전체 글149 윈도우 서버 W-47 계정 잠금 기간 설정 윈도우 서버 W-47 계정 잠금 기간 설정항목중요도 : 중1. 취약점 개요▶ 점검내용 : 사용자 계정 잠금 기간 정책 설정 여부 점검▶ 점검목적 : 로그인 실패 임계값 초과 시 일정 시간 동안 계정 잠금을 실시하여 공격자의 자유로운 암호 유추 공격을 차단하기 위함▶ 보안위협 · 로그인 실패 시 일정 기간 동안 계정 잠금을 하지 않은 경우, 공격자의 자동화된 암호 추측 공격이 가능하여 사용자 계정의 패스워드 정보가 유출될 수 있음▶ 참고※ 계정 잠금 기간 설정은 계정 잠금 임계값을 초과한 사용자 계정이 잠기는 시간을 결정함. 잠긴 계정은 관리자가 재설정하거나 해당 계정의 잠금 유지 기간이 만료되어야 사용할 수 있음 ※ 계정 잠금 기간 설정을 사용하면 지정한 기간동안 잠긴 계정은 사용할 수 없으며, 계정잠.. 2024. 6. 30. 윈도우 서버 W-46 Everyone 사용 권한을 익명 사용자에게 적용 해제 윈도우 서버 W-46 Everyone 사용 권한을 익명 사용자에게 적용 해제항목중요도 : 중1. 취약점 개요▶ 점검내용 : 'Everyone 사용 권한을 익명 사용자에 적용' 정책의 설정 여부 점검▶ 점검목적 : 익명 사용자가 Everyone 그룹으로 사용 권한을 준 모든 리소스에 접근하는 것을 차단하여 비인가자에 의한 접근 가능성을 제한하기 위함▶ 보안위협 · 해당 정책이 “사용”으로 설정될 경우 권한이 없는 사용자가 익명으로 계정 이름 및 공유 리소스를 나열하고 이 정보를 사용하여 암호를 추측하거나 DoS(Denial of Service) 공격을 실행할 수 있음▶ 참고※ DoS(Denial of Service): 관리자 권한 없이도 특정서버에 처리할 수 없을 정도로 대량의 접속신호를 한꺼번에 보내 .. 2024. 6. 27. [윈도우서버] W-06 관리자 그룹에 최소한의 사용자 포함 윈도우 서버 W-06 관리자 그룹에 최소한의 사용자 포함항목중요도 : 상1. 취약점 개요▶ 점검내용 : 관리자 그룹에 불필요한 사용자의 포함 여부 점검▶ 점검목적 : 관리자 그룹 구성원에 불필요한 사용자의 포함 여부를 점검하여, 관리 권한 사용자를 최소화 하고자 함▶ 보안위협 · Administrators와 같은 관리자 그룹에 속한 구성원은 컴퓨터 시스템에 대한 완전하고 제한 없는 액세스 권한을 가지므로, 사용자를 관리자 그룹에 포함 시킬 경우 비인가 사용자에 대한 과도한 관리 권한이 부여될 수 있음▶ 참고※ 관리 권한의 오남용으로 인한 시스템 피해를 줄이기 위해서 관리 업무를 위한 계정과 일반 업무를 위한 계정을 분리하여 사용하는 것이 바람직함 ※ 시스템 관리를 위해서 관리권한 계정과 일반권한 계정을 .. 2024. 6. 27. [윈도우서버] W-05 해독 가능한 암호화를 사용하여 암호 저장 해제 윈도우 서버 W-05 해독 가능한 암호화를 사용하여 암호 저장 해제항목중요도 : 상1. 취약점 개요▶ 점검내용 : 해독 가능한 암호화 사용 여부 점검▶ 점검목적 : ‘해독 가능한 암호화를 사용하여 암호 저장‘ 정책이 설정되어 사용자 계정 비밀번호가 해독 가능한 텍스트 형태로 저장 되는 것을 차단하기 위함▶ 보안위협 · 위 정책이 설정된 경우 OS에서 사용자 ID, PW를 입력받아 인증을 진행하는 응용프로그램 프로토콜 지원 시 OS 는 사용자의 PW를 해독 가능한 방식으로 암호를 저장하기 때문에, 노출된 계정에 대해 공격자가 암호 복호화 공격으로 PW를 획득하여 네트워크 리소스에 접근할 수 있음▶ 참고※ ‘해독 가능한 암호화를 사용하여 암호 저장‘ 정책은 암호를 암호화 하지 않은 상태로 저장하여 일반 텍.. 2024. 6. 27. [윈도우서버] W-04 계정 잠금 임계값 설정 윈도우 서버 W-04 계정 잠금 임계값 설정항목중요도 : 상1. 취약점 개요▶ 점검내용 : 계정 잠금 임계값의 설정 여부 점검▶ 점검목적 : 계정 잠금 임계값을 설정하여 공격자의 자유로운 자동화 암호 유추 공격을 차단하기 위함▶ 보안위협 · 공격자는 시스템의 계정 잠금 임계값이 설정되지 않은 경우 자동화된 방법을 이용하여 모든 사용자 계정에 대해 암호조합 공격을 자유롭게 시도할 수 있으므로 사용자 계정 정보의 노출 위험이 있음▶ 참고※ 계정 잠금 임계값 설정은 사용자 계정이 잠기는 로그온 실패 횟수를 결정하며 잠긴 계정은 관리자가 재설정하거나 해당 계정의 잠금 유지 시간이 만료되어야 사용할 수 있음 ※ 계정 잠금 정책: 해당 계정이 시스템으로부터 잠기는 환경과 시간을 결정하는 정책으로 ‘계정 잠금 기간’.. 2024. 6. 26. [윈도우서버] W-03 불필요한 계정 제거 윈도우 서버 W-03 불필요한 계정 제거항목중요도 : 상1. 취약점 개요▶ 점검내용 : 시스템 내 불필요한 계정 및 의심스러운 계정의 존재 여부를 점검▶ 점검목적 : 퇴직, 전직, 휴직 등의 이유로 더 이상 사용하지 않는 계정, 불필요한 계정 및 의심스러운 계정을 삭제하여, 일반적으로 로그인이 필요치 않은 해당 계정들을 통한 로그인을 차단하고, 계정의 패스워드 추측 공격 시도를 차단하고자 함▶ 보안위협 · 관리되지 않은 불필요한 계정은 장기간 패스워드가 변경되지 않아 무작위 대입 공격(Brute Force Attack)이나 패스워드 추측 공격 (Password Guessing Attack)의 가능성이 존재하며, 또한 이런 공격에 의해 계정 정보가 유출되어도 유출 사실을 인지하기 어려움▶ 참고※ 무작위 .. 2024. 6. 26. 이전 1 ··· 21 22 23 24 25 다음
