W-42 SAM 계정과 공유의 익명 열거 허용 안 함 ■ 점검영역 : 보안 관리 ■ 항목 중요도 : 상 ■ 점검내용 ‘SAM 계정과 공유의 익명 열거 허용 안 함’ 정책 설정 여부 점검 ■ 점검목적 익명 사용자에 의한 악의적인 계정 정보 탈취를 방지하기 위함 ■ 보안위협 Windows에서는 익명의 사용자가 도메인 계정(사용자, 컴퓨터 및 그룹)과 네트워크 공유 이름의 열거 작업을 수행할 수 있으므로 SAM(보안계정관리자) 계정과 공유의 익명 열거가 허용될 경우 악의적인 사용자가 계정 이름 목록을 확인하고 이 정보를 사용하여 암호를 추측하거나 사회 공학적 공격기법을 수행할 수 있음 ■ 참고 ※ 방화벽과 라우터에서 135~139(TCP, UDP)포트 차단을 통해 외부로부터의 위협을 차단함 ※ 네트워크 및 전..
W-43 Autologon 기능 제어 ■ 점검영역 : 보안 관리 ■ 항목 중요도 : 상 ■ 점검내용 Autologon 기능 제어 설정 여부 점검 ■ 점검목적 Autologon 기능을 사용하지 않도록 설정하여 시스템 계정 정보 노출을 차단하기 위함 ■ 보안위협 Autologon 기능을 사용하면 침입자가 해킹 도구를 이용하여 레지스트리에 저장된 로그인 계정 및 패스워드 정보 유출 가능 ■ 참고 ※ Autologon: 레지스트리에 암호화 되어 저장된 대체 증명을 사용하여 자동으로 로그인하는 기능 점검대상 및 판단기준(윈도우 서버, window) ■ 대상 : Windows NT, 2000, 2003, 2008, 2012, 2016, 2019 양호 AutoAdminLogon 값이 없거나 0으로 설정되어 있는 경우..
W-45 디스크볼륨 암호화 설정 ■ 점검영역 : 보안 관리 ■ 항목 중요도 : 상 ■ 점검내용 디스크볼륨 암호화 설정 여부 점검 ■ 점검목적 디스크볼륨 암호화 설정을 적용하여 비인가 액세스로부터 중요 데이터를 보호하기 위함 ■ 보안위협 디스크 볼륨이 암호화 되어 있지 않은 경우 비인가자가 데이터를 열람할 수 있음 점검대상 및 판단기준(윈도우 서버, window) ■ 대상 : Windows NT, 2000, 2003, 2008, 2012, 2016, 2019 양호 "데이터 보호를 위해 내용을 암호화" 정책이 선택된 경우 취약 “데이터 보호를 위해 내용을 암호화" 정책이 선택되어 있지 않은 경우 ■ 조치방법 EFS(Encrypting File System) 활성화 점검 및 조치 방법 ■ Windows 200..
W-46 Everyone 사용 권한을 익명 사용자에 적용 해제 ■ 점검영역 : 계정관리 ■ 항목 중요도 : 중 ■ 점검내용 'Everyone 사용 권한을 익명 사용자에 적용' 정책의 설정 여부 점검 ■ 점검목적 익명 사용자가 Everyone 그룹으로 사용 권한을 준 모든 리소스에 접근하는 것을 차단하여 비인가자에 의한 접근 가능성을 제한하기 위함 ■ 보안위협 해당 정책이 “사용”으로 설정될 경우 권한이 없는 사용자가 익명으로 계정 이름 및 공유 리소스를 나열하고 이 정보를 사용하여 암호를 추측하거나 DoS(Denial of Service) 공격을 실행할 수 있음 ■ 참고 ※ DoS(Denial of Service): 관리자 권한 없이도 특정서버에 처리할 수 없을 정도로 대량의 접속신호를 한꺼번에 보내 해..
W-47 계정 잠금 기간 설정 ■ 점검영역 : 계정관리 ■ 항목 중요도 : 중 ■ 점검내용 사용자 계정 잠금 기간 정책 설정 여부 점검 ■ 점검목적 로그인 실패 임계값 초과 시 일정 시간 동안 계정 잠금을 실시하여 공격자의 자유로운 암호 유추 공격을 차단하기 위함 ■ 보안위협 로그인 실패 시 일정 시간 동안 계정 잠금을 하지 않은 경우, 공격자의 자동화된 암호 추측 공격이 가능하여, 사용자 계정의 패스워드 정보가 유출될 수 있음 ■ 참고 ※ 계정 잠금 기간 설정은 계정 잠금 임계값을 초과한 사용자 계정이 잠기는 시간을 결정함. 잠긴 계정은 관리자가 재설정하거나 해당 계정의 잠금 유지 시간이 만료되어야 사용할 수 있음 ※ 계정 잠금 기간 설정을 사용하면 지정한 기간 동안 잠긴 계정은 사용할 수 없으며, 계..
W-48 패스워드 복잡성 설정 ■ 점검영역 : 계정관리 ■ 항목 중요도 : 중 ■ 점검내용 계정 패스워드 복잡성 정책 설정 여부 점검 ■ 점검목적 패스워드 설정 시 문자/숫자/특수문자를 모두 포함한 강화된 패스워드를 사용하여 패스워드 복잡성을 만족하도록 함 ■ 보안위협 사용자 암호가 패스워드 복잡성을 만족하지 못하는 반복되는 문자, 연속되는 숫자, 계정이름이 포함된 패스워드 등을 사용할 경우 무작위 대입 공격 (Brute Force Attack)이나 패스워드 추측 공격 (Password Guessing Attack)에 쉽게 크랙될 수 있음 ■ 참고 ※ 패스워드 설정 시 영문/숫자/특수문자를 모두 포함하여 강력한 패스워드가 설정될 수 있도록 암호 복잡성을 설정하여야 함 ※ 영∙숫자만으로 이루어진 암호는 현..
W-49 패스워드 최소 암호 길이 ■ 점검영역 : 계정관리 ■ 항목 중요도 : 중 ■ 점검내용 패스워드 최소 암호 길이 정책 설정 여부 점검 ■ 점검목적 암호에 필요한 최소 문자 수를 지정하여 강화된 패스워드를 사용하기 위함 ■ 보안위협 짧은 패스워드 및 일반적인 단어와 일반적인 어구를 이용해 암호를 설정한 경우 사전 공격이나 가능한 모든 문자의 조합을 시도하는 무작위 공격을 통해 쉽게 패스워드가 도용될 수 있음 ■ 참고 ※ 암호정책: 사용자에게 암호를 정기적으로 변경하게 하고, 암호의 최소 길이를 지정하며, 암호가 특정 복잡성을 만족시키도록 하는 등 암호 설정을 사용자 강제하여 컴퓨터를 보호하는 정책 점검대상 및 판단기준(윈도우 서버, window) ■ 대상 : Windows NT, 2000, 2003..
W-50 패스워드 최대 사용 기간 ■ 점검영역 : 계정관리 ■ 항목 중요도 : 중 ■ 점검내용 패스워드 최대 사용 기간 정책의 설정 여부 점검 ■ 점검목적 암호가 유효한 최대 날짜를 설정하여 이 날짜가 경과된 사용자는 암호를 변경하도록 하여 암호 크래킹의 가능성을 낮추고, 불법으로 획득한 암호의 무단 사용을 방지하고자 함 ■ 보안위협 오랫동안 변경하지 않은 패스워드를 지속적으로 사용하는 경우 암호 추측공격에 의해 유출될 수 있으므로 사용자가 암호를 자주 바꾸도록 하면 유효한 암호가 공격당하는 위험을 줄일 수 있음 ■ 참고 ※ 암호정책: 사용자에게 암호를 정기적으로 변경하게 하고, 암호의 최소 길이를 지정하며, 암호가 특정 복잡성을 만족시키도록 하는 등 암호 설정을 강제하여 컴퓨터를 보호하는 정책 점검대상..
W-51 패스워드 최소 사용 기간 ■ 점검영역 : 계정관리 ■ 항목 중요도 : 중 ■ 점검내용 패스워드 최소 사용 기간 정책 설정 여부 점검 ■ 점검목적 암호를 변경할 수 있기 전까지 경과해야 하는 최소 날짜를 설정하여 원래 패스워드로 즉시 변경할 수 없도록 함 ■ 보안위협 패스워드 변경 후 최소 사용 기간이 설정되지 않은 경우 사용자에게 익숙한 패스워드로 즉시 변동이 가능하여, 이를 재사용함으로써 원래 암호를 같은날 다시 사용할 수 있음 패스워드 변경 정책에 따른 주기적인 패스워드 변경이 무의미해 질 수 있으며, 이로 인해 조직의 계정 보안성을 낮출 수 있음 ■ 참고 ※ 암호정책: 사용자에게 암호를 정기적으로 변경하게 하고, 암호의 최소 길이를 지정하며, 암호가 특정 복잡성을 만족시키도록 하는 등 암호..
W-52 마지막 사용자 이름 표시 안 함 ■ 점검영역 : 계정관리 ■ 항목 중요도 : 중 ■ 점검내용 로그인 화면에 마지막 로그온 사용자 이름을 표시하지 않도록 설정되었는지 여부를 점검 ■ 점검목적 Windows 로그인 화면에 마지막 로그온 한 사용자 이름이 표시되지 않도록 하여 악의적인 사용자에게 계정 정보가 노출되는 것을 차단하고자 함 ■ 보안위협 마지막으로 로그온한 사용자의 이름이 로그온 대화 상자에 표시될 경우 공격자는 이를 획득하여 암호를 추측하거나 무작위 공격을 시도할 수 있음 ■ 참고 ※ Windows 로그인 화면에 마지막 로그온 한 사용자 이름이 표시될 경우 주로 콘솔 사용자 및 터미널 서비스 이용자에게 시스템에 존재하는 사용자 계정 정보를 노출함 점검대상 및 판단기준(윈도우 서버, win..
W-53 로컬 로그온 허용 ■ 점검영역 : 계정관리 ■ 항목 중요도 : 중 ■ 점검내용 불필요한 계정의 로컬 로그온을 허용 여부 점검 ■ 점검목적 불필요한 계정에 로컬 로그온이 허용된 경우를 찾아 비인가자의 불법적인 시스템 로컬 접근을 차단하고자 함 ■ 보안위협 불필요한 사용자에게 로컬 로그온이 허용된 경우 비인가자를 통한 권한 상승을 위한 악성 코드의 실행 우려가 있음 ■ 참고 ※ “로컬로 로그온 허용” 권한은 시스템 콘솔에 로그인을 허용하는 권한으로 반드시 콘솔 접근이 필요한 사용자 계정에만 해당 권한을 부여하여야 함 ※ IIS 서비스를 사용할 경우 이 권한에 IUSR_ 계정을 할당함 점검대상 및 판단기준(윈도우 서버, window) ■ 대상 : Windows NT, 2000, 2003, 2008, ..
W-54 익명 SID/이름 변환 허용 해제 ■ 점검영역 : 계정관리 ■ 항목 중요도 : 중 ■ 점검내용 익명 SID/이름 변환 정책 적용 여부 점검 ■ 점검목적 익명 SID/이름 변환 정책을 “사용 안 함“으로 설정하여, SID(보안식별자)를 사용하여 관리자 이름을 찾을 수 없도록 하기 위함 ■ 보안위협 이 정책이 “사용함”으로 설정된 경우 로컬 접근 권한이 있는 사용자가 잘 알려진 Administrator SID를 사용하여 Administrator 계정의 실제 이름을 알아낼 수 있으며 암호 추측 공격을 실행할 수 있음 ■ 참고 ※ 이 정책이 설정된 경우 익명 사용자가 다른 사용자의 SID(보안식별자) 특성을 요청할 수 있음 ※ “사용 안 함”으로 정책을 설정할 경우 Windows NT 도메인 환경에서 ..
W-55 최근 암호 기억 ■ 점검영역 : 계정관리 ■ 항목 중요도 : 중 ■ 점검내용 최근 암호 기억 정책 설정 여부 점검 ■ 점검목적 사용자가 현재 암호 또는 최근에 사용했던 암호와 동일한 새 암호를 만드는 것을 방지하기 위함 ■ 보안위협 최근 암호 기억 정책이 설정되지 않은 경우 특정 계정에 동일한 암호를 오랫동안 사용하는 것이 가능하여 공격자가 무작위 공격을 통해 패스워드 정보 노출 가능성이 커짐 ■ 참고 ※ 사용자가 현재 암호 또는, 최근에 사용했던 암호와 똑같은 새 암호로 설정할 수 없도록 하여야 함 ※ 이 정책은 암호정책 중 하나로 ‘패스워드 최소 사용 기간’ 정책과 같이 적용될 경우 보안성이 훨씬 강화됨 점검대상 및 판단기준(윈도우 서버, window) ■ 대상 : Windows NT, 20..
W-56 콘솔 로그온 시 로컬 계정에서 빈 암호 사용 제한 ■ 점검영역 : 계정관리 ■ 항목 중요도 : 중 ■ 점검내용 콘솔 로그인 시 빈 암호 사용 가능 여부 점검 ■ 점검목적 빈 암호를 가진 계정의 콘솔 및 네트워크 서비스 접근을 차단하기 위함 ■ 보안위협 이 정책이 “사용 안 함”으로 설정된 경우 빈 암호를 가진 로컬 계정에 대하여 터미널 서비스(원격 데스크톱 서비스), Telnet 및 FTP와 같은 네트워크 서비스의 원격 대화형 로그온이 가능하여, 시스템 보안에 심각한 위험을 줄 수 있음 ■ 참고 ※ 윈도우 원격 제어(mstsc)는 보안상 계정에 암호가 걸린 계정만 접속하도록 하고 있으나 이 정책을 활성화하면 계정에 암호가 걸려 있지 않아도 원격 제어가 가능함 점검대상 및 판단기준(윈도우 서버, ..