윈도우 진단 스크립트 - 1.15 익명 SID이름 변환 허용 해제

윈도우즈 서버 진단 배치파일 작성방법 - 1.15 익명 SID/이름 변환 허용 해제

 

※ 해당 내용은 KRCERT 홈페이지에 올라온 과학기술정보통신부, KISA의 ‘2017 주요정보통신기반시설 기술적 취약점 분석, 평가 방법 상세가이드’의 내용을 참조하여 인프라 진단 시 필요한 배치파일 작성방법을 서술하였습니다. 가이드라인 다운로드 링크 : https://www.krcert.or.kr/data/guideView.do?bulletin_writing_sequence=27369

 

1. 2017 주요정보통신기반시설 기술적 취약점 분석, 평가 방법 상세가이드

가. 상세 가이드

W-54 (중)	1. 계정관리 > 1.15 익명 SID/이름 변환 허용 해제
취약점 개요
참고	※ 익명 사용자가 다른 사용자의 SID 특성을 요청할 수 있는지를 결정함. 이를 이용해 로컬 접근 권한이 있는 사용자가 잘 알려진 Administrator SID를 사용하여 Administrator 계정의 실제 이름을 알아낼 수 있으며 암호 추측 공격을 실행할 수 있음. “사용 안 함”으로 정책을 설정할 경우 Windows NT 도메인 환경에서 통신이 불가능하게 될 수 있음. ※ Windows Server 2000 이하 버전 해당 사항 없음. ※ Windows Server 2012 이상 버전 해당 사항 없음.
점검대상 및 판단기준
대상	■ Windows 2003, 2008
판단기준	양호 : "익명 SID/이름 변환 허용” 정책이 “사용 안 함” 으로 되어 있는 경우
	취약 : "익명 SID/이름 변환 허용” 정책이 “사용” 으로 되어 있는 경우
조치방법	네트워크 액세스: 익명 SID/이름 변환 허용 → 사용 안 함
조치 시 영향	일반적인 경우 영향 없음

 

나. 점검 및 조치 사례

■ Windows 2003, 2008, 2012

Step 1) 시작> 실행> SECPOL.MSC> 로컬 정책> 보안 옵션

Step 2) "네트워크 액세스: 익명 SID/이름 변환 허용” 정책이 “사용 안 함” 으로 설정

 

 

2. 배치파일 작성 방법 예시

@ECHO OFF
 
ECHO ■ 기준
ECHO 양호 : "익명 SID/이름 변환 허용" 정책이 "사용 안 함" 으로 되어 있는 경우
ECHO 취약 : "익명 SID/이름 변환 허용" 정책이 "사용" 으로 되어 있는 경우
 
ECHO.
ECHO ■ 현황
secedit /EXPORT /CFG LocalSecurityPolicy.txt
TYPE LocalSecurityPolicy.txt | find /i "LSAAnonymousNameLookup"
 
ECHO.
ECHO ■ 결과
TYPE LocalSecurityPolicy.txt | find "LSAAnonymousNameLookup" | find "0" > NUL
IF ERRORLEVEL 1 ECHO 취약
IF NOT ERRORLEVEL 1 ECHO 양호
 
DEL LocalSecurityPolicy.txt

 

 

3. 배치파일 실행 화면

 

 

4. 용어설명

가. SECPOL.MSC

‘로컬 보안 정책’ 창을 띄우는 ‘윈도우 실행 명령어’.

 

나. secedit

‘로컬 보안 정책’을 설정, 조회 할 수 있는 ‘DOS 명령어’.

 

다. 암호 추측 공격 (Password Guessing Attack)

디폴트 패스워드, 생일, 주민번호 등 사용자가 사용할 만한 암호들을 대입해보는 것을 말함.

 

다. SID(Security Identifier, 보안 식별자)

마이크로소프트 윈도 NT 계열의 운영 체제 환경에서 NT/2000 시스템의 네트워크 안의 사용자 그룹이나 사용자와 같은 주체를 식별할 목적으로, 로그온을 하는 동안 윈도 도메인 컨트롤러가 할당하는 고유 이름.