135,139(TCP/UDP)포트를 차단하여 외부로부터의 위험을 제거함으로써 보안성을 높일 수 있음.\\ 또한, 방화벽과 라우터에서 135,139(TCP/UDP)포트를 차단하여 외부로부터의 위험을 제거함으로써 보안성을 높일 수 있음.\\
줄 236: 줄 237:
 공유디렉터리 -> 속성 -> 공유 탭 선택 -> 사용 권한 에서 Everyone 으로 된 공유를 제거하고 접근이 필요한 계정의 적절한 권한을 추가 공유디렉터리 -> 속성 -> 공유 탭 선택 -> 사용 권한 에서 Everyone 으로 된 공유를 제거하고 접근이 필요한 계정의 적절한 권한을 추가
 \\  \\ 
-{{:ws2003:15.jpg|}}\\+{{:ws2003:15.jpg?nolink|}}\\
 \\ \\
 === 상세설명 === === 상세설명 ===
줄 246: 줄 247:
 또한 디폴트 공유인 C$, D$, Admin$, IPC$ 등을 제외한 공유폴더를 everyone 그룹으로 공유가 금지되었는지 여부를 점검합니다. EveryOne이 공유계정에 포함 되어 있을 경우 익명 사용자의 접근이 가능하므로 접근을 확인하여 제어 하게 되면 익명사용자에 의한 접근을 차단 할 수 있습니다. 또한 디폴트 공유인 C$, D$, Admin$, IPC$ 등을 제외한 공유폴더를 everyone 그룹으로 공유가 금지되었는지 여부를 점검합니다. EveryOne이 공유계정에 포함 되어 있을 경우 익명 사용자의 접근이 가능하므로 접근을 확인하여 제어 하게 되면 익명사용자에 의한 접근을 차단 할 수 있습니다.
  
-+++++
  
 ==== SAM(Security Account Manager)파일 권한 설정(중요도 : 상) ==== ==== SAM(Security Account Manager)파일 권한 설정(중요도 : 상) ====
줄 259: 줄 260:
   * [Windows]\WINDOWS\System32\config\SAM파일>속성보안>Administrators, System 그룹만 모든 권한으로 등록되어 있는지 확인   * [Windows]\WINDOWS\System32\config\SAM파일>속성보안>Administrators, System 그룹만 모든 권한으로 등록되어 있는지 확인
  
-{{:ws2003:16.jpg|}}\\+{{:ws2003:16.jpg?nolink|}}\\
  \\  \\
-{{:ws2003:17.jpg|}}\\+{{:ws2003:17.jpg?nolink|}}\\
 \\ \\
   * 액티브 디렉터리가 설치된 경우 SAM 위치 :  C:\(D:\)WINDOWS/ntds/ntds.dit   * 액티브 디렉터리가 설치된 경우 SAM 위치 :  C:\(D:\)WINDOWS/ntds/ntds.dit
줄 269: 줄 270:
 Security Account Manager (SAM) 파일은 사용자와 그룹 계정들을 다루고, LSA를 위한 인증을 제공합니다. 패스워드 공격 시도에 의한 Password Database 노출될 수 있으므로 Administrator 및 System 그룹외에는 SAM 파일에 대한 접근이 제한 되어야 합니다. Security Account Manager (SAM) 파일은 사용자와 그룹 계정들을 다루고, LSA를 위한 인증을 제공합니다. 패스워드 공격 시도에 의한 Password Database 노출될 수 있으므로 Administrator 및 System 그룹외에는 SAM 파일에 대한 접근이 제한 되어야 합니다.
  
-+++++
  
 ===== 3. 네트워크 서비스 ===== ===== 3. 네트워크 서비스 =====
줄 289: 줄 290:
 Windows Server 2003은 시작>설정>제어판>관리도구>서비스를 선택하여 속성에서 불필요한 서비스를 중지하고, "시작유형"을 "사용 안 함"으로 수정 Windows Server 2003은 시작>설정>제어판>관리도구>서비스를 선택하여 속성에서 불필요한 서비스를 중지하고, "시작유형"을 "사용 안 함"으로 수정
    
-{{:ws2003:18.jpg|}}\\+{{:ws2003:18.jpg?nolink|}}\\
  
 각 서비스 마다 옵션을 설정할 수 있으며 해당 서비스를 선택하고 더블 클릭하게 되면 시작 유형을 선택할 수 있으며 시작 시 로그온 계정을 별도로 설정할 수 있음. 만약, 시스템 시작 시 자동으로 시작되게 하려면 [자동], 수동으로 서비스를 시작하려면 [수동], 서비스 자체를 사용하지 않으려면 [사용 안 함]을 선택한 후 [확인]을 클릭\\ 각 서비스 마다 옵션을 설정할 수 있으며 해당 서비스를 선택하고 더블 클릭하게 되면 시작 유형을 선택할 수 있으며 시작 시 로그온 계정을 별도로 설정할 수 있음. 만약, 시스템 시작 시 자동으로 시작되게 하려면 [자동], 수동으로 서비스를 시작하려면 [수동], 서비스 자체를 사용하지 않으려면 [사용 안 함]을 선택한 후 [확인]을 클릭\\
  
-{{:ws2003:19.jpg|}}\\+{{:ws2003:19.jpg?nolink|}}\\
  
 === 상세설명 === === 상세설명 ===
줄 306: 줄 307:
 |       자동         | 부팅 시에 해당 장치 드라이버가 로드 된 후에 운영 체제에 의해 시작됨   | |       자동         | 부팅 시에 해당 장치 드라이버가 로드 된 후에 운영 체제에 의해 시작됨   |
  
-+++++
  
 ==== 터미널 서비스 암호화 수준 설정(중요도 : 중) ==== ==== 터미널 서비스 암호화 수준 설정(중요도 : 중) ====
줄 324: 줄 325:
   * 암호화 수준을 중간 이상으로 설정   * 암호화 수준을 중간 이상으로 설정
  
- {{:ws2003:20.jpg|}}\\+ {{:ws2003:20.jpg?nolink|}}\\
  
 === 상세설명 === === 상세설명 ===
 터미널 서비스는 원격지에 있는 서버를 관리하기 위한 유용한 도구이나 취약한 패스워드를 사용하거나 접근제어가 적절치 못할 경우 해킹의 도구로 악용될 수 있으므로 불필요하게 터미널 서비스가 사용되고 있는지 점검합니다. 터미널 서비스는 원격지에 있는 서버를 관리하기 위한 유용한 도구이나 취약한 패스워드를 사용하거나 접근제어가 적절치 못할 경우 해킹의 도구로 악용될 수 있으므로 불필요하게 터미널 서비스가 사용되고 있는지 점검합니다.
  
-+++++
  
 ====  방화벽 정책 적용(중요도 : 상) ==== ====  방화벽 정책 적용(중요도 : 상) ====
줄 345: 줄 346:
 신규 서비스 오픈 시 보안진단 신청을 완료해야 방화벽 오픈이 가능하며 Any Open(사내 망 Any Open 합니다. 대외 망 다수의 IP 오픈 포함)은 보안진단 후 취약점 조치가 완료 되야 방화벽 오픈이 가능합니다. 신규 서비스 오픈 시 보안진단 신청을 완료해야 방화벽 오픈이 가능하며 Any Open(사내 망 Any Open 합니다. 대외 망 다수의 IP 오픈 포함)은 보안진단 후 취약점 조치가 완료 되야 방화벽 오픈이 가능합니다.
  
-+++++
  
 ===== 4. 주요 응용 설정 ===== ===== 4. 주요 응용 설정 =====
줄 360: 줄 361:
 Telnet 서비스에 대한 설정은 설정>제어판>관리도구>텔넷서버 설정을 통하여 할 수 있음\\ Telnet 서비스에 대한 설정은 설정>제어판>관리도구>텔넷서버 설정을 통하여 할 수 있음\\
  \\  \\
-{{:ws2003:21.png|}}\\+{{:ws2003:21.png?nolink|}}\\
 \\ \\
 === 상세설명 === === 상세설명 ===
줄 368: 줄 369:
 또한, 엄격한 계정정책을 사용하지 않으면 외부의 비인가자에 의한 침해의 통로가 될 수 있으며 Telnet을 이용한 통신은 암호화 되지 않은 평문으로 전송되므로 간단한 Sniffer 에 의해서도 정보가 유출될 수 있습니다.\\ 또한, 엄격한 계정정책을 사용하지 않으면 외부의 비인가자에 의한 침해의 통로가 될 수 있으며 Telnet을 이용한 통신은 암호화 되지 않은 평문으로 전송되므로 간단한 Sniffer 에 의해서도 정보가 유출될 수 있습니다.\\
  
-+++++
  
 ==== DNS(Domain Name Service)보안 설정(중요도 : 중) ==== ==== DNS(Domain Name Service)보안 설정(중요도 : 중) ====
줄 380: 줄 381:
 승인된 DNS서버로만 전송이 되도록 제한을 해야 하며 설정>제어판>관리도구>DNS>영역전송 탭에서 각각 도메인의 속성을 선택하여 설정 및 확인 가능. 영역전송을 아무 서버에게나 허용해서는 안 됨\\ 승인된 DNS서버로만 전송이 되도록 제한을 해야 하며 설정>제어판>관리도구>DNS>영역전송 탭에서 각각 도메인의 속성을 선택하여 설정 및 확인 가능. 영역전송을 아무 서버에게나 허용해서는 안 됨\\
 \\ \\
- {{:ws2003:22.jpg|}}\\+ {{:ws2003:22.jpg?nolink|}}\\
  
 DNS 서버를 사용하지 않을 경우 아래 그림과 같이 제어판>관리도구>서비스 항목의 속성에서 시작 유형란은 수동으로 변경하고, 상태란은 중지를 눌러 DNS 서버를 중지시킴\\ DNS 서버를 사용하지 않을 경우 아래 그림과 같이 제어판>관리도구>서비스 항목의 속성에서 시작 유형란은 수동으로 변경하고, 상태란은 중지를 눌러 DNS 서버를 중지시킴\\
 \\ \\
- {{:ws2003:23.jpg|}}\\+ {{:ws2003:23.jpg?nolink|}}\\
  
 === 상세설명 === === 상세설명 ===
 DNS 서버에 저장되어 있는 도메인 정보를 승인된 DNS서버가 아닌 다른 외부로 유출하는 것은 보안상 바람직하지 않으며 적절한 설정을 통하여 이러한 정보의 전송을 제한할 수 있습니다. DNS 서버를 사용하지 않을 경우 중지시킵니다. DNS 서버에 저장되어 있는 도메인 정보를 승인된 DNS서버가 아닌 다른 외부로 유출하는 것은 보안상 바람직하지 않으며 적절한 설정을 통하여 이러한 정보의 전송을 제한할 수 있습니다. DNS 서버를 사용하지 않을 경우 중지시킵니다.
  
-+++++
  
 ==== SNMP(Simple Network Management Protocol)서비스 보안 설정(중요도 : 상) ==== ==== SNMP(Simple Network Management Protocol)서비스 보안 설정(중요도 : 상) ====
줄 404: 줄 405:
     * 시작>제어판>관리도구>서비스>SNMP Service>속성>보안 탭에서 커뮤니티 이름을 편집     * 시작>제어판>관리도구>서비스>SNMP Service>속성>보안 탭에서 커뮤니티 이름을 편집
  
- {{:ws2003:24.jpg|}}\\+ {{:ws2003:24.jpg?nolink|}}\\
  
   * 불필요시 해당 서비스 제거   * 불필요시 해당 서비스 제거
줄 413: 줄 414:
 SNMP 서비스는 시스템 상태를 실시간으로 파악하거나 설정하기 위하여 사용하는 서비스입니다. 그러나 이 정보를 받기 위한 일종의 패스워드인 Community String이 Default로 public, private로 설정되어 있는 경우가 많으며, 이를 변경하지 않으면 이 String을 악용하여 비인가 사용자가 시스템의 주요 정보 및 설정 상황을 파악 할 수 있는 취약성이 존재합니다. SNMP 서비스는 시스템 상태를 실시간으로 파악하거나 설정하기 위하여 사용하는 서비스입니다. 그러나 이 정보를 받기 위한 일종의 패스워드인 Community String이 Default로 public, private로 설정되어 있는 경우가 많으며, 이를 변경하지 않으면 이 String을 악용하여 비인가 사용자가 시스템의 주요 정보 및 설정 상황을 파악 할 수 있는 취약성이 존재합니다.
  
-+++++
 ===== 5. 보안패치 ===== ===== 5. 보안패치 =====
  
줄 433: 줄 434:
 서비스 팩은 Windows 시스템을 마이크로소프트에서 출시하고 난 뒤 Windows와 관련된 응용프로그램, 서비스, 실행파일 등 여러 수정 파일들을 모아 놓은 프로그램 입니다. 서비스 팩은 Windows 시스템을 마이크로소프트에서 출시하고 난 뒤 Windows와 관련된 응용프로그램, 서비스, 실행파일 등 여러 수정 파일들을 모아 놓은 프로그램 입니다.
  
-+++++
 ==== 최신 HOT FIX 적용(중요도 : 상) ==== ==== 최신 HOT FIX 적용(중요도 : 상) ====
 시스템 안정 및 보안성 향상을 위한 최신 HOT FIX적용여부 점검   시스템 안정 및 보안성 향상을 위한 최신 HOT FIX적용여부 점검  
줄 458: 줄 459:
 Hot Fix는 즉시 교정되어야만 하는 주요한 취약점(주로 보안과 관련된)을 패치하기 위해 배포되는 프로그램입니다. Hot Fix는 각각의 Service Pack 이 발표된 이후 패치가 추가될 필요가 있을 때 별도로 발표됩니다. 때론, Hot Fix 보다 취약성을 이용한 공격도구가 먼저 출현 할 수 있으므로 Hot Fix는 발표 후 가능한 빨리 설치 할 것을 권장합니다. Hot Fix는 즉시 교정되어야만 하는 주요한 취약점(주로 보안과 관련된)을 패치하기 위해 배포되는 프로그램입니다. Hot Fix는 각각의 Service Pack 이 발표된 이후 패치가 추가될 필요가 있을 때 별도로 발표됩니다. 때론, Hot Fix 보다 취약성을 이용한 공격도구가 먼저 출현 할 수 있으므로 Hot Fix는 발표 후 가능한 빨리 설치 할 것을 권장합니다.
  
-+++++
 ===== 6. 시스템 보안 설정 ===== ===== 6. 시스템 보안 설정 =====
  
줄 471: 줄 472:
   * 시스템 로그파일 경로 : C:\WINDOWS\system32\config   * 시스템 로그파일 경로 : C:\WINDOWS\system32\config
  
- {{:ws2003:30.jpg|}}\\+ {{:ws2003:30.jpg?nolink|}}\\
  
 === 상세설명 === === 상세설명 ===
줄 477: 줄 478:
 일반적으로 시스템 로그파일은 C:\WINDOWS\system32\config에 저장되나 어플리케이션 로그파일은 각각의 어플리케이션마다 로그저장 위치가 다름. 웹 서버에 많이 사용하는 IIS 의 경우에는 C:\WINDOWS\system32\LogFiles에 IIS 로그 저장이 이루어집니다.\\ 일반적으로 시스템 로그파일은 C:\WINDOWS\system32\config에 저장되나 어플리케이션 로그파일은 각각의 어플리케이션마다 로그저장 위치가 다름. 웹 서버에 많이 사용하는 IIS 의 경우에는 C:\WINDOWS\system32\LogFiles에 IIS 로그 저장이 이루어집니다.\\
  
-+++++
  
 ==== 화면 보호기 설정(중요도 : 하) ==== ==== 화면 보호기 설정(중요도 : 하) ====
줄 494: 줄 495:
   * 바탕화면>속성>화면보호기 에서 "화면 보호기" 선택, "암호 사용" 설정, "대기 시간" 5분 권장   * 바탕화면>속성>화면보호기 에서 "화면 보호기" 선택, "암호 사용" 설정, "대기 시간" 5분 권장
  
-{{:ws2003:31.jpg|}}\\ +{{:ws2003:31.jpg?nolink|}}\\ 
  
 === 상세설명 === === 상세설명 ===
 로그오프하거나 워크스테이션 잠김 설정이 되어있는지 여부를 확인합니다. 자리 이탈시의 정보 유출 가능성을 최소화 합니다.\\ 로그오프하거나 워크스테이션 잠김 설정이 되어있는지 여부를 확인합니다. 자리 이탈시의 정보 유출 가능성을 최소화 합니다.\\
  
-+++++
  
 ==== 이벤트 뷰어 설정(중요도 : 상) ==== ==== 이벤트 뷰어 설정(중요도 : 상) ====
줄 512: 줄 513:
 시작>설정>제어판>관리도구>이벤트 뷰어>응용프로그램로그|보안로그|시스템로그>선택>속성\\ 시작>설정>제어판>관리도구>이벤트 뷰어>응용프로그램로그|보안로그|시스템로그>선택>속성\\
 \\ \\
- {{:ws2003:32.png|}}\\+ {{:ws2003:32.png?nolink|}}\\
 \\ \\
   * 최대 로그 크기를 10Mbyte(10240KB)   * 최대 로그 크기를 10Mbyte(10240KB)
줄 521: 줄 522:
 보안 로그의 크기를 유지하여 접근자 추적 및 불법 접근자 확인 자료로 이용합니다.\\ 보안 로그의 크기를 유지하여 접근자 추적 및 불법 접근자 확인 자료로 이용합니다.\\
  
-+++++
  
 ==== 로그인 시 경고 메시지 표시 설정(중요도 : 중) ==== ==== 로그인 시 경고 메시지 표시 설정(중요도 : 중) ====
줄 542: 줄 543:
  
 \\ \\
- {{:ws2003:33.jpg|}}\\+ {{:ws2003:33.jpg?nolink|}}\\
 \\  \\ 
  
줄 553: 줄 554:
   * LegalNoticeText : 메시지 내용   * LegalNoticeText : 메시지 내용
 \\ \\
- {{:ws2003:34.jpg|}}\\+ {{:ws2003:34.jpg?nolink|}}\\
 \\  \\ 
 **[방법3]**\\ **[방법3]**\\
줄 560: 줄 561:
   * "대화형 로그온 :로그온 시도하는 사용자에 대한 메세지 텍스트" 정책란에 내용을 삽입   * "대화형 로그온 :로그온 시도하는 사용자에 대한 메세지 텍스트" 정책란에 내용을 삽입
 \\ \\
- {{:ws2003:35.jpg|}}\\+ {{:ws2003:35.jpg?nolink|}}\\
 \\   \\  
 === 상세설명 === === 상세설명 ===
줄 584: 줄 585:
   * DontDisplayLastUserName = 1   * DontDisplayLastUserName = 1
 \\ \\
- {{:ws2003:36.jpg|}}\\+ {{:ws2003:36.jpg?nolink|}}\\
 \\  \\ 
 **[방법2]**\\ **[방법2]**\\
줄 611: 줄 612:
   * ShutdownWithoutLogon = 0   * ShutdownWithoutLogon = 0
 \\ \\
- {{:ws2003:37.jpg|}}\\+ {{:ws2003:37.jpg?nolink|}}\\
 \\  \\ 
 **[설정방법2]**\\ **[설정방법2]**\\
줄 617: 줄 618:
   * '로그온 하지 않고 시스템 종료 허용'을 더블 클릭 -> 사용 안 함   * '로그온 하지 않고 시스템 종료 허용'을 더블 클릭 -> 사용 안 함
 \\ \\
- {{:ws2003:38.jpg|}}\\+ {{:ws2003:38.jpg?nolink|}}\\
 \\   \\  
 === 상세설명 === === 상세설명 ===
줄 639: 줄 640:
 개체 액세스 감사, 계정 관리 감사, 계정 로그온 이벤트 감사, 권한 사용 감사, 로그온 이벤트 감사에 대해서는 반드시 "성공|실패" 감사 설정\\ 개체 액세스 감사, 계정 관리 감사, 계정 로그온 이벤트 감사, 권한 사용 감사, 로그온 이벤트 감사에 대해서는 반드시 "성공|실패" 감사 설정\\
 \\ \\
- {{:ws2003:40.jpg|}}\\+ {{:ws2003:40.jpg?nolink|}}\\
 \\  \\ 
 === 상세설명 === === 상세설명 ===
줄 678: 줄 679:
 시작>제어판>관리도구>로컬보안설정>로컬정책>보안 옵션에서 시스템이 종료할 때 가상 메모리 페이지 파일 지움’ 항목을 사용으로 설정함 시작>제어판>관리도구>로컬보안설정>로컬정책>보안 옵션에서 시스템이 종료할 때 가상 메모리 페이지 파일 지움’ 항목을 사용으로 설정함
 \\ \\
- {{:ws2003:41.jpg|}}\\+ {{:ws2003:41.jpg?nolink|}}\\
 \\  \\ 
 === 상세설명 === === 상세설명 ===
줄 733: 줄 734:
   * 시작>실행>regedt32 실행   * 시작>실행>regedt32 실행
 \\ \\
- {{:ws2003:42.jpg|}}\\+ {{:ws2003:42.jpg?nolink|}}\\
 \\   \\  
 HKEY_LOCAL_MACHINE\SAM 키를 선택 -> 마우스 우 클릭 -> 사용 권한\\ HKEY_LOCAL_MACHINE\SAM 키를 선택 -> 마우스 우 클릭 -> 사용 권한\\
 \\ \\
- {{:ws2003:43.jpg|}}\\+ {{:ws2003:43.jpg?nolink|}}\\
 \\  \\ 
  [고급] 옵션 선택\\  [고급] 옵션 선택\\
  \\  \\
- {{:ws2003:44.jpg|}}\\+ {{:ws2003:44.jpg?nolink|}}\\
 \\  \\ 
 [감사] 탭에서 [추가]를 선택, 감사할 사용자 및 그룹 추가(Everyone 권고)\\ [감사] 탭에서 [추가]를 선택, 감사할 사용자 및 그룹 추가(Everyone 권고)\\
 \\ \\
- {{:ws2003:45.jpg|}}\\+ {{:ws2003:45.jpg?nolink|}}\\
 \\  \\ 
 개체 액세스 모든 옵션에 대해 성공/실패 감사 체크 -> 확인\\ 개체 액세스 모든 옵션에 대해 성공/실패 감사 체크 -> 확인\\
 \\ \\
- {{:ws2003:46.jpg|}}\\+ {{:ws2003:46.jpg?nolink|}}\\
 \\  \\ 
 SAM Registry의 Everyone 그룹에 대한 감사 기능이 설정된 화면 SAM Registry의 Everyone 그룹에 대한 감사 기능이 설정된 화면
줄 768: 줄 769:
 3. 오른쪽 버튼을 눌러 새로 만들기 |DWORD값을 선택 3. 오른쪽 버튼을 눌러 새로 만들기 |DWORD값을 선택
 \\ \\
- {{:ws2003:47.jpg|}}\\+ {{:ws2003:47.jpg?nolink|}}\\
 \\  \\ 
 4. RestrictAnonymous 를 입력. 이때 값을 "2"로 변경 4. RestrictAnonymous 를 입력. 이때 값을 "2"로 변경
 \\ \\
- {{:ws2003:48.jpg|}}\\+ {{:ws2003:48.jpg?nolink|}}\\
 \\  \\ 
   * 방화벽과 라우터에서 135,139(TCP, UDP)포트의 차단을 통해 외부로부터의 위협을 차단하도록 함   * 방화벽과 라우터에서 135,139(TCP, UDP)포트의 차단을 통해 외부로부터의 위협을 차단하도록 함
줄 795: 줄 796:
 반드시 필요한 경우를 제외하고는 "불필요한 서비스제거" 항목을 참조하여 "Remote Registry Service" 를 중지\\ 반드시 필요한 경우를 제외하고는 "불필요한 서비스제거" 항목을 참조하여 "Remote Registry Service" 를 중지\\
 \\ \\
- {{:ws2003:49.jpg|}}\\+ {{:ws2003:49.jpg?nolink|}}\\
 \\  \\ 
 꼭 필요한 경우 다음과 같은 방법으로 원격 레지스트리 접근을 제한\\ 꼭 필요한 경우 다음과 같은 방법으로 원격 레지스트리 접근을 제한\\
줄 809: 줄 810:
 4. 원격 레지스트리 접근을 허용할 계정 추가\\ 4. 원격 레지스트리 접근을 허용할 계정 추가\\
 \\ \\
- {{:ws2003:50.jpg|}}\\+ {{:ws2003:50.jpg?nolink|}}\\
 \\  \\ 
 === 상세설명 === === 상세설명 ===
줄 832: 줄 833:
 4. DefaultPassword 엔트리가 존재한다면 삭제\\ 4. DefaultPassword 엔트리가 존재한다면 삭제\\
 \\ \\
- {{:ws2003:51.jpg|}}\\+ {{:ws2003:51.jpg?nolink|}}\\
 \\  \\ 
 === 상세설명 === === 상세설명 ===
 Autologon 기능을 사용하면 침입자가 해킹 도구를 이용하여 레지스트리에서 로그인 계정 및 암호를 확인할 수 있으므로 Autologon 기능을 사용하지 말아야 합니다. Autologon 기능을 사용하면 침입자가 해킹 도구를 이용하여 레지스트리에서 로그인 계정 및 암호를 확인할 수 있으므로 Autologon 기능을 사용하지 말아야 합니다.

추적: