윈도우 서버 W-07 공유 권한 및 사용자 그룹 설정

윈도우 서버 W-07 공유 권한 및 사용자 그룹 설정

항목중요도 : 상

1. 취약점 개요

▶ 점검내용 : 공유 디렉토리 내 Everyone 권한 존재 여부 점검

▶ 점검목적 : 디폴트 공유인 C$, D$, Admin$, IPC$ 등을 제외한 공유 폴더에 Everyone 그룹으로 공유되는 것을 금지하여 익명 사용자의 접근을 차단하기 위함

▶ 보안위협

 · Everyone이 공유계정에 포함되어 있으면 익명 사용자의 접근이 가능하여 내부 정보 유출 및 악성코드의 감염 우려가 있음

▶ 참고

-

2. 점검대상 및 판단 기준

▶  대상 :  Windows NT, 2000, 2003, 2008, 2012, 2016, 2019

▶  판단기준

 · 양호 : 일반 공유 디렉토리가 없거나 공유 디렉토리 접근 권한에 Everyone 권한이 없는 경우

 · 취약 : 일반 공유 디렉토리의 접근 권한에 Everyone 권한이 있는 경우

▶  조치방법 : 공유 디렉토리 접근 권한에서 Everyone 권한 제거 후 필요한 계정 추가

3. 윈도우서버 초기 설정값

※ 테스트한 윈도우 서버의 버전은 windows server 2022 입니다.

 

확인방법

1) 시작> 실행> FSMGMT.MSC> 공유

2) 사용 권한에서 Everyone 으로 된 공유를 제거하고 접근이 필요한 계정의 적절한 권한 추가

 

가이드에 나와있는 방법으로 해보면 사용권한에 everyone으로 된 공유를 제거하라고 되어있습니다만 2022버전의 차이인지 확인이 되지 않습니다.

 

이유는 디폴트 공유인 C$, D$, Admin$, IPC$ 는 변경이 되지 않는것 같습니다. 

 

 

현재 조치할 내용이 없기때문에 다른 공유폴더를 만들어 봤습니다.

우크릭하여 "새 공유" 를 선택해주면 아래와 같이 창이 뜹니다.

공유 폴더를 만들어줄 위치를 찾아서 넣고 확인을 눌렀습니다. 

 

권한은 "사용 권한 사용자 지정"을 해줍니다.

저는 취약으로 만들예정이기 때문에 여기서 사용 권한 사용자 지정을 선택했습니다. 

보안의 권한에는 현재 everyone이 없습니다.

편집으로 사용자를 추가한 다음 권한을 주어야합니다.

everyone 추가해줍니다.

everyone에 권한을 부여했습니다.

공유를 완료했습니다.

취약점을 만들었습니다.

everyone 권한이 있으시다면 이런 복잡한 방법으로 everyone 권한이 생기게된 것입니다....

 

4. 조치

조치해보겠습니다.

 

방금 생성한 폴더인 it-mskim 공유를 더블클릭하여 열어줍니다.

그다음 보안을 클릭하여 변경해주면됩니다. 

이 항목의 점검 기준은

공유 디렉토리 내 Everyone 권한 존재가 없어야 하므로 제거를 해주어야 합니다.

읽기 권한만 주었습니다.

 

5. 결과

 

조치가 완료되었습니다.

 

윈도우서버를 마스터하는 그날까지

화이팅!