OS Security Checker

Windows / Linux(CentOS, Ubuntu) 운영체제의 보안 설정을 점검하는 서비스입니다. 보안에 꼭 필요한 항목 위주로 선별하여 점검을 수행합니다.

점검 가능한 운영체제

  • Linux (64 bit)

    • CentOS 5.11
    • CentOS 6.3
    • CentOS 6.6
    • CentOS 7.2
    • CentOS 7.3
    • Ubuntu 12.04
    • Ubuntu 14.04
    • Ubuntu 16.04
  • Windows (64 bit)

    • Windows Server 2008 R2 with SP1
    • Windows Server 2012 R2
    • Windows Server 2016

OS 보안 점검 항목

Linux 점검 항목

점검 항목 점검 항목 설명
root 계정 원격 접속 제한 root 계정은 시스템을 관리하는 매우 중요한 계정입니다. 직접 로그인하도록 허용하면 불법적인 침입자의 목표가 될 수 있습니다. root 계정을 탈취하려는 무작위 대입 공격이 빈번히 발생하고 있습니다. root 계정의 원격 접속을 제한하고, 사용자가 생성한 별도의 사용자 계정으로 로그인한 뒤 su 명령을 이용하여 root 권한으로 변경하여 작업하는 것이 안전합니다.
/etc/shadow 파일 중 password가 없는 계정 비밀번호를 암호화하지 않고 평문으로 저장하면, 정보 유출 시 큰 피해가 발생합니다. "/etc/shadow" 파일에 암호화된 비밀번호가 저장되도록 하고, 관리자 권한이 있는 사용자들만 읽을 수 있도록 제한해야 합니다.
root를 제외한 UID 0 계정 삭제 UID(User Identification)값이 0인 계정은 root와 권한이 동일하여 시스템 접근이 가능합니다. 따라서 root 외에는 UID값이 0인 계정이 존재하지 않도록 확인하여 조치해야 합니다.
Password 최소길이 설정 계정의 비밀번호가 짧게 설정되어 있으면 무작위 대입 공격(Brute Force Attack)이나 비밀번호 추측 공격(Password Guessing)에 취약합니다. 사용자가 계정의 비밀번호를 8자리 이상으로 설정하도록 유도하기 위하여, 비밀번호의 최소 길이 정책을 8자리 이상으로 설정해야 합니다.
Password 최장 사용기간 설정 사용자의 비밀번호는 자주 변경하는 것이 좋습니다. 동일한 비밀번호를 오래 사용하면, 이전에 발생한 외부 침입으로 인해 노출된 비밀번호로 지속적인 공격에 노출됩니다. 사용자가 비밀번호를 주기적으로 변경할 수 있도록 정책적으로 유도하는 것이 바람직합니다.
관리자 그룹에 최소한의 계정 포함 시스템을 관리하는 root 계정이 속한 그룹은 시스템 운영 파일에 대한 접근 권한이 부여되어 있으므로 최소한의 계정만 등록되어 있어야 합니다. 관리자 그룹에 일반 사용자가 등록되어 있으면 관리자의 권한으로 시스템에 접근할 수 있습니다. 허가받지 않은 사용자에 의한 파일 수정 및 변경 등의 악의적인 작업으로 인해 시스템 운영에 피해가 발생할 수 있습니다. 따라서 관리자 그룹에 대한 관리가 필요합니다.
동일한 UID를 사용하는 계정사용 금지 UNIX 시스템은 모든 사용자 계정에 UID를 부여하여 해당 UID로 사용자 이름, 비밀번호, 홈 디렉터리 등과 같은 사용자 정보를 확인합니다. 만약 중복된 UID가 존재하면 시스템에서 동일한 사용자로 인식하여 문제가 발생할 수 있습니다. 또한 공격자에 의한 개인 정보 및 관련 데이터 유출 발생 시에도 감사 추적이 어렵게 됩니다. 동일한 UID를 사용하는 계정이 없도록 관리해야 합니다.
로그인이 필요하지 않은 계정의 shell 권한점검 일반적으로 nobody와 같은 계정은 로그인 셸(Shell)이 필요하지 않습니다. 로그인이 필요 없는 계정을 이용해 시스템에 접근하여 사용자의 명령어를 해석하고 악용할 가능성이 있으므로, /bin/false 셸을 부여해 로그인을 제한해야 합니다.
Session Timeout 설정 계정이 접속된 상태로 방치될 경우 권한이 없는 사용자에게 중요 시스템이 노출되어 악의적인 목적으로 사용될 수 있습니다. 일정 시간 동안 어떠한 이벤트도 발생하지 않으면, 연결을 강제 종료하는 Session Timeout 설정이 필요합니다.
UMASK 설정 관리 시스템 내에서 사용자가 새로 생성하는 파일의 접근 권한은 UMASK값에 따라 정해집니다. UMASK값이 적당하지 않으면 잘못된 권한의 파일을 생성할 수 있습니다. UMASK값은 '027' 또는, '022'를 권장합니다.
홈디렉토리 권한설정 사용자 홈 디렉터리에 포함된 설정 파일이 비인가자에 의해 변조되면 정상적인 사용자 서비스가 제한됩니다. 해당 홈 디렉터리의 소유자 이외의 일반 사용자들이 해당 홈 디렉터리를 수정할 수 없도록 제한해야 합니다.
Anonymous FTP 비활성화 Anonymous FTP(익명 FTP)를 사용할 경우 악의적인 사용자가 시스템에 관한 정보를 획득할 수 있습니다. 특히 디렉터리에 쓰기 권한이 설정되어 있으면 local exploit을 사용하여 다양한 공격이 가능해집니다. 그러므로 반드시 인가된 사용자만 접속할 수 있도록 설정하여, 권한이 없는 사용자의 FTP 사용을 제한해야 합니다.
중요 파일 퍼미션 644 : /etc/passwd 중요 시스템 파일에 대해서는 root 권한에서만 읽고 쓸 수 있어야 하며, 다른 권한에서는 읽기만 허용되어야 합니다.
중요 파일 퍼미션 400 : /etc/shadow, /etc/gshadow 일부 중요 시스템 파일에 대해서는 root 권한에서 읽기만 가능하도록 설정되어야 합니다. 해당 파일을 임의로 변경하면 시스템을 운영하는 데 큰 문제가 발생할 수 있으므로 쓰기 권한을 제한해야 합니다.
중요 파일 퍼미션 644 : /etc/hosts 중요 시스템 파일에 대해서는 root 권한에서만 읽고 쓸 수 있어야 하며, 다른 권한에서는 읽기만 허용되어야 합니다.
중요 파일 퍼미션 644 : /etc/(x)inetd.conf 중요 시스템 파일에 대해서는 root 권한에서만 읽고 쓸 수 있어야 하며, 다른 권한에서는 읽기만 허용되어야 합니다.
중요 파일 퍼미션 644 : /etc/syslog.conf 중요 시스템 파일에 대해서는 root 권한에서만 읽고 쓸 수 있어야 하며, 다른 권한에서는 읽기만 허용되어야 합니다.
중요 파일 퍼미션 644 : /etc/services 중요 시스템 파일에 대해서는 root 권한에서만 읽고 쓸 수 있어야 하며, 다른 권한에서는 읽기만 허용되어야 합니다.
중요 파일 퍼미션 600 : /etc/hosts.lpd 일부 중요 시스템 파일에 대해서는 root 권한에서만 읽고 쓸 수 있도록 설정되어야 합니다.
cron 파일 소유자 및 권한설정 644 : /etc/cron.allow, /etc/cron.deny 중요 시스템 파일에 대해서는 root 권한에서만 읽고 쓸 수 있어야 하며, 다른 권한에서는 읽기만 허용되어야 합니다.
at 파일 퍼미션 644 : /etc/at.deny, /etc/at.allow 중요 시스템 파일에 대해서는 root 권한에서만 읽고 쓸 수 있어야 하며, 다른 권한에서는 읽기만 허용되어야 합니다.

Windows 점검 항목

점검 항목 점검 항목 설명
Administrator 계정 이름 바꾸기 일반적으로 관리자 계정을 Administrator로 설정합니다. 이때 로그온 시도/실패 횟수의 제한이 없는 점을 악용하여 사용자의 비밀번호 유추 공격을 반복적으로 시도할 수 있습니다. 관리자 계정의 이름을 변경함으로써 공격자가 비밀번호뿐만 아니라 계정 이름을 쉽게 유추하지 못하도록 설정해야 합니다.
Guest 계정 사용 제한 Guest 계정은 아무나 시스템에 접근할 수 있게 하는 취약한 계정이므로 사용을 제한해야 합니다. 대부분의 시스템은 Guest 계정의 사용이 필요치 않습니다. 불특정 다수의 접근이 필요할 경우 Guest 계정이 아닌 일반 사용자 계정을 생성해 사용하는 것을 권장합니다.
계정 잠금 임계값 설정 계정 잠금 임계값 정책 설정은 사용자 계정 잠금을 야기하는 로그인 시도 실패 횟수를 결정합니다. 잠긴 계정은 해당 계정을 재설정할 때까지 또는 계정 잠금 기간 정책 설정으로 지정된 시간(분)이 만료될 때까지 사용할 수 없습니다. 1에서 999까지 로그인 실패 횟수의 값을 설정하거나 값을 0으로 설정하여 계정이 잠기지 않도록 지정할 수 있습니다.
임의의 사용자 또는 모든 사용자 계정에 대해 수천 또는 수백만 번의 암호 조합을 시도하도록 무차별 암호 대입 공격을 자동화할 수 있습니다. 수행할 수 있는 실패한 로그인 수를 제한하면 이러한 공격의 효율성이 거의 제거됩니다.
그러나 계정 잠금 임계값이 구성된 도메인에서 DoS(서비스 거부 공격)가 수행될 수 있습니다. 악의적인 사용자가 프로그래밍 방식으로 조직에 있는 모든 사용자에 대한 암호 공격을 연속적으로 시도할 수 있습니다. 시도 횟수가 계정 잠금 임계값보다 크면 공격자가 모든 계정을 잠금할 수 있습니다.
"해독 가능한 암호화를 사용하여 암호 저장" 사용 안함 "해독 가능한 암호화를 사용하여 암호 저장" 정책 설정은 인증에 사용자 암호가 필요한 프로토콜을 사용하는 응용 프로그램에 대한 지원을 제공합니다. 암호화된 암호를 해독 가능한 방식으로 저장한다는 것은 암호화된 암호를 암호 해독할 수 있다는 의미입니다. 이 암호화를 해독할 수 있는, 지식이 풍부한 공격자는 손상된 계정을 사용하여 네트워크 리소스에 로그온할 수 있습니다. 그러므로 응용 프로그램 요구 사항이 암호 정보를 보호해야 할 필요성보다 크지 않은 한, 도메인의 모든 사용자에 대해 "해독 가능한 암호화를 사용하여 암호 저장"을 사용하지 않도록 설정하는 것을 권장합니다.
"Everyone 사용 권한을 익명 사용자에게 적용" 사용 안함 이 정책 설정은 디바이스에 대한 익명 연결을 위해 부여될 추가 권한을 결정합니다. 이 정책 설정을 사용하면 익명 사용자가 도메인 계정 및 공유 폴더의 이름을 열거하고 기타 특정 활동을 수행할 수 있습니다. 이 기능은 예를 들어 관리자가 상호 신뢰를 유지 관리하지 않는 트러스트된 도메인의 사용자에게 액세스 권한을 부여하는 경우 편리합니다.
기본적으로 익명 연결용으로 만들어진 토큰에는 Everyone SID가 포함되지 않습니다. 따라서 Everyone 그룹에 할당된 권한이 익명 사용자에게 적용되지 않습니다.
계정 잠금 기간 설정 계정 잠금 기간 정책 설정은 자동으로 잠금 해제되기 전까지 잠긴 계정이 잠긴 상태를 유지하는 시간(분)을 결정합니다. 1~99,999분 사이의 값을 지정할 수 있습니다. 0의 값은 관리자가 명시적으로 잠금을 해제할 때까지 계정이 잠기도록 지정합니다. 계정 잠금 임계값이 0보다 큰 숫자로 설정된 경우 '계정 잠금 기간'은 '다음 시간 후 계정 잠금 수를 원래대로' 설정보다 크거나 같아야 합니다.
패스워드 복잡성 설정 패스워드 설정 시 문자/숫자/특수문자를 모두 포함하여 강력한 패스워드가 설정될 수 있도록 암호 복잡성을 설정하는 것을 권장합니다. 영∙숫자만으로 이루어진 암호는 현재 공개된 패스워드 크랙 유틸리티에 의해 쉽게 유추할 수 있습니다. 이 정책 설정을 최소 암호 길이 8과 결합하면 단일 암호에 218,340,105,584,896개 이상의 다양한 조합을 사용할 수 있습니다. 이로 인해 무차별 암호 대입 공격(brute force attack)이 어려워지게 만들 수 있습니다.
최소 암호 길이 최소 암호 길이 정책 설정은 사용자 계정의 암호를 구성할 수 있는 최소 문자 수를 결정합니다. 1~14자 사이 값을 설정하거나, 문자 수를 0으로 설정하여 암호를 사용하지 않도록 설정할 수 있습니다. 최소 암호 길이를 8 이상의 값으로 설정하는 것을 권고합니다.
최대 암호 사용 기간 최대 암호 사용 기간 정책 설정은 정수 값으로 시스템에서 사용자가 PIN을 변경하기 전에 PIN을 사용할 수 있는 기간(일)을 결정합니다. 암호가 특정 일수(1~999) 후 만료되도록 설정하거나, 일수를 0으로 설정하여 암호가 만료되지 않도록 지정할 수 있습니다.
가장 복잡한 암호를 포함한 모든 암호는 추측 공격에 의해 유출될 수 있습니다. 비밀번호가 일정 기간이 지나도 유효하다면 침해 발생 가능성이 높아집니다. 사용자가 암호를 자주 바꾸도록 하면 유효한 암호가 공격당하는 위험을 줄일 뿐만 아니라 누군가가 불법으로 획득한 암호를 사용하여 무단 로그온하는 경우를 줄일 수 있습니다.
최소 암호 사용 기간 최소 암호 사용 기간 정책 설정은 시스템에서 사용자가 PIN을 변경하기 전에 PIN을 사용할 수 있는 기간(일)을 결정합니다. 암호가 특정 일수(1~999) 후 만료되도록 설정하거나, 일수를 0으로 설정하여 암호가 만료되지 않도록 지정할 수 있습니다.
암호 변경에 시간적 제약이 없다면, 이전에 즐겨 사용하던 암호를 다시 사용할 수 있게 되어, 주기적으로 암호를 변경하는 정책의 효과가 없어지게 됩니다. 최소 암호 사용 기간 정책 설정을 0보다 큰 값으로 구성하면, 최근 암호 기억 설정을 유효하게 사용함으로써 이전 암호를 다시 사용하는 것을 막을 수 있습니다.
마지막 사용자 이름 표시 안함 이 보안 정책 설정은 디바이스에 로그온한 마지막 사용자의 이름을 보안된 데스크톱에 표시할지를 결정합니다.
이 정책을 사용하도록 설정하면 성공적으로 로그온한 마지막 사용자의 전체 이름이 보안된 데스크톱에 표시되지 않고 사용자의 로그온 타일도 표시되지 않습니다. 또한 사용자 전환 기능이 사용될 경우 전체 이름 및 로그온 타일이 표시되지 않습니다. 로그온 화면에서는 정규화된 도메인 계정 이름(또는 로컬 사용자 이름)과 암호를 요청합니다.
이 정책을 사용하지 않도록 설정하면 로그온한 마지막 사용자의 전체 이름이 표시되고 사용자의 로그온 타일이 표시됩니다. 이 동작은 사용자 전환 기능을 사용할 때와 같습니다.
마지막으로 로그온한 사용자의 이름이 로그온 대화 상자에 표시될 경우, 공격자는 이를 획득하여 암호를 추측하거나 무작위 공격을 시도할 수 있습니다. 실제로 콘솔에 접근할 수 있거나, 터미널 서비스를 통해 서버에 연결할 수 있는 사용자들에게 쉽게 노출될 수 있으므로 사용자 이름이 표시되지 않도록 설정해야 합니다.
최근 암호 기억 최근 암호 기억 정책 설정은 이전 암호를 다시 사용하기 전까지 사용자 계정과 연결하여 사용해야 하는 고유한 새 암호의 수를 결정합니다.
암호 다시 사용은 모든 조직에서 중요한 문제입니다. 많은 사용자가 오랜 기간 동안 자신의 계정에 대해 동일한 암호를 다시 사용하려고 합니다. 특정 계정에 대해 동일한 암호를 오래 사용할수록 공격자가 무차별 암호 대입 공격(brute force attack)을 통해 암호를 확인할 수 있는 확률이 높아집니다. 사용자가 암호를 변경해야 하지만 이전 암호를 다시 사용할 수 있는 경우 적절한 암호 정책의 효과가 크게 줄어듭니다.
최근 암호 기억의 수를 낮게 지정하면 사용자는 적은 수의 동일한 암호를 계속 반복하여 사용할 수 있습니다. 또한 최소 암호 사용 기간을 설정하지 않으면 사용자가 원래 암호를 다시 사용하기 위해 필요한 만큼 연속하여 암호를 변경할 수 있습니다.
콘솔 로그온 시 로컬 계정에서 빈 암호 사용 제한 "계정: 콘솔 로그온 시 로컬 계정에서 빈 암호 사용 제한" 정책 설정은 빈 암호를 사용하는 로컬 계정에 대해 원격 데스크톱 서비스, 텔넷, FTP(파일 전송 프로토콜) 등의 네트워크 서비스를 통한 원격 대화형 로그온을 허용할지 여부를 결정합니다. 이 정책 설정을 활성화하는 경우 로컬 계정은 원격 클라이언트에서 대화형 또는 네트워크 로그온을 수행하는 데 사용할 비어 있지 않은 암호를 포함해야 합니다.
이 정책 설정은 콘솔에서 실제로 수행되는 대화형 로그온이나 도메인 계정을 사용하는 로그온에 영향을 주지 않습니다. 타사 응용 프로그램의 경우 원격 대화형 로그온을 통해 정책 설정을 무시할 수 있습니다.
빈 암호는 컴퓨터 보안을 심각하게 위협하므로, 회사 정책 및 적합한 기술적 조치를 통해 금지해야 합니다. 그렇지만 새 계정을 만들 수 있는 사용자가 도메인 기반 암호 정책 설정을 무시하는 계정을 만드는 경우 해당 계정이 빈 암호를 포함할 수 있습니다. 예를 들어 사용자가 독립 실행형 시스템을 빌드하고, 빈 암호를 사용하는 계정을 하나 이상 만든 다음 컴퓨터를 도메인에 가입할 수 있습니다. 빈 암호를 사용하는 로컬 계정은 계속 작동합니다. 이런 경우 계정 이름을 아는 사람은 계정과 빈 암호를 사용하여 시스템에 로그온할 수 있습니다.
불필요한 서비스 제거 일반적으로 시스템에는 필요하지 않은 취약한 서비스들이 기본 설치되어 실행되고 있으며 이러한 서비스 또는, 응용 프로그램은 공격 지점이 될 수 있습니다. 사용자의 환경에서 필요하지 않은 서비스나 실행 파일을 사용하지 않거나 제거해야 합니다.
IIS 서비스 구동 점검 IIS 서비스는 WEB, FTP 등의 서비스를 제공하는 유용한 서비스이지만 프로파일링, 서비스 거부, 불법적인 접근, 임의의 코드 실행, 정보 공개, 바이러스, 웜, 트로이목마 등의 위협에 노출될 수 있으므로 필요하지 않은 서비스는 중지해야 합니다.
FTP 서비스 구동 점검 기본적인 FTP 서비스는 계정과 패스워드가 암호화되지 않은 채로 전송되어 간단한 Sniffer에 의해서도 스니핑이 가능하므로 FTP 서비스를 사용하지 않을 것을 권고합니다.
- Sniffer: 네트워크 트래픽을 감시하고 분석하는 프로그램.
DNS Zone Transfer 설정 DNS 서버에 저장되어 있는 도메인 정보를 승인된 DNS 서버가 아닌 다른 외부로 유출하는 것은 보안상 바람직하지 않습니다. 적절한 보안 설정을 통하여 도메인 정보 전송을 제한해야 합니다. 만약 DNS 도메인 정보가 외부로 노출될 경우 악의적인 사용자가 해당 정보를 이용하여 홈페이지 및 하위 URL 정보를 입수하여 웹 애플리케이션 구조를 예측하여 공격에 활용할 수 있습니다.
터미널 서비스 암호화 수준 설정 터미널 서비스는 원격지에 있는 서버를 관리하기 위한 유용한 도구이지만 취약한 비밀번호를 사용하거나 접근 제어가 적절하게 설정되어 있지 않은 경우 해킹의 도구로 악용될 수 있습니다. 불필요하게 터미널 서비스가 사용되고 있지 않은지 점검해야 합니다.
SNMP 서비스 구동 점검 SNMP 서비스는 시스템 상태를 실시간으로 파악하거나 설정하기 위해 사용하는 서비스입니다. 시스템의 주요 정보 유출 및 불법 수정을 방지하기 위해, 사용하지 않는 경우에는 중지하는 것이 바람직합니다.
Telnet 보안 설정 Telnet 서비스는 평문으로 데이터를 송수신하기 때문에 Password 방식으로 인증을 수행할 경우 ID 및 Password가 외부로 노출될 위험성이 높습니다. 따라서 Telnet 이용 시 네트워크상으로 패스워드를 전송하지 않는 NTLM 인증만 사용해야 합니다.
※ Windows 서버의 Telnet 서비스는 NTLM 인증과 Password 인증 방법을 제공함.
- NTLM 인증: 암호를 전송하지 않고 negotiate/challenge/response 절차로 인증 수행
- Password 인증: 관리자 및 TelnetClients 그룹에 포함된 ID/PWD로 인증 절차를 수행
정책에 따른 시스템 로깅 설정 감사 설정이 구성되어 있지 않거나 감사 설정 수준이 너무 낮으면 보안 관련 문제 발생 시 원인을 파악하기 어려우며, 법적 대응을 위한 증거를 수집하기 어렵습니다. 그러나 감사 설정이 너무 높으면 보안 로그에 불필요한 항목이 많이 기록되므로 매우 중요한 항목과 혼동할 수 있습니다. 시스템 성능에도 심각한 영향을 줄 수 있기 때문에 법적 요구 사항과 조직의 정책에 따라 필요한 로그를 남기도록 설정하여야 합니다.
원격으로 액세스할 수 있는 레지스트리 경로 Windows에 의해 사용되는 모든 초기화 및 환경 설정 정보가 레지스트리에 저장됩니다. 따라서 레지스트리에 대한 철저한 보안이 요구됩니다. 레지스트리 편집기는 원격 접속으로도 그 키를 바꿀 수 있지만, 대단히 위험하므로 네트워크를 통한 레지스트리 접속을 차단해야 합니다. 원격에서 레지스트리에 접근하려면 관리자의 권한 또는 원격에서 접근하기 위한 특별한 계정이 필요합니다. Windows에서는 원격에서 레지스트리 접근에 대한 요구를 다루기 위해 원격 레지스트리 서비스를 제공하고 있는데, 이 서비스를 중지하면 레지스트리에 대한 어떠한 원격 접근도 막을 수 있습니다. 불가피한 경우를 제외하고는 사용을 중지할 것을 권고합니다.
이벤트 로그 관리 설정 최대 로그 크기는 "10,240Kb 이상"으로 설정하여 충분한 로그가 저장될 수 있는 공간을 확보해야 합니다. 이벤트 로그 관리는 "이벤트 겹쳐 쓰지 않음"으로 설정하여 로그가 자동으로 덮어 씌워짐으로써 과거의 로그가 삭제되는 일이 발생하지 않도록 관리되어야 합니다.
로그온하지 않고 시스템 종료 허용 로그온 창에 "시스템 종료" 버튼이 활성화되어 있으면 로그인을 하지 않고도 불법적인 시스템 종료가 가능하여 정상적인 서비스 운영이 불가능할 수 있습니다. 시스템 종료 버튼을 비활성화함으로써 허가되지 않은 사용자가 시스템 종료를 하는 위협을 방지할 수 있습니다.
SAM 계정과 공유의 익명 열거 허용 안 함 Windows에서는 익명의 사용자가 도메인 계정(사용자, 컴퓨터 및 그룹)과 네트워크 공유 이름의 열거 작업을 수행할 수 있습니다. SAM(보안계정관리자) 계정과 공유의 익명 열거가 허용될 경우 악의적인 사용자가 계정 이름 목록을 확인하고 이 정보를 사용하여 암호를 추측하거나 사회 공학적 공격 기법을 수행할 수 있는 우려가 있습니다.
Autologon 기능 제어 Autologon 기능을 사용하면 침입자가 해킹 도구를 이용하여 레지스트리에서 로그인 계정 및 암호를 확인할 수 있으므로 Autologon 기능을 사용하지 않도록 설정해야 합니다.
- Autologon: 레지스트리에 암호화되어 저장된 대체 증명을 사용하여 자동으로 로그인하는 기능.
이동식 미디어 포맷 및 꺼내기 허용 이동식 미디어의 NTFS 포맷 및 꺼내기가 허용되는 사용자를 제한함으로써 사용자가 관리 권한을 갖고 있는 임의의 컴퓨터로만 이동식 디스크의 데이터를 이동하고, 파일에 대한 소유권을 얻어 파일을 보거나 수정할 수 있도록 해야 합니다.
사용자가 프린터 드라이버를 설치할 수 없게 함 서버에 프린터 드라이버를 설치하는 경우 악의적인 사용자가 고의적으로 잘못된 프린터 드라이버를 설치하여 컴퓨터를 손상시킬 수 있습니다. 프린터 드라이버로 위장한 악성 코드를 설치할 수 있으므로 사용자가 프린터 드라이버를 설치할 수 없게 설정해야 합니다.
경고 메시지 설정 시스템에 로그온을 시도하는 사용자들에게 관리자는 시스템의 불법적인 사용에 대하여 경고 창을 띄움으로써 경각심을 줄 수 있습니다. 이러한 경고 창은 악의적인 사용자에게 관리자가 적절한 보안 수준으로 시스템을 보호하고 있으며 공격자의 활동을 주시하고 있다는 생각을 상기시킴으로써 간접적으로 공격 피해를 감소시키는 효과를 볼 수 있습니다.
LAN Manager 인증 수준 Lan Manager 인증 수준 설정을 통해 네트워크 로그온에 사용할 Challenge/Response 인증 프로토콜을 결정합니다. 이 설정은 클라이언트가 사용하는 인증 프로토콜 수준, 협상된 세션 보안 수준 및 서버가 사용하는 인증 수준에 영향을 주기 때문에 보다 안전한 인증을 위해 NTLMv2를 사용하는 것을 권장합니다.
※ NTLMv2는 Windows 2000, 2003, XP 이상에서 지원되며, Windows 98, NT 버전과 통신할 경우 패치를 설치해야 함.
- LAN Manager는 네트워크를 통한 파일 및 프린터 공유 등과 같은 작업 시 인증을 담당함.

""에 대한 건이 검색되었습니다.

    ""에 대한 검색 결과가 없습니다.

    처리중...