윈도우 서버 W-68 예약된 작업에 의심스러운 명령이 등록되어 있는지 점검

윈도우 서버 W-68 예약된 작업에 의심스러운 명령이 등록되어 있는지 점검

항목중요도 : 중

1. 취약점 개요

▶ 점검내용 : 예약된 작업에 의심스러운 명령의 등록 여부 점검

▶ 점검목적 : 외부 무단 침입 시 설정될 수 있는 불필요한 예약 작업의 등록 여부를 확인하기 위함

▶ 보안위협

 · 일정 시간마다 미리 설정해둔 프로그램을 실행할 수 있는 예약된 작업은 시작프로그램과 더불어서 해킹과 트로이 목마, 백도어를 설치하여 공격하기 좋은 루트로 사용될 수 있음

▶ 참고

-

2. 점검대상 및 판단 기준

▶  대상 :  Windows 2000, 2003, 2008, 2012, 2016, 2019

▶  판단기준

 · 양호 : 불필요한 명령어나 파일 등 주기적인 예약 작업의 존재 여부를 주기적으로 점검하고 제거한 경우

 · 취약 : 불필요한 명령어나 파일 등 주기적인 예약 작업의 존재 여부를 주기적으로 점검하지 않거나, 해당 작업을 제거하지 않은 경우

▶  조치방법 : 예약 작업에 대한 주기적인 확인

3. 윈도우서버 초기 설정값

※ 테스트한 윈도우 서버의 버전은 windows server 2022 입니다.

 

확인방법

CLI로 우선 확인해보겠습니다. -> 추천하지 않습니다 한눈에 들어오지 않아서 보기가 어려워요(제기준)

1) 시작> 실행> cmd 입력
2) cmd 창에서 C:\> schtasks 명령어를 실행하여 확인 
(귀찮으니까 가이드에 나와있는 명령어로 우선 확인해봅니다)

모르는 내용이 엄청 많이 나옵니다

뭐가 뭔지 모르겠습니다......... 

 

 

GUI로 확인해보겠습니다.

1) 시작> 설정> 제어판> 관리도구> 작업 스케줄러

2) 등록된 예약 작업을 선택하여 상세내역 확인

아래 실행중인 작업을 누르면 더 상세하게 나타납니다.

오늘 일어날 작업들에 대한 내용을 볼 수 있습니다.

 

더블클릭하면 내용을 상세로 볼수 있습니다.

그리고 모르는 부분은 검색하면 다 나옵니다.

참고로 "USO_UxBroker"는 Windows Update Delivery Optimization(윈도우 업데이트 관련작업) 이라고 합니다.

4. 조치

조치방법은  불필요한 파일 존재 시 삭제해주면됩니다.

하지만....... 예약작업을 잘못 삭제하는 경우 관련된 작업이 실행되지 않을 수 있으므로 신중하게 삭제해야합니다.

 

저는 별도 삭제가 없으므로 이상입니다.

 

5. 결과

특이사항이 없다면 양호입니다!

 

윈도우서버를 마스터하는 그날까지

화이팅!