윈도우 서버 W-08 하드디스크 기본 공유 제거

윈도우 서버 W-08 하드디스크 기본 공유 제거

항목중요도 : 상

1. 취약점 개요

▶ 점검내용 : 하드디스크 기본 공유 제거 여부 점검

▶ 점검목적 : 하드디스크 기본 공유를 제거하여 시스템 정보 노출을 차단하고자 함

▶ 보안위협

 · Windows는 프로그램 및 서비스를 네트워크나 컴퓨터 환경에서 관리하기 위해 시스템 기본 공유 항목을 자동으로 생성함. 이를 제거하지 않으면 비인가자가 모든 시스템 자원에 접근할 수 있는 위험한 상황이 발생할 수 있으며 이러한 공유 기능의 경로를 이용하여 바이러스가 침투될 수 있음

▶ 참고

※ 기본 공유: 관리목적으로 자동 생성되는 공유 드라이브(Administrative share). 이러한 드라이브들은 C$, D$, E$ 등과 같이 이름 뒤에 $가 붙어서 숨겨진 공유로 처리되며, Windows 2000, XP에서는 관리자 ID와 Password를 알고 있으면 네트워크를 통해 이러한 공유 드라이브들에 자유롭게 접근할 수 있음. 그러나 이후 버전 Windows에서는 보안상의 이유로 로컬시스템의 관리자가 네트워크를 통해 시스템을 관리하지 못하도록 기본적으로 차단됨

2. 점검대상 및 판단 기준

▶  대상 :  Windows NT, 2000, 2003, 2008, 2012, 2016, 2019

▶  판단기준

 · 양호 : 레지스트리의 AutoShareServer (WinNT: AutoShareWks)가 0이며 기본 공유가 존재하지 않는 경우

 · 취약 : 레지스트리의AutoShareServer (WinNT: AutoShareWks)가 1이거나 기본 공유가 존재하는 경우

▶  조치방법 : 기본 공유 중지 후 레지스트리 값 설정(IPC$, 일반 공유 제외)

3. 윈도우서버 초기 설정값

※ 테스트한 윈도우 서버의 버전은 windows server 2022 입니다.

 

확인방법

1) 시작> 실행> FSMGMT.MSC> 공유

 

뒤에 $가 있는것으로 보아 숨겨진 공유폴더로 확인 할 수 있습니다.

 

2) 시작> 실행> REGEDIT

아래 레지스트리 값을 0으로 수정함(키 값이 없을 경우 새로 생성함)
"HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters\AutoShareServer”

가이드에는 AutoShareServer를 확인하라고 되어있는데 제 서버에는 AutoShareServer 항목이 없었습니다.

 

혹시 오류일 수도있으니 아래부분을 복붙해서 찾으면됩니다.

"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters"

여기 노란색부분에 붙여넣기가 됩니다.

 

 

 

폴더 공유가 되어있고 AutoShareServer가 없으니 현재 취약입니다. 

4. 조치

조치해보겠습니다.

1) C$ 를 우클릭하여 공유 중지를해줍니다.

 

공유항목에서 아예 삭제되었습니다.

ADMIN$도 동일하게 진행해줍니다. 

 

여기까지만 진행하신다면

서버를 종료후 재시작시 공유폴더가 되살아납니다!

그렇기 때문에 아래 레지스트리까지 진행을 해주어야합니다.

 

2) 레지스트리에서  AutoShareServer 를 만들어줍니다.

"HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters”

에서 AutoShareServer를 만들어줍니다. 

우클릭하여 DWORD(32비트) 값을 클릭합니다.

 

AutoShareServer를 만들어줬습니다.

레지스트리 값을 0으로 합니다. 생성하면 기본값이 0입니다.

 

조치를 완료 했습니다.

 

5. 결과

서버를 재시작해보겠습니다

 

과연?!

조치가 완료되었습니다.

 

원격 공유인 $IPC는 취약아닙니다.

IPC$, 일반 공유 제외 기본공유는 전부 공유중지를해줍니다.

 

윈도우서버를 마스터하는 그날까지

화이팅!