[윈도우 서버 취약점 점검] 로컬 계정 사용 설정

■ 분류 : 계정관리

■ 항목명 : 로컬 계정 사용 설정

■ 항목 설명 : 

1.1.Administrators그룹에 속한 관리자 계정 Administrator 계정 변경
일반적으로 관리자를 위한 계정과 일반 사용자들을 위한 계정을 분리하여 사용하는 것이 올바른 설정이며 만일 시스템 관리자라면 두 개의 계정으로 하나는 관리업무를 위한 것이고, 다른 하나는 일반적인 일을 하기 위해 사용한다.
예를 들어 일반사용자 권한으로부터 활성화된 바이러스에 비해 관리자 권한을 가진 계정으로부터 활성화된 바이러스라면 시스템에 훨씬 많은 피해를 줄 수 있다.
또한 관리자 계정으로 설정되어 있는 "Administrator" 계정을 다른 이름으로 바꾸고 "Administrator"라는 가짜 계정을 만들어 아무런 권한도 주지 않는 방법을 사용할 수 있는데, 이러한 방법은 "모호함을 통한 보안(Security through obscurity)"의 한 예이며, 즉 Bogus 계정을 만드는 것이다
Administrator 계정은 로그온 시 실패해도 절대 접속을 차단하지 않기 때문에 시스템을 공격하려는 사람들은 이 계정의 패스워드 유추를 계속 시도할 수 있으므로 관리자 계정의 이름을 바꿈으로 공격자는 패스워드뿐만 아니라 계정이름도 유추 하여야 하는 어려움을 줄 수 있다.
또 하나의 방법은 보안정책 설정에서 로그온 실패 횟수에 따른 계정 잠금을 설정함으로써 brute force 공격이나 사전공격에 대응할 수 있다. 
Administrator 계정을 관리자 계정이 아닌 일반 계정으로 사용하거나 Administrator 가 아닌 다른 이름의 관리자 계정을 생성해 사용하도록 해야 하며, Administrator 권한을 가지는 유저는 최소한의 숫자로 제한 되어야 한다. 
 
1.2. GUEST 계정 비활성화
대부분의 시스템은 Guest 계정의 사용을 필요치 않으며, 앞으로도 계속 Guest 계정의 사용을 제한해야 한다.
불특정 다수의 접근이 필요할 경우 Guest 가 아닌 일반 사용자 계정을 생성해 사용 하도록 해야 한다.
 
1.3. 사용하는 계정에 대해 전체이름 또는 설명 부분 내용 기입
 사용하지 않는 계정, 불필요한 계정, 의심스러운 계정이 있는지 점검 해야 한다.

아래 계정에 대해서는 기본적으로 사용되는 계정이다.
whoau       컴퓨터/도메인을 관리하도록 기본 제공된 계정
secuaudit    보안진단 임시계정
bemsadmin  BizEMS 관리자 계정
bewsadmin   NT 통합 백업계정
ctsa          CONTROL-SA 계정
opsadmin     operator 계정
Ecmadmin    ECM 관리자 계정
Exrunmanager Exchange 서비스 계정
Mcmservice   전화연동을 위한 서비스 계정
Tbmsadmin   tbms 관리자 계정

■ 서비스 영향
일반적인 경우 영향 없음


■ 설정방법

1. Administrators 그룹에 관리자 계정인 Administrator 계정 변경
Windows7 에서는 보안을 강화하기 위한 목적으로 Administrator 계정이 ‘사용 안 함’ 상태로 되어 있기 때문에, 사용자 임의로 Administrator 계정을 활성화 하고 계정을 변경

시작 > 검색 상자 > cmd.exe
Net user administrator /active:yes


  • Administrator 계정을 활성화하여 사용하면 사용자 계정 컨트롤(UAC) 보안 설정이 해제된 상태이기 때문에 보안에 취약점이 발생될 수 있으므로, 임시적으로 사용하기 위한 경우 다시 원래 사용 안 함 상태로 되돌려 놓을 것을 권장

시작 > 제어판 > 시스템 및 보안 > 관리도구 > 컴퓨터 관리 > 로컬 사용자 및 그룹에서 설정 (아래의 그림에서는 Administrators 그룹에Administrator와 secuaudit의 2개의 관리자 계정이 존재함. Administrator 계정을 ‘사용 안 함’ 으로 설정한 대신 secuaudit 계정을 생성하여 관리자 계정으로 사용하고 있음)






Windows 7 Starter, Windows 7 Home Basic 및 Windows 7 Home Premium 버전의 경우에는 제어판 > 관리도구 > 컴퓨터 관리에서 ‘로컬 사용자 및 그룹’이 없으므로 제어판 > 사용자 계정에서 확인
 # Windows 7 Home Premium 계정변경 방법
   Wmic useraccount where name=”Administrator’ call rename Name=’변경할 이름’
   (관리자 권한의 CMD창에서 명령어 입력)

2. GUEST 계정 비활성화
시작 > 제어판 > 사용자 계정 > 사용자 계정 추가 및 제거 > Guest 계정에 대한 사용 제한 설정


3. 무자격 사용자 ID 제거
시작 > 제어판 > 사용자 계정 추가 또는 제거>계정 관리를 선택하여 사용되지 않는 계정을 제거



■ 진단기준
양호 - Administrators그룹에 관리자 계정인 Administrator의 이름을 바꾸어 사용하는 경우
     Guest 계정 비활성화되어 있는 경우 / 불필요한 계정이 존재하지 않을 경우
취약 - Administrators그룹에 관리자 계정인 Administrator가 존재하는 경우
     Guest 계정 활성화되어 있는 경우 / 불필요한 계정이 존재할 경우



로컬 계정 사용자 설정 확인 배치 파일.bat

위 파일 다운로드 후 실행하면 됩니다.



■ 진단방법 (배치파일)
@ECHO OFF
ECHO.
ECHO.
ECHO.
ECHO ■ 1.1.1기준
ECHO.
ECHO 양호 : Administrators 그룹의 구성원을 1명 이하로 유지 및 불필요한 관리자 계정이 존재하지 않는 경우
ECHO.
ECHO 취약 : Administrators 그룹에 불필요한 관리자 계정이 존재하는 경우 (인터뷰)
ECHO.
ECHO ■ 1.1.1 설정상태
ECHO.
net localgroup administrators | find /v "배치 실행 완료"
ECHO.
ECHO.==========================================================
ECHO.
ECHO ■ 1.1.2기준
ECHO.
ECHO 양호 : Guest 계정이 비활성화 되어 있는 경우
ECHO.
ECHO 취약 : Guest 계정이 활성화 되어 있는 경우, 계정이 존재하지 않을 경우
ECHO.
ECHO.
ECHO.
ECHO ■ 1.1.2 설정상태
ECHO.
net user guest > NUL
ECHO.
IF NOT ERRORLEVEL 1 net user guest2 | find /i "활성 계정 확인"
ECHO.
ECHO.
ECHO.
ECHO ■ 결과

net user guest | find /i "활성 계정" | find /i "예" > NUL

IF ERRORLEVEL 1 ECHO 양호

IF NOT ERRORLEVEL 1 ECHO 취약
ECHO.
ECHO.==========================================================
ECHO.
ECHO.
ECHO ■ 1.1.3기준
ECHO.
ECHO 양호 : 불필요한 계정이 존재하지 않는 경우
ECHO.
ECHO 취약 : 불필요한 계정이 존재하는 경우
ECHO.
ECHO.
ECHO.
ECHO.
ECHO ■ 1.1.3 설정상태
ECHO.
net user | find /v "명령을 잘 실행했습니다."
ECHO.
ECHO.
ECHO ■ 결과
ECHO ↑ 위 사용자 계정에 대해 필요 여부 인터뷰 진행 필요
ECHO.

Pause


댓글(5)

Designed by JB FACTORY