[윈도우/계정관리] 콘솔 로그온 시 로컬 계정에서 빈 암호 사용 제한 (W-56)
- 취약점 점검/윈도우
- 2021. 11. 20.
콘솔 로그온 시 로컬 계정에서 빈 암호 사용 제한
취약점 개요
■ 위험도
- 중
■ 점검 목적
- 빈 암호를 가진 계정의 콘솔 및 네트워크 서비스 접근을 차단하기 위함
■ 보안 위협
- 이 정책이 “사용 안 함”으로 설정된 경우 빈 암호를 가진 로컬 계정에 대하 여 터미널 서비스(원격 데스크톱 서비스), Telnet 및 FTP와 같은 네트워크 서 비스의 원격 대화형 로그온이 가능하여, 시스템 보안에 심각한 위험을 줄 수 있음
점검 및 조치 방법
■ 판단 기준
- 양호 : “콘솔 로그온 시 로컬 계정에서 빈 암호 사용 제한” 정책이 “사용”인 경우
- 취약 : “콘솔 로그온 시 로컬 계정에서 빈 암호 사용 제한” 정책이 “사용 안 함”인 경우
■ 조치 방법
- 계정: 콘솔 로그온 시 로컬 계정에서 빈 암호 사용 제한 → 사용
■ 점검 및 조치 사례
Windows 2003, 2008, 2012, 2016, 2019
Step 1) 시작> 실행> SECPOL.MSC> 로컬 정책> 보안 옵션
Step 2) "계정: 콘솔 로그온 시 로컬 계정에서 빈 암호 사용 제한" 정책을 "사용"으로 설정
■ 스크립트
echo. W-56 START
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo [ W-56 "콘솔 로그온 시 로컬 계정에서 빈 암호 사용" ] >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
type [RESULT]_%COMPUTERNAME%_Local_Security_Policy.txt | Find /I "LimitBlankPasswordUse" >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo W-56 END >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo ====================================================================================== >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
■ 용어 설명 / 팁
※ 윈도우 원격 제어(mstsc)는 보안상 계정에 암호가 걸린 계정만 접속하도록 하고 있으나 이 정책을 활성화하면 계정에 암호가 걸려 있지 않아도 원격 제어가 가능함