윈도우 기본적인 보안 설정과 설정 방법

2021 주요정보통신기반시설 취약점 평가 기반으로 작성되었고, 기본적으로 적용해야 할 사항들을 다루었습니다.

 

 

최소한 이정도 설정은 해두어야 합니다!!!
주요정보통신기반식설 취약점 상세 가이드 다운로드는 
맨아래에 링크를 참고해주세요.

계정 관리

Administrator 비활성화 또는 이름 변경 또는 비밀번호 강화

• Window NT, 2000, 2003, 2008, 2012, 2016, 2019
  Step 1) 시작> 프로그램> 제어판> 관리도구> 로컬 보안 정책> 로컬 정책> 보안옵션
  Step 2) "계정: Administrator 계정 이름 바꾸기"를 유추하기 어려운 계정 이름으로 변경

 

Guest 계정 비활성화

• Windows 2000, 2003, 2008, 2012, 2016, 2019
  Step 1) 시작> 실행> LUSRMGR.MSC> 사용자> GUEST> 속성
  Step 2) "계정 사용 안 함"에 체크

 

불필요한 계정 제거

• Windows 2000, 2003, 2008, 2012, 2016, 2019
  Step 1) 시작> 실행> LUSRMGR.MSC> 사용자
  Step 2) 등록된 계정 중 불필요한 사용자 선택> 속성> "계정 사용 안 함"에 체크하거나 계정 삭제

 

계정 잠금 임계값 5이하로 설정

• Windows 2000, 2003, 2008, 2012, 2016, 2019
  Step 1) 시작> 실행> SECPOL.MSC> 계정 정책> 계정 잠금 정책
  Step 2) "계정 잠금 임계값"을 "5"이하의 값으로 설정

 

해독 가능한 암호화 사용 여부 해제

• ‘해독 가능한 암호화를 사용하여 암호 저장‘ 정책이 설정되어 사용자 계정 비밀번호가 해독 가능한 텍스트 형태로 저장 되는 것을 차단하기 위함
• Window NT, 2000, 2003, 2008, 2012, 2016, 2019
  Step 1) 시작> 실행> SECPOL.MSC> 계정 정책> 암호 정책
  Step 2) "해독 가능한 암호화를 사용하여 암호 저장"을 "사용 안 함"으로 설정

 

 

 

접근 제어

화이트리스트 방식의 접근 제어

• 인가된 PC 또는 서버만 접근 가능하도록 설정
• 특수한 상황으로 인해 임시로 접근을 허용하는 경우가 많은데 상황 종료 시 허용했던 정책/룰 즉시 제거

 

IAM(Identity and Access Management), PAM(Privileged Access Management)등 과 같은 시스템을 활용한 접근 제어 강화

 

 

네트워크 분리 관련

• 업무망, 사용자망, 서버망 등 네트워크 분리 및 운영 상황에 맞는 적절한 접근 제어

 

네트워크 로그, 이벤트 로그 등을 지속적으로 모니터링하여 불필요한 접근, 비인가 접근에 대한 조치 및 관리

 

 

 

서비스 관리

서비스 관리의 경우 시스템의 영향도를 고려하여 신중한 적용 필요

 

서비스 사용 중지

• Windows 2000, 2003, 2008, 2012, 2016, 2019
  Step 1) 시작> 실행> SERVICES.MSC> "해당 서비스" 선택> 속성
  Step 2) 시작 유형 -> 사용 안 함 Step 3) 서비스 상태 -> 중지 설정
  
  

※ 일반적으로 불필요한 서비스

서비스명	기능 및 설명
Alerter	네트워크상에서 사용자와 컴퓨터에 관리용 경고메시지를 전송하는 기능
Automatic Updates	중요한 윈도우 업데이트를 다운로드하고 설치할 수 있도록 하는 애플리케 이션. 수동패치를 적용하거나, MS패치 관리 서버로 패치를 일괄적으로 관 리하는 경우 불필요한 서비스
Clipbook	서버 내 Clipbook을 다른 클라이언트와 공유
Computer Browser	네트워크에 있는 모든 컴퓨터의 목록을 업데이트 하고 관리하는 기능
Cryptographic Services	윈도우 파일의 서명을 확인하는 카탈로그 데이터베이스 서비스를 총괄
DHCP Client	IP 주소와 DNS 이름을 DHCP 서버에 등록하거나 DHCP 서버로부터 동적으 로 IP주소를 가져오는 기능을 수행. 단독으로 시스템을 수행하며 고정IP를 사용하는 경우 불필요한 서비스
Distributed Link Tracking Client, Server	네트워크 도메인의 여러 컴퓨터나 일반컴퓨터에서 NTFS 파일간의 연결을 관리하는 도구. Active Directory가 구성되어 있지 않은 서버에서는 불필요 한 서비스.
DNS Client	컴퓨터에 대한 도메인 이름 시스템(DNS)이름을 확인하고 캐시에 보관하는 기능. DNS 서버가 아닌 시스템에서는 유명무실하나, IPSEC을 사용하는 경 우 필요한 경우 있음
Error reporting Service	프로그램 오류가 시 응용프로그램의 오류를 MS에 보고한다는 내용을 표시 하는 기능
Human Interface Device Access	키보드 또는 기타 멀티미디어 장치에 사전 정의된 버튼들을 사용하는 HID 장치들을 위한 서비스
IMAPI CD-Burning COM Service	서버에 CD-RW 또는 DVD-RW가 장착되어 보조백업장치 역할을 하기 위해 서 자체 레코딩 백업을 할 수 있음
Messenger	클라이언트와 서버 사이에 netsend 및 경고서비스 메시지를 전송하는 기능
NetMeeting Remote Desktop Sharing	윈도우9X 운영체제부터 인증된 사용자가 넷미팅을 사용해서 원격으로 컴퓨 터에 접근할 수 있도록 하는 기능
Portable Media Serial Number	컴퓨터에 연결된 이동성 음악연주기(미디기기)의 등록번호를 복원하는 기능
Print Spooler	인쇄 과정에 있는 스풀링을 관리하는 서비스. 프린터가 있는 경우 필수 서 비스이나, 프린터가 연결되지 않은 시스템에서는 불필요함
Remote Registry	원격 사용자가 이 컴퓨터에서 레지스트리 설정을 수정할 수 있도록 설정 하는 애플리케이션
Simple TCP/IP Services	Echo, Discard, Character Generator, Daytime, Quote of the Day 지원
Wireless Zero Configuration	802.11 어댑터에 대해 자동 구성을 공급하는 기본적인 도구

💡 운영중인 시스템에서 필수 서비스를 정의하는 것은 매우 복잡한 과정으로 서비스 사용 여부는 시스템의 영향성을 고려하여 신중하게 평가되어야 하므로 Microsoft에서 권고하는 가이드에 따라 전략적으로 적용하여야 함 ※ https://technet.microsoft.com/ko-kr/library/dd547941.aspx (서비스 및 서비스 계정 보안 계획 가이드) 참고

 

 

 

 

공유 폴더 관리

운영에 불필요한 공유 폴더 제거 또는 접근 권한 강화

 

권한 관리

• 디폴트 공유인 C$, D$, Admin$, IPC$ 등을 제외한 공유 폴더에 Everyone 그룹으로 공유되는 것을 금지하여 익명 사용자의 접근을 차단하기 위함
• Windows 2000, 2003, 2008, 2012, 2016, 2019 Step 1) 시작> 실행> FSMGMT.MSC> 공유 Step 2) 사용 권한에서 Everyone 으로 된 공유를 제거하고 접근이 필요한 계정의 적절한 권한 추가

 

공유 폴더 제거

1. C$, D$, Admin$ 등의 기본 공유 폴더 제거
2. 기본 공유 폴더 제거 후 시스템 재부팅 시 “기본 공유 폴더가 자동으로 공유되는 것”을
3. 방지하기 위해 해당 레지스트리의 AutoShareServer 값을 “0”으로 설정
4. 일반 공유 폴더 사용 시 공유 폴더 접근 권한에 “Everyone” 제거
5. 일반 공유 폴더 사용 시 접근이 필요한 계정에만 적절한 (읽기, 변경)권한 설정
6. 일반 공유 폴더 사용 시 공유 폴더 접근을 위한 암호 설정
   
   

예 1)C$, D$, Admin$ 등

• 레지스트리 : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
• AutoShareServer의 값을 REG_DWORD 타입의 0으로 바꿈
  
  
  

예 2)Null 세션 제거하기(IPC$)

• IPC$ 공유(Null 세션 연결) : 이 세션을 사용하면 Windows에서 익명 사용자가 도메인 계정 및 네트워크 공유 이름을 열회하는 등 특정 작업 수행이 가능
• IPC$는 제거가 안되기에 Null 세션을 제거하는 방법을 이용
• 레지스트리: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
• restrictanonymous의 값을 REG_DWORD 타입의 1로 바꿈(기본값은 0)

 

< 공유 폴더 설정 기준 >

• 1. C$, D$, Admin$ 등의 기본 공유 폴더 제거
  2. 기본 공유 폴더 제거 후 시스템 재부팅 시 “기본 공유 폴더가 자동으로 공유되는 것”을
  3. 방지하기 위해 해당 레지스트리의 AutoShareServer 값을 “0”으로 설정
  4. 일반 공유 폴더 사용 시 공유 폴더 접근 권한에 “Everyone” 제거
  5. 일반 공유 폴더 사용 시 접근이 필요한 계정에만 적절한 (읽기, 변경)권한 설정
  6. 일반 공유 폴더 사용 시 공유 폴더 접근을 위한 암호 설정
     
     
  예 1)C$, D$, Admin$ 등
  • 레지스트리 : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
  • AutoShareServer의 값을 REG_DWORD 타입의 0으로 바꿈
    
    
    
  예 2)Null 세션 제거하기(IPC$)
  • IPC$ 공유(Null 세션 연결) : 이 세션을 사용하면 Windows에서 익명 사용자가 도메인 계정 및 네트워크 공유 이름을 열회하는 등 특정 작업 수행이 가능
  • IPC$는 제거가 안되기에 Null 세션을 제거하는 방법을 이용
  • 레지스트리: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
  • restrictanonymous의 값을 REG_DWORD 타입의 1로 바꿈(기본값은 0)

 

 

 

https://www.kisa.or.kr/2060204/form?postSeq=12&lang_type=KO&page=1#fndoDocumentPreview

KISA 한국인터넷진흥원