윈도우 서버 W-24 NetBIOS 바인딩 서비스 구동 점검

윈도우 서버 W-24 NetBIOS 바인딩 서비스 구동 점검

항목중요도 : 상

1. 취약점 개요

▶ 점검내용 : NetBIOS 바인딩 서비스 구동 여부 점검

▶ 점검목적 : NetBIOS와 TCP/IP 바인딩을 제거하여 TCP/IP를 거치게 되는 파일 공유서비스를 제공하지 못하도록 하고, 인터넷에서의 공유자원에 대한 접근 시도를 방지하고자 함

▶ 보안위협

 · 인터넷에 직접 연결되어 있는 윈도우 시스템에서 NetBIOS TCP/IP 바인딩이 활성화 되어 있을 경우 공격자가 네트워크 공유자원을 사용할 우려 존재

▶ 참고

※ NetBIOS(Network Basic Input/Output System)는 별개의 컴퓨터상에 있는 애플리케이션들이 근거리통신망 내에서 서로 통신 할 수 있게 해주는 프로그램. IBM pc를 위한 네트워크 인터페이스 체계로 네임, 세션, 데이터그램의 세가지 서비스를 제공하며 NetBIOS를 통해 파일 공유와 프린터 공유 등을 서비스로 이용

2. 점검대상 및 판단 기준

▶  대상 :  Windows NT, 2000, 2003, 2008, 2012, 2016, 2019

▶  판단기준

 · 양호 : TCP/IP와 NetBIOS 간의 바인딩이 제거 되어 있는 경우

 · 취약 : TCP/IP와 NetBIOS 간의 바인딩이 제거 되어있지 않은 경우

▶  조치방법 : 네트워크 제어판을 이용하여 TCP/IP와 NetBIOS 간의 바인딩(binding) 제거

3. 윈도우서버 초기 설정값

※ 테스트한 윈도우 서버의 버전은 windows server 2022 입니다.

 

확인방법

1)  시작> 실행> ncpa.cpl

현재 네트워크가 1개 연결되어있는 것을 확인 할 수 있습니다.

 

 

2) 로컬 영역 연결> 속성> TCP/IP> [일반] 탭에서 [고급] 클릭> [WINS] 탭에서 TCP/IP에서 “NetBIOS 사용 안 함” 또는, “NetBIOS over TCP/IP 사용 안 함” 선택 확인

 

제 서버는 "로컬 영역 연결" 이란 이름 대신 "이 연결의 상태 보기" 로 되어있습니다.

 

TCP/IPv4 항목 더블클릭

 

고급 클릭

WINS 클릭 

 

 기본값은 사용이 기본값입니다. 사용으로 선택되지 않아도 기본적으로 사용으로되어있으므로 취약입니다.

 

4. 조치

조치해보겠습니다.

 

1) "사용 안 함"을 클릭해주고 확인을 눌러주면 됩니다.

 

2) 하지만 우리의 서버에는 추가 네트워크가 있습니다.

네트워크 NetBIOS의 기본값이 "NetBIOS 사용" 이므로 현재 보이지 않는 네트워크도 동일하게 설정을 미리해주어야 나중에 문제가 없습니다.

 

윈도우 레지스트리 편집기에서 비활성화 되어있는 네트워크의 NetBIOS관련 정보를 확인 할 수 있습니다.

 

확인방법

시작 > 실행 > regedit 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters\Interfaces

 

저의 서버에는 총 4개의 tcpip가 있는 것이 확인 됩니다.

그중에 저는 1개만 조치를 해주었기 때문에 나머지도 동일하게 조치를 해줘야합니다.

 

NetbiosOptions 항목의 값을 전부 2로 변경합니다.

4개 모두 동일하게 진행해줍니다.

 

DWORD 값

0 : 기본값 -> 기본값이 활성화

1 : 활성화

2 : 사용 안 함

 

 조치를 완료하였습니다.

 

5. 결과

윈도우 명령어로 해당항목을 점검해보겠습니다.

ipconfig /all
# 사용중인 Tcpip 및 Tcpip를 통한 "NetBIOS 사용 안함" 설정 확인 가능함
reg query "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters\Interfaces" /s
# 레지스트리에서 변경한 값(2) 확인 가능

 

조치가 완료된 것을 확인 할 수 있습니다.

 

 

윈도우서버를 마스터하는 그날까지

화이팅!