Monble_정보보안

● 원도우 서버 2008 CMDEXE 파일권한 설정

분류: 파일 시스템

보안항목: CMDEXE 파일 권한 설정

대상 OS: 원도우 20089

중요도: 하

기준 lls 사용시 CMD.EXE 보안 취약점 방지 설정

조치방법: ⓐ lls서비스 실행 중지 ⓑ lls 서비스 실행 중일 경우 

Administrator system Trustedinstaller 그룹만 실행 권한 설정

■ 상세조치방법

UAC 보호 설정시 사용권한 설정 및 제거 불가 UAC 해제 후 변경

WRP(Windows Resource Protection) 보안모델이 적용되어 소유자 변경 후 권한 변경

CMD.EXE 소유자 변경-->C:\WINDOWS\system32\cmd.exe 파일선택>속성>보안>고급>소유자>편집> 기타 사용자 및 그룹> 관리자 계정으로 변경 

탐색기  C:\WINDOWS\system32\cmd.exe 파일선택>속성>보안  Administrators, system, TrustedInstaller 외에 권한제거

관리자 계정으로 변경한 파일을 원래대로 소유자 변경

- CMD.EXE 소유자   C:\WINDOWS\system32\cmd.exe 파일선택>속성>보안>고급>소유자>편집> 기타 사용자 및 그룹> NT service\TrustedInstaller 로 변경

■ 사용자 계정 컨트롤(User Account control) 설정

분류: 계정 관리

보안항목: 사용자 계정 컨트롤 설정

대상 OS: Windows 2008

중요도: 하

기준: UAC 사용으로 권한 없는 사용자의 프로그램 설치 설정 변경을 제한

조치방법: 사용자 계정 컨트롤(UAC) 사용 (Windows 2008)

           사용자 계정 컨트롤(UAC) 사용 (Windows 2008 R2)

프로그램에서 사용자 모르게 컴퓨터를 변경하려는 경우에만 알림 이상

◆ 실제 사용되고 있는 모든 관리자 계정의 사용자 계정 컨트롤(UAC) 설정 확인

단, LLS 실행 중이며 2.1.CMD.EXE 파일 권한 설정 시 해당 항목 예외처리

■ 상세설명

사용자 계정 컨트롤(UAC,UsernAccount Control) 기능은 Windows VISTA 버전부터 추가된 보안 기능임 제한된 전체 관리자 권한, 제한된 일반유저 권한, Guest 권한으로 분류됨

일반적으로 사용자가 운영체제 설치 후 갖게 되는 계정은 제한된 일반유저 권한으로 데스크톱을 실행한다. 따라서 기본적으로 관리자를 포함한 모든 사용자는 Wiindows 시스템에 일반유저(관리자계정, 표준사용자계정)으로 로그인하게 된다. 단 Guest 계정은 별도의 Guest권한만을 사용할 수 있음

사용자 계정 컨트롤(UAC)에서는 컴퓨터의 작동에 영향을 줄 수있는 작업을 실행하거나 다른 사용자에게 영향을 주는 설정을 변경하려고 할때 설정을 변경하기 전에 사용 권한이나 관리자 암호를 요구하는 방식으로 악성소프트웨어 및 스파이웨어가 사용권한 없이 시스템에 설치 및 실행되는 것을 방지함

■ 원도우 서버 2008 암호 정책설정

분류: 계정관리

보안항목: 암호 정책 설정

대상 OS Windows 22008

중요도 상

기준: 패스워드 추측 공격을 방지하기 위한 사용자 패스워드 정책 설정

조치방법

㉠ 암호정책설정

암호는 복잡성을 만족해야 함-->사용

최근 암호 기억-->"12"

최대 암호 사용 기간-->"60일(이하)"

최소 암호 길이-->"9문자(이상)"

최소 암호 사용 시간-->"1일(이상)"

해독 가능한 암호화를 사용하여 암호 저장

㉡ 패스워드 설정

패스워드는 3종류 이상을 조합하여 최소 9자리 이상의 길이로 구성

상세조치방법

1. 암호정책설정방법

시작--> 관리도구-->로컬 보안 정책-->암호 정책 선택 후 설정

2. 패스워드 설정 기준

1) 패스워드는 4가지 문자 종류 중 3종류 이상을 조합하여 최소 9자리 이상의 길이로 구성

(1) 영문 대문자 (26개)

(2) 영문 소문자 (26개)

(3) 숫자 (10개)

(4) 특수문자 (32개)

2) 패스워드는 비인가자에 의한 추측이 어렵도록 다음의 사항을 반영하여 설계

(1) Null 패스워드 사용 금지

(2) 문자 또는 숫자만으로 구성 금지

(3) 사용자 ID와 동일하거나 유사한 패스워드 금지

(4) 연속적인 문자/숫자(예. 1111, 1234, abcd) 사용 금지

(5) 주기성 패스워드 재사용 금지

(6) 전화번호, 생일같이 추측하기 쉬운 개인정보 패스워드로 사용 금지

3) SAM 파일에 암호를 저장하기 위해 사용되는 LANMan 알고리즘은 8자 단위로 글자를 나누어 암호화하기 때문에 8의 배수가 되는 암호사용을 권장 (8자의 암호사용 권장)

■ 상세설명

패스워드 추측공격을 피하기 위하여 패스워드 최소길이를 설정하고, 패스워드가 임의의 경로를 통해 유출되었을 때, 임의로 접속한 사용자가 언제든 다시 접속할 수 있는 환경을 방지하기 위해 패스워드 날짜 제한을 점검함

더욱 보안을 강화하기 위하여, 각 사용자의 로그온 시간 및 로그온 가능 워크스테이션 정의, 계정 사용기간 정의, RAS(Remote Access Service) 기능 사용시 Call-back 기능 등 매우 다양한 보안기능을 설정할 수 있으며 사용자 권한 정책의 변화는 사용자가 다음에 로그온 할 때 적용됨.

● 분류: 계정관리

● 보안항목 계정 잠금 정책 설정

● 대상 OS Windows 2008

● 상

1-2 계정 잠금 정책 설정

◆ 시스템 보안을 위한 계정 잠금 설정

◆ 조치방법

ⓐ 계정 잠금 기간 60분 이상

ⓑ 계정 잠금 임계값 10번 이하

ⓒ 계정 잠금 기간 원래대로 설정 60분 이상

■ 상세조치방법

시작--> 관리도구--> 컴퓨터 관리--> 로컬 보안 정책--> 계정정책--> "계정잠금기간"

/"다음 시간 후 계정 잠금 수를 원래대로 설정"을 "60분"으로 설정

"계정 잠금 임계 값"을 "10번"으로 설정

상세한 설명

시스템 보안향상을 위해 보안정책 설정에서 로그온 실패 횟수와 시간에 따른 계정 잠금 기간 및 계정 잠금 복귀 시간을 설정함으로써 무차별대입 공격이나 패스워드 크랙 공격에 대응 할수 있도록 잠금정책을 점검 함

★ 계정 잠금 기간 

60분으로 설정 만일 사용자가 로그인을 시도 할때 정해진 횟수 이상 로그온에 실패하면 시스템은 자동적으로 해당 계정을 60분 동안 잠그게 됨

★ 다음 시간 후 계정 잠금 수를 원래대로 설정 60분으로 설정

잠겨진 계정으로 다시 로그인을 시도할 수 있는 시간 간격은 60분임

★ 10번 잘못된 로그온 시도 후 계정 잠금

로그인 시도 횟수를 10번으로 설정하며, 10번이상 로그인에 실패 하였을 경우

계정 잠금 시간만큼 계정은 잠기게 됨