점검 목적
불필요한 계정에 로컬 로그온이 허용된 경우 비인가자의 불법적인 시스템 로컬 접근을 차단하고자 함.
보안 위협
불필요한 사용자에 로컬 로그온 허용 시 비인가자를 통한 권한 상승으로 악성 코드 실행 우려가 있음.
판단기준
양호 : 로컬 로그온 허용 정책에 Administrators, IUSR_ 만 존재하는 경우
취약 : 로컬 로그온 허용 정책에 Administrators, IUSR_ 외 다른 계정 및 그룹이 존재하는 경우
점검 방법
1. 로컬 보안 정책(secpol.msc) > 사용자 권한 할당 > "로컬 로그온 허용" 정책 확인할 것.
- Administrators 외 계정이 존재하므로 취약
2. 또는 보안 정책 설정 SeInteractiveLogonRight 확인할 것.
- Administrators(*S-1-5-32-544) 그룹을 제외한 계정이 존재하므로 취약
조치방안
1. 로컬 보안 정책(secpol.msc) > 사용자 권한 할당 > "로컬 로그온 허용" 정책에서 Administrators , IIS_USRS 외 다른 계정 및 그룹을 제거할 것.
2. 또는 보안 정책 설정 SeInteractiveLogonRight 값을 변경할 것.
- *S-1-5-32-544 > Administrators
- *S-1-5-32-568 > IIS_IUSRS
※ SID 기본 정보
- S-1-5-21-도메인-500 : 일반 사용자 계정관리자
- S-1-5-21-도메인-501 : 개별 계정이 없는 사용자를 위한 계정
- S-1-5-21-도메인-1001 : 일반 사용자 계정
- S-1-5-32-544 : 그룹의 유일한 구성원 관리자 계정
- S-1-5-32-545 : 사용자
- S-1-5-32-546 : 게스트 - 일회용 사용자가 제한된 권한으로 로그온 가능
- S-1-5-32-549 : 서버 운영자
- S-1-5-32-551 : 백업 운영자
- S-1-5-32-568 : IIS_IUSRS - 그룹 내 IIS 사용자
'STUDY 💻 > Infra' 카테고리의 다른 글
| [MSIT] W-55. 최근 암호 기억 (0) | 2023.04.04 |
|---|---|
| [MSIT] W-54. 익명 SID/이름 변환 허용 해제 (0) | 2023.04.04 |
| [MSIT] W-52. 마지막 사용자 이름 표시 안 함 (0) | 2023.04.04 |
| [MSIT] W-47. 계정 잠금 기간 설정 (0) | 2023.04.04 |
| [MSIT] W-46. Everyone 사용 권한을 익명 사용자에 적용 해제 (0) | 2023.04.04 |