[윈도우/DB 관리] Windows 인증 모드 사용 (W-82)

Windows 인증 모드 사용

 

취약점 개요

■ 위험도
- 중

■ 점검 목적
- 적절한 Windows 인증 모드를 적용하여 적합한 복잡성 수준을 유지하기 위함

■ 보안 위협
- 혼합 인증모드를 사용하고 sa 계정이 활성화되어 있는 경우, 잘 알려진 sa 계정에 대한 계정 추측 공격의 우려 존재

점검 및 조치 방법

■ 판단 기준
- 양호 : Windows 인증 모드를 사용하고 sa계정이 비활성화되어 있는 경우 sa계정 사용 시 강력한 암호정책을 설정한 경우
- 취약 : 혼합 인증 모드를 사용하고, 활성화 된 sa 계정에 대해 강력한 암호정책 설정을 하지 않은 경우

■ 조치 방법
- Windows 인증 모드 사용

■ 점검 및 조치 사례
Windows 만 인증 활성화
< SQL Server 2005>
Step 1) 우클릭> 서버> 등록 정보> 보안 탭> 인증> 인증 모드> Windows만 [W]를 클릭하여 활성화시킴

< SQL Server 2008, 2012, 2016, 2019>
Step 1) SQL Server Management Studio> 해당 서버 우클릭> 속성> 보안> 서버 인증> Windows 인증 모드(W)를 클릭하여 활성화

■ 스크립트

echo. W-82 START
echo.                                                                                           >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt
echo [ W-82 "Windows 인증 모드 사용" ]                                                             	>>	[RESULT]_%COMPUTERNAME%_WINSVR.txt
echo.                                                                                           >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt
echo.                                                                                           >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt
echo  ■ MS-SQL 서비스 확인 ■                                          						        >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt
net start | find /I "SQL Server"																>>	[RESULT]_%COMPUTERNAME%_WINSVR.txt 2>&1
echo.                                                                                           >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt
echo.                                                                                           >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt
echo  ■ MS-SQL 인증 모드 확인 ■                                          						    >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt
reg export "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server" mssqlreg_%COMPUTERNAME%_WINSVR.dmp
TYPE mssqlreg_%COMPUTERNAME%.dmp | findstr "LoginMode"											>>	[RESULT]_%COMPUTERNAME%_WINSVR.txt
echo.                                                                                           >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt
reg query "HKLM\Software\Microsoft\Microsoft SQL Server" /s | findstr /i "LoginMode"			>>	[RESULT]_%COMPUTERNAME%_WINSVR.txt 2>&1
echo.                                                                                           >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt
echo W-82 END

■ 용어 설명 / 팁
※ 데이터베이스 엔진 인증 모드에는 Windows 인증 모드와 SQL Sever가 있는 혼합 모드 두 가지 구성이 있음. Windows 인증 모드 선택 시 SQL Sever 인증을 위해서 설치 프로그램은 sa라는 비활성화된 계정을 생성하고, 이 계정은 혼합 모드를 사용함으로써 활성화됨. sa 계정은 일반 사용자들에게 잘 알려진 만큼 쉽게 공격의 대상이 될 수 있으므로 꼭 필요하지 않은 경우 비활성화하고, 만약 필요하다면 강력한 암호 체계를 사용하여야 함
※ Windows 인증은 kerberos 보안프로토콜을 사용하며, 강력한 암호정책을 적용하여 적합한 복잡성 수준을 유지함. 또한, 계정 잠금 및 암호 만료를 지원하고 SQL 서버가 Windows에서 제공하는 자격증명을 신뢰한 트러스트 연결을 사용하기 때문에 Windows 인증 모드 사용을 권고함
※ sa 계정: 데이터베이스 서버 설치 시 자동으로 생성되며 DB서버 관리자 계정
※ kerberos 보안프로토콜: 개방된 컴퓨터 네트워크 내에서 서비스 요구를 인증하기 위한 보안 시스템