윈도우 진단 스크립트 - 1.14 로컬 로그온 허용

윈도우즈 서버 진단 배치파일 작성방법 - 1.14 로컬 로그온 허용

 

※ 해당 내용은 KRCERT 홈페이지에 올라온 과학기술정보통신부, KISA의 ‘2017 주요정보통신기반시설 기술적 취약점 분석, 평가 방법 상세가이드’의 내용을 참조하여 인프라 진단 시 필요한 배치파일 작성방법을 서술하였습니다. 가이드라인 다운로드 링크 : https://www.krcert.or.kr/data/guideView.do?bulletin_writing_sequence=27369

 

1. 2017 주요정보통신기반시설 기술적 취약점 분석, 평가 방법 상세가이드

가. 상세 가이드

W-53 (중)	1. 계정관리 > 1.14 로컬 로그온 허용
취약점 개요
참고	※ “로컬로 로그온 허용” 권한은 시스템 콘솔에 로그인을 허용하는 권한으로 반드시 콘솔 접근이 필요한 사용자 계정에만 해당 권한을 부여하여야 함. 만약 해당 권한을 적절하게 제한하지 않는 경우 권한 없는 사용자가 자신의 사용 권한을 상승시키기 위해 악의적인 코드를 실행할 수 있음. ※ IIS 서비스를 사용할 경우 이 권한에 IUSR_<ComputerName> 계정을 할당함.
점검대상 및 판단기준
대상	■ Windows NT, 2000, 2003, 2008, 2012
판단기준	양호 : "로컬 로그온 허용 정책"에 Administrator, IUSR_만 존재하는 경우
	취약 : "로컬 로그온 허용 정책"에 Administrator, IUSR_외 다른 계정 및 그룹이 존재하는 경우
조치방법	Administrator, IUSR_외 다른 계정 및 그룹의 로컬 로그온 제한
조치 시 영향	일반적인 경우 영향 없음

 

나. 점검 및 조치 사례

■ Windows NT, 2000, 2003, 2008, 2012

Step 1) 시작> 실행> SECPOL.MSC> 로컬 정책> 사용자 권한 할당

Step 2) "로컬 로그온 허용(또는, 로컬 로그온)” 정책에 “Administrators”, “IUSR_” 외 다른 계정 및 그룹 제거

 

 

2. 배치파일 작성 방법 예시

@ECHO OFF
 
ECHO ■ 기준
ECHO 양호 : "로컬 로그온 허용 정책"에 Administrator, IUSR_만 존재하는 경우
ECHO 취약 : "로컬 로그온 허용 정책"에 Administrator, IUSR_외 다른 계정 및 그룹이 존재하는 경우
 
ECHO.
ECHO ■ 현황
secedit /EXPORT /CFG LocalSecurityPolicy.txt
TYPE LocalSecurityPolicy.txt | find /i "SeInteractiveLogonRight"
 
ECHO.
ECHO ■ 결과
ECHO 인터뷰
 
DEL LocalSecurityPolicy.txt

 

※ Administrator(*S-1-5-32-544) 외 다른 불필요한 계정이 존재하는지 확인

 

 

3. 배치파일 실행 화면

 

 

4. 용어설명

가. SECPOL.MSC

‘로컬 보안 정책’ 창을 띄우는 ‘윈도우 실행 명령어’입니다.

 

나. secedit

‘로컬 보안 정책’을 설정, 조회 할 수 있는 DOS 명령어 입니다.

 

다. IUSR_MachineName(IUSR_ComputerName)

IIS 설치 시 생성되는 로컬 계정. 익명 인증이 활성화된 경우 IIS 에 의해 기본 신원계정으로 사용되며, FTP 서비스와 HTTP 서비스 모두 이 계정이 사용됨.

 

라. IUSR 내장 계정

IIS 7.0 부터 IUSR 계정이 IUSR_MachineName 계정을 대체하며, 비밀번호를 요구하지 않고 익명 인증이 활성화된 경우 기본 신원계정으로 사용됨.