IT STORYs
정보통신기반시설 취약점 체크리스트 - Windows OS 본문
SMS 등 에서 OS 취약점 점검하실 때 기본적으로 점검하는 체크리스트입니다.
체크리스트
| 그룹 | 항목 | ||||||
| 계정관리 | Administrator 계정 이름 바꾸기 | ||||||
| 계정관리 | Guest 계정 상태 | ||||||
| 계정관리 | 불필요한 계정 제거 | ||||||
| 계정관리 | 계정 잠금 임계값 설정 | ||||||
| 계정관리 | 해독 가능한 암호화를 사용하여 암호 저장 | ||||||
| 계정관리 | 관리자 그룹에 최소한의 사용자 포함 | ||||||
| 계정관리 | Everyone 사용 권한을 익명 사용자에게 적용 | ||||||
| 계정관리 | 계정 잠금 기간 설정 | ||||||
| 계정관리 | 패스워드 복잡성 설정 | ||||||
| 계정관리 | 패스워드 최소 암호 길이 | ||||||
| 계정관리 | 패스워드 최대 사용 기간 | ||||||
| 계정관리 | 패스워드 최소 사용기간 | ||||||
| 계정관리 | 마지막 사용자 이름 표시 안함 | ||||||
| 계정관리 | 로컬 로그온 허용 | ||||||
| 계정관리 | 익명 SID/이름 변환 허용 | ||||||
| 계정관리 | 최근 암호 기억 | ||||||
| 계정관리 | 콘솔 로그온 시 로컬 계정에서 빈 암호 사용 제한 | ||||||
| 계정관리 | 원격터미널 접속 가능한 사용자 그룹 제한 | ||||||
| 서비스 관리 | 공유 권한 및 사용자 그룹 설정 | ||||||
| 서비스 관리 | 하드디스크 기본 공유 제거 | ||||||
| 서비스 관리 | 불필요한 서비스 제거 | ||||||
| 서비스 관리 | IIS 서비스 구동 점검 | ||||||
| 서비스 관리 | IIS 디렉토리 리스팅 제거 | ||||||
| 서비스 관리 | IIS CGI 실행 제한 | ||||||
| 서비스 관리 | IIS 상위 디렉토리 접근 금지 | ||||||
| 서비스 관리 | IIS 불필요한 파일 제거 | ||||||
| 서비스 관리 | IIS 웹 프로세스 권한 제한 | ||||||
| 서비스 관리 | IIS 링크 사용금지 | ||||||
| 서비스 관리 | IIS 파일 업로드 및 다운로드 제한 | ||||||
| 서비스 관리 | IIS DB 연결 취약점 점검 | ||||||
| 서비스 관리 | IIS 가상 디렉토리 삭제 | ||||||
| 서비스 관리 | IIS 데이터 파일 ACL 적용 | ||||||
| 서비스 관리 | IIS 미사용 스크립트 매핑 제거 | ||||||
| 서비스 관리 | IIS Exec 명령어 쉘 호출 진단 | ||||||
| 서비스 관리 | IIS WebDAV 비활성화 | ||||||
| 서비스 관리 | NetBIOS 바인딩 서비스 구동 점검 | ||||||
| 서비스 관리 | FTP 서비스 구동 점검 | ||||||
| 서비스 관리 | FTP 디렉토리 접근권한 설정 | ||||||
| 서비스 관리 | Anonymouse FTP 금지 | ||||||
| 서비스 관리 | FTP 접근 제어 설정 | ||||||
| 서비스 관리 | DNS Zone Transfer 설정 | ||||||
| 서비스 관리 | RDS(RemoteDataServices)제거 | ||||||
| 서비스 관리 | 터미널 서비스 암호화 수준 설정 | ||||||
| 서비스 관리 | IIS 웹서비스 정보 숨김 | ||||||
| 서비스 관리 | SNMP 서비스 구동 점검 | ||||||
| 서비스 관리 | SNMP 서비스 커뮤니티스트링의 복잡성 설정 | ||||||
| 서비스 관리 | SNMP Access control 설정 | ||||||
| 서비스 관리 | DNS 서비스 구동 점검 | ||||||
| 서비스 관리 | HTTP/FTP/SMTP 배너 차단 | ||||||
| 서비스 관리 | Telnet 보안 설정 | ||||||
| 서비스 관리 | 불필요한 ODBC/OLE-DB 데이터 소스와 드라이브 제거 | ||||||
| 서비스 관리 | 원격터미널 접속 타임아웃 설정 | ||||||
| 서비스 관리 | 예약된 작업에 의심스러운 명령이 등록되어 있는지 점검 | ||||||
| 패치관리 | 최신 HOT FIX 적용 | ||||||
| 패치관리 | 백신 프로그램 업데이트 | ||||||
| 패치관리 | 최신 서비스팩 적용 | ||||||
| 로그 관리 | 로그의 정기적 검토 및 보고 | ||||||
| 로그 관리 | 정책에 따른 시스템 로깅 설정 | ||||||
| 로그 관리 | 원격으로 액세스할 수 있는 레지스트리 경로 | ||||||
| 로그 관리 | 이벤트 로그 관리 설정 | ||||||
| 로그 관리 | 원격에서 이벤트 로그 파일 접근 차단 | ||||||
| 보안 관리 | 백신 프로그램 설치 | ||||||
| 보안 관리 | SAM 파일 접근 통제 설정 | ||||||
| 보안 관리 | 화면보호기설정 | ||||||
| 보안 관리 | 로그온하지 않고 시스템 종료 허용 | ||||||
| 보안 관리 | 원격 시스템에서 강제로 시스템 종료 | ||||||
| 보안 관리 | 보안 감사를 로그할 수 없는 경우 즉시 시스템 종료 | ||||||
| 보안 관리 | SAM 계정과 공유의 익명 열거 허용 안 함 | ||||||
| 보안 관리 | Autologon 기능 제어 | ||||||
| 보안 관리 | 이동식 미디어 포맷 및 꺼내기 허용 | ||||||
| 보안 관리 | 디스크볼륨 암호화 설정 | ||||||
| 보안 관리 | Dos공격 방어 레지스트리 설정 | ||||||
| 보안 관리 | 사용자가 프린터 드라이버를 설치할 수 없게 함 | ||||||
| 보안 관리 | 세션 연결을 중단하기 전에 필요한 유휴시간 | ||||||
| 보안 관리 | 경고 메시지 설정 | ||||||
| 보안 관리 | 사용자별 홈 디렉터리 권한 설정 | ||||||
| 보안 관리 | LAN Manager 인증 수준 | ||||||
| 보안 관리 | 보안 채널 데이터 디지털 암호화 또는 서명 | ||||||
| 보안 관리 | 파일 및 디렉토리 보호 | ||||||
| 보안 관리 | 컴퓨터 계정 암호 최대 사용 기간 | ||||||
| 보안 관리 | 시작프로그램 목록 분석 | ||||||
| DB관리 | Windows 인증 모드 사용 | ||||||
Windows Server 기본 설치 후 작업해야 하는 것들만 정리해보았습니다. 참고하세요
■ Administrator 계정 이름 바꾸기
시작>관리도구>로컬 보안 정책>로컬 정책>보안 옵션>"계정: Administrator 계정 이름 바꾸기" 변경
■ 계정 잠금 임계값 설정
시작>관리도구>로컬 보안 정책>계정 정책>계정 잠금 정책>“계정 잠금 임계값”을 5번으로 설정
■ 계정 잠금 기간 설정
1. 시작>관리도구>로컬보안정책>계정 정책> 계정 잠금 정책
2. “계정 잠금 기간”, “다음 시간 후 계정 잠금 수를 원래대로 설정” 에 대해 각각 “60분” 설정
■ 패스워드 최소 암호 길이
1. 시작>관리도구>로컬 보안 정책>계정정책>암호 정책>암호 정책
2. “최소 암호 길이”를 “8문자”로 설정
■ 패스워드 최소 사용기간
1. 시작>관리도구>로컬 보안 정책>계정정책>암호 정책
2. “최소 암호 사용 기간”을 “1일”로 설정
■ 마지막 사용자 이름 표시 안함
1. 시작>관리도구>로컬 보안 정책> 로컬 정책> 보안 옵션
2. “대화형 로그온: 마지막 사용자 이름 표시 안 함”을 “사용”으로 설정
■ 로컬 로그온 허용
Administrators, IUSR_외 다른 계정 및 그룹의 로컬 로그온 제한
1. 시작>관리도구>로컬 보안 정책> 로컬 정책> 사용자 권한 할당
2. “로컬 로그온 허용(또는, 로컬 로그온)” 정책에 “Administrators”, “IUSR_<ComputerName> ” 외
다른 계정 및 그룹 제거
■ 최근 암호 기억
1. 시작>관리도구>로컬 보안 정책>계정정책>암호 정책
2. “최근 암호 기억”을 “12개 암호 기억됨“으로 설정
■ 하드디스크 기본 공유 제거
기본 공유 중지 후 레지스트리 값 설정(IPC$, 일반 공유 제외)
1. 시작>관리도구>컴퓨터 관리>공유 폴터>공유>기본공유 선택>공유 중지
※ “net share 고유이름 /delete”로 공유한 폴더를 공유해제
2. 시작>검색>REGEDIT>아래 레지스트리 값을 0으로 수정(키 값이 없을 경우 새로 생성 DWORD)
“HKLM\SYSTEM\CurrentControlSet\Service\lanmanserver\parameters\AutoShareServer”
■ NetBIOS 바인딩 서비스 구동 점검
1. 시작>제어판>네트워크 및 공유 센터>어댑터 설정 변경>로컬 영역 연결>>속성>TCP/IPv4>속성>탭>고급>[WINS]>NetBIOS 설정>'NetBIOS over TCP/IP 사용 안 함' 체크
■ 원격터미널 접속 타임아웃 설정
1. 시작>실행>gpedit.msc>컴퓨터 구성>관리 템플릿>Windows 구성 요소>터미널 서비스>원격 데스크톱 세션 호스트>세션 시간 제한 (10분)
2.-1. '활성 상태지만 유휴 터미널 서비스 세션에 시간 제한 설정'>편집>'사용'에 체크 후 유휴 세션 제한에 시간 설정>적용>확인
2-2. '시간 제한에 도달하면 세션 종료'>편집>'사용'에 체크>적용>확인
■ 정책에 따른 시스템 로깅 설정
1. 시작>관리도구>로컬 보안 정책> 로컬 정책> 감사 정책 다음과 같이 설정
- 로그온 이벤트, 계정 로그온 이벤트, 정책 변경: 성공/실패 감사
- 계정 관리, 디렉터리 서비스 액세스, 권한 사용: 실패 감사
■ 원격으로 액세스할 수 있는 레지스트리 경로
1. 시작>관리도구>서비스>Remote Registry>속성
2. "시작유형"->사용안함, 서비스 상태->중지
■ 화면보호기설정
1. 시작>제어판>화면 배색>디스플레이>화면보호기 변경>“다시시작할 때 로그온 화면 표시”, “대기시간” 10분 설정
■ SAM 계정과 공유의 익명 열거 허용 안 함
1. 시작>관리도구>로컬 보안 정책> 로컬 정책>보안옵션
2. 보안옵션 다음과 같이 설정
"네트워크 액세스 : SAM 계정과 공유의 익명 열거 허용 안 함" - 사용
"네트워크 액세스 : SAM 계정의 익명 열거 허용 안 함" - 사용
"네트워크 액세스 : Everyone 권한을 익명사용자에게 적용" - 사용 안함
"네트워크 액세스 : 명명된 파이프와 공유에 대한 익명 엑세스 제한" - 사용
- 방화벽과 라우터에서 135~139(TCP, UDP)포트의 차단을 통해 외부로부터의 위협을 차단하도록 함.
- 원천적으로 봉쇄.
Microsoft네트워크파일 및 프린트공유를 해제
■ Dos공격 방어 레지스트리 설정
1. 시작> 실행(검색)> regedit
2. HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\ 검색
3. 다음의 DOS 방어 레지스트리 값 추가 또는, 변경
EnableDeadGWDetect REG_DWORD 0, 1 (False, True) 0 으로 설정
■ 경고 메시지 설정
1. 시작>관리도구>로컬 보안 정책> 로컬 정책> 보안 옵션
2. 대화형 로그온: 로그온 시도하는 사용자에 대한 메시지 제목: 배너 제목 입력
3. 대화형 로그온: 로그온 시도하는 사용자에 대한 메시지 텍스트: 배너 내용 입력
ACCESS WARNING
This is a private computer system.
Unauthorized access or use is prohibited and only authorized users are permitted.
Use of this system constitutes consent to monitoring at all times and user should have no expectation of privacy.
Unauthorized access or violations of security regulations is unlawful and hence if monitoring reveals either of it, appropriate disciplinary action will be taken against the employees violating security regulations or making unauthorized use of this system.
■ LAN Manager 인증 수준
1. 시작>관리도구>로컬 보안 정책> 로컬 정책> 보안 옵션
2. “네트워크 보안: LAN Manager 인증 수준” 정책에 NTLMv2 응답만 보냄” 설정
