■ 개념
2021 주요정보통신기반시설 취약점 분석 및 평가 중 점검대상 윈도우 서버의 W-06 관리자 그룹에 최소한의 사용자 포함 점검항목에 대해 알아보겠습니다. 해당 포스팅은 윈도우 서버(Windows Server 2012 R2)를 기준으로 진단 및 실습합니다.
| 항목명 |
관리자 그룹에 최소한의 사용자 포함
|
|
| 항목코드 | W-06 | |
| 위험도 | 상 | |
| 점검내용 |
관리자 그룹에 불필요한 사용자의 포함 여부 점검
|
|
| 점검목적 |
관리자 그룹 구성원에 불필요한 사용자의 포함 여부를 점검하여, 관리 권한 사용자를 최소화 하고자 함
|
|
| 보안위협 |
Administrators와 같은 관리자 그룹에 속한 구성원은 컴퓨터 시스템에 대한 완전하고 제한 없는 액세스 권한을 가지므로, 사용자를 관리자 그룹에 포함 시킬 경우 비인가 사용자에 대한 과도한 관리 권한이 부여될 수 있음
※ 관리 권한의 오남용으로 인한 시스템 피해를 줄이기 위해서 관리 업무를 위한 계정과 일반 업무를 위한 계정을 분리하여 사용하는 것이 바람직함 ※ 시스템 관리를 위해서 관리권한 계정과 일반권한 계정을 분리하여 운영하는 것을 권고 ※ 시스템 관리자는 원칙적으로 1명 이하로 유지하고, 부득이하게 2명 이상의 관리 권한자를 유지하여야 하는 경우에는 관리자 그룹에는 최소한의 사용자만 포함하도록 하여야 함 |
|
|
판단기준
|
양호 |
Administrators 그룹의 구성원을 1명 이하로 유지하거나, 불필요한 관리자 계정이 존재하지 않는 경우
|
| 취약 |
Administrators 그룹에 불필요한 관리자 계정이 존재하는 경우
|
|
| 조치방법 |
Administrators 그룹에 포함된 불필요한 계정 제거
|
|
■ 실습
W-06 점검항목은 윈도우 서버의 관리자 그룹에 최소한의 사용자 여부를 확인하여 양호/취약을 판단합니다. 관리자 그룹에 최소한의 사용자를 설정하는 이유가 권한의 오남용으로 인한 피해를 막기 위해서 계정을 나누어 세팅 및 운영합니다.
예를 들어, 업무 관리를 위해 시스템 엔지니어 계정/경영지원계정/네트워크 엔지니어 계정 나눈다든지, 시스템 관리를 위해 관리자 계정/일반 권한 계정 나눈다든지 등 예시를 들 수 있습니다. 아래 메뉴를 통해 확인하시기 바랍니다.
메뉴 : 시작> 실행> LUSRMGR.MSC> 그룹> Administrators> 속성
Administrators 그룹에서 불필요한 계정 제거 후 그룹 변경
위 사진처럼 관리자 그룹에는 최소한의 계정만 포함되어 있어야 합니다.
진단 스크립트 상에는 관리자 계정들이 출력되어 목록화되어 있을 겁니다. 판단 또는 담당자와 인터뷰를 통해 불필요한 계정이 있는지 확인해야 합니다. 계정 권한 부분은 윈도우 서버나 유닉스 서버, 요즘은 클라우드 콘솔(console) 계정관리에서도 중요하게 다뤄지므로 반드시 짚고 넘어가야 합니다.
본 포스팅 내용은 한국인터넷진흥원(KISA)에서 발행한 주요정보통신기반시설 평가기준을 바탕으로 작성했습니다.
'IT > 윈도우서버' 카테고리의 다른 글
| 주요정보통신기반시설 윈도우 서버 W-08 하드디스크 기본 공유 제거 (0) | 2023.06.06 |
|---|---|
| 주요정보통신기반시설 윈도우 서버 W-07 공유 권한 및 사용자 그룹 설정 (3) | 2023.01.21 |
| 주요정보통신기반시설 윈도우 서버 W-05 해독 가능한 암호화를 사용하여 암호 저장 해제 (0) | 2023.01.06 |
| 주요정보통신기반시설 윈도우 서버 W-04 계정 잠금 임계값 설정 (0) | 2023.01.06 |
| 주요정보통신기반시설 윈도우 서버 W-03 불필요한 계정 제거 (0) | 2023.01.05 |
댓글