W-75 경고 메시지 설정 ■ 점검영역 : 보안 관리 ■ 항목 중요도 : 하 ■ 점검내용 로그온 시 경고 메시지 출력 여부 점검 ■ 점검목적 로그온 시 경고 메시지를 설정하여 시스템에 로그온을 시도하는 사용자들에게 관리자는 시스템의 불법적인 사용에 대하여 경고 창을 띄움으로써 경각심을 주기 위함 ■ 보안위협 로그온 경고 메시지가 없는 경우 악의적인 사용자에게 관리자가 적절한 보안수준으로 시스템을 보호하고 있으며, 공격자의 활동을 주시하고 있다는 생각을 상기 시킬 수 없어 간접적인 공격 기회를 제공할 우려 있음 ■ 참고 - 점검대상 및 판단기준(윈도우 서버, window) ■ 대상 : Windows NT, 2000, 2003, 2008, 2012, 2016, 2019 양호 로그인 경고 메시지 제목 및 내용..
W-77 LAN Manager 인증 수준 ■ 점검영역 : 보안 관리 ■ 항목 중요도 : 중 ■ 점검내용 LAN Manager 인증 수준 적절성 점검 ■ 점검목적 Lan Manager 인증 수준 설정을 통해 네트워크 로그온에 사용할 Challenge/Response 인증 프로토콜을 결정하며, 안전한 인증 절차를 적용하기 위함 ■ 보안위협 안전하지 않은 LAN Manager 인증 수준을 사용하는 경우 인증 트래픽을 가로채기를 통해 악의적인 계정 정보 노출을 허용할 수 있음 ■ 참고 ※ LAN Manager는 네트워크를 통한 파일 및 프린터 공유 등과 같은 작업 시 인증을 담당. NTLMv2는 Windows 2000, 2003, XP 이상에서 지원되며, Windows 98, NT 버전과 통신 할 경우 패치를 ..
W-76 사용자별 홈 디렉토리 권한 설정 ■ 점검영역 : 보안 관리 ■ 항목 중요도 : 중 ■ 점검내용 사용자 홈 디렉토리 권한 적절성 점검 ■ 점검목적 사용자 홈 디렉토리에 적절한 권한을 부여하여 비인가 사용자에 의한 불필요한 정보 노출을 방지하기 위함 ■ 보안위협 사용자 계정별 홈 디렉토리의 권한이 제한되어 있지 않은 경우 임의의 사용자나 다른 사용자의 홈 디렉토리에 악의적인 목적으로 접근할 수 있으며, 접근 후 의도 또는, 의도하지 않은 행위로 시스템에 악영향을 미칠 수 있음 ■ 참고 - 점검대상 및 판단기준(윈도우 서버, window) ■ 대상 : Windows NT, 2000, 2003, 2008, 2012, 2016, 2019 양호 홈 디렉토리에 Everyone 권한이 없는 경우 (All Us..
W-74 세션 연결을 중단하기 전에 필요한 유휴시간 ■ 점검영역 : 보안관리 ■ 항목 중요도 : 중 ■ 점검내용 세션 연결 중단 시 유휴시간 설정 여부 점검 ■ 점검목적 세션이 중단되기 전에 SMB(서버 메시지 블록) 세션에서 보내야 하는 연속 유휴 시간을 결정하여 서비스 거부 공격 등에 악용되지 않도록 하기 위함 ■ 보안위협 SMB 세션에서는 서버 리소스를 사용하며, null(공백) 세션수가 많으면 서버 속도가 느려지거나 서버에 오류를 발생시킬 수 있으므로 공격자는 이를 악용하여 SMB 세션을 반복 설정하여 서버의 SMB 서비스가 느려지거나 응답하지 않게 하여 서비스 거부 공격을 실행 할 수 있음 ■ 참고 ※ Administrator는 이 정책을 활성화하여 컴퓨터가 비활성 SMB 세션을 중단하는 시점을..
W-70 이벤트 로그 관리 설정 ■ 점검영역 : 로그 관리 ■ 항목 중요도 : 하 ■ 점검내용 이벤트 로그 파일 용량 및 보관 기간 설정 점검 ■ 점검목적 유사 시 책임추적을 위해 주요 이벤트가 누락되지 않도록 이벤트 로그 파일의 크기 및 보관 기간을 적절하게 유지하기 위함 ■ 보안위협 이벤트 로그 파일의 크기가 충분하지 않을 경우 중요 로그가 저장되지 않을 위험이 있으며, 최대 보존 크기를 초과하는 경우 자동으로 덮어 씀으로써 중요 로그의 손실의 우려가 있음 ■ 참고 - 점검대상 및 판단기준(윈도우 서버, window) ■ 대상 : Windows NT, 2000, 2003, 2008, 2012, 2016, 2019 양호 최대 로그 크기 “10,240KB 이상”으로 설정, “90일 이후 이벤트 덮어씀”을..
W-78 보안 채널 데이터 디지털 암호화 또는 서명 ■ 점검영역 : 보안 관리 ■ 항목 중요도 : 중 ■ 점검내용 ‘보안 채널 데이터 디지털 암호화 또는 서명‘ 정책 적절성 점검 ■ 점검목적 해당 정책을 활성화하여 보안 채널의 서명 또는 암호화가 협상되지 않는 한 보안 채널을 확립하지 않기 위함 ■ 보안위협 보안 채널이 암호화 되지 않은 경우 인증 트래픽 끼어들기 공격, 반복 공격 및 기타 유형의 네트워크 공격 등의 위험 존재 ■ 참고 - 점검대상 및 판단기준(윈도우 서버, window) ■ 대상 : Windows NT, 2000, 2003, 2008, 2012, 2016, 2019 양호 아래 3가지 정책이 “사용"으로 되어 있는 경우 취약 아래 3가지 정책이 "사용 안 함" 으로 되어 있는 경우 • 도..
W-73 사용자가 프린터 드라이버를 설치할 수 없게 함 ■ 점검영역 : 보안관리 ■ 항목 중요도 : 중 ■ 점검내용 사용자의 프린터 드라이버 설치 차단 여부 점검 ■ 점검목적 일반 사용자를 통한 프린터 드라이버 설치를 차단하여 의도하지 않은 시스템 손상을 방지하기 위함 ■ 보안위협 서버에 프린터 드라이버를 설치하는 경우 악의적인 사용자가 고의적으로 잘못된 프린터 드라이버를 설치하여 컴퓨터를 손상시킬 수 있으며, 프린터 드라이버로 위장한 악성 코드를 설치할 수 있음 ■ 참고 - 점검대상 및 판단기준(윈도우 서버, window) ■ 대상 : Windows NT, 2000, 2003, 2008, 2012, 2016, 2019 양호 “사용자가 프린터 드라이버를 설치할 수 없게 함” 정책 취약 “사용자가 프린터 ..
W-79 파일 및 디렉토리 보호 ■ 점검영역 : 보안 관리 ■ 항목 중요도 : 중 ■ 점검내용 NTFS 파일 시스템 사용 여부 점검 ■ 점검목적 FAT 파일 시스템에 비해 보다 강화된 보안 기능을 제공하는 파일 시스템을 사용하기 위함 (파일과 디렉토리에 소유권과 사용 권한 설정이 가능하고 ACL(접근 통제 목록)을 제공) ■ 보안위협 FAT 파일 시스템 사용 시 사용자별 접근 통제를 적용할 수 없어 중요 정보 에 대한 책임 추적성 확보가 어려움 ■ 참고 ※ 기존에 FAT 파일 시스템을 사용하다가 NTFS로 변환하기 위해서는 convert.exe 명령을 사용할 수 있지만 FAT 파일 시스템으로 운영 중 변환해야 하는 경우 Default ACL이 적용되지 않으므로 가능한 초기 설치 시 NTFS 파일 시스템을..
W-80 컴퓨터 계정 암호 최대 사용 기간 ■ 점검영역 : 보안 관리 ■ 항목 중요도 : 중 ■ 점검내용 컴퓨터 계정 암호 최대 사용 기간 설정 여부 점검 ■ 점검목적 컴퓨터 계정 암호 최대 사용 기간을 설정하기 위함 ■ 보안위협 기본적으로 도메인 구성원은 도메인 암호 변경 주기가 적절하지 않은 경우 공격자가 무단 공격을 실행하여 하나 이상의 컴퓨터 계정 암호를 추측하기에 충분한 시간을 제공할 수 있음 ■ 참고 ※ 도메인 구성원이 해당 컴퓨터 계정 암호를 정기적으로 변경할지를 결정할 수 있으며, 기본적으로 도메인 구성원이 사용하는 도메인 암호 변경 기간은 ‘자동’으로 설정되어 있음 점검대상 및 판단기준(윈도우 서버, window) ■ 대상 : Windows NT, 2000, 2003, 2008, 2012..
W-81 시작프로그램 목록 분석 ■ 점검영역 : 보안 관리 ■ 항목 중요도 : 중 ■ 점검내용 시작프로그램 목록 내 불필요한 항목 존재 여부 점검 ■ 점검목적 불필요한 시작 프로그램을 삭제하거나 비활성화 하여 악의적인 공격을 차단하기 위함 ■ 보안위협 윈도우 부팅 시 너무 많은 시작프로그램이 동시에 실행되면 속도가 저하되는 문제가 발생하며, 공격자가 심어놓은 악성 프로그램이나 해킹 툴이 실행되어 시스템에 피해를 줄 수 있음 ■ 참고 - 점검대상 및 판단기준(윈도우 서버, window) ■ 대상 : Windows NT, 2000, 2003, 2008, 2012, 2016, 2019 양호 시작프로그램 목록을 정기적으로 검사하고 불필요한 서비스 체크해제를 한 경우 취약 시작프로그램 목록을 정기적으로 검사하지 ..
W-82 Windows 인증 모드 사용 ■ 점검영역 : DB 관리 ■ 항목 중요도 : 중 ■ 점검내용 DB 로그인 시 Windows 인증 모드 적절성 점검 ■ 점검목적 적절한 Windows 인증 모드를 적용하여 적합한 복잡성 수준을 유지하기 위함 ■ 보안위협 혼합 인증모드를 사용하고 sa 계정이 활성화 되어 있는 경우, 잘 알려진 sa 계정에 대한 계정 추측 공격의 우려 존재 ■ 참고 ※ 데이터베이스 엔진 인증 모드에는 Windows 인증 모드와 SQL Sever가 있는 혼합 모드 두 가지 구성이 있음. Windows 인증 모드 선택 시 SQL Sever 인증을 위해서 설치 프로그램은 sa라는 비활성화 된 계정을 생성하고, 이 계정은 혼합 모드를 사용함으로써 활성화 됨. sa 계정은 일반 사용자들에게 잘..
W-71 원격에서 이벤트 로그 파일 접근 차단 ■ 점검영역 : 로그 관리 ■ 항목 중요도 : 중 ■ 점검내용 원격에서 로그 파일의 접근을 차단하기 위한 권한 적절성 점검 ■ 점검목적 원격에서 로그 파일을 접근하는 것을 차단하여 로그 파일의 훼손 및 변조를 차단하기 위함 ■ 보안위협 원격 익명 사용자의 시스템 로그 파일에 접근이 가능한 경우 ‘중요 시스템 로그’ 파일 및 ‘애플리케이션 로그’ 등 중요 보안 감사 정보의 변조·삭제·유출의 위험이 존재 ■ 참고 ※ 로그 디렉토리 위치 • 시스템 로그 디렉토리: %systemroot%\system32\config • IIS 로그 디렉토리: %systemroot%\system32\LogFiles 점검대상 및 판단기준(윈도우 서버, window) ■ 대상 : Win..
W-67 원격터미널 접속 타임아웃 설정 ■ 점검영역 : 서비스 관리 ■ 항목 중요도 : 중 ■ 점검내용 원격터미널 접속 타임아웃 설정 여부 점검 ■ 점검목적 조직에서 부득이 원격터미널 접속을 허용해야 할 경우, 원격터미널 접속 후 일정 시간 동안 이벤트가 발생하지 않은 호스트의 접속을 차단하여 비인가자의 불필요한 접근을 차단하고 정보의 노출을 방지하기 위함 ■ 보안위협 접속 타임아웃 값이 설정되지 않은 경우 유휴 시간 내 비인가자의 시스템 접근으로 인해 불필요한 내부 정보의 노출 위험이 존재함 ■ 참고 ※ 기반시설 시스템에서 원격 터미널 서비스의 이용은 원칙적으로 금지하나, 부득이 해당 기능을 활용해야 하는 경우 접속 타임아웃 설정 등의 보안 조치를 반드시 적용하여야 함 점검대상 및 판단기준(윈도우 서버..
W-65 Telnet 보안 설정 ■ 점검영역 : 서비스 관리 ■ 항목 중요도 : 중 ■ 점검내용 Telnet 서비스 구동 비활성화 및 취약한 인증 사용 여부 점검 ■ 점검목적 취약 프로토콜인 Telnet 서비스의 사용을 원칙적으로 금지하고, 부득이 이용할 경우 네트워크상으로 패스워드를 전송하지 않는 NTLM 인증을 사용하도록 하여 인증 정보의 노출을 차단하기 위함 ■ 보안위협 Telnet 서비스는 평문으로 데이터를 송수신하기 때문에 Password 방식으로 인증을 수행할 경우 ID 및 Password가 외부로 노출될 위험성이 있음 ■ 참고 ※ Windows 서버의 Telnet 서비스의 두 가지 인증 방법 • NTLM 인증: 암호를 전송하지 않고 negotiate/challenge/response 절차로 ..