예약된 작업에 의심스러운 명령이 등록되어 있는지 점검
취약점 개요
■ 위험도
- 중
■ 점검 목적
- 외부 무단 침입 시 설정될 수 있는 불필요한 예약 작업의 등록 여부를 확인하기 위함
■ 보안 위협
- 일정 시간마다 미리 설정해둔 프로그램을 실행할 수 있는 예약된 작업은 시 작프로그램과 더불어서 해킹과 트로이 목마, 백도어를 설치하여 공격하기 좋은 루트로 사용될 수 있음
점검 및 조치 방법
■ 판단 기준
- 양호 : 불필요한 명령어나 파일 등 주기적인 예약 작업의 존재 여부를 주기적으 로 점검하고 제거한 경우
- 취약 : 불필요한 명령어나 파일 등 주기적인 예약 작업의 존재 여부를 주기적으 로 점검하지 않거나, 해당 작업을 제거하지 않은 경우
■ 조치 방법
- 예약 작업에 대한 주기적인 확인
■ 점검 및 조치 사례
Windows 2000, 2003, 2008, 2012, 2016, 2019
< GUI 확인 방법 >
Step 1) 시작> 설정> 제어판> 예약된 작업 확인
※ 2008, 2012, 2016, 2019 는 제어판> 관리 도구> 작업 스케줄러에서 확인
Step 2) 등록된 예약 작업을 선택하여 상세내역 확인
Step 3) 불필요한 파일 존재 시 삭제
[Windows 2000, 2003]
[Windows 2008, 2012, 2016, 2019]
< CLI 확인 방법 >
Step 1) 시작> 실행> cmd 입력
Step 2) cmd 창에서 C:\>at 명령어를 실행하여 확인
※ 2012, 2016, 2019 는 schtasks 명령어로 확인
■ 스크립트
echo. W-68 START
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo [ W-68 "예약된 작업에 의심스러운 멸령이 등록되어 있는지 점검" ] >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. # 예약된 작업 확인 (at) # >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
at >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. # 예약된 작업 확인 (schtasks) # >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
schtasks >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo W-68 END >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo ====================================================================================== >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt