Windows 2008 파일 시스템 보안설정

windows 2008/7 보안설정과 관련된 내용입니다. 

 

l  CMD 파일 권한 설정

 

IIS는 batch파일을 Interpret하기 위해서 자동적으로 cmd를 실행하는데 여기서 요청된 파일의 다른 부분을 이용해 공격자는 '&' 와 같은 Character를 삽입함으로써 원하는 명령을 실행 가능한다.

 

<파일 권한 설정 기준>

양호 – IIS 서비스가 실행 중이 아니거나, administrators, system, TrustedInstaller 만 권한 설정되어 있을 경우

취약 – IIS가 실행 중이면서, administrators, system, TrustedInstaller 이외에도 실행 권한이 설정되어 있을 경우

 

<조치 방법>

탐색기 à C:\WINDOWS\system32\cmd.exe 파일선택>속성>보안 à administrators, system, TrustedInstaller 외에 권한제거

* UAC 보호 설정 시 사용권한 설정 및 제거 불가, UAC 해제 후 변경 해야 한다

 

 

 

l  사용자 디렉터리 접근제한

 

사용자 계정별 홈 디렉터리의 권한이 제한되어 있지 않을 경우 임의의 사용자가 파일 및 디렉터리에 접근이 가능하므로 해당 사용자만의 접근 권한을 설정해야 한다.

 

<사용자 디렉터리 접근제한 기준>

양호 – 홈디렉터리 권한중 Users:F 또는 Everyone:F 가 없을 경우

취약 – 홈디렉터리 권한중 Users:F 또는 Everyone:F 가 있을 경우

 

<조치 방법>

- 사용자 홈 디렉터리 권한 설정

1) 디렉터리 위치

Windows 2008: C:\사용자\사용자계정

2)     해당 사용자에 대한 권한외 일반 계정 삭제

 

 

 

 

l  하드디스크 기본 공유 제거

 

시스템의 기본공유 항목이 제거되지 않게 되면 모든 시스템 자원에 접근할 수 있는 위험한 상황이 발생할 수 있다. 최근에 발생한 Nimda 바이러스도 여러 가지 방법 중에서 이러한 공유기능을 침투의 한 경로로 이용한 것으로 확인된다.

 

<하드디스크 기본 공유 제거 기준>

양호 – C$, D$, Admin$ 등의 기본 공유폴더가 존재하지 않고, AutoShareServer가 0인 경우

취약 – C$, D$, Admin$ 등의 기본 공유폴더가 존재하거나, AutoShareServer가 0이 아닐 경우

 

불필요한 디렉토리 공유를 제거하며, 불필요한 공유라고 판단되면 공유를 해제하는 것이 필요 함. 또한 공유를 해제한 후에 레지스트리 AutoShareServer값 설정을 통해 재부팅 시 자동 공유 설정을 방지함.

(하드디스크 디폴트 공유 폴더 예: C$, D$, Admin$ 등)

 

 

<조치 방법>

※ 공유제거 방법 1, 또는 2를 통해 공유 제거 후에 레지스트리를 설정한다.

 

[ 공유제거 방법 1 ]

(1)   컴퓨터 관리 > 공유폴더 > 공유 -> 해당공유폴더 확인 > 마우스 우 클릭 > 공유중지

(2)   마우스 오른쪽 버튼 클릭 후 공유 중지 클릭

  

  

 

[ 공유제거 방법 2 ]

(1)   CMD창에서 net share 명령어를 이용하여 공유 디렉토리를 확인

(2)   net share 공유명 /delete 명령을 통해 공유 제거 

 

[ 레지스트리 값 입력 방법 ]

1. 시스템 재부팅 후 디폴트 폴더 자동 공유 방지법

(1) regedit.exe를 실행

(2) 레지스트리를 수정

- HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters

(3) 설정 값 입력

   - Value name : AutoShareServer
   - Data Type : DWORD(32bit)
   - Value : 0(zero)

 

아래 그림과 같이 AutoShareServer를 추가하거나 값을 0으로 변경한다.

 

 

Security Account Manager (SAM) 파일은 사용자와 그룹 계정들을 다루고, LSA를 위한 인증을 제공한다. 패스워드 공격 시도에 의한 Password Database 노출될 수 있으므로 Administrators 및 System 그룹 외에는 SAM 파일에 대한 접근이 제한되어야 한다.

 

<SAM 파일 접근 통제 기준>

양호 – SAM 파일 접근권한이 Administrators, System 그룹만 모든 권한으로 등록되어 있는 경우

취약 – SAM 파일에 Administrators, System 그룹 외 다른 그룹에 권한이 설정되어 있을 경우

 

<조치 방법>

[Windows]\WINDOWS\System32\config\SAM파일>속성보안>Administrators, System 그룹만 모든 권한으로 등록되어 있는지 확인 한다.