[window/윈도우 서버] 익명 SID/이름 변환 허용 해제

 

 

W-54 익명 SID/이름 변환 허용 해제

 

■ 점검영역 : 계정관리

 

■ 항목 중요도 : 중

 

■ 점검내용

 

익명 SID/이름 변환 정책 적용 여부 점검

 

■ 점검목적

 

익명 SID/이름 변환 정책을 “사용 안 함“으로 설정하여, SID(보안식별자)를 사용하여 관리자 이름을 찾을 수 없도록 하기 위함

 

■ 보안위협

 

이 정책이 “사용함”으로 설정된 경우 로컬 접근 권한이 있는 사용자가 잘 알려진 Administrator SID를 사용하여 Administrator 계정의 실제 이름을 알아낼 수 있으며 암호 추측 공격을 실행할 수 있음

 

■ 참고

 

※ 이 정책이 설정된 경우 익명 사용자가 다른 사용자의 SID(보안식별자) 특성을 요청할 수 있음
※ “사용 안 함”으로 정책을 설정할 경우 Windows NT 도메인 환경에서 통신이 불가능하게 될 수 있음

 

 

점검대상 및 판단기준(윈도우 서버, window)

 

■ 대상 : Windows NT, 2000, 2003, 2008, 2012, 2016, 2019

 

양호

“익명 SID/이름 변환 허용” 정책이 “사용 안 함” 으로 되어 있는 경우

 

취약

“익명 SID/이름 변환 허용” 정책이 “사용” 으로 되어 있는 경우

 

■ 조치방법

 

네트워크 액세스: 익명 SID/이름 변환 허용 → 사용 안 함

 

 

점검 및 조치 방법

 

■ Windows 2003, 2008, 2012, 2016, 2019

Step 1) 시작> 실행> SECPOL.MSC> 로컬 정책> 보안 옵션

Step 2) "네트워크 액세스: 익명 SID/이름 변환 허용" 정책이 "사용 안 함"으로 설정

 

※ Windows Server 2000 이하 버전 해당 사항 없음

 

■ 조치 시 영향 : 일반적인 경우 영향 없음