[윈도우/서비스 관리] 공유 권한 및 사용자 그룹 설정 (W-07)

취약점 개요

■ 위험도
- 상

■ 점검 목적
- 디폴트 공유인 C$, D$, Admin$, IPC$ 등을 제외한 공유 폴더에 Everyone 그룹으로 공유되는 것을 금지하여 익명 사용자의 접근을 차단하기 위함

■ 보안 위협
- Everyone이 공유계정에 포함되어 있으면 익명 사용자의 접근이 가능하여 내부 정보 유출 및 악성코드의 감염 우려가 있음

점검 및 조치 방법

■ 판단 기준
- 양호 : 일반 공유 디렉토리가 없거나 공유 디렉토리 접근 권한에 Everyone 권한이 없는 경우
- 취약 : 일반 공유 디렉토리의 접근 권한에 Everyone 권한이 있는 경우

■ 조치 방법
Step 1) 프로그램 > 관리도구 > 서버 관리자 > 컴퓨터 > 공유 디렉토리 > 등록관리 > 사용 권한에서 Everyone으로 된 공유를 제거하고 접근이 필요한 계정의 적절한 권한 추가

Windows 2000, 2003, 2008, 2012
Step 1) 시작 > 실행 > FSMGMT.MSC > 공유
Step 2) 사용 한에서 Everyone으로 된 공유를 제거하고 접근이 필요한 계정의 적절한 권한 추가

■ 스크립트

echo. W-07 START
echo.                                                                                           >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt
echo [ W-07 "Everyone 사용 권한을 익명 사용자에게 적용" ]                                               	>>	[RESULT]_%COMPUTERNAME%_WINSVR.txt
echo.                                                                                           >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt
echo.                                                                                           >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt
echo ■ Everyone 그룹에 익명 보안 식별자가 포함되는지 여부 ■                        					    >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt
echo.                                                                                           >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt
type [RESULT]_%COMPUTERNAME%_Local_Security_Policy.txt | find /i "everyoneincludesanonymous" | find /v "1"       >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt
echo.                                                                                           >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt
echo.                                                                                           >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt
echo.    																					    >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt
echo W-07 END                                                                                   >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt
echo