[윈도우/계정관리] 불필요한 계정 제거 (W-03)

취약점 개요

■ 위험도
- 상

■ 점검 목적
- 퇴직, 전직, 휴직 등의 이유로 더 이상 사용하지 않는 계정, 불필요한 계정,
의심스러운 계정이 존재하는지 점검함. 관리되지 않은 불필요한 계정은 장기간
패스워드가 변경되지 않아 *무작위 대입 공격(Brute Force Attack)이나 패스워드 추측
공격(Password Guessing)에 의해 계정 정보가 유출되어도 인지하기 어려움.
*무작위 대입 공격(Brute Force Attack):　컴퓨터로 암호를 해독하기 위해 가능한 모든 키를
하나하나 추론해 보는 시도를 말함.

■ 보안 위협
- 관리되지 않은 불필요한 계정은 장기간 패스워드가 변경되지 않아 무작위 대입 공격(Brute Force Attack)이나 패스워드 추측 공격(Password Guessing Attack)의 가능성이 존재하며, 또한 이런 공격에 의해 계정 정보가 유출되어도 유출 사실을 인지하기 어려움

점검 및 조치 방법

■ 판단 기준
- 양호: 불필요한 계정이 존재하지 않는 경우
- 취약: 불필요한 계정이 존재하는 경우

■ 조치 방법
현재 계정 현황 확인 후 불필요한 계정 삭제

- Window NT
1. 시작> 프로그램> 관리 도구> 도메인 사용자 관리> 계정 선택> 등록 정보
2. “계정 사용 안함”에 체크하거나 계정 삭제

- Window 2000, 2003, 2008
1. 시작> 실행> LUSRMGR.MSC> 사용자> “불필요한 사용자” 선택> 속성
2. “계정 사용 안 함” 에 체크하거나 계정 삭제

실무에서는 불필요한 계정인지 아닌지를 관계자와 논의 후 삭제를 진행 하여야한다.

■ 스크립트

@echo off
setlocal
chcp 437
mode con cols=80 lines=25
title Windows 2008 R2 Server Vulnerable Check Script

set resultfile="c:\test\bin\report\report.txt"
cd report
if exist %resultfile% del %resultfile%
secedit /export /cfg secedit.txt >nul 2>&1;

echo [W-03] 불필요한 계정 제거 >> %resultfile%
echo ===================================================== >> %resultfile%
echo [양호] 불필요한 계정이 존재하지 않는 경우 >> %resultfile%
echo [취약] 불필요한 계정이 존재하는 경우 >> %resultfile%
echo ===================================================== >> %resultfile%

echo [W-03] [수동점검] 불필요한 계정 정리 >> %resultfile%
echo 고객과 업무 협의가 필요함 >> %resultfile%
echo. >> %resultfile%
net user | find /v "accounts for" | find /v "successfully" | find /v "-" > user.txt
for /F "tokens=1,2,3" %%i in (user.txt) do (
net user %%i | findstr /i "name active" | findstr /iv "full" >> %resultfile%
echo. >> %resultfile%
net user %%j | findstr /i "name active" | findstr /iv "full" >> %resultfile%
echo. >> %resultfile%
net user %%k | findstr /i "name active" | findstr /iv "full" >> %resultfile%
echo. >> %resultfile%
)

del user.txt

echo. >> %resultfile%