[정보보안기사(실기)] SECTION 03 윈도우 서버 취약점

260316 고기굽는방앗간 앞사람 생일이라 고기를 샀다. 여기 콜키지가 무료여서 옴

---

1. 계정 관리

1. Administrator 계정 이름 변경 또는 보안성 강화
   1. 개요
   2. 보안 설정
      • 관리자 계정명 확인
        • 제어판 > 관리 도구 > 컴퓨터 관리 > 로컬 사용자 및 그룹 > 사용자에서 계정명 확인
        • 컴퓨터 관리 단축 명령 실행 > compmgmt.msc 입력
        • 로컬 사용자 및 그룹 단축 명령 실행 > lusrmgr.msc 입력
      • 관리자 계정명 변경
        • 제어판 > 관리 도구 > 로컬 보안 정책 > 로컬 정책 > 보안 옵션의 계정:Administrator 계정 이름 바꾸기를 통해 변경
        • 로컬 보안 정책 단축 명령 실행 > secpol.msc 입력
2. Guest 계정 비활성화
   1. 개요
      • 시스템에 임시로 접근해야 하는 사용자를 위한 계정
      • 삭제할 수 없는 built-in 계정
   2. 보안 설정 — 제어판 > 관리 도구 > 컴퓨터 관리 > 로컬 사용자 및 그룹 > 사용자에서 Guest 계정 선택 후 계정 사용 안 함 적용
3. 불필요한 계정 제거
   1. 개요
   2. 보안 설정 — 제어판 > 관리 도구 > 컴퓨터 관리 > 로컬 사용자 및 그룹 > 사용자에서 불필요한 계정에 대한 삭제 또는 계정 사용 안 함 선택
4. 관리자 그룹에 최소환의 사용자 포함
   1. 개요
   2. 보안 설정
      • 관리자 그룹에 속한 계정 확인 — 제어판 > 관리 도구 > 컴퓨터 관리 >로컬 사용자 및 그룹 > 그룹에서 Administrators 그룹 선택 후 불필요한 계정 확인
      • 관리자 그룹에 불필요한 계정 제거
5. 패스워드 정책 설정
   1. 개요
      • 제어판 > 관리 도구 > 로컬 보안 정책 > 계정 정책 > 암호 정책 선택
      • 로컬 보안 정책 단축 명령 실행 > secpol.msc
   2. 보안 설정
      • 패스워드 복잡성 설정
        • 암호는 복잡성을 만족해야 함을 사용으로 설정
        • 윈도우 운영체제의 복잡성 기준 — 다음 4가지 종류 중에서 2가지 종류를 조합해쓸 경우 최소 10자리 이상, 3가지 이상의 종류를 조합했을 경우 8자리 이상의 길이
      • 최근 패스워드 기억 설정 — 4개 이상 설정 권장
      • 패스워드 최대 사용 기간 설정
        • 90일 이하 설정 권장
        • 계정 속성의 암호 사용 기간 제한 없음 해제
      • 패스워드 최소 사용 기간 설정 — 일반적으로 1일 설정 권장
      • 패스워드 최소 길이 설정 — 8자 이상 설정 권장
      • 해독 가능한 암호화 사용 설정 — 해독 가능한 암호화를 사용하여 암호 저장을 사용 안 함 설정
6. 계정 잠금 정책 설정
   1. 개요
      • 제어판 > 관리 도구 > 로컬 보안 정책 > 계정 정책 > 계정 잠금 정책 선택
      • 로컬 보안 정책 단축 명령 실행 > secpol.msc
   2. 보안 설정
      • 계정 잠금 임계값 설정
        • 5 이하 설정 권장
        • Administrator 계정은 잠기지 않음
      • 계정 잠금 기간 설정 — 60분 이상 설정 권장
      • 다음 시간 후 계정 잠금 수를 원래대로 설정 — 60분 이상 설정 권장

2. 서비스 관리

1. 하드디스크 기본 공유 제거
   1. 개요
      • 윈도우는 프로그램 및 서비스를 네트워크나 컴퓨터 환경에서 관리하기 위해 시스템 기본 공유 항목을 자동으로 생성
        • 하드디스크 기본 공유 — C$, D$ 등
        • 원격 관리 및 IPC용 기본 공유 — ADMIN$, IPC$ 등
        • 공유 이름 뒤에 $는 숨겨진 공유 의미
      • 기본 공유 폴더를 통해 비인가자 접근 및 바이러스 침투 가능
   2. 보안 설정
      • 하드디스크 기본 공유 설정 확인
        • 제어판 > 관리 도구 > 컴퓨터 관리 > 공유 폴더 > 공유를 선택하여 하드디스크 기본 공유 설정 확인
          • 공유 폴더 단축 명령 실행 > fsmgmt.msc 입력
        • cmd — net share 명령을 이용한 기본 공유 설정 확인
      • 원격에서 하드디스크 기본 공유 접근 테스트
        • 실행 > \[공유 컴퓨터 IP][공유 이름] 입력 > 네트워크 인증(계정/패스워드) 입력
        • 기본 공유 폴더(C:) 접근 확인
      • 하드디스크 기본 공유 제거
        • 공유 폴더 관리 화면에서 공유 중지를 설정하거나 net share 명령을 이용하여 공유 중지 가능. 기본 공유의 경우 공유 중지를 해도 운영체제 재시작 시 자동으로 설정되어 이를 차단하기 위해 레지스트리 설정 필요
          • cmd — net share [공유 이름] /delete
        • 레지스트리 설정을 통한 기본 공유 자동 설정 차단
          • 레지스트리 편집창 명령 실행 > regedit 입력
          • 레지스트리 설정 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters 키 하위에 AutoShareServer 항목 REG_DWORD 타입 생성 후 0으로 설정
2. 공유 권한 및 사용자 그룹 설정
   1. 개요
   2. 보안 설정
      • 공유 폴더의 사용 권한 확인
        • 제어판 > 관리 도구 > 컴퓨터 관리 > 공유 폴더 > 공유 선택하여 공유 폴더의 사용 권한 확인
        • Everyone 권한 제거
3. 불필요한 서비스 제거
   1. 개요
      • 불필요한 서비스 예시
        • Alerter — 서버에서 클라이언트로 경고 메시지 전송
        • Clipbook — 서버 내 Clipbook을 다른 클라이언트와 공유
        • Messenger — net send 명령어를 이용하여 클라이언트에 메시지 전송
        • Simple TCP/IP Services(Echo, Discard, Character Generator, Daytime, Quote of the Day)
   2. 보안 설정
      • 불필요한 서비스 확인
        • 제어판 > 관리 도구 > 서비스에서 불필요한 서비스 확인
        • 서비스 단축 명령 실행 > services.msc
      • 불필요한 서비스 제거
        • 불필요한 서비스가 시작 상태이면 중지 후, 시작 유형을 사용 안 함으로 선택
        • 시작 유형별 동작 방식
          • 사용 안 함
          • 수동 — 다른 서비스나 응용 프로그램에서 해당 기능이 필요할 때만 시작됨
          • 자동
4. NetBIOS 바인딩 서비스 구동 점검
   1. NetBIOS와 SMB/CIFS 프로토콜
      • NetBIOS
        • 네트워크상에서 호스트 간 통신을 위해 IBM에서 개발한 네트워크 인터페이스 체계
        • MS에서 채택하여 윈도우에서 주로 사용
        • 초기에는 LAN상의 호스트 간 통신에 사용되었지만, 이후 TCP/IP와 바인딩하여 WAN 상의 호스트 간 통신도 지원하도록 확장되었으며 윈도우의 경우 TCP/IP 기반 NetBIOS를 기본 서비스로 제공
      • SMB/CIFS
        • 네트워크상에서 호스트 간 파일, 디렉터리, 프린터 등을 공유할 수 있도록 해주는 프로토콜. 윈도우에서 주로 사용
        • 초기 SMB는 NetBIOS 인터페이스를 기반으로 TCP 139번 포트(NetBIOS 세션 서비스) 사용
        • 이후 SMB 기능을 확장하여 CIFS로 이름 변경. NetBIOS에 의존하지 않고 TCP 445번 포트(SMB Direct Host 서비스)를 사용한 직접 통신도 지원
        • 컨피커 웜 바이러스, 워너크라이 랜섬웨어, 워너마인 암호화폐 채굴 악성코드 등
      • NetBIOS와 SMB/CIFS 서비스별 프로토콜 및 포트 번호
        • TCP 135
          • RPC Endpoint Mapper
          • 애플리케이션에서 로컬 또는 원격 프로세스 호출 서비스
        • UDP 137
          • NetBIOS 이름 해석 서비스
          • 호스트의 NetBIOS 이름을 IP 주소로 변환하는 서비스
        • UDP 138
          • NetBIOS 데이터그램 서비스
          • 연결 설정 없이 브로드캐스트 또는 유니캐스트 방식으로 데이터를 전송하는 서비스
        • TCP 139
          • NetBIOS 세션 서비스
          • 연결 기반 세션을 생성하고 데이터를 전송하는 서비스
          • NetBIOS 기반 SMB 서비스
        • TCP/UDP 445
          • SMB/CIFS Direct Host 서비스
          • TCP/IP 기반의 SMB/CIFS 서비스
   2. 개요
      • NetBIOS TCP/IP 바인딩이 활성화되어 있으면 인터넷을 통해 외부 공격자가 윈도우 시스템의 네트워크 공유자원에 접근할 수 있는 취약점 발생
      • NetBIOS와 TCP/IP 간 바인딩 제거 필요
   3. 보안 설정
      • 네트워크 제어판을 이용하여 NetBIOS TCP/IP 바인딩 제거
        • 실행 > ncpa.cpl 입력(네트워크 연결)
        • 네트워크 인터페이스 속성 선택
        • TCP/IPv4 속성 선택
        • 고급 선택
        • WINS 탭에서 NetBIOS over TCP/IP 사용 안 함 선택

3. 로그 관리

1. 감사 정책 설정
   1. 개요
   2. 보안 설정
      • 권장 감사 정책 설정 — 제어판 > 관리 도구 > 로컬 보안 정책 > 로컬 정책 > 감사 정책 선택
      • 감사 항목 설명
        • 객체 액세스(감사 안함) — 파일, 디렉터리, 레지스트리, 프린터 등의 객체에 대한 접근 성공/실패 여부를 기록할지 결정
        • 계정 관리(성공) — 사용자 계정 또는 그룹의 생성, 변경, 삭제, 암호의 설정 및 변경 등의 이벤트 성공/실패 로그 기록
        • 계정 로그온 이벤트(성공) — 도메인 계정에 대한 로그온 성공/실패 관련 이벤트 로그를 기록할지 결정
        • 권한 사용(감사 안함) — 권한 사용의 성공 및 실패를 감사할 경우 사용자 권한을 이용하려고 할 때마다 이벤트 생성
        • 디렉터리 서비스 액세스(성공) — Active Directory 개체의 시스템 액세스 컨트롤 목록(SACL)에 나열된 사용자가 해당 개체에 액세스를 시도할 때 이벤트 생성
        • 로그온 이벤트(성공, 실패) — 로컬 계정에 대한 로그온/오프 성공/실패에 대한 이벤트를 기록할지 결정
        • 시스템 이벤트(감사 안함) — 시스템 시작 또는 종료, 보안 로그에 영향을 미치는 이벤트 등을 감사할지 결정
        • 정책 변경(성공) — 감사 정책 변경의 성공 및 실패 감사
        • 프로세스 추적(감사 안함) — 실행되는 프로세스에 대한 자세한 추적 정보를 감사하는 경우 프로세스 생성, 프로세스 종료, 핸들 복제 및 간접 개체 액세스 같은 프로세스 관련 이벤트를 감사할지 결정