윈도우 서버 W-40 원격 시스템에서 강제로 시스템 종료

윈도우 서버 W-40 원격 시스템에서 강제로 시스템 종료

항목중요도 : 상

1. 취약점 개요

▶ 점검내용 : 원격 시스템 종료 정책 적절성 점검

▶ 점검목적 :  원격에서 네트워크를 통하여 운영 체제를 종료할 수 있는 사용자나 그룹을 설정하여 특정 사용자만 시스템 종료를 허용하기 위함

▶ 보안위협

 · 원격 시스템 강제 종료 설정이 부적절한 경우 서비스 거부 공격 등에 악용될 수 있음

▶ 참고

-

2. 점검대상 및 판단 기준

▶  대상 :  Windows NT, 2000, 2003, 2008, 2012, 2016, 2019

▶  판단기준

 · 양호 : “원격 시스템에서 강제로 시스템 종료” 정책에 “Administrators”만 존재하는 경우

 · 취약 : “원격 시스템에서 강제로 시스템 종료” 정책에 “Administrators” 외 다른 계정 및 그룹이 존재하는 경우

▶  조치방법 : 원격 시스템에서 강제로 시스템 종료 → Administrators

3. 윈도우서버 초기 설정값

※ 테스트한 윈도우 서버의 버전은 windows server 2022 입니다.

 

확인방법

1)  시작> 실행> SECPOL.MSC> 로컬 정책> 사용자 권한 할당

 2) “원격 시스템에서 강제로 시스템 종료” 정책에 Administrators 계정만 있는지 확인

 

디폴트 값으로 administrators 그룹만 있습니다.

양호입니다

 

4. 조치

혹시라도 다른 계정이 있다면 제거해주시면 됩니다.

 

5. 결과

양호입니다!

 

윈도우서버를 마스터하는 그날까지

화이팅!