[윈도우/계정관리] 로컬 로그온 허용 (W-53)
- 취약점 점검/윈도우
- 2021. 11. 17.
로컬 로그온 허용
취약점 개요
■ 위험도
- 중
■ 점검 목적
- 불필요한 계정에 로컬 로그온이 허용된 경우를 찾아 비인가자의 불법적인 시스템 로컬 접근을 차단하고자 함
■ 보안 위협
- 불필요한 사용자에게 로컬 로그온이 허용된 경우 비인가자를 통한 권한 상 승을 위한 악성 코드의 실행 우려가 있음
점검 및 조치 방법
■ 판단 기준
- 양호 : 로컬 로그온 허용 정책에 Administrators, IUSR_ 만 존재하는 경우
- 취약 : 로컬 로그온 허용 정책에 Administrators, IUSR_ 외 다른 계정 및 그룹이 존재하는 경우
■ 조치 방법
- Administrators, IUSR_ 외 다른 계정 및 그룹의 로컬 로그온 제한
■ 점검 및 조치 사례
Windows NT, 2000, 2003, 2008, 2012, 2016, 2019
Step 1) 시작> 실행> SECPOL.MSC> 로컬 정책> 사용자 권한 할당
Step 2) "로컬 로그온 허용(또는, 로컬 로그온)" 정책에 "Adminstrators", "IUSR_" 외 다른 계정 및 그룹 제거
■ 스크립트
echo. W-53 START
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo [ W-53 "로컬 로그온 허용" ] >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
type [RESULT]_%COMPUTERNAME%_Local_Security_Policy.txt | Find /I "SeInteractiveLogonRight" >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo W-53 END >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo ====================================================================================== >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
■ 용어 설명 / 팁
※ “로컬로 로그온 허용” 권한은 시스템 콘솔에 로그인을 허용하는 권한으로 반드시 콘솔 접근이 필요한 사용자 계정에만 해당 권한을 부여하여야 함
※ IIS 서비스를 사용할 경우 이 권한에 IUSR_<ComputerName> 계정을 할당함