[윈도우 보안] 보안 관리 - 보안 채널 데이터 디지털 암호화 또는, 서명
■ 대상 OS
- Windows NT, 2000, 2003, 2008
■ 취약점 개요
- 보안 채널 데이터 디지털 암호화 또는, 서명 설정을 통해 도메인 구성원이 시작한 모든 보안 채널 트래픽이 최소 보안 요구 사항을 충족해야 하는지를 설정함. 특히 도메인 구성원에 의해 시작된 모든 보안 채널 트래픽의 서명과 암호화 여부를 설정함.
- 인증 트래픽 끼어들기 공격, 반복 공격 및 기타 유형의 네트워크 공격으로부터 보호하기 위해 Windows 기반에서는 NetLogon을 통해 보안 채널이라는 통신 채널을 만들어 컴퓨터 및 사용자 계정에 대한 인증을 함.
- 이 정책을 사용하면 모든 보안 채널의 서명 또는, 암호화가 협상되지 않는 한 보안 채널이 확립되지 않으며, 사용하지 않을 경우 모든 보안 채널 트랙픽의 암호화 및 서명이 도메인 컨트롤러와 협상되고 서명 및 암호화 수준은 도메인 컨트롤러의 버전 및 다음 두 정책의 설정에 따라 좌우됨. (정책 사용 시 자동으로 활성화됨)
▶ 도메인 구성원 : 보안 채널 데이터를 디지털 암호화(가능하면)
▶ 도메인 구성원 : 보안 채널 데이터를 디지털 서명(가능하면)
■ 보안대책
- 양호 : 아래 3가지 정책이 "사용"으로 되어 있는 경우
아래 3가지 정책이 "사용 안 함"으로 되어 있는 경우
- 취약
▷ 도메인 구성원 : 보안 채널 데이터를 디지털 암호화 또는, 서명(항상)
▷ 도메인 구성원 : 보안 채널 데이터를 디지털 암호화(가능한 경우)
▷ 도메인 구성원 : 보안 채널 데이터를 디지털 서명(가능한 경우)
■ 조치방법
- 보안 채널 데이터를 디지털 암호화 / 서명 관련 3개 정책 -> 사용
■ 보안설정방법
◆ Windows NT, 2000
1. 시작 -> 실행 -> SECPOL.MSC -> 로컬 정책 -> 보안 옵션
2. 위 3가지 정책을 모두 "사용"으로 설정
◆ Windows 2003, 2008
1. 시작 -> 실행 -> SECPOL.MSC -> 로컬 정책 -> 보안 옵션
2. 아래 3가지 정책을 모두 "사용"으로 설정
▶ 도메인 구성원 : 보안 채널 데이터를 디지털 암호화 또는, 서명 (항상)
▶ 도메인 구성원 : 보안 채널 : 보안채널 데이터를 디지털 서명 (가능하면)
▶ 도메인 구성원 : 보안 채널 : 보안채널 데이터를 디지털 암호화 (가능하면)
■ 조치 시 영향
- 도메인 구성원만 해당되며, Windows 98/NT와 파일 및 프린터 공유 등의 작업을 하지 않는 경우 일반적으로 영향 없음
※ 문의 사항은 메일 : jyuhm@sntkor.com 이나 070-8611-4853
'Infra > 윈도우 서버' 카테고리의 다른 글
| [윈도우 보안] 보안 관리 - 컴퓨터 계정 암호 최대 사용 기간 (0) | 2019.04.11 |
|---|---|
| [윈도우 보안] 보안 관리 - 파일 및 디렉토리 보호 (0) | 2019.04.11 |
| [윈도우 보안] 보안 관리 - LAN Manager 인증 수준 (0) | 2018.12.28 |
| [윈도우 보안] 보안 관리 - 사용자별 홈 디렉토리 권한 설정 (0) | 2018.12.28 |
| [윈도우 보안] 보안 관리 - 경고 메시지 설정 (0) | 2018.12.28 |
