[윈도우/계정관리] 해독 가능한 암호화를 사용하여 암호 저장 해제 (W-05)

취약점 개요

■ 위험도
- 상

■ 점검 목적
- '해독 가능한 암호화를 사용하여 암호 저장' 정책이 설정되어 사용자 계정 비밀번호가 해독 가능한 텍스트 형태로 저장 되는 것을 차단하기 위함

■ 보안 위협
- 위 정책이 설정된 경우 OS에서 사용자 ID, PW를 입력받아 인증을 진행하는 응용프로그램 프로토콜 지원 시 OS 는 사용자의 PW를 해독 가능한 방식으로 암호를 저장하기 때문에, 노출된 계정에 대해 공격자가 암호 복호화 공격으로 PW를 획득하여 네트워크 리소스에 접근할 수 있음

점검 및 조치 방법

■ 판단 기준
- 양호 : "해독 가능한 암호화를 사용하여 암호 저장" 정책이 "사용 안 함" 으로 되어 있는 경우
- 취약 : "해독 가능한 암호화를 사용하여 암호 저장" 정책이 "사용" 으로 되어 있는 경우

■ 조치 방법
"해독 가능한 암호화를 사용하여 암호 저장" 을 "사용 안 함"으로 설정

Window NT, 2000, 2003, 2008, 2012
Step 1) 시작 > 실행 > SECPOL.MSC > 계정 정책 > 암호 정책
Step 2) "해독 가능한 암호화를 사용하여 암호 저장"을 "사용 안 함"으로 설정

■ 스크립트

echo. W-05 START                             >> [RESULT]_%COMPUTERNAME%_WIN.txt
echo [W-05 "해독 가능한 암호화를 사용하여 암호 저장"]    >> [RESULT]_%COMPUTERNAME%_WIN.txt
echo.                                       >> [RESULT]_%COMPUTERNAME%_WIN.txt
echo # 로컬보안정책 추출 #                          >> [RESULT]_%COMPUTERNAME%_WIN.txt
secedit /export /cfg c:\secedit.txt
echo.                                       >> [RESULT]_%COMPUTERNAME%_WIN.txt
echo # 패스워드 암호화 저장 확인 #                 >> [RESULT]_%COMPUTERNAME%_WIN.txt
type c:\secedit.txt | find /I "ClearTextPassword" >> [RESULT]_%COMPUTERNAME%_WIN.txt
echo.                                       >> [RESULT]_%COMPUTERNAME%_WIN.txt
echo.                                       >> [RESULT]_%COMPUTERNAME%_WIN.txt
echo W-05 END                               >> [RESULT]_%COMPUTERNAME%_WIN.txt
echo===================================================================== >> [RESULT]_%COMPUTERNAME%_WIN.txt