계정 관리
Administrator 계정 이름 변경
유추하기 어려운 관리자 계정명으로 변경
제어판 > 관리도구 > 컴퓨터 관리 > 로컬 사용자 및 그룹 > 사용자 에서 계정명 확인
제어판 > 관리도구 > 로컬보안정책 > 로컬정책 > 보안옵션 의 '계정:Administrator 계정 이름 바꾸기'를 통해 변경
Gurest 계정 사용 제한
Gurest 계정은 외부 사용자가 컴퓨터를 잠시 접근할 수 있는 계정
불특정 사용자의 시스템 접근을 허용하는 취약한 계정이므로 사용제한을 권장
불특정 다수의 접근이 필요한 경우 Guest 계정이 아닌 일반 사용자 계정을 생성해 사용하도록
제어판 > 관리도구 > 컴퓨터 관리 > 로컬 사용자 및 그룹 > 사용자 에서 Guest 계정 선택 후 '계정 사용 안함' 적용
불필요한 계정 제거
제어판 > 관리도구 > 컴퓨터 관리 > 로컬 사용자 및 그룹 > 사용자 에서 불필요한 계정에 대한 '삭제' 또는 '계정 사용 안함'
관리자 그룹에 최소한의 사용자 포함
제어판 > 관리도구 > 컴퓨터 관리 > 로컬 사용자 및 그룹 > 그룹 에서 'Administrators' 그룹 선택 후 불필요한 계정 확인하여 제거
암호/패스워드 정책 설정
제어판 > 관리도구 > 로컬 보안 정책 > 계정 정책 > 암호 정책 선택
- 패스워드 복잡성 설정
- 최근 패스워드 기억 설정 (12개 이상 권장)
- 패스워드 최대 사용 기간 설정 (90일 이하 권장, 계정 속성의 '암호 사용 기간 제한 없음' 해제)
- 패스워드 최소 사용 기간 설정 (0보다 큰 값 권장(보통 1)
- 패스워드 최소 길이 설정 (8 이상 권장)
- 해독 가능한 암호화 사용 설정 (사용 안함 설정)
계정 잠금 정책
제어판 > 관리도구 > 로컬 보안 정책 > 계정 정책 > 계정 잠금 정책 선택
- 계정 잠금 기간 (60분 이상 권장)
- 계정 잠금 임계값 (5 이하 권장)
- 다음 시간 후 계정 잠금 수를 원래대로 설정 (60분 이상 권장)
서비스 관리
하드디스크 기본 공유 제거
Windows는 프로그램 및 서비스를 네트워크나 컴퓨터 환경에서 관리하기 위해 시스템 기본 공유 항목을 자동으로 생성
하드디스크 기본 공유 : C$, D$ 등
원격 관리 및 IPC용 기본 공유 : ADMIN$, IPC$
하드디스크 기본 공유 제거하지 않으면 기본 공유 폴더를 통해 인가받지 않은 사용자가 하드디스크 내의 폴더나 파일에 접근하거나 바이러스가 침투하는 경로가 될 수 있다
- 보안설정
- 제어판 > 관리도구 > 시스템 도구 > 공유 폴더 > 공유 선택하여 하드디스크 기본 공유 설정 확인
- 관리화면에서 공유 중지를 하거나 net share 명령을 통해 공유 중지 가능
단, 기본공유의 경우 공유 중지를 해도 운영체제가 재시작 되면 다시 생성되므로 레지스트리 수정이 필요
(HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters 선택 후 'AutoShareServer' DWORD값 생성 후 0으로 설정)
공유 권한 및 사용자 그룹 설정
공유 폴더에 Everyone 그룹이 포함되어 있으면 익명 사용자에 의한 접근이 가능하므로 Everyone 그룹 제거
제어판 > 관리도구 > 시스템 도구 > 공유 폴더 > 공유 선택하여 공유 폴더의 사용 권한 확인, Everyone 그룹이 있으면 제거
불필요한 서비스 제거
취약한 서비스들이 디폴트로 설치되어 실행되고 있으면 공격 지점이 될 수 있으므로 사용하지 않거나 제거
- ex
Alerter (서버에서 클라이언트로 경고 메시지 전송)
Clipbook (서버 내 Clipbook을 다른 클라이언트와 공유)
Messenger (net send 명령어를 이용하여 클라이언트에 메시지 전송)
Simple TCP/IP Services (Echo, Discard, Character Generator, Daytime, Quote of the Day) - 보안설정
- 제어판 > 관리도구 > 서비스 에서 불필요한 서비스 확인
- 불필요한 서비스가 시작상태이면 이를 중지한 후 시작 유형을 '사용 안함'으로 선택
로그 관리 - 감사정책 설정
- 윈도우 운영체제의 감사정책
어떤 로그를 남길지를 정의한 규칙
감사 정책을 설정하게 되면 감사 정책에 의해 지정한 이벤트 범주에 대해서만 로그가 남는다 - 권장 감사 정책 설정
| 감사 항목 | 권장값 | 설명 |
|---|---|---|
| 개체 엑세스 | 감사안함 | 파일, 디렉터리, 레지스트리, 프린터 등의 객체에 대한 접근 성공/실패 여부 기록할지 결정 |
| 계정 관리 | 실패 | 계정 관리 이벤트를 감사할지 여부 결정 사용자 계정 또는 그룹의 생성, 변경, 삭제, 암호의 설정 및 변경 등의 이벤트 성공/실패 로그를 기록 |
| 계정 로그온 이벤트 | 성공, 실패 | 도메인 계정에 대한 로그온 성공/실패 관련 이벤트 로그를 기록할지 결정 |
| 권한 사용 | 실패 | 권한 사용의 성공 및 실패를 감사할 경우 사용자 권한을 이용하려고 할 때마다 이벤트 생성 |
| 디렉터리 서비스 액세스 | 실패 | Active Directory 개체의 시스템 액세스 컨트롤 목록(SACL)에 나열된 사용자가 해당 개체에 액세스를 시도할 때 이벤트 생성 |
| 로그온 이벤트 | 성공, 실패 | 로컬 계정에 대한 로그온/오프 성공/실패에 대한 이벤트를 기록할지 결정 |
| 시스템 이벤트 | 감사안함 | 시스템 시작 또는 종료, 보안 로그에 영향을 미치는 이벤트 등을 감사할지 여부를 결정 |
| 정책 변경 | 성공, 실패 | 감사 정책 변경의 성공 및 실패를 감사 |
| 프로세스 추적 | 감사안함 | 실행되는 프로세스에 대한 자세한 추적 정보를 감사하는 경우 프로세스 생성, 프로세스 종료, 핸들 복제 및 간접 개체 액세스 같은 프로세스 관련 이벤트를 감사할지 여부를 결정 |
'보안' 카테고리의 다른 글
| 보안기사 - OSI 7 layer (0) | 2020.04.20 |
|---|---|
| 보안기사 - 시스템 문제편 (0) | 2020.04.19 |
| 보안기사 - UNIX/Linux 서버 취약점 (0) | 2020.04.18 |
| 보안기사 - 시스템 해킹 (0) | 2020.04.18 |
| 보안기사 - UNIX/Linux 로그 (0) | 2020.04.17 |