터미널 서비스 암호화 수준 설정 취약점 개요 ■ 위험도 - 중 ■ 점검 목적 - 터미널 서비스 암호화 설정으로 데이터를 암호화하여 클라이언트와 서버 간의 통신에서 전송되는 데이터를 보호하기 위함 ■ 보안 위협 - 서버 접속 시에 낮은 암호화 수준을 적용할 경우 악의적인 사용자에 의해 서버와 클라이언트 간 주고받는 정보가 노출될 우려가 있음 점검 및 조치 방법 ■ 판단 기준 - 양호 : 터미널 서비스를 사용하지 않거나 사용 시 암호화 수준을 “클라이언트와 호환 가능(중간)” 이상으로 설정한 경우 - 취약 : 터미널 서비스를 사용하고 암호화 수준이 “낮음” 으로 설정한 경우 ■ 조치 방법 - 터미널 서비스의 가동을 ‘중지’ 및 ‘사용 안 함’ 설정을 하거나, 부득이 사용할 경우 암호화 수준 설정 적용 ■ 점..
원격터미널 접속 가능한 사용자 그룹 제한 취약점 개요 ■ 위험도 - 중 ■ 점검 목적 - 비인가자의 원격터미널 접속을 제한하기 위함 ■ 보안 위협 - 원격터미널의 그룹이나 계정을 제한하지 않으면 임의의 사용자가 원격으로 접속하여 해당 서버에 정보를 변경하거나 정보가 유출될 가능성이 있으므로 사용자 그룹과 계정을 설정하여 접속을 제한하여야 함 점검 및 조치 방법 ■ 판단 기준 - 양호 : (관리자 계정을 제외한) 원격접속이 가능한 계정을 생성하여 타 사용자 의 원격접속을 제한하고, 원격접속 사용자 그룹에 불필요한 계정이 등 록되어 있지 않은 경우 - 취약 : (관리자 계정을 제외한) 원격접속이 가능한 별도의 계정이 존재하지 않 는 경우 ■ 조치 방법 - 관리자 계정과 이외의 계정을 생성, 권한을 제한 → ..
콘솔 로그온 시 로컬 계정에서 빈 암호 사용 제한 취약점 개요 ■ 위험도 - 중 ■ 점검 목적 - 빈 암호를 가진 계정의 콘솔 및 네트워크 서비스 접근을 차단하기 위함 ■ 보안 위협 - 이 정책이 “사용 안 함”으로 설정된 경우 빈 암호를 가진 로컬 계정에 대하 여 터미널 서비스(원격 데스크톱 서비스), Telnet 및 FTP와 같은 네트워크 서 비스의 원격 대화형 로그온이 가능하여, 시스템 보안에 심각한 위험을 줄 수 있음 점검 및 조치 방법 ■ 판단 기준 - 양호 : “콘솔 로그온 시 로컬 계정에서 빈 암호 사용 제한” 정책이 “사용”인 경우 - 취약 : “콘솔 로그온 시 로컬 계정에서 빈 암호 사용 제한” 정책이 “사용 안 함”인 경우 ■ 조치 방법 - 계정: 콘솔 로그온 시 로컬 계정에서 빈 암호..
최근 암호 기억 취약점 개요 ■ 위험도 - 중 ■ 점검 목적 - 사용자가 현재 암호 또는 최근에 사용했던 암호와 동일한 새 암호를 만드는 것을 방지하기 위함 ■ 보안 위협 - 최근 암호 기억 정책이 설정되지 않은 경우 특정 계정에 동일한 암호를 오 랫동안 사용하는 것이 가능하여 공격자가 무작위 공격을 통해 패스워드 정 보 노출 가능성이 커짐 점검 및 조치 방법 ■ 판단 기준 - 양호 : 최근 암호 기억이 4개 이상으로 설정되어 있는 경우 - 취약 : 최근 암호 기억이 4개 미만으로 설정되어 있는 경우 ■ 조치 방법 - 최근 암호 기억이 4개 이상으로 설정되어 있는 경우 ■ 점검 및 조치 사례 Windows NT Step 1) 시작> 프로그램> 관리도구> 도메인 사용자 관리자> 정책> 계정 Step 2) ..
익명 SID/이름 변환 허용 해제 취약점 개요 ■ 위험도 - 중 ■ 점검 목적 - 익명 SID/이름 변환 정책을 “사용 안 함“으로 설정하여, SID(보안 식별자)를 사용하여 관리자 이름을 찾을 수 없도록 하기 위함 ■ 보안 위협 - 이 정책이 “사용함”으로 설정된 경우 로컬 접근 권한이 있는 사용자가 잘 알려진 Administrator SID를 사용하여 Administrator 계정의 실제 이름을 알 아낼 수 있으며 암호 추측 공격을 실행할 수 있음 점검 및 조치 방법 ■ 판단 기준 - 양호 : “익명 SID/이름 변환 허용” 정책이 “사용 안 함”으로 되어 있는 경우 - 취약 : “익명 SID/이름 변환 허용” 정책이 “사용”으로 되어 있는 경우 ■ 조치 방법 - 네트워크 액세스: 익명 SID/이름 ..
로컬 로그온 허용 취약점 개요 ■ 위험도 - 중 ■ 점검 목적 - 불필요한 계정에 로컬 로그온이 허용된 경우를 찾아 비인가자의 불법적인 시스템 로컬 접근을 차단하고자 함 ■ 보안 위협 - 불필요한 사용자에게 로컬 로그온이 허용된 경우 비인가자를 통한 권한 상 승을 위한 악성 코드의 실행 우려가 있음 점검 및 조치 방법 ■ 판단 기준 - 양호 : 로컬 로그온 허용 정책에 Administrators, IUSR_ 만 존재하는 경우 - 취약 : 로컬 로그온 허용 정책에 Administrators, IUSR_ 외 다른 계정 및 그룹이 존재하는 경우 ■ 조치 방법 - Administrators, IUSR_ 외 다른 계정 및 그룹의 로컬 로그온 제한 ■ 점검 및 조치 사례 Windows NT, 2000, 2003, ..
마지막 사용자 이름 표시 안 함 취약점 개요 ■ 위험도 - 중 ■ 점검 목적 - Windows 로그인 화면에 마지막 로그온 한 사용자 이름이 표시되지 않도록 하여 악의적인 사용자에게 계정 정보가 노출되는 것을 차단하고자 함 ■ 보안 위협 - 마지막으로 로그온한 사용자의 이름이 로그온 대화 상자에 표시될 경우 공 격자는 이를 획득하여 암호를 추측하거나 무작위 공격을 시도할 수 있음 점검 및 조치 방법 ■ 판단 기준 - 양호 : “마지막 사용자 이름 표시 안 함”이 “사용”으로 설정되어 있는 경우 - 취약 : “마지막 사용자 이름 표시 안 함”이 “사용 안 함”으로 설정되어 있는 경우 ■ 조치 방법 - Windows NT : 마지막으로 로그온한 사용자 이름 표시 안 함 → 설정 후 저장 - Windows 2..
패스워드 최소 사용 기간 취약점 개요 ■ 위험도 - 중 ■ 점검 목적 - 암호를 변경할 수 있기 전까지 경과해야 하는 최소 날짜를 설정하여 원래 패스워드로 즉시 변경할 수 없도록 함 ■ 보안 위협 - 패스워드 변경 후 최소 사용 기간이 설정되지 않은 경우 사용자에게 익숙한 패스워드로 즉시 변동이 가능하여, 이를 재사용함으로써 원래 암호를 같은 날 다시 사용할 수 있음 - 패스워드 변경 정책에 따른 주기적인 패스워드 변경이 무의미해질 수 있으며, 이로 인해 조직의 계정 보안성을 낮출 수 있음 점검 및 조치 방법 ■ 판단 기준 - 양호 : 최소 암호 사용 기간이 0보다 큰 값으로 설정되어 있는 경우 - 취약 : 최소 암호 사용 기간이 0으로 설정되어 있는 경우 ■ 조치 방법 - 최소 암호 사용 기간 1일 설..
패스워드 최대 사용 기간 취약점 개요 ■ 위험도 - 중 ■ 점검 목적 - 암호가 유효한 최대 날짜를 설정하여 이 날짜가 경과된 사용자는 암호를 변 경하도록 하여 암호 크래킹의 가능성을 낮추고, 불법으로 획득한 암호의 무 단 사용을 방지하고자 함 ■ 보안 위협 - 오랫동안 변경하지 않은 패스워드를 지속적으로 사용하는 경우 암호 추측 공격에 의해 유출될 수 있으므로 사용자가 암호를 자주 바꾸도록 하면 유효 한 암호가 공격당하는 위험을 줄일 수 있음 점검 및 조치 방법 ■ 판단 기준 - 양호 : 최대 암호 사용 기간이 90일 이하로 설정되어 있는 경우 - 취약 : 최대 암호 사용 기간이 설정되지 않았거나 90일을 초과하는 값으로 설정된 경우 ■ 조치 방법 - 최대 암호 사용 기간 90일 설정 ■ 점검 및 조치..
패스워드 최소 암호 길이 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 암호에 필요한 최소 문자 수를 지정하여 강화된 패스워드를 사용하기 위함 ■ 보안 위협 - 짧은 패스워드 및 일반적인 단어와 일반적인 어구를 이용해 암호를 설정한 경우 사전 공격이나 가능한 모든 문자의 조합을 시도하는 무작위 공격을 통 해 쉽게 패스워드가 도용될 수 있음 점검 및 조치 방법 ■ 판단 기준 - 양호 : 최소 암호 길이가 8문자 이상으로 설정되어 있는 경우 - 취약 : 최소 암호 길이가 설정되지 않았거나 8문자 미만으로 설정되어 있는 경우 ■ 조치 방법 - 최소 암호 길이 8문자 이상으로 설정 ■ 점검 및 조치 사례 Windows NT Step 1) 시작> 프로그램> 관리도구> 도메인 사용자 관리자> 정책> 계정 정책 S..
취약점 개요 ■ 위험도 - 중 ■ 점검 목적 - 패스워드 설정 시 문자/숫자/특수문자를 모두 포함한 강화된 패스워드를 사 용하여 패스워드 복잡성을 만족하도록 함 ■ 보안 위협 - 사용자 암호가 패스워드 복잡성을 만족하지 못하는 반복되는 문자, 연속되는 숫자, 계정이름이 포함된 패스워드 등을 사용할 경우 무작위 대입 공격 (Brute Force Attack)이나 패스워드 추측 공격(Password Guessing Attack)에 쉽게 크랙될 수 있음 점검 및 조치 방법 ■ 판단 기준 - 양호 : “암호는 복잡성을 만족해야 함” 정책이 “사용” 으로 되어 있는 경우 - 취약 : “암호는 복잡성을 만족해야 함” 정책이 “사용 안 함” 으로 되어 있는 경우 ■ 조치 방법 - 암호는 복잡성을 만족해야 함 → 사용..
계정 잠금 기간 설정 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 로그인 실패 임계값 초과 시 일정 시간 동안 계정 잠금을 실시하여 공격자 의 자유로운 암호 유추 공격을 차단하기 위함 ■ 보안 위협 - 로그인 실패 시 일정 시간 동안 계정 잠금을 하지 않은 경우, 공격자의 자동화된 암호 추측 공격이 가능하여, 사용자 계정의 패스워드 정보가 유출될 수 있음 점검 및 조치 방법 ■ 판단 기준 - 양호 : “계정 잠금 기간” 및 “계정 잠금 기간 원래대로 설정 기간”이 설정되어 있는 경(60분 이상의 값으로 설정하기를 권고함) - 취약 : “계정 잠금 기간” 및 “잠금 기간 원래대로 설정 기간”이 설정되지 않은 경우 ■ 조치 방법 - “계정 잠금 기간“ 및 “잠금 기간 원래대로 설정 기간“ 60분 설정 ■..
