윈도우 진단 스크립트 - 1.17 콘솔 로그온 시 로컬 계정에서 빈 암호 사용 제한

※ 해당 내용은 KRCERT 홈페이지에 올라온 과학기술정보통신부, KISA의 ‘2017 주요정보통신기반시설 기술적 취약점 분석, 평가 방법 상세가이드’의 내용을 참조하여 인프라 진단 시 필요한 배치파일 작성방법을 서술하였습니다. 가이드라인 다운로드 링크 : www.krcert.or.kr/data/guideView.do?bulletin_writing_sequence=27369

 

1. 2017 주요정보통신기반시설 기술적 취약점 분석, 평가 방법 상세가이드

가. 상세 가이드

W-56 (중)	1. 계정관리 > 1.17 콘솔 로그온 시 로컬 계정에서 빈 암호 사용 제한
취약점 개요
점검내용	■ 콘솔 로그인 시 빈 암호 사용 가능 여부 점검
점검목적	■ 빈 암호를 가진 계정의 콘솔 및 네트워크 서비스 접근을 차단하기 위함
보안위협	■ 이 정책이 "사용 안 함"으로 설정된 경우 빈 암호를 가진 로컬 계정에 대하여 터미널 서비스(원격 데스크톱 서비스) Telnet 및 FTP와 같은 네트워크 서비스의 원격 대화형 로그온이 가능하여 시스템 보안에 심각한 위험을 줄 수 있음
참고	※ 윈도우 원격 제어(mstsc)는 보안상 계정에 암호가 걸린 계정만 접속하도록 하고 있으나 이 정책을 활성화하면 계정에 암호가 걸려 있지 않아도 원격 제어가 가능함
점검대상 및 판단기준
대상	■ Windows 2003, 2008, 2012
판단기준	양호 : "콘솔 로그온 시 로컬 계정에서 빈 암호 사용 제한" 정책이 "사용"인 경우
	취약 : "콘솔 로그온 시 로컬 계정에서 빈 암호 사용 제한" 정책이 "사용 안 함"인 경우
조치방법	계정: 콘솔 로그온 시 로컬 계정에서 빈 암호 사용 제한 → 사용
조치 시 영향	일반적인 경우 영향 없음

 

나. 점검 및 조치 사례

■ Windows 2003, 2008, 2012

Step 1) 시작> 실행> SECPOL.MSC> 로컬 정책> 보안 옵션

Step 2) "계정: 콘솔 로그온 시 로컬 계정에서 빈 암호 사용 제한" 정책을 "사용"으로 설정

 

2. 배치파일 작성 방법 예시

@ECHO OFF

ECHO ■ 기준
ECHO 양호 : "콘솔 로그온 시 로컬 계정에서 빈 암호 사용 제한" 정책이 "사용"인 경우
ECHO 취약 : "콘솔 로그온 시 로컬 계정에서 빈 암호 사용 제한" 정책이 "사용 안 함"인 경우

ECHO.
ECHO ■ 현황
secedit /EXPORT /CFG LocalSecurityPolicy.txt
ECHO.
TYPE LocalSecurityPolicy.txt | find /i "LimitBlankPasswordUse =" | find "4,1" > NUL
IF ERRORLEVEL 1 ECHO "콘솔 로그온 시 로컬 계정에서 빈 암호 사용 제한" 정책이 "사용 안함"으로 설정됨
IF NOT ERRORLEVEL 1 ECHO "콘솔 로그온 시 로컬 계정에서 빈 암호 사용 제한" 정책이 "사용"으로 설정됨

ECHO.
ECHO ■ 결과
TYPE LocalSecurityPolicy.txt | find /i "LimitBlankPasswordUse =" | find "4,1" > NUL
IF ERRORLEVEL 1 ECHO 취약
IF NOT ERRORLEVEL 1 ECHO 양호

DEL LocalSecurityPolicy.txt

 

3. 배치파일 실행 화면

 

4. 용어설명

가. SECPOL.MSC

‘로컬 보안 정책’ 창을 띄우는 ‘윈도우 실행 명령어’입니다.

 

나. secedit

‘로컬 보안 정책’을 설정, 조회 할 수 있는 DOS 명령어 입니다.