윈도우 진단 스크립트 - 1.6 관리자 그룹에 최소한의 사용자 포함

윈도우즈 서버 진단 배치파일 작성방법 - 1.6 관리자 그룹에 최소한의 사용자 포함

 

 

※ 해당 내용은 KRCERT 홈페이지에 올라온 과학기술정보통신부, KISA의 ‘2017 주요정보통신기반시설 기술적 취약점 분석, 평가 방법 상세가이드’의 내용을 참조하여 인프라 진단 시 필요한 배치파일 작성방법을 서술하였습니다. 가이드라인 다운로드 링크 : https://www.krcert.or.kr/data/guideView.do?bulletin_writing_sequence=27369

 

 

1. 2017 주요정보통신기반시설 기술적 취약점 분석, 평가 방법 상세가이드

가. 상세 가이드

W-06 (상)	1. 계정관리 > 1.6 관리자 그룹에 최소한의 사용자 포함
취약점 개요
점검내용	■ 관리자 그룹에 불필요한 사용자의 포함 여부 점검
점검목적	■ 관리자 그룹 구성원에 불필요한 사용자의 포함 여부를 점검하여, 관리 권한자를 최소화 하고자 함
보안위협	■ Administrators와 같은 관리자 그룹에 속한 구성원은 컴퓨터 시스템에 대한 완전하고 제한 없는 액세스 권한을 가지므로, 사용자를 관리자 그룹에 포함시킬 경우 비인가 사용자에 대한 과도한 관리 권한이 부여될 수 있음
참고	※ 관리 권한의 오남용으로 인한 시스템 피해를 줄이기 위해서 관리 업무를 위한 계정과 일반 업무를 위한 계정을 분리하여 사용하는 것이 바람직함 ※ 시스템 관리를 위해서 관리권한 계정과 일반권한 계정을 분리하여 운영하는 것을 권고 ※ 시스템 관리자는 원칙적으로 1명 이하로 유지하고, 부득이하게 2명 이상의 관리 권한자를 유지하여야 하는 경우에는 관리자 그룹에는 최소한의 사용자만 포함하도록 하여야 함
점검대상 및 판단기준
대상	■ Windows NT, 2000, 2003, 2008, 2012
판단기준	양호 : Administrators 그룹의 구성원을 1명 이하로 유지하거나  불필요한 관리자 계정이 존재하지 않는 경우
	취약 : Administrators 그룹에 불필요한 관리자 계정이 존재하는 경우
조치방법	Administrators 그룹에 포함된 불필요한 계정 제거
조치 시 영향	Administrator 그룹에 있는 계정을 잘못 삭제하는 경우 해당 업무에 장애 발생 가능성이 있음

 

 

나. 점검 및 조치 사례

■ Windows NT

Step 1) 시작> 프로그램> 관리도구> 도메인 사용자 관리> Administrators 그룹> 등록 정보

Step 2) Administrator 그룹에서 불필요한 계정 제거 후 그룹 변경

 

 

■ Windows 2000, 2003, 2008, 2012

Step 1) 시작> 실행> LUSRMGR.MSC> 그룹> Administrators> 속성

Step 2) Administrators 그룹에서 불필요한 계정 제거 후 그룹 변경

 

 

2. 배치파일 작성 방법 예시

@ECHO OFF

 

ECHO ■ 기준

ECHO 양호 : Administrators 그룹의 구성원을 1명 이하로 유지하거나  불필요한 관리자 계정이 존재하지 않는 경우

ECHO 취약 : Administrators 그룹에 불필요한 관리자 계정이 존재하는 경우

 

ECHO.

ECHO ■ 현황

net localgroup administrators | find /v "명령을 잘 실행했습니다."

 

ECHO.

ECHO ■ 결과

ECHO 인터뷰

 

※ 불필요한 계정이 무엇인지 판단할 수 없기 때문에 담당자와 인터뷰를 통해 불필요한 계정이 존재하는지 존재하지 않는지 알아내야 합니다.

 

 

3. 배치파일 실행 화면

 

 

4. 용어설명

가. LUSRMGR.MSC

“로컬 사용자 및 그룹” 창을 띄우는 “윈도우 실행 명령어”입니다.