윈도우 서버 W-35 원격으로 액세스 할 수 있는 레지스트리 경로

윈도우 서버 W-35 원격으로 액세스 할 수 있는 레지스트리 경로

항목중요도 : 상

1. 취약점 개요

▶ 점검내용 : 원격 레지스트리 서비스 사용 여부 점검

▶ 점검목적 : 원격 레지스트리 서비스를 비활성화 하여 레지스트리에 대한 원격 접근을 차단하기 위함

▶ 보안위협

 · 원격 레지스트리 서비스는 액세스에 대한 인증이 취약하여 관리자 계정 외다른 계정들에게도 원격 레지스트리 액세스를 허용할 우려가 있으며, 레지스트리에 대한 권한설정이 잘못되어 있는 경우 원격에서 레지스트리를 통해 임의의 파일을 실행 할 우려가 있음
· 레지스트리 서비스의 장애는 전체 시스템에 영향을 줄 수 있어 서비스거부공격(DoS) 공격에 이용될 수 있음
 

▶ 참고

※ 레지스트리: 윈도우를 실행하는데 필요한 모든 환경설정 데이터를 모아 두는 중앙 저장소
※ 원격 레지스트리 서비스: 원격지에 있는 컴퓨터를 한 곳에서 집중관리하기 위한 목적으로 원격 컴퓨터의 레지스트리에 접근할 수 있도록 하는 서비스

2. 점검대상 및 판단 기준

▶  대상 : Windows NT, 2000, 2003, 2008, 2012, 2016, 2019

▶  판단기준

 · 양호 : Remote Registry Service가 중지되어 있는 경우

 · 취약 : Remote Registry Service가 사용 중인 경우

▶  조치방법 : 불필요 시 서비스 중지 및 사용 안 함으로 설정

3. 윈도우서버 초기 설정값

※ 테스트한 윈도우 서버의 버전은 windows server 2022 입니다.

 

확인방법

1) 시작> 실행> SERVICES.MSC> Remote Registry> 속성

 

 현재 중지되어있지만 시작유형이 자동임을 알수 있습니다.

이 항목의 경우  시작 유형 → 사용 안 함, 서비스 상태 → 중지 를 두어야 양호인데 현재 중지만되어있으므로 취약입니다.

 

4. 조치

조치방법

1) 시작> 실행> SERVICES.MSC> Remote Registry> 속성

2) 시작 유형 → 사용 안 함

3) 서비스 상태 → 중지

 

5. 결과

이렇게 조치해주면 양호입니다!

윈도우서버를 마스터하는 그날까지

화이팅!