[윈도우/보안 관리] 원격 시스템에서 강제로 시스템 종료 (W-40)

원격 시스템에서 강제로 시스템 종료

 

취약점 개요

■ 위험도
- 상

■ 점검 목적
- 원격에서 네트워크를 통하여 운영 체제를 종료할 수 있는 사용자나 그룹을 설정하여 특정 사용자만 시스템 종료를 허용하기 위함

■ 보안 위협
- 원격 시스템 강제 종료 설정이 부적절한 경우 서비스 거부 공격 등에 악용 될 수 있음

 

 

점검 및 조치 방법

■ 판단 기준
- 양호 : “원격 시스템에서 강제로 시스템 종료” 정책에 “Administrators”만 존재 하는 경우
- 취약 : “원격 시스템에서 강제로 시스템 종료” 정책에 “Administrators” 외 다른 계정 및 그룹이 존재하는 경우

■ 조치 방법
- 원격 시스템에서 강제로 시스템 종료 → Administrators

■ 점검 및 조치 사례
Windows NT, 2000, 2003, 2008, 2012, 2016, 2019
Step 1) 시작> 실행> SECPOL.MSC> 로컬 정책> 사용자 권한 할당
Step 2) “원격 시스템에서 강제로 시스템 종료” 정책에 Administrators 외 다른 계정 및 그룹 제거

■ 스크립트

echo. W-40 START
echo.                                                                                           >>    [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo [ W-40 "원격 시스템에서 강제로 시스템 종료" ]                                                          >>   [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo.                                                                                           >>    [RESULT]_%COMPUTERNAME%_WINSVR.txt
type [RESULT]_%COMPUTERNAME%_Local_Security_Policy.txt | find /I "SeRemoteShutdownPrivilege"    >>    [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo.                                                                                           >>    [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo W-40 END                                                                                   >>    [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo ======================================================================================     >>    [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo.                                                                                           >>    [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo.                                                                                           >>    [RESULT]_%COMPUTERNAME%_WINSVR.txt