점검 목적
원격에서 네트워크를 통해 운영 체제 종료가 가능한 사용자 및 그룹을 설정해 특정 사용자가 시스템 종료를 허용하기 위함.
보안 위협
원격 시스템 강제 종료 설정이 부적절할 시, 서비스 거부 공격에 악용 위험이 존재함.
판단기준
양호 : 해당 정책에 "Administrators"만 존재하는 경우
취약 : 해당 정책에 "Administrators" 외 다른 계정 및 그룹이 존재하는 경우
점검 방법
1. 로컬 보안 정책(secpol.msc) > 사용자 권한 할당 > "원격 시스템 강제 종료" 정책 확인할 것.
- Administrators 그룹 외 다른 그룹 존재하므로 취약
2. 또는 보안 정책 설정에서 SeRemoteShutdownPrivilege 확인할 것.
조치방안
1. 로컬 보안 정책(secpol.msc) > 사용자 권한 할당 > "원격 시스템 강제 종료" 에서 불필요한 구성원 제거할 것.
2. 또는 보안 정책 설정에서 SeRemoteShutdownPrivilege 값을 Administrators로 변경할 것.
SeRemoteShutdownPrivilege = *S-1-5-32-544 > Administrators
SeRemoteShutdownPrivilege = *S-1-5-32-545 > Users
SeRemoteShutdownPrivilege = *S-1-5-32-546 > Guests
SeRemoteShutdownPrivilege = *S-1-1-0 > Everyone
'STUDY 💻 > Infra' 카테고리의 다른 글
| [MSIT] W-42. SAM 계정과 공유의 익명 열거 허용 안 함 (0) | 2023.04.04 |
|---|---|
| [MSIT] W-41. 보안 감사를 로그할 수 없는 경우 즉시 시스템 종료 해제 (0) | 2023.04.04 |
| [MSIT] W-39. 로그온하지 않고 시스템 종료 허용 해제 (0) | 2023.04.03 |
| [MSIT] W-38. 화면보호기 설정 (1) | 2023.04.03 |
| [MSIT] W-37. SAM 파일 접근 통제 설정 (0) | 2023.04.03 |