[윈도우 보안] 서버 관리 - 패스워드 최대 사용 기간 ■ 대상 OS : Windows NT, 2000, 2003, 2008 ■ 취약점 개요 - 가장 복잡한 암호를 포함한 모든 암호는 추측 공격에 의해 유출될 수 있으므로 패스워드가 일정 기간이 지나도 유효하다면 침해 발생 가능성이 있음. - 사용자가 암호를 자주 바꾸도록 하면 유효한 암호가 공격당하는 위험을 줄일 뿐만 아니라 누군가가 불법으로 획득한 암호를 사용하여 무단 로그온하는 경우를 줄일 수 있음. ■ 보안대책 - 양호 : 최대 암호 사용 기간이 90일 이하로 설정되어 있는 경우 - 취약 : 최대 암호 사용 기간이 설정되지 않았거나 90일을 초과하는 값으로 설정된 경우 ■ 보안설정 방법 ◆ Windows NT 1. 시작 -> 프로그램 -> 관리 도..

[윈도우 보안] 서버 관리 - 패스워드 최소 암호 길이 ■ 대상 OS : Windows NT, 2000, 2003, 2008 ■ 취약점 개요 - 일반적인 단어와 구를 이용해 취약하게 암호를 설정한 계정은 사전 공격과 가능한 모든 문자의 조합을 시도하는 무작위 공격을 통해 권한이 도용당 할 수 있음. - 최소 암호 길이를 8자리로 설정하면 대부분 환경에서 적절한 보안이 제공될 뿐만 아니라 사용자가 쉽게 기억할 수 있으며 무작위 공격을 방어할 수 있음. ■ 보안대책 - 양호 : 최소 암호 길이가 8문자 이상으로 설정되어 있는 경우 - 취약 : 최소 암호 길이가 설정되지 않았거나 8문자 미만으로 설정되어 있는 경우 ■ 보안설정 방법 ◆ Windows NT 1. 시작 -> 프로그램 -> 관리 도구 -> 도메인 ..

[윈도우 보안] 서버관리 - 패스워드 복잡성 설정 ■ 대상 OS : Windows NT, 2000, 2003, 2008 ■ 취약점 개요 - 패스워드 설정 시 문자/숫자/특수문자를 모두 포함하여 강력한 패스워드가 설정될 수 있도록 암호 복잡성을 설정하여야 함 - 영·숫자만으로 이루어진 암호는 현재 공개된 패스워드 크랙 유틸리티에 의해 쉽게 유추할 수 있으므로 패스워드 조합 및 길이에 따라 최소 암호 길이 및 암호 복잡성을 적절하게 설정하여 패스워드를 알아낼 수 있는 평균 시간을 증가시킬 수 있도록 설정하여야 함 ■ 보안대책 - 양호 : "암호는 복잡성을 만족해야 함" 정책이 "사용"으로 되어 있는 경우 - 취약 : "암호는 복잢성을 만족해야 함" 정책이 "사용 안 함"으로 되어 있는 경우 ■ 조치방법 - ..

[윈도우 보안] 서버 관리 - 계정 잠금 기간 설정 ■ 대상 OS : Windows NT, 2000, 2003, 2008 ■ 취약점 개요 - 계정 잠금 기간 설정을 사용하면 지정한 기간 동안 잠김 계정은 사용할 수 없으며, 계정 잠금이 해제될 때까지 접근할 수 없음 - 따라서 공격자가 자동으로 암호를 추측하는 것이 어렵게 되어 암호공격 효과를 낮출 수 있음 ■ 보안대책 - 양호 : "계정 잠금 기간" 및 "계정 잠금 기간 원래대로 설정 기간"이 설정되어 있는 경우 ※ 60분 이상의 값으로 설정하기를 권고함 - 취약 : "계정 잠금 기간" 및 "잠금 기간 원래대로 설정 기간"이 설정되지 않은 경우 ■ 조치방법 - "계정 잠금 기간" 및 "잠금 기간 원래대로 설정 기간" 60분 설정 ■ 보안설정 방법 ◆ W..

[윈도우 보안] 서버 관리 - Everyone 사용 권한을 익명 사용자에게 적용 ■ 대상 OS : Windows 2003, 2008 ■ 취약점 개요 - 익명 사용자가 Everyone 그룹으로 사용 권한을 준 모든 리소스에 접근할지를 결정함. - 만약 "사용"으로 설정을 할 경우 권한이 없는 사용자가 익명으로 계정 이름 및 공유 리소스를 나열하고 이 정보를 사용하여 암호를 추측하거나 *DoS(Denial of Service) 공격을 실행할 수 있음.*DoS(Denial of Service) : 관리자 권한 없이도 특정서버에 처리할 수 없을 정도로 대량의 접속 신호를 한꺼번에 보내 해당 서버가 마비되도록 하는 해킹 기법임. ■ 보안대책 - 양호 : "Everyone 사용 권한을 익명 사용자에게 적용" 정책이..

[윈도우 보안] 서버 관리 - 관리자 그룹에 최소한의 사용자 포함 ■ 대상 OS : Windows NT, 2000, 2003, 2008 ■ 취약점 개요 - 일반 사용자 권한으로부터 받을 수 있는 시스템 피해를 줄이기 위해서 관리 업무를 위한 계정과 일반 업무를 위한 계정을 분리하여 사용하는 것이 바람직함. - 시스템 관리를 위해서는 각각 두 개의 계정을 가져야 하며 관리자 그룹에는 가능한 최소한의 사용자만 포함되도록 하여야 함. ■ 보안대책 - 양호 : Administrator 그룹웨 불필요한 관리자 계정이 존재하지 않는 경우 - 취약 : Administrator 그룹에 불필요한 관리자 계정이 존재하는 경우 ■ 보안설정 방법 ◆ Windows NT 1. 시작 -> 프로그램 -> 관리 도구 -> 도메인 사..

[윈도우 보안] 서버 관리 - 해독 가능한 암호화를 사용하여 암호 저장 ■ 대상 OS : Windows NT, 2000, 2003, 2008 ■ 취약점 개요 - 인증을 위해 사용자 암호를 알아야 하는 응용 프로그램 프로토콜이 지원될 경우 해독 가능한 방식으로 암호를 저장하기 때문에 암호공격을 이용한 공격자가 노출된 계정을 사용하여 네트워크 리소스에 로그온할 수 있음 ■ 보안대책 - 양호 : "해독 가능한 암호화를 사용하여 암호 저장" 정책이 "사용 안 함"으로 되어 있는 경우 - 취약 : "해독 가능한 암호화를 사용하여 암호 저장" 정책이 "사용"으로 되어 있는 경우 ■ 조치방법 - "해독 가능한 암호화를 사용하여 암호 저장"을 "사용 안 함"으로 설정 ■ 보안설정 방법 ◆ Windows NT, 2000..

[윈도우 보안] 서버관리 - 계정 잠금 임계값 설정 ■ 대상 OS : Windows NT, 2000, 2003, 2008 ■ 취약점 개요 - 자동화된 방법을 이용하여 공격자는 모든 사용자 계정에 대해 암호조합 공격을 시도할 수 있으므로 계정 잠금 임계값 설정을 적용하여 로그온 실패 횟수를 제한하여야 함. ■ 보안대책 - 양호 : 계정 잠금 임계값이 5 이하의 값으로 설정되어 있는 경우 - 취약 : 계정 잠금 임계값이 5 이하의 값으로 설정되어 있지 않은 경우 ■ 조치방법 - 계정 잠금 임계값을 5번 이하의 값으로 설정 ■ 보안설정 방법 ◆ Windows NT 1. 시작 -> 프로그램 -> 관리 도구 -> 도메인 사용자 관리자 -> 계정 정책 2. "계정 잠금" 선택 후 "잠금"에 "5" 이하의 값 설정 ..

[윈도우 보안] 서버관리 - 불필요한 계정 제거 ■ 대상 OS : Windows NT, 2000, 2003, 2008 ■ 취약점 개요 - 퇴직, 전직, 휴직 등의 이유로 더 이상 사용하지 않는 계정, 불필요 계정, 의심스러운 계정이 존재하는지 점검함. - 관리되지 않은 불필요한 계정은 장기가 패스워드가 변경되지 않아 *무작위 대입 공격(Brute Force Attack)이나 패스워드 추측 공격(Password Guessing)에 의해 계정 정보가 유출되어도 인지하기 어려움*무작위 대입 공격(Brute Force Attack) : 컴퓨터로 암호를 해독하기 위해 가능한 모든 키를 하나하나 추론해 보는 시도를 말함. ■ 보안대책 - 양호 : 불필요한 계정이 존재하지 않는 경우 - 취약 : 불필요한 계정이 존재..

[윈도우 보안] 서버관리 - Guest 계정 상태 ■ 대상 OS : Windows NT, 2000, 2003, 2008 ■ 취약점 개요 - 양호 : Guest 계정이 비활성화 되어 있는 경우 - 취약 : Guest 계정이 활성화 되어 있는 경우 ■ 조치방법 - Guest 계정 비활성화 ■ 보안설정 방법 ◆ Windows NT 1. 시작 -> 프로그램 -> 관리 도구 -> 도메인 사용자 관리 -> Guest 계정 선택 -> 등록 정보 2. "계정 사용 안함"에 체크 ◆ Windows 2000, 2003, 2008 1. 시작 -> 실행 -> LUSRMGR.MSC -> 사용자 -> Guest -> 속성 2. "계정 사용 안 함"에 체크 ※ 문의 사항은 메일 : jyuhm@sntkor.com 이나 070-861..

[윈도우 보안] 서버관리 - Administrator 계정 이름 바꾸기 ■ 대상 OS : Windows NT, 2000, 2003, 2008 ■ 취약점 개요 : 일반적으로 관리자 계정을 Administrator로 설정한 경우 로그온 시도 실패 횟수의 제한이 없는 점을 이용해 악의적인 사용자가 패스워드 유추 공격을 계속해서 시도할 수 있음. 관리자 계정의 이름을 변경함으로써 공격자가 패스워드뿐만 아니라 계정 이름을 쉽게 유추하지 못하도록 하여야 함. ■ 보안 대책 - 양호 : Administrator Default 계정 이름을 변경한 경우 - 취약 : Administrator Default 계정 이름을 변경하지 않은 경우 ■ 보안설정 방법 ◆ Windows NT, 2000, 2003, 2008 1. 시작 ..

[Window 보안] 윈도우서버 계정관리 - Everyone 사용권한을 익명 사용자에게 적용 ■ 대상 OS : Window Server 2003, 2008 ■ 취약점 개요 - 익명 사용자가 Everyone 그룹으로 사용 권한을 준 모든 리소스에 접근할지를 결정 - 만약 "사용"으로 설정할 경우 권한이 없는 사용자가 익명으로 계정 이름 및 공유 리소스를 나열하고 이 정보를 사용하여 암호를 추측하거나 *DoS(Denial of Service) 공격을 실행 할 수 있음 * DoS(Denial of Service) : 관리자 권한 없이도 특정서버에 처리할 수 없을 정도로 대량의 접속 신호를 한꺼번에 보내 해당 서버가 마비되도록 하는 해킹 기법 ■ 보안대책 - 양호 : "Everyone 사용 권한을 익명 사용자에..

[Windows 보안] 윈도우 계정관리 - 불필요한 계정 제거 ■ 대상 OS : Window Server NT, 2000, 2003, 2008 ■ 취약점 개요 - 퇴직, 전직, 휴직 등의 이유로 더 이상 사용하지 않는 계정, 불필요한 계정, 의심스러운 계정이 존재하는지 점검함. - 관리되지 않은 불필요한 계정은 장기간 패스워드가 변경되지 않아 *무작위 대입 공격(Brute Force Attack)이나 패스워드 추측 공격(Password Guessing)에 의해 계정 정보가 유출되어도 인지하기 어려움. * 무작위 대입 공격(Brute Force Attack) : 컴퓨터로 암호를 해독하기 위해 가능한 모든 키를 하나하나 추론해 보는 시도를 말함 ■ 보안대책 - 양호 : 불필요한 계정이 존재하지 않는 경우 -..