[윈도우서버] W-06 관리자 그룹에 최소한의 사용자 포함

윈도우 서버 W-06 관리자 그룹에 최소한의 사용자 포함

항목중요도 : 상

1. 취약점 개요

▶ 점검내용 : 관리자 그룹에 불필요한 사용자의 포함 여부 점검

▶ 점검목적 : 관리자 그룹 구성원에 불필요한 사용자의 포함 여부를 점검하여, 관리 권한 사용자를 최소화 하고자 함

▶ 보안위협

 · Administrators와 같은 관리자 그룹에 속한 구성원은 컴퓨터 시스템에 대한 완전하고 제한 없는 액세스 권한을 가지므로, 사용자를 관리자 그룹에 포함 시킬 경우 비인가 사용자에 대한 과도한 관리 권한이 부여될 수 있음

▶ 참고

※ 관리 권한의 오남용으로 인한 시스템 피해를 줄이기 위해서 관리 업무를 위한 계정과 일반 업무를 위한 계정을 분리하여 사용하는 것이 바람직함
※ 시스템 관리를 위해서 관리권한 계정과 일반권한 계정을 분리하여 운영하는 것을 권고
※ 시스템 관리자는 원칙적으로 1명 이하로 유지하고, 부득이하게 2명 이상의 관리 권한자를 유지하여야 하는 경우에는 관리자 그룹에는 최소한의 사용자만 포함하도록 하여야 함

2. 점검대상 및 판단 기준

▶  대상 : Windows NT, 2000, 2003, 2008, 2012, 2016, 2019

▶  판단기준

 · 양호 : Administrators 그룹의 구성원을 1명 이하로 유지하거나, 불필요한 관리자 계정이 존재하지 않는 경우

 · 취약 : Administrators 그룹에 불필요한 관리자 계정이 존재하는 경우

▶  조치방법 : Administrators 그룹에 포함된 불필요한 계정 제거

3. 윈도우서버 초기 설정값

확인방법

시작> 실행> LUSRMGR.MSC> 그룹> Administrators> 속성

 

윈도우 서버를 생성할 경우 초기의 adiministrators 그룹에 1계정만 존재하는 것을 확인 할 수 있습니다.

현재 서버의 Administrators 그룹의 구성원 진단 결과는 "양호" 이므로 조치가 필요 하지 않습니다.

하지만 저는 아이디를 하나 추가해보려고 합니다.

하단부에 추가 버튼을 누르면 계정을 생성할 수 있는 창이 뜹니다.

 

그러면 선택할 개체 이름을 입력하면됩니다. 하지만 이름을 정확하게 입력하셔야 등록이 가능합니다.

 

administrators 그룹의 관리자가 2명으로 선택되었습니다.

it-mskim 이라는 계정을 만들어 넣었습니다. 이 계정이 불필요하다고 판단하여 조치를 해보겠습니다.

4. 조치

it-mskim계정이 불필요하다고 판단하여 조치를 하겠습니다. 혹시라도 당장 사용하지 않으실 경우 지금 권한을 제외하고 추후 다시 권한을 주어도됩니다.

administrators 그룹의 관리자 중 삭제를 원하는 계정을 선택 후 삭제를 눌러주면됩니다.

계정이 2개 되어있다고 해서 취약은 아닙니다. 몇개의 계정이 있더라고 관리자/운영자/개발자/유지보수 등 명확하게 나뉘어서 사용하고 있다면 양호입니다. 다인 1계정을 사용하는 것보다 각각의 계정을 생성하여 사용하는 것이 훨씬 안전합니다. 

 

5. 결과

administrators 그룹의 관리자를 1인으로 조정하였습니다.

조치 완료입니다.

 

 

 

윈도우서버를 마스터하는 그날까지

화이팅!