[윈도우/계정관리] 익명 SID/이름 변환 허용 해제 (W-54)
- 취약점 점검/윈도우
- 2021. 11. 18.
익명 SID/이름 변환 허용 해제
취약점 개요
■ 위험도
- 중
■ 점검 목적
- 익명 SID/이름 변환 정책을 “사용 안 함“으로 설정하여, SID(보안 식별자)를 사용하여 관리자 이름을 찾을 수 없도록 하기 위함
■ 보안 위협
- 이 정책이 “사용함”으로 설정된 경우 로컬 접근 권한이 있는 사용자가 잘 알려진 Administrator SID를 사용하여 Administrator 계정의 실제 이름을 알 아낼 수 있으며 암호 추측 공격을 실행할 수 있음
점검 및 조치 방법
■ 판단 기준
- 양호 : “익명 SID/이름 변환 허용” 정책이 “사용 안 함”으로 되어 있는 경우
- 취약 : “익명 SID/이름 변환 허용” 정책이 “사용”으로 되어 있는 경우
■ 조치 방법
- 네트워크 액세스: 익명 SID/이름 변환 허용 → 사용 안 함
■ 점검 및 조치 사례
■ Windows 2003, 2008, 2012, 2016, 2019
Step 1) 시작> 실행> SECPOL.MSC> 로컬 정책> 보안 옵션
Step 2) "네트워크 액세스: 익명 SID/이름 변환 허용" 정책이 "사용 안 함"으로 설정
※ Windows Server 2000 이하 버전 해당 사항 없음
■ 스크립트
echo. W-54 START
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo [ W-54 "익명 SID/이름 변환 허용" ] >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
type [RESULT]_%COMPUTERNAME%_Local_Security_Policy.txt | Find /I "LSAAnonymousNameLookup" >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo W-54 END >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo ====================================================================================== >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
■ 용어 설명 / 팁
※ 이 정책이 설정된 경우 익명 사용자가 다른 사용자의 SID(보안 식별자) 특성을 요청할 수 있음
※ “사용 안 함”으로 정책을 설정할 경우 Windows NT 도메인 환경에서 통신이 불가능하게 될 수 있음