[윈도우/보안 관리] LAN Manager 인증 수준 (W-77)
- 취약점 점검/윈도우
- 2021. 12. 11.
LAN Manager 인증 수준
취약점 개요
■ 위험도
- 중
■ 점검 목적
- Lan Manager 인증 수준 설정을 통해 네트워크 로그온에 사용할 Challenge/ Response 인증 프로토콜을 결정하며, 안전한 인증 절차를 적용하기 위함
■ 보안 위협
- 안전하지 않은 LAN Manager 인증 수준을 사용하는 경우 인증 트래픽을 가로채기를 통해 악의적인 계정 정보 노출을 허용할 수 있음
점검 및 조치 방법
■ 판단 기준
- 양호 : "LAN Manager 인증 수준" 정책에 "NTLMv2 응답만 보냄"이 설정되어 있는 경우
- 취약 : "LAN Manager 인증 수준" 정책에 "LM" 및 "NTLM"인증이 설정되어 있는 경우
■ 조치 방법
- Windows 2000
: LAN Manager 인증 7 수준 -> NTLMv2 응답만 보내기
- Windows 2003, 2008, 2012, 2016, 2019
: 네트워크 보안: LAN Manager 인증 수준 -> NTMLv2 응답만 보내기
■ 점검 및 조치 사례
Windows NT, 2000
Step 1) 시작> 실행> SECPOL.MSC> 로컬 정책> 보안 옵션
Step 2) “LAN Manager 인증 수준” 정책에 “NTLMv2 응답만 보내기” 설정
Windows 2003, 2008, 2012, 2016, 2019
Step 1) 시작> 실행> SECPOL.MSC> 로컬 정책> 보안 옵션
Step 2) “네트워크 보안: LAN Manager 인증 수준” 정책에 NTLMv2 응답만 보내기” 설정
■ 스크립트
echo. W-77 START
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo [ W-77 "LAN Manager 인증 수준" ] >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
type [RESULT]_%COMPUTERNAME%_Local_Security_Policy.txt | Find /I "LmCompatibilityLevel" >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo W-77 END >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo ====================================================================================== >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
■ 용어 설명 / 팁
※ LAN Manager는 네트워크를 통한 파일 및 프린터 공유 등과 같은 작업 시 인증을 담 당. NTLMv2는 Windows 2000, 2003, XP 이상에서 지원되며, Windows 98, NT 버전과 통신할 경우 패치를 설치하여야 함