윈도우 진단 스크립트 - 1.5 해독 가능한 암호화를 사용하여 암호 저장 해제

윈도우즈 서버 진단 배치파일 작성방법 - 1.5 해독 가능한 암호화를 사용하여 암호 저장 해제

※ 해당 내용은 KRCERT 홈페이지에 올라온 과학기술정보통신부, KISA의 ‘2017 주요정보통신기반시설 기술적 취약점 분석, 평가 방법 상세가이드’의 내용을 참조하여 인프라 진단 시 필요한 배치파일 작성방법을 서술하였습니다. 가이드라인 다운로드 링크 : https://www.krcert.or.kr/data/guideView.do?bulletin_writing_sequence=27369

1. 2017 주요정보통신기반시설 기술적 취약점 분석, 평가 방법 상세가이드
가. 상세 가이드

W-05 (상)	1. 계정관리 > 1.5 해독 가능한 암호화를 사용하여 암호 저장 해제
취약점 개요
점검내용	■ 해독 가능한 암호화 사용 여부 점검
점검목적	■ '해독 가능한 암호화를 사용하여 암호 저장' 정책이 설정되어 사용자 계정 비밀번호가 해독 가능한 텍스트 형태로 저장 되는 것을 차단하기 위함
보안위협	■ 위 정책이 설정된 경우 OS에서 사용자 ID PW를 입력받아 인증을 진행하는 응용프로그램 프로토콜 지원 시 OS 는 사용자의 PW 를 해독 가능한 방식으로 암호를 저장하기 때문에, 노출된 계정에 대해 공격자가 암호 복호화 공격으로 PW를 획득하여 네트워크 리소스에 접근할 수 있음
참고	※ '해독 가능한 암호화를 사용하여 암호 저장' 정책은 암호를 암호화 하지 않은 상태로 저장하여 일반 텍스트 버전의 암호를 저장하는 것과 같으나 시스템에서 기본적으로 동작하지는 않음
점검대상 및 판단기준
대상	■ Windows NT, 2000, 2003, 2008, 2012
판단기준	양호 : "해독 가능한 암호화를 사용하여 암호 저장" 정책이 "사용 안 함" 으로 되어 있는 경우
	취약 : "해독 가능한 암호화를 사용하여 암호 저장" 정책이 "사용" 으로 되어 있는 경우
조치방법	"해독 가능한 암호화를 사용하여 암호 저장"을 "사용 안 함"으로 설정
조치 시 영향	일반적인 경우 영향 없음

나. 점검 및 조치 사례
■ Windows NT, 2000, 2003, 2008, 2012
Step 1) 시작> 실행> SECPOL.MSC> 계정 정책> 암호 정책
Step 2) "해독 가능한 암호화를 사용하여 암호 저장"을 "사용 안 함"으로 설정

 

2. 배치파일 작성 방법 예시
@ECHO OFF


ECHO ■ 기준
ECHO 양호 : "해독 가능한 암호화를 사용하여 암호 저장" 정책이 "사용 안 함" 으로 되어 있는 경우
ECHO 취약 : "해독 가능한 암호화를 사용하여 암호 저장" 정책이 "사용" 으로 되어 있는 경우


ECHO.
ECHO ■ 현황
secedit /export /cfg LocalSecurityPolicy.txt
TYPE LocalSecurityPolicy.txt | find /i "ClearTextPassword"


ECHO.
ECHO ■ 결과
TYPE LocalSecurityPolicy.txt | find /i "ClearTextPassword = 1" > NUL
IF ERRORLEVEL 1 ECHO 양호
IF NOT ERRORLEVEL 1 ECHO 취약


DEL LocalSecurityPolicy.txt




3. 배치파일 실행 화면

4. 용어설명
가. SECPOL.MSC
“로컬 보안 정책” 창을 띄우는 “윈도우 실행 명령어”입니다.


나. secedit
‘로컬 보안 정책’을 설정, 조회 할 수 있는 DOS 명령어 입니다.