■ 개념
2021 주요정보통신기반시설 취약점 분석 및 평가 중 점검대상 윈도우 서버의 W-07 공유 권한 및 사용자 그룹 설정 점검항목에 대해 알아보겠습니다. 해당 포스팅은 윈도우 서버(Windows Server 2012 R2)를 기준으로 진단 및 실습합니다.
| 항목명 | 공유 권한 및 사용자 그룹 설정 | |
| 항목코드 | W-07 | |
| 위험도 | 상 | |
| 점검내용 | 공유 디렉토리 내 Everyone 권한 존재 여부 점검 | |
| 점검목적 | 디폴트 공유인 C$, D$, Admin$, IPC$ 등을 제외한 공유 폴더에 Everyone 그룹으로 공유되는 것을 금지하여 익명 사용자의 접근을 차단하기 위함 | |
| 보안위협 | Everyone이 공유계정에 포함되어 있으면 익명 사용자의 접근이 가능하여 내 부 정보 유출 및 악성코드의 감염 우려가 있음 | |
|
판단기준
|
양호 | 일반 공유 디렉토리가 없거나 공유 디렉토리 접근 권한에 Everyone 권 한이 없는 경우 |
| 취약 | 일반 공유 디렉토리의 접근 권한에 Everyone 권한이 있는 경우 | |
| 조치방법 | 공유 디렉토리 접근 권한에서 Everyone 권한 제거 후 필요한 계정 추가 | |
■ 실습
W-06 점검항목은 윈도우 서버의 공유 디렉터리(C$, IPC$ 등) 내 Everyone 권한 존재 여부에 따라 양호/취약을 판단합니다. 아래 메뉴를 통해 확인 바랍니다.
- 확인 메뉴 : 확인 메뉴 : 시작> 실행> FSMGMT.MSC> 공유
사용 권한에서 Everyone으로 된 공유를 제거하고 접근이 필요한 계정의 적절한 권한 추가
위 사진과 같이 일반 공유 폴더의 권한이 '모든 권한(Everyone)'일 경우 해당 점검항목은 취약합니다.
조치는 아래 사진과 같이 해당 폴더에 '공유 중지'를 선택하면 됩니다.
본 포스팅 내용은 한국인터넷진흥원(KISA)에서 발행한 주요정보통신기반시설 평가기준을 바탕으로 작성했습니다.
반응형
'IT > 윈도우서버' 카테고리의 다른 글
| 주요정보통신기반시설 윈도우 서버 W-10 IIS 서비스 구동 점검 (0) | 2023.06.07 |
|---|---|
| 주요정보통신기반시설 윈도우 서버 W-08 하드디스크 기본 공유 제거 (0) | 2023.06.06 |
| 주요정보통신기반시설 윈도우 서버 W-06 관리자 그룹에 최소한의 사용자 포함 (2) | 2023.01.10 |
| 주요정보통신기반시설 윈도우 서버 W-05 해독 가능한 암호화를 사용하여 암호 저장 해제 (0) | 2023.01.06 |
| 주요정보통신기반시설 윈도우 서버 W-04 계정 잠금 임계값 설정 (0) | 2023.01.06 |
댓글