Microsoft Word - 윈도우_091130_최종_간지수정

발간사 최근급속한정보통신기술의발전은정보혁명을가속화시킴과동시에과학, 사회, 경제, 문화, 심지어정치영역까지큰영향을미치고있으며, 이러한정보통신기술발전의주체인정보시스템에는디지털화된모든정보가보관되어있습니다. 특히과학기술출연 ( 연 ) 의서버시스템은내부의중요정보및개인정보만이아니라국가의미래를책임지고있는첨단과학기술정보까지보유하고있기때문에중요성이매우높다고할수있으며, 이로인해국내과학기술정보획득을목적으로하는사이버공격이크게증가하고있습니다. 그러나방화벽등네트워크기반의정보보호시스템으로는이러한첨단과학기술정보들을안전하게보호하는데한계가나타나고있으며, 무엇보다도국내외정보보호전문가들은외부위협보다내부위협이더치명적일수있다고강조하고있어첨단과학기술정보를보유한시스템에대한내부보안강화에많은노력이필요한시점이라고할수있습니다. 이에과학기술정보보호센터 (S&T-SEC) 는서버시스템보안프로세스정립을위하여 OS별서버시스템보안준수사항을기술하고자하며, 특히기구축운영되고있는서버시스템및신규개발되는서버시스템들의보안강화를위하여보안점검시적극활용할수있도록서버시스템보안점검방법및개선조치방안을제시하고자합니다. 2009. 12. 10 한국과학기술정보연구원융합자원실장 이혁로 1

본가이드는과학기술분야의특성에맞는정보시스템의보안점검표 준을수립및운영하기위하여한국과학기술정보연구원의연구원들이참 여하여제작되었습니다. 2009 년 12 월 10 일 주관연구기관명 : 한국과학기술정보연구원 주관연구책임자 : 박학수 ( 선임연구원 ) 참여연구원 : 이혁로 ( 선임연구원 ), 황일선 ( 책임연구원 ) 이행곤 ( 선임연구원 ), 정기문 ( 선임연구원 ) 최상수 ( 선임연구원 ), 고선기 ( 연구원 ) 이호선 ( 연구원 ), 박혜원 ( 연구원 ) 3

PART II WINDOWS 서버시스템 5

I 개요... 5 1. 필요성및정의... 5 2. 기대효과... 6 3. 활용방안... 6 PART 2. WINDOWS II OS 버전및서비스검사... 9 1. 서비스팩및 Hotfix 설치여부확인... 9 2. Internet Explorer 버전확인... 12 3. 불필요한서비스검사... 14 III 사용자계정및암호관리... 19 1. 불필요한계정삭제... 19 2. Guest 계정비활성화설정... 21 3. 계정암호정책설정... 24 4. 계정잠금정책설정... 27 5. Blank/Weak 암호점검... 29 6. Autologon 비활성화설정... 32 7. 화면보호기설정... 33 1 1

CONTENTS IV IIS 서비스검사... 39 1. 불필요한 IIS 관련스크립트삭제... 39 2. 익명사용자제한... 42 3. IIS 상위디렉터리이동제한... 48 4. IIS URL 필터링적용... 50 5. 예제가상디렉터리제거... 52 6. WebDAV 중지... 55 V 기타보안설정... 61 1. 파일시스템타입점검... 61 2. 접근제어... 63 3. 레지스트리설정... 70 4. 감사정책... 75 APPENDIX A. 불필요한서비스... 83 APPENDIX B. 취약점점검프로그램... 88 2 2

3 I. 개요

4

1. 개요 필요성 및 정의 근래에 들어 정보통신기술이 발전함에 따라 Linux, Windows 등의 서버 시스템도 더욱 효율적으로 발전하고 있지만, 이러한 발전은 시스템 PART 2. WINDOWS I 내 중요한 정보에 대한 해킹 위협이나 침해사고의 발생 증가도 동시에 가져왔다. 그에 따라 서버 시스템에 대한 보안 솔루션 또는 장비에 대한 투자도 확대되고 있으나 기술 중심의 관리로는 한계에 부딪히게 됨으로 인하여 서버 관리자 및 정보보호 담당자의 자체적인 서버 시스템 보안 점검의 필요성이 대두되었다 대두되었다. Windows 서버 시스템 보안 점검 표준이란 Windows 서버 시스템의 취약성 분석 시 필요한 정보를 얻기 위해 사용되는 항목들로,, 서버 관리자 또는 정보보호 관리자 관리자로 하여금 불필요한 서비스를 제거하고 시스템에 관련된 사항을 정확히 설정하여 내 외부 공격으로부터 정보시스템을 최대한 보호하도록 하는 점검 표준이라 할 수 있다. 5 5

2. 기대효과 I. 개요 Windows 서버시스템에대한보안점검표준을수립하여운영할 경우다음과같은효과를기대할수있다. w w w w w Windows 서버보안취약점발견에대한즉각적대응사이버침해사고예방 Windows 서버보안에대한관리적체계구축보안요구사항에대한능동적대처능동적인정보보호활동수행을통한 Windows 서버의 신뢰성확보 w 침해사고발생시체계적인대응으로피해최소화 3. 활용방안 본가이드라인은과학기술분야에특화된 Windows 서버시스템보안점검체계의수립을지원하기위하여 과학기술분야정보시스템보안가이드-Part 2. Windows 서버시스템 의제목으로발간되었으며, 컨설팅취약점분석, 포렌직등의분야에도사용할수있다. 또한유사한항목들을하나의카테고리로모아 OS 버전및서비스, 사용자계정및암호, IIS 등각각의목적에맞게활용할수있다. Appendix에는불필요한서비스의목록과스크립트를이용한취약점점검프로그램사용법을제공하여보안점검시활용할수있도록한다. 6 6

7 II. OS 버전및서비스검사

8

II OS 버전및서비스검사 1. 서비스팩및 Hotfix 설치여부확인 서비스팩및 Hotfix는 Windows 운영체제에서의문제점을수정하는데필요한최신내용들을수록하고있다. 따라서최신서비스팩및 PART 2. WINDOWS Hotfix를설치하여운영체제의보안취약점을제거해야한다. 설정확인 1 서비스팩서비스팩은이미알려진 Windows 보안문제와관련된문제점들을해결해주기위한업데이트사항을담고있다. [ 시작 ] à [ 실행 ] 에서 winver 를입력하면설치된서비스팩의버전을확인할수있다. 2 Hotfix ( 보안패치 ) Windows 운영체제의 기존문제를해결하는서비스팩과달리, Hotfix는최근에발견된취약점의해결을위해수시로발표된다. 따라 서서비스팩을설치한후에도수시로발표되는 Hotfix를적용해야한다. 설치된보안패치를확인하는방법은다음과같다. 9 9

II. OS 버전및서비스검사 설치된서비스팩버전확인 ( 예 : SP2) A. Windows Update 사이트에접속하여 Hotfix 검색 : http://update.microsoft.com/ B. Microsoft Baseline Security Analyzer (MBSA) 도구이용 : http://support.microsoft.com/default.aspx?scid=kb;ko;320454 위의사이트에서 MBSA를다운받아설치한후설치된폴더에서 mbsacli.exe 파일을이용하여명령어프롬프트에서다음과같이점검할수있다. - mbsacli.exe /hf -v -z -s 1 10 10

MBSA 를이용한 Hotfix 점검예시 PART 2. WINDOWS 조치방안 http://update.microsoft.com 사이트를통해서서버의패치수준을확인하며, 적용되지않은패치목록을다운로드및설치할수있다. 11 11

II. OS 버전및서비스검사 2. Internet Explorer 버전확인 Internet Explorer (IE) 를사용함으로써발생할수있는보안상오류역시업그레이드또는패치를통해서제거할수있다. 설정확인 IE 버전은웹브라우저에서 [ 도움말 ] 탭의 Internet Explorer 정보 를통해확인할수있다. Internet Explorer 정보 12 12

Internet Explorer 버전확인 PART 2. WINDOWS 13 13

II. OS 버전및서비스검사 3. 불필요한서비스검사 제어판의서비스항목에 시작유형 이자동으로등록되어있거나수동으로시작설정이되어있는서비스들은시스템시작시자동으로실행된다. 불필요한서비스가자동실행되고있는경우보안상문제가있는서비스의동작가능성도크기때문에시스템에서불필요한서비스는반드시제거해야한다. 설정확인 [ 시작 ] à [ 제어판 ] à [ 관리도구 ] à [ 서비스 ] 에서각서비스별로 사용여부를점검한다. 서비스항목 14 14

조치방안 불필요한서비스의경우시작유형을 수동 으로설정하고서비스를중지한다. 불필요한서비스중지 PART 2. WINDOWS 불필요한서비스의목록은 Appendix A를참고한다. 15 15

II. OS 버전및서비스검사 Keyword 1. 서비스팩및 Hotfix 설치여부확인 http://update.microsoft.com 사이트에서서비스팩및 Hotfix 설치 2. Internet Explorer 버전확인웹브라우저에서 [ 도움말 ] 탭의 Internet Explorer 정보 확인 3. 불필요한서비스검사 [ 시작 ] à [ 제어판 ] à [ 관리도구 ] à [ 서비스 ] 에서불필요한서비스중지 16 16

17 III. 사용자계정및암호관리

18

III 사용자계정및암호관리 1. 불필요한계정삭제 사용자계정을관리하는호스트 ( 특히 Domain Controller) 중에서는실제사용되지않는계정이존재할가능성이있다. 이러한계정의경우 PART 2. WINDOWS 관리소홀로인해패스워드추측공격 (Brute force attack) 등에 노출 되는보안취약점을가지고있으므로제거해야한다. 설정확인 삭제가필요한계정은다음과같다. 1 한사용자에대해중복으로생성된계정 2 이미퇴사한사원에대한계정 3 테스트를위한계정 : test 4 특정그룹에대해 생성된계정 ( 잘사용되지않을경우 ): 부서별 계정 ( 영업부등 ) 명령어프롬프트에서 net user 를입력하면시스템전체계정을확인할수있으며, net localgroup administrators 를입력하면 19 19

III. 사용자계정및암호관리 administrator 그룹의계정을확인할수있다. Administrator 그룹계정확인 시스템전체계정확인 조치방안 사용하지않는계정및 administrator 그룹에포함된계정을삭제한다. 20 20

2. Guest 계정비활성화설정 Windows에서기본적으로생성되는 Guest 계정의경우관리소홀로인해보안취약점을노출할수있으므로사용을중지해야한다. 설정확인 PART 2. WINDOWS net user guest 명령을통해서 Guest 계정의설정상태를확인할수있다. 조치방안 [ 제어판 ] à [ 관리도구 ] à [ 컴퓨터관리 ] 의 로컬사용자및 그룹 탭에서 사용자 폴더를선택하면 Guest 등록정보를확인할수있다. Guest 등록정보에서 계정사용안함 에체크하여 Guest 계정을비활성화한다. 21 21

III. 사용자계정및암호관리 Guest 계정설정확인 사용자목록확인 22 22

Guest 계정사용중지 PART 2. WINDOWS 23 23

III. 사용자계정및암호관리 3. 계정암호정책설정 사용자계정의암호가노출될경우비인가사용자에의한접근등의심각한보안위협을유발하는만큼, 암호보안은컴퓨터보안의필수조건이다. 따라서관리자는암호정책을문서화하고, 암호크랙프로그램을이용하여일반사용자들의암호보안정도를점검해야한다. 설정확인 암호정책은 [ 제어판 ] à [ 관리도구 ] à [ 로컬보안정책 ] 에 있는 계정정책 탭내의 암호정책 폴더에서확인할수있다. 암호정책 24 24

암호정책수립 정책 권장값 설명 텍스트로이루어진암호정보가필해독가능한암호사용요한특별한경우를제외하고는화를사용하여암안함거의모든경우에 사용안함 으로호저장설정 패스워드지정시 passfilt.dll에의 하여대 / 소문자, 숫자, 특수문자를암호는복잡성을사용혼용해서사용한것만을허용만족해야함대부분경우 사용 으로할것을 권고 최근사용한암호를몇개까지기 최근암호기억 관리자억하여, 다시사용하지않도록할선택것인지를정하는옵션 ( 허용값범 위 : 0 ~ 24) 최대암호사용암호가 expire 될때까지의기간 90 기간최소 90일이하로설정 6 자리이상설정권고 최소암호길이 6 관리자권한을갖고있는사용자는최소 8자리이상의암호설정권고 암호변경후, 재변경할때까지기 최소암호사용다려야하는기간 1 기간 0으로설정하면, 수시로변경이가 능하므로 1 이상으로설정 PART 2. WINDOWS 25 25

III. 사용자계정및암호관리 조치방안 암호정책의각항목을권장값에따라설정한다. 암호정책설정예시 26 26

4. 계정잠금정책설정 brute force 암호크랙프로그램에대비하기위하여, 사용자의로그인실패에대한계정잠금정책설정을통해보안을강화할수있다. 설정확인 PART 2. WINDOWS 계정잠금정책은 [ 제어판 ] à [ 관리도구 ] à [ 로컬보안정책 ] 의 계정잠금정책 탭에서확인할수있다. 계정잠금정책 27 27

III. 사용자계정및암호관리 정책계정잠금기간계정잠금임계치 계정잠금정책수립권장값설명잘못된암호입력이계속되어계정이잠긴경우계정이잠긴상태로유지되는시간을결정 15 입력값을 0으로설정시관리자가수동으로해제해야로그온가능 (0 ~ 99999) 몇번의로그온실패후, 계정잠금을수행할것인지설정 (0 ~ 990) 3 0 으로설정하면계정잠금을수행하지않음 다음시간후계 정잠금수를원 래대로설정 15 계정잠금임계값보다적은횟수의로그온실패시, 몇분후에그잠금수를 0으로해제할것인지에대한설정 (1 ~ 99999) 조치방안 계정잠금정책의각항목을권장값에따라설정한다. 28 28

5. Blank/Weak 암호점검 로컬시스템의사용자계정암호에서공란존재여부및취약한설정점검을통해보안을강화할수있다. 설정확인 암호 PART 2. WINDOWS 1 MBSA 이용 MBSA를이용할경우다음과같은항목을점검할수있다. A. blank 패스워드 B. 계정사용자이름과동일한패스워드 C. 시스템이름과동일한패스워드 D. password 로설정된패스워드 E. admin 또는 administrator 로설정된패스워드 2 John the ripper 이용 오픈소스암호크래킹도구인 John the ripper 를이용할경우우 선각계정에부여된 암호의 raw data 를추출해야하는데, 이는 pwdump 도구를이용할수있다. 29 29

III. 사용자계정및암호관리 MBSA 를이용한암호점검 pwdump 를이용한암호 raw data 추출 30 30

추출된 raw data를메모장에복사한후임의의디렉터리에저장하고, john the ripper 를통해암호를크랙하면 Blank 또는 Weak 패스워드가부여된계정을추출할수있다. John the ripper 를이용한암호점검 PART 2. WINDOWS 조치방안 Blank/Weak 암호를가진계정은사용을중지하거나암호를변경하며, [ 제어판 ] - [ 관리도구 ] - [ 로컬보안정책 ] 의 암호는복잡성을만족해야함 항목을설정한다. 계정잠금정책설정 31 31

III. 사용자계정및암호관리 6. Autologon 비활성화설정 Windows에서는사용자이름과패스워드를레지스트리에저장하여부팅시자동으로로그온할수있게하는 Autologon 기능을지원한다. 그러나이기능이활성화될경우정상적인계정이다른사용자에의해악의적인목적으로사용될수있기때문에비활성화해야한다. 설정확인 1 [ 시작 ] à [ 실행 ] à regedt32 2 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Winlogon 으로이동 3 AutoAdminLogon 의 REG_SZ 값이 1인경우활성화, 0인 경우 비활성화상태 조치방안 AutoAdminLogon의 REG_SZ 값을 0으로설정하여 Autologon 을비활성화한다. 32 32

7. 화면보호기설정 화면보호기설정및암호적용을하지않은경우시스템에임의의의사용자가접근하여조작및중요정보를유출할수있다. 따라서화면보호기를설정하고암호를적용해야한다. 설정확인 PART 2. WINDOWS 1 [ 제어판 ] à [ 디스플레이 ] 선택후디스플레이등록정보창실행 2 화면보호기탭을선택하여화면보호기, 대기시간, 암호등을확인 조치방안 화면보호기탭에서화면보호기설정, 대기시간설정, 암호사용 등을 체크한다. 33 33

III. 사용자계정및암호관리 화면보호기설정예시 34 34

Keyword 1. 불필요한계정삭제 net user 및 net localgroup administrators 로계정을확인후불필요한계정삭제 2. Guest 계정비활성화설정 [ 제어판 ] à [ 관리도구 ] à [ 컴퓨터관리 ] à 로컬사용자및그룹 à 사용자 à Guest 등록정보 : 계정사용안함 에체크 PART 2. WINDOWS 3. 계정암호정책설정 [ 제어판 ] à [ 관리도구 ] à [ 로컬보안정책 ] à 계정정책 à 암호정책 4. 계정잠금정책설정 [ 시작 ] à [ 제어판 ] à [ 관리도구 ] à [ 로컬보안정책 ] à 계정잠금정책 5. Blank/Weak 암호점검 MBSA 또는 John the ripper로확인후취약한암호변경후계정암호정책의 암호는복잡성을만족해야함 을설정 6. Autologon 비활성화설정 1 [ 시작 ] à [ 실행 ] à regedt32 2 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT \CurrentVersion\Winlogon 3 AutoAdminLogon 의 REG_SZ 값 0으로설정 7. 화면보호기설정 1 [ 제어판 ] à [ 디스플레이 ] à 디스플레이등록정보창실행 2 화면보호기탭을선택하여화면보호기, 대기시간, 암호설정 35 35

36

37 IV. IIS 서비스검사

38

IV IIS 서비스검사 1. 불필요한 IIS 관련스크립트삭제 IIS 설치시기본적으로제공되는스크립트는다양한공격에이용될수있다. 사용되지않는스크립트를제거하여.printer/.ida 버퍼오버플 PART 2. WINDOWS 로우등의공격을방지해야한다. 설정확인 구성을선택하면기본적으로각 ISAPI 필터가해당되는 dll과매핑이 되어있는것을확인할 수있다. ISAPI 필터확인 39 39

IV. IIS 서비스검사 ISAPI 매핑확인 조치방안 다음의 ISAPI 필터를사용하지않을경우 Lockdown을적용하여제거한다. 1 Index Server Web Interface(.ida,.htw,.ida) 2 Server Side Include(.shtml,.shtm,.stm) 3 Internet Data Connector(.idc) 4 Internet Printing(.printer) 40 40

5 HTR scripting(.htr) Lockdown의적용은다음의사이트를참고한다. http://support.microsoft.com/default.aspx?scid=kb;ko;325864 Lockdown을적용하면모든필터가 404.dll과매핑이이루어지면서사용이불가능하게된다. PART 2. WINDOWS IIS Lockdown 후 ISAPI 매핑확인 41 41

IV. IIS 서비스검사 2. 익명사용자제한 1) FTP 서비스제한 FTP 서비스에서 Anonymous( 익명 ) 계정에쓰기권한이주어진경우해당서비스가 Warez 사이트로악용될수있다. 그러므로익명사용자 의 FTP 접속여부및쓰기권한여부를점검해야한다. 설정확인 1 IIS에서 FTP 사이트등록정보를선택한다. 2 보안계정 탭에서 익명연결허용 체크여부를확인한다. 3 홈디렉터리 탭에쓰기권한이설정되어있는지확인한다. 조치방안 FTP 연결에익명계정의접근이불필요할경우계정을제거하며, 업무상필요한경우외에는쓰기권한을제거한다. 42 42

익명계정에대한 FTP 서비스제공여부확인 PART 2. WINDOWS 익명 FTP 계정에대한쓰기권한확인 43 43

IV. IIS 서비스검사 2) 시스템명령어실행및컨텐츠디렉터리내쓰기금지 IIS 웹서비스에서익명사용자의시스템명령어실행금지및컨텐츠디렉터리내쓰기금지를통해디렉터리 traversal 공격에의한명령어실행취약점과악성프로그램업로드위험을사전에제거한다. 조치방안 설정을위해서먼저 [ 관리도구 ] à [ 컴퓨터관리 ] à 로컬사용자및그룹 의 그룹 탭에서다음사항을추가한다. - web anonymous user 그룹생성후 IUSR_ 시스템이름 추가 - web applications 그룹생성후 IWAM_ 시스템이름 추가 44 44

로컬그룹생성및사용자추가 PART 2. WINDOWS 1 시스템명령어실행금지 추가된그룹에대해서 cmd.exe, tftp.exe 와같은중요시스템명령어 의쓰기금지를설정한다. 2 컨텐츠디렉터리내쓰기금지 추가된그룹에대해다음의디렉터리내에서쓰기금지를설정한다. A. C:\inetpub\wwwroot B. C:\winnt\help\iishelp C. C:\WINNT\System32\inetsrv\iisadmin 45 45

IV. IIS 서비스검사 D. C:\Program Files\Phone Book Service\Bin E. C:\Program Files\Phone Book Service\Data F. C:\WINNT\System32\RpcProxy G. C:\WINNT\System32\CertSrv H. C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions \40\isapi 로컬그룹생성후사용권한변경 46 46

컨텐츠디렉터리내쓰기금지설정 PART 2. WINDOWS 47 47

IV. IIS 서비스검사 3. IIS 상위디렉터리이동제한 상대경로를이용하여웹페이지를제작한경우상위경로 (/,../) 를사용하게됨으로써의도하지않은디렉터리로의접근또한허용하게된다. 따라서웹페이지제작시상위경로의사용설정을제한해야한다. 설정확인 웹페이지등록정보의 응용프로그램옵션 탭에서 상위경로사용 의체크여부를확인한다. 조치방안 웹페이지등록정보에서 상위경로사용의체크를해제한다. 홈페이지 구성상상위경로의사용이필요할경우를대비하여관리자또는개발자와협의후설정을제거한다. 48 48

상위경로사용설정확인 PART 2. WINDOWS 49 49

IV. IIS 서비스검사 4. IIS URL 필터링적용 UrlScan은들어오는 HTTP 패킷을분석하는 ISAPI 필터로서, 의심스러운 HTTP 소통량을거부할수있다. UrlScan을통해선택한 IIS 서비스기능에대한 HTTP 요청을필터링하여외부의공격으로부터서버를보호할수있다. 설정확인 설치여부를확인하기위해서는마스터속성에서 WWW 서비스 를선택한후우측의 편집 버튼을클릭한다. WWW 서비스마스터 속성중 ISAPI 필터 탭에서 Urlscan의우선순위가맨위로 올라 가있는경우정상적으로 Urlscan이설치되었다는것을의미한다. 조치방안 Urlscan이설치되지않은경우다음의사이트를참고하여설치한다. http://support.microsoft.com/kb/q307608/ 50 50

IIS 등록정보 PART 2. WINDOWS Urlscan 적용후확인 51 51

IV. IIS 서비스검사 5. 예제가상디렉터리제거 디렉터리 traversal 등다양한공격에악용될수있는예제가상터리를제거한다. 설정확인 디렉 제거해야할예제가상 디렉터리는다음과같다. 1 IISSamples (/LM/W3SVC/1/ROOT/IISSamples) 2 MSADC (/LM/W3SVC/1/ROOT/MSADC) 3 Scripts (/LM/W3SVC/1/ROOT/Scripts) 4 IISAdmin (/LM/W3SVC/1/ROOT/IISAdmin) 5 IISHelp (/LM/W3SVC/1/ROOT/IISHelp) 조치방안 불필요한가상디렉터리를확인한후에는다음의사이트를참고하여 Lockdown을이용하거나 IIS에서직접디렉터리를제거할수있다. http://support.microsoft.com/default.aspx?scid=kb;ko;325864 52 52

가상디렉터리점검 PART 2. WINDOWS 예제가상디렉터리제거 53 53

IV. IIS 서비스검사 구분 Remove All Sample Application 불필요한가상디렉터리목록경로 C:\inetpub\iissamples C:\inetpub\scripts C:\inetpug\Adminscript C:\winnt\help\iishelp C:\program files\common files\system\msadc Windows 계열의 OS 설치시 FrontPage WebServer Extension 을설치하지않으면되나대부분설치가되어있으므로불필요할경우다음과같이삭제 FrontPage Server Extension IIS 관리자의웹디렉터리에서도다음의내용을삭제 C:\Program Files\Common Files\Microsoft Shared\Web server Extension\40 이하의디렉터리에서다음과같은디렉터리삭제 - \isapi - \_vti_bin\_vti_adm - \_vti_bin\_vti_aut - \_vti_bin - \admisapi - \admincgi 각 WebDirectory 에서 - \IISHELP - \IISADMPWD - \IISSamples 54 54

6. WebDAV 중지 Distributed Authoring/ /Versioning (WebDAV) 은웹상의공동저작활동을지원하기위한 IETF 표준으로, 원격사용자들이인터넷을통해서파일을공동편집및관리할수있게해주는일련의 HTTP 확장프로토콜이다. 웹기반자원노출취약점등을제거하기위해이러한 WebDAV 기능을중지한다. PART 2. WINDOWS 설정확인 C:\WINDOWS\system32\inetsrv\httpext.dll의사용권한을확인한다. WebDAV 사용권한확인 55 55

IV. IIS 서비스검사 조치방안 Lockdown을적용하여해당파일의사용권한을변경한다. http://support.microsoft.com/default.aspx?scid=kb;ko;325864 Lockdown 적용 56 56

Keyword 1. 불필요한 IIS 관련스크립트삭제사용하지않는 ISAPI 필터의경우 Lockdown을적용하여제거 2. 익명사용자제한 FTP 서비스제한 1 IIS에서 FTP 사이트등록정보를선택한다. 2 보안계정 탭에서 익명연결허용 체크해제 3 홈디렉터리 탭쓰기권한제거시스템명령어실행및컨텐츠디렉터리내쓰기금지 - web anonymous user 그룹생성후 IUSR_ 시스템이름 추가 - web applications 그룹생성후 IWAM_ 시스템이름 추가추가된그룹에대해서쓰기금지설정 PART 2. WINDOWS 3. IIS 상위디렉터리이동제한웹페이지등록정보의 응용프로그램옵션 탭에서 상위사용 체크해제 경로 4. IIS URL 필터링적용 http://support.microsoft.com/kb/q307608/ 참고하여 Urlscan 설치 5. 예제가상디렉터리제거불필요한가상디렉터리의경우 Lockdown 적용 6. WebDAV 중지 C:\WINDOWS\system32\inetsrv\httpext.dll의사용권한변경 : Lockdown 57 57

58

59 V. 기타보안설정

60

V 기타보안설정 1. 파일시스템타입점검 기존의 FAT 또는 FAT32 파일시스템에서는파일레벨의보안을지원하지않았다. 이에반해 NTFS 파일시스템은보안과관련하여다음 PART 2. WINDOWS 과같은특성을가지고있다. 1 파일및폴더레벨의 접근제어설정 2 파일시스템암호화 (Encryption File System, EFS) 3 분산파일시스템 (Distributed File System, DFS) 4 Fragmentation에대한저항성 그러므로모든파티션을 NTFS로설치또는변경하여 Windows 계열 의시스템보안을강화할 수있는여러옵션을구현할수있어야한다. 설정확인 [ 시작 ] à [ 프로그램 ] à [ 관리도구 ] à [ 컴퓨터관리 ] 의 저장소 à 디스크관리 탭에서파일시스템을확인할수있다. 61 61

V. 기타보안설정 파일시스템점검 조치방안 Convert 명령어를사용하여파일시스템을 NTFS로변경한다. Convert 파일시스템변환도구 62 62

2. 접근제어 1) 공유목록점검 Windows를설치하면기본으로관리목적의공유목록이생성된다. 이는관리자로하여금원격지에서도공유폴더를이용해서편리하게자원관리를하도록하는것이지만, 관리자는필요할때만공유를설정하고 PART 2. WINDOWS 기본적인관리목적의공유는제거하여보안을강화해야한다. 설정확인 net share 명령어를이용하여현재의로컬시스템에존재하는관리적공유를포함한모든공유폴더를확인할수있다. 공유폴더확인 (net share 명령어 ) 63 63

V. 기타보안설정 기본공유 C$, D$, E$ ADMIN$ IPC$ NetLogon PRINT$ FAX$ Windows의공유목록설명각파티션의 root로 Windows 서버에서는 Administrators, Backup Operators, Server Operators 그룹의멤버만접근권한이있다. %SYSTEMROOT% 로표시되는시스템루트디렉터리로원격으로시스템을관리하기위해서사용되는공유이다. ( 예 : C:\winnt ) Named pipe를사용하는서버간에필요한임시연결을위한것으로프로그램간통신에필요한 공유이다. 서버의원격관리시필요하며해당컴퓨터의공유된자원을볼때필요하다. windows 서버호스트의 Net Logon 서비스의도메인로그온요청시에사용되는공유이다. %SYSTEMROOT%\SYSTEM32\SPOOL\DRIVERS 디렉터리로원격프린터관리시사용된다. Windows가 fax 클라이언트로사용될시이용되는공유폴더이다. 조치방안 관리적목적의공유를제거하기위한방법은다음과같다. 1 [ 시작 ] à [ 실행 ] à regedt32 2 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\lanmanserver\Parameters로이동 3 편집 à 값추가 64 64

Name: AutoShareServer Type: REG_DWORD Value: 0 4 시스템재부팅레지스트리값추가 PART 2. WINDOWS 레지스트리값추가후관리목적공유제거확인 65 65

V. 기타보안설정 2) Null Session 접근제어 Windows 서버에서는 CIFS/SMB와 NetBIOS 프로토콜을기본으로사용함으로써 TCP 139 번 (W2K 이후버전의경우 445번포트도같은기능을함 ) 을통해사용자인증과정없이원격호스트에접속할수있게되는데, 이것을 Null Session 이라고한다. Null Session이성립되면공유폴더, 사용자, 그룹, 레지스트리키등의정보를획득할수있기때 문에접근제어를통해보안을강화해야한다. 설정확인 Null Session 확인방법은다음과같다. 1 [ 시작 ] à [ 실행 ] à regedt32 2 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\Lsa 로이동 3 restrictanonymouss 더블클릭후값확인 조치방안 restrictanonymous 값을 2로설정하면 Null Session 접근을제어할수있다. 66 66

restrictanonymous 값설정 PART 2. WINDOWS 3) 중요시스템 파일 ACL 설정점검 중요한파일에대한적절한 ACL(Access Control List) 적용을 통해 보안을강화해야한다. 설정확인 Windows Resourcekit 의 showacls.exe를이용하여파일및폴더에대한 ACL의확인이가능하다. 67 67

V. 기타보안설정 ACL 설정확인 조치방안 중요한파일및폴더에 ACL 을적용하는방법은다음과같다. 1 설정할폴더선택한후액세스오른쪽버튼클릭 2 공유메뉴선택 3 보안메뉴선택 4 추가메뉴선택후 사용자를추가 5 사용권한을설정 68 68

디렉토리 중요시스템파일 ACL 설정 Adminis trators Creator/ Owner Everyone Server Operato System \ FC* FC Ch** X FC* \Program Files FC FC Ch Ch FC \Temp FC FC Ch X FC \Winnt FC FC Ch Ch FC \Winnt\config FC FC Ch Ch FC \Winnt\cookies FC FC Ch Ch FC \Winnt\info FC FC Ch Ch FC \Winnt\System FC FC Ch Ch FC \Winnt\System32 FC FC Ch Ch FC rs PART 2. WINDOWS * FC: Full Control ** Ch: Change 69 69

V. 기타보안설정 3. 레지스트리설정 1) 레지스트리에등록된시작프로그램검사 바이러스나웜과같은악성코드는일반사용자가쉽게발견하지못하도록레지스트리등에시작프로그램으로등록되는경우가있다. 이러한 프로그램이운영될경우시스템의중요정보유출또는관리자권한획 득등의위험이있으므로 확인해야한다. 설정확인 1 시작프로그램폴더 - Windows 2000, 2003 : C:\Documents and Settings\ 사용자 \ 시작메뉴 \ 프로그램 \ 시작프로그램 \ - Windows NT : C:\WinNT\Profiles\ \ 사용자 \ 시작메뉴 \ 프로그램 \ 시작프로그램 \ - 사용자 : Administrator, All Users, Default Users에대해확인 2 Startup 레지스트리 - HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVe rsion\run ( 또는 RunOnce) 70 70

Startup 레지스트리확인 PART 2. WINDOWS 조치방안 위의확인방법을바탕으로프로그램이등록된경로를추적하여 프로 그램용도확인후불필요하거나의심스러운프로그램은레지스트리에서삭제한다. 2) DoS 공격예방을위한레지스트리점검 TCP/IP stack에관련된레지스트리값을생성또는변경함으로써 71 71

V. 기타보안설정 SYN flooding 공격과같은서비스거부 (DoS) 공격에대응할수록설정해야한다. 설정확인 다음과같은방법으로레지스트리값을확인할수있다. 있도 1 [ 시작 ] à [ 실행 ] à regedt32 2 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servi ices \Tcpip\Parameters 로이동 3 설정값확인 DoS 공격예방을위한레지스트리확인 72 72

조치방안 권장값에따라레지스트리를추가또는변경한다. 레지스트리권장값레지스트리값권장값설명 SYN-ACK 패킷을기다리는시간을줄여 SYN 공격에대한방어수행 2 SynAttackProtect 0: no protection (REG_DWORD) 1: 재전송시도감소, Route 캐쉬엔트리지연 PART 2. WINDOWS TcpMaxHalfOpen TcpMaxHalf OpenRetried KeepAliveTime W2K Pro/Server: 100 W2K adv. Server: 500 (REG_DWORD) W2K Pro/Server: 80 W2K adv. Server: 400 (REG_DWORD) 300,000(5분 ) (REG_DWORD) 2: Winsock 지연지능추가 SynAttackProtect 동작전허용되는 SYN-RCVD 상태의연결수허용범위 : 100 ~ 0xFFFF SynAttackProtect 동작전 SYN 패킷의재전송이최소하나이상있는 SYN-RCVD 상태의연결수허용범위 : 80 ~ 0xFFFF idle connection 확인을위하여얼마나자주 Keep-alive 패킷을보낼지결정하는값허용범위 : 0 ~ 0xFFFFFFF 73 73

V. 기타보안설정 레지스트리권장값 레지스트리값 권장값 설명 EnableICMP Redirects 0 (REG_DWORD) 해당시스템이 ICMP redirect 메시지를받았을때라우팅테이블을변경할수없도록 0으로설정 0 : false, 1 : true EnableDead GWDetect EnablePMTU Discovery NoNameRelease OnDemand 0 (REG_DWORD) 0 (REG_DWORD) 1 (REG_DWORD) 1: 더이상작동하지않는게이트웨이검색 0으로설정하지않으면서버가강제로원하지않는게이트웨이로전환위험 1: TCP는 MTU나원격호스트경로에대한최대패킷크기검색시도 0으로설정하지않으면공격자가강제로 MTU를아주작은값으로설정하여스택의부하증가위험컴퓨터가이름해제요청을받을때 NetBIOS 이름을해제할지여부결정악의적인이름해제공격으로부터컴퓨터보호 74 74

4. 감사정책 Windows는침입탐지를위한기본조치로감사 (auditing) 기능을가동할수있다. 기본으로는모든감사기능이 disable 되어있으므로관리자에의하여감사기능을활성화시켜야한다. 설정확인 PART 2. WINDOWS Windows Resourcekit 의 auditpol.exe 파일을이용하여현재적용되어있는감사정책을확인할수있다. 감사정책확인 75 75

V. 기타보안설정 감사할이벤트개체액세스감사계정관리감사 감사정책수립 감사내용 설명 성공, 프린터, 파일, 디렉터리의객체에 실패 대한접근여부기록 성공, 계정생성 / 실패관련이벤트로그 실패 기록여부기록 계정로그온이벤트감사권한사용감사로그온이벤트감사시스템이벤트감사 성공, 실패실패성공, 실패성공, 실패 사용자의로그온성공 / 실패관련이벤트로그기록사용자권한사용성공 / 실패관련이벤트로그기록특정사용자의로그온 / 오프, 도메인컨트롤러연결, 네트워크연결에관한이벤트에대한감사수행 계정로그온이벤트감사 ' 항목이설정된경우로그온 / 오프이벤트는기록되지않음시스템시작과같은시스템관련이벤트나, 감사로그삭제등기록 정책변경감사성공보안정책의변경감사 프로세스추적감사 ( 정의 안함 ) 사용자나어플리케이션이프로세스를시작 / 중지할때이벤트발생활성화할경우많은량의로그가생성될수있으므로특이한목적이있는경우에만활성화할것을권고 76 76

조치방안 [ 시작 ] à [ 관리도구 ] à [ 로컬보안정책 ] à [ 로컬정책 ] à [ 감사정책 ] 에서감사정책을적용할수있다. 감사정책설정 PART 2. WINDOWS 감사정책적용후에는 [ 시작 ] à [ 프로그램 ] à [ 관리도구 ] à [ 이벤 트뷰어 ] à [ 보안로그 ] 에서감사결과를확인할수있으며, 발생한이벤트에대한자세한내역을확인하려면해당로그를더블클릭하여등록정보를확인하면된다. 77 77

V. 기타보안설정 감사정책적용예시 ( 계정관리감사 ) 감사결과확인 78 78

특정감사결과의세부내용확인 PART 2. WINDOWS 79 79

V. 기타보안설정 Keyword 1. 파일시스템타입점검 convert 명령어를사용하여파일시스템을 NTFS로변경 2. 접근제어공유목록점검 : 관리적목적공유제거 1 [ 시작 ] à [ 실행 ] à regedt32 2 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\lanmanserver\Parameters 3 AutoShareServer = 0 (REG_DWORD) 추가 Null Session 접근제어 1 [ 시작 ] à [ 실행 ] à regedt32 2 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa 3 restrictanonymous = 2로설정중요시스템파일 ACL 설정점검 - 폴더선택후오른쪽버튼 à 공유메뉴 à 보안메뉴 à 추가메뉴 à 사용자추가후사용권한설정 3. 레지스트리설정시작프로그램검사 : 불필요한경우레지스트리에서삭제 DoS 공격예방을위한레지스트리점검 1 [ 시작 ] à [ 실행 ] à regedt32 2 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\P Para meters로이동 à 권장값에따라레지스트리추가 / 변경 4. 감사정책 [ 시작 ] à [ 관리도구 ] à [ 로컬보안정책 ] à [ 로컬정책 ] à [ 감사정책 ] 에서감사정책적용 80 80

81 APPENDIX

82

APPENDIX A. 불필요한서비스 ClipSrv (ClipBook) 이서비스는다른컴퓨터혹은동일한컴퓨터의다른 사용자와클립보드내용을공유할수있도록한다. 내용 이서비스가동작중인경우클립보드뷰어인 clipbrd를사용하면클립북페이지를공유할수있다. 하지만 공격자에게 악용될 수 있는 위험한 서비스이므로, 사용하지않는다면반드시중지한다. 실행파일경로 %SYSTEMROOT%\\system32\clipsrv.exe 종속성 netdde PART 2. WINDOWS Browser (Computer Browser) 내용 실행파일경로 종속성 네트워크상의서버, 워크그룹, 도메인의최신목록을유지하고, 요청하는프로그램에게이를제공한다. 예를들어탐색기에서네트워크환경을클릭했을때 ( 나타나는도메인 / 서버의목록은이서비스가수집한정보를바탕으로출력되는것이다.) 이서비스가악용될경우, DoS 공격을가능하게한다. %SYSTEMROOT%\System32\services.exe lanmanserver, lanmanworkstation IISADMIN (IIS Admin Service) 내용 실행파일경로 종속성 Microsoft IIS를설치했을때나타나는서비스이다. 웹, FTP, SMTP 서비스를관리한다. %SYSTEMROOT%\System32\inetsrv\inetinfo.exe ProtectedStorage, RpcSs 83 83

APPENDIX A SharedAccess (Internet Connection Sharing) 홈네트워크에있는모든컴퓨터에게전화접속연결을통해네트워크주소변환, 주소지정및이름내용확인서비스를제공한다. SOHO LAN을인터넷에연결한시스템이아닌경우필요없는서비스이다. 실행파일경로 %SYSTEMROOT%\System32\svchost.exe -k netsvcs 종속성 RasAuto ciscv (Indexing Service) 내용 실행파일경로 종속성 로컬및원격컴퓨터에있는파일의내용및속성을인덱싱하며, 주기적으로시스템내부의문서를목록화하여빠른검색을가능하게한다. 하지만, 이서비스와관련하여웹서버의물리적인경로를얻을수있는취약성과인자값에대한버퍼오버플로우취약성등이발견된바있으므로, 검색엔진을제공하지않는웹사이트라면이서비스가필요하지않으므로중지한다. %SYSTEMROOT%\System32\cisvc.exe RpcSs mnmsrcv (NetMeeting Remote Desktop Sharing) 내용 실행파일경로 종속성 허용된사용자가 NetMeeting을사용하여사용자의 Windows 바탕화면을원격으로액세스할수있게한다. 암호화와인증등의보안을제공하지만, 이서비스의사용은외부로부터의침입가능성을제공하기때문에불필요한경우서비스를중지하는것이좋다. %SYSTEMROOT%\System32\mnmsrvc.exe 없음 84 84

RemoteRegistry (Remote Registry Service) 원격레지스트리조작을허용한다. 이서비스를 내용 중지하면시스템의레지스트리를원격으로조작할수없어관리에불편함이있을수있으나, 보안을 고려할경우중지하는것이좋다. 실행파일경로 %SYSTEMROOT%\system32\regsvc.exe 종속성 없음 RemoteAccess (Routing and Remote Access) LAN이나 WAN 환경에 있는 사업체에 라우팅 서비스를제공한다. 특히, 이서비스를사용하면 시스템으로의 Dial-up 연결 또는 인터넷 망으로부터의 VPN 연결을 허용하며, 시스템이 내용 속해있는 네트워크로의 접속을 가능하게 한다. 하지만, 비인가된사용자가원격연결을할수있게 된다면이시스템에전화접속기능으로접속하여 방화벽내부로침입할수있기때문에위험하므로 중지한다. 실행파일경로 %SYSTEMROOT%\System32\svchost.exe -k netsvcs 종속성 NetBIOSGroup, RpcSs PART 2. WINDOWS lanmanserver (Server service) 내용 실행파일경로 종속성 RPC 지원및파일, 인쇄, Named pipe 공유를제공한다. 하지만사용자가공유설정을하지않고있다고하더라도 C$ 와같은각드라이브에대한기본공유가존재하므로, 이서비스를사용하기위해서는각공유에대한접근제어설정이올바로되었는지를확인해야한다. %SYSTEMROOT%\System32\services.exe 없음 85 85

APPENDIX A 내용 실행파일경로 SimpTcp (Simple TCP/IP Services) Character Generator, Daytime, Discard, Echo 및 Quote of the Day 등의 TCP/IP 서비스를제공한다. 하지만이서비스를통한 DoS의가능성이많이밝혀져있으며, 서버에서이서비스를사용하는경우는극히드물다. 따라서, 서비스의사용을고려할필요성이있다. %SYSTEMROOT%\System32\tcpsvcs.exe 종속성내용실행파일경로종속성 없음 SMTPSVC (SMTP Service) 네트워크를통하여전자메일을보내주는역할을한다. 바르게설정이되어있지않을경우이서비스를이용하여 DoS를가능케하며, third party relay라는 spoofed e-mail 공격을가능하게한다. DC(domain controller) 를사용하는경우, 특히 SMTP replication 설정을한경우가아니면이서비스는불필요하므로중지한다. %SYSTEMROOT%\System32\inetsrv\inetinfo.exe IISADMIN MSFTPSVC (FTP Publishing Service) 내용 실행파일경로 종속성 인터넷정보서비스스냅인을사용하여 FTP 연결및관리를제공한다. %SYSTEMROOT%\System32\inetsrv\inetinfo.exe IISADMIN W3SVC (World Wide Web Publishing Service) 내용 실행파일경로 종속성 인터넷정보서비스스냅인을사용하여웹연결및관리를제공한다. %SYSTEMROOT%\System32\inetsrv\inetinfo.exe IISADMIN 86 86

내용 실행파일경로 종속성 TlntSvr (Telnet) 원격사용자가시스템에로그온하여커맨드라인을사용하여콘솔프로그램을실행할수있게합니다. 하지만이서비스를사용하는경우는드물며, 이서비스에대한취약성으로인한공격위험사실도 MS Security Bulletin에권고된바있다. %SYSTEMROOT%\system32\tlntsvr.exe RpcSs Scheduler (Task Scheduler) PART 2. WINDOWS 내용실행파일경로종속성내용실행파일경로종속성 프로그램을지정된시간에실행하게한다. 또한, 동작중인시스템에대해작업스케줄러나 AT 명령어를이용하여원격시스템에서돌아가게될작업을스케줄링할수있다. Server 서비스를중지하면, 이서비스를사용하고있더라도원격으로는스케줄관리를할수없게된다. %SYSTEMROOT%\system32\MSTask.exe RpcSs TermService (Terminal Services) 클라이언트장치가서버에서실행중인가상의 Windows 2000 Professional 데스크톱세션및 Windows 기반의프로그램을액세스할수있도록다중세션환경을제공한다. 외부사용자는터미널서비스클라이언트를통해시스템에로그온하여사용할수있으므로터미널서비스가동작하는시스템의경우관리가매우용이하지만, 그만큼더보안에신경써야한다. %SYSTEMROOT%\System32\termsrv.exe 없음 87 87

APPENDIX B APPENDIX B. 취약점점검프로그램 1. 개요 1) 목적 취약점분석자동화프로그램을활용하여보다신속하고정확하게서버시스템의취약점을사전에도출하여고도화및첨단화되어가는사이버침해사고를예방하고첨단과학기술연구자원을효과적으로보호하기위함이다. 2) 활용방안 본내용을활용하여각급기관정보보호담당자는서버시스템의정보보호요구사항을정의하고신규구축되는시스템및기구축운영중인시스템을대상으로적합한자동화프로그램을구동한다. 그리고산출결과물을분석하여서버의보안수준및공격의대응능력을향상시킨다. 88 88

2. 프로그램사용방법 1) 점검항목 Windows 서버취약점점검프로그램은아래항목과같은취약점을점검한다. PART 2. WINDOWS Windows 서버취약점점검항목 순서점검항목점검내용 1 2 3 보안패치미설치취약점불필요한계정사용취약점 Weak/Blank 패스워드취약점 Windows 운영체제의최신서비스팩및 Hotfix 설치여부를점검한다실제사용되지않는계정이나보안에취약한 Guest 계정이존재하는지여부를점검한다. 계정암호의공란존재여부및취약한암호설정여부를점검한다. 4 암호관리취약점 계정암호관리정책이적절한지여부를 점검한다. 5 6 파일시스템타입취약점공유파일및폴더취약점 보안에취약한 FAT 또는 FAT32 파일시스템을사용하고있는지여부를점검한다. 불필요한관리적공유파일및폴더를사용하고있는지여부를점검한다. 89 89

APPENDIX B Windows 서버취약점점검항목 순서 점검항목 점검내용 7 사용자인증과정없이시스템에접속할 Null Session 중지수있는 Null Session 이존재하는지여설정취약점부를점검한다. 부팅시시작되는레지스트리에바이러스나웜과같은악 8 레지스트리등록프로세스취약점 성코드가등록되어자동실행되고있는지여부를점검한다. 9 불필요한서비스 사용취약점 시스템에서불필요한서비스가사용되고 있는지여부를점검한다. 10 감사정책취약점감사정책이적절한지여부를점검한다. 11 12 화면보호기설정취약점 DoS 예방을위한레지스트리설정취약점 화면보호기의활성화, 대기시간, 암호사용여부를점검한다. 서비스거부공격예방을위한 TCP/IP stack 관련레지스트리값이적절한지여부를점검한다. 13 FTP 보안취약점 익명사용자의 FTP 접속여부및쓰기 권한여부를점검한다. 14 자동로그인취약 점 관리자계정의자동로그인활성화여부 를점검한다. 90 90

2) 점검방법 1 취약점분석자동화프로그램을다운로드받고압축을푼다. (SNT-WIN 다운로드경로 : http://sntsec.or.kr/data/sntvat/snt-win.zip ) 2 프로그램이있는경로로이동한다. 프로그램경로로이동 PART 2. WINDOWS 91 91

APPENDIX B 3 SNT-WIN.exe 파일을더블클릭하여프로그램을시동한다. 프로그램시동 4 프로그램이종료되면해당시스템의이름으로 zip 압축파일이생성 되는지확인한다. zip 압축파일생성 92 92

5 생성된압축파일을분석시스템으로이동시킨다. 압축파일을시스템으로이동 PART 2. WINDOWS 6 알집등의프로그램을이용해압축을해제한다. 압축해제를위해 비밀번호를입력한다. ( 비밀번호 : sntsec!@#) 압축해제 7 생성된폴더로들어가 result_main.html 파일을실행한다. result_main.html 파일실행 93 93

APPENDIX B 8 sub 디렉터리로들어가아래와같이 sub.html 과다른 15 개의 html 파일이존재하는지확인한다. html 파일확인 9 브라우저로표시되는결과파일을분석한다. 결과파일분석 94 94

3) 분석 1 보안패치미설치취약점 Windows 운영체제의서비스팩과 Hotfix 파일이최신버전인아닌경우에는취약점이존재하는것으로간주한다. 최신버전이아닌경우에는 File version is less than expected 라는메시지가뜬다. (II-1. 서비스팩및 Hotfix 설치여부확인참조 ) PART 2. WINDOWS 보안패치미설치취약점점검 95 95

APPENDIX B 2 불필요한계정사용취약점 Guest 계정의 활성계정 값이 예 인경우에는취약점이존재하는것으로간주한다. (III-2. Guest 계정비활성화설정참조 ) 또한불필요한계정목록에서불필요한것으로의심되는계정이발견될경우시스템관리자의확인을요구한다. (III-1. 불필요한계정삭제참조 ) 불필요한계정사용취약점점검 96 96

3 Weak/Blank 패스워드취약점아래그림과같이추출된각계정의암호 raw data를 john the ripper 로크랙하여취약한암호인지점검한다. 추출된암호 raw data가연속된 * 문자로표시된경우에는해당계정에암호가존재하지않는것을의미하므로취약점이존재하는것으로간주한다. (III-5. Blank/Weak 암호점검참조 ) Weak/Blank 패스워드취약점점검 PART 2. WINDOWS 97 97

APPENDIX B 4 암호관리취약점 최소암호사용기간 이 0 인경우, 최대암호사용기간 이 90 을초과한경우, 최소암호길이 가 8 미만인경우에는취약점이존재하는것으로간주한다. (III-3. 계정암호정책설정참조 ) 암호관리취약점점검 98 98

5 파일시스템타입취약점드라이브의파일시스템이 FAT 또는 FAT32 인경우에는취약점이존재하는것으로간주한다. (V-1. 파일시스템타입점검참조 ) 파일시스템타입취약점점검 PART 2. WINDOWS 99 99

APPENDIX B 6 공유파일및폴더취약점공유폴더목록에서이미알려진불필요한공유가존재하면취약점이존재하는것으로간주한다. 그외에불필요한것으로의심되는폴더가발견되면시스템관리자의확인을요구한다. (V-2. 접근제어의 1) 공유목록점검참조 ) 공유파일및폴더취약점점검 100 10

7 Null Session 중지설정취약점 restrictanonymous 레지스트리값이 0 일경우, 취약점이존재하는것으로간주하며, 1 또는 2 일경우, Null Session 접근이제어되고있으므로취약점이존재하지않는것으로간주한다. (V-2. 접근제어의 2) Null Session 접근제어참조 ) Null Session 중지설정취약점점검 PART 2. WINDOWS 10 101

APPENDIX B 8 부팅시시작되는레지스트리등록프로세스취약점 부팅시시작되는프로세스목록 에서악성코드로의심되는프로세스가존재하는지확인한다. (V-3. 레지스트리설정의 1) 레지스트리에등록된시작프로그램검사참조 ) 부팅시시작되는레지스트리등록프로세스취약점점검 102 10

9 불필요한서비스사용취약점 현재등록된모든서비스 목록과 Appendix A. 불필요한서비스목록을비교하여불필요한서비스가존재하는지확인하고실제시스템운영에이상이없을경우제거한다. (II-3. 불필요한서비스검사참조 ) 서버시스템의역할및용도에따라필요한서비스가다르므로서버시스템운영자와의협의를통해불필요한서비스항목정의가필요하다. PART 2. WINDOWS 불필요한서비스사용취약점점검 10 103

APPENDIX B 10 감사정책취약점감사정책의각항목설정값을감사정책설정권장값과비교하여다른경우에는취약점이존재하는것으로간주한다. (V-4. 감사정책참조 ) 감사정책취약점점검 104 10

11 화면보호기설정취약점화면보호기관련설정값을확인하여, 화면보호기설정값이 0 인경우, 또는화면보호기설정시간이 600초이상인경우, 또는화면보호기암호설정값이 0 인경우에는취약점이존재하는것으로간주한다. (III-7. 화면보호기설정참조 ) 화면보호기설정취약점점검 PART 2. WINDOWS 10 105

APPENDIX B 12 DoS 예방을위한레지스트리설정취약점 TCP/IP stack 8개항목레지스트리값을권장값과비교하여다른경우에는취약점이존재하는것으로간주한다. The system was unable to find the specified registry key 메시지가나오는경우에도취약점이존재하는것으로간주한다. (V-3. 레지스트리설정의 2) DoS 공격예방을위한레지스트리점검 참조 ) DoS 예방을위한레지스트리설정취약점점검 106 10

13 FTP 보안취약점익명사용자의 FTP 접속이가능한경우에취약점이존재하는것으로간주한다. (IV-2. 익명사용자제한의 1) FTP 서비스제한참조 ) FTP 보안취약점점검 PART 2. WINDOWS 10 107

APPENDIX B 14 자동로그인취약점 AutoAdminLogon 레지스트리값이 1 인경우에는취약점이존재하는것으로간주한다. (III-6. Autologon 비활성화설정참조 ) 자동로그인취약점점검 108 10