본문 바로가기

Infra/윈도우 서버

[윈도우 보안] 서버관리 - 로컬 로그온 허용

[윈도우 보안] 서버관리 - 로컬 로그온 허용



■ 대상 OS : Windows NT, 2000, 2003, 2008


■ 취약점 개요 : "로컬로 로그온 허용" 권한은 시스템 콘솔에 로그인을 허용하는 권한으로 반드시 콘솔 접근이 필요한 사용자 계정에만 해당 권한을 부여하여야 함. 만약 해당 권한을 적절하게 제한하지 않는 경우 권한 없는 사용자가 자신의 사용 권한을 상승시키기 위해 악의적인 코드를 실행할 수 있음

※ IIS 서비스를 사용할 경우 이 권한에 IUSR_<ComputerName> 계정을 할당함.


■ 보안대책

    - 양호 : 로컬 로그온 허용 정책에 Administrator, IUSR_만 존재하는 경우

    - 취약 : 로컬 로그온 허용 정책에 Administrator, IUSR_ 외 다른 계정 및 그룹이 존재하는 경우


■ 조치방법

    - Administrator, IUSR_외 다른 계정 및 그룹의 로컬 로그온 제한


■ 보안설정 방법

    ◆ Windows NT, 2000, 2003, 2008

        1. 시작 -> 실행 -> SECPOL.MSC -> 로컬 정책 -> 사용자 권한 할당

        2. "로컬 로그온 허용(또는, 로컬 로그온)" 정책에 "Administrator", "IUSR_"외 다른 계정 및 그룹 제거






※ 문의 사항은 메일 : jyuhm@sntkor.com 이나 070-8611-4853


문의 사항 남기기