[윈도우서버] W-02 Guest 계정 비활성화

윈도우 서버 W-02 Guest 계정 비활성화

항목중요도 : 상

1. 취약점 개요

▶ 점검내용 : Guest 계정 비활성화 여부 점검

▶ 점검목적 : Guest 계정을 비활성화 하여 불특정 다수의 임시적인 시스템 접근을 차단하기 위함

▶ 보안위협

 · Guest 계정은 시스템에 임시로 액세스해야 하는 사용자용 계정으로, 이 계정을 사용하여 권한 없는 사용자가 시스템에 익명으로 액세스할 수 있으므로 비인가자 접근, 정보 유출 등 보안 위험이 따를 수 있음

▶ 참고

※ 윈도우즈 Guest 계정은 삭제가 불가능한 built-in 계정으로 보안 강화 목적으로 반드시 비활성화 처리 하여야 함

2. 점검대상 및 판단 기준

▶  대상 : Windows NT, 2000, 2003, 2008, 2012, 2016, 2019

▶  판단기준

 · 양호 : Guest 계정이 비활성화 되어 있는 경우

 · 취약 : Guest 계정이 활성화 되어 있는 경우

▶  조치방법  : Guest 계정 비활성화 

3. 윈도우서버 초기 설정값

정부에서 배포한 "주요정보통신 기반시설 기술적 취약점 분석 평가 방법 상세가이드"에는 

시작> 실행> LUSRMGR.MSC> 사용자> GUEST> 속성을 통해 접속하여 하단부에 "계정사용 안 함"을 선택하도록 되어있습니다.

 

윈도우 서버를 생성할 경우 초기값으로 Guest 계정  "사용 안 함"으로 선택 되어있음을 확인 할 수 있습니다.

이 항목의 경우 판단기준이 Guest 계정의 비활성화이므로 "양호" 입니다.

기본설정값으로

계정사용 안 함 뿐만 아니라 사용자가 암호를 변경할 수 없음, 암호 사용기간 제한 없음 등이 함께 설정되어있습니다.

 

Guest 계정의 상태를 보는 방법에는 위의 방법 이외에도 W-01번시 접속했던 

로컬보안정책 > 보안옵션 > Guest 계정 상태 에서 확인할 수 있습니다.

W-01 이후에 바로 조치를 할 예정이라면 이 로컬보안정책에서 한번에 조치를 할 수 있습니다.

4. 조치

Guest 계정의 비활성화를 원하신다면 둘 중 하나의 방법으로 선택하시면됩니다.

1) 시작> 실행> LUSRMGR.MSC> 사용자> GUEST> 속성을 통해 접속하여 하단부에 "계정사용 안 함" 선택

2) 로컬보안정책 > 보안옵션 > Guest 계정 상태 > "사용 안 함"

 

하지만 삭제를 원하실 경우 아래와 같이 뜨기때문에 삭제보다는 비활성화를 하는 것이 좋을 것 같습니다.

대신, 계정의 이름을 변경할 수 있습니다.

계정의 이름을 변경하셔서 사용하셔도됩니다. 

계정의 이름을 변경하는 보안 설정은 "Guest" 계정의 보안 식별자(SID)에 다른 계정 이름이 연결되어 있는지 여부를 결정합니다. 어느 컴퓨터에든 있는 것으로 알려져 있는 Guest 계정 이름을 바꾸면 권한이 없는 사람이 이 사용자 이름과 암호 조합을 알아내기가 약간 더 어려워집니다.

5. 결과

이미 계정의 상태가 양호이므로 별도로 조치를 하지는 않았습니다.

 

이상입니다.

 

윈도우서버를 마스터하는 그날까지

화이팅!