[윈도우/서비스 관리] SNMP 서비스 커뮤니티 스트링의 복잡성 설정 (W-61)
- 취약점 점검/윈도우
- 2021. 11. 25.
SNMP 서비스 커뮤니티 스트링의 복잡성 설정
취약점 개요
■ 위험도
- 중
■ 점검 목적
- SNMP에서 일종의 패스워드로 사용하는 Community String을 유추할 수 없 는 복잡한 값으로 변경하여 불필요한 시스템 정보 노출을 차단하기 위함
■ 보안 위협
- Community String 설정을 변경하지 않고 public, private 등 Default 설정 값 으로 사용하는 경우, 기본 String 값을 통한 시스템의 주요 정보 및 설정 상 태의 비인가자 노출 위험이 존재
점검 및 조치 방법
■ 판단 기준
- 양호 : SNMP 서비스를 사용하지 않거나 Community String이 public, private이 아닌 경우
- 취약 : SNMP 서비스를 사용하며, Community String이 public, private인 경우
■ 조치 방법
- 불필요 시 서비스 중지/사용 안 함, 사용 시 Default Community String 변경
■ 점검 및 조치 사례
Windows NT
Step 1) 바탕화면> 네트워크 환경> 등록 정보> 서비스/SNMP Service> 등록 정보> 보안
Windows 2000, 2003, 2008, 2012, 2016, 2019
Step 1) 시작> 실행> SERVICES.MSC> SNMP Service(또는, SNMP 서비스)> 속성> 보안>[인증 트랩 보내기] 아래 [추가] 버튼>
Step 2) [SNMP 서비스 구성]> 쓰기 권한이 필요하지 않다면 커뮤니티 이름을 읽기 전용으로 Public/Private이 아닌 이름을 추가(NT의 경우 시작> 제어판> 서비스에서 설정)
Step 3) 불필요 시 해당 서비스 제거
시작> 실행> SERVICES.MSC> SNMP Service(또는, SNMP 서비스)> 속성 [일반] 탭에서 “시작 유형”을 “사용 안 함”으로 설정한 후, SNMP 서비스 중지
■ 스크립트
echo. W-61 START
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo [ W-61 "SNMP 서비스 커뮤니티스트링의 복잡성 설정" ] >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
reg query HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SNMP\Parameters\ValidCommunities\ >> [RESULT]_%COMPUTERNAME%_WINSVR.txt 2>&1
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo W-61 END >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo ====================================================================================== >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt