점검 목적
익명 SID/이름 변환 정책 "사용 안 함" 설정하여 SID를 사용해 관리자 이름을 찾을 수 없도록 하기 위함.
※ 해당 정책 설정 시, 익명 사용자가 다른 사용자의 SID 특성을 요청할 수 있음
보안 위협
로컬 접근 권한이 있는 사용자가 잘 알려진 Administrators SID를 사용하여 Administrators 계정의 실제 이름을 알아낼 수 있으며 암호 추측 공격 실행 가능성이 존재함.
판단기준
양호 : "익명 SID/이름 변환 허용" 정책이 "사용 안 함"으로 되어 있는 경우
취약 : "익명 SID/이름 변환 허용" 정책이 "사용"으로 되어 있는 경우
점검 방법
1. 로컬 보안 정책(secpol.msc) > 보안 옵션 > "네트워크 액세스: 익명 SID/이름 변환 허용" 정책 확인할 것.
- "사용"으로 설정되어 있으므로 취약
2. 또는 보안 정책 설정 LSAAnonymousNameLookup 확인할 것.
- LSAAnonymousNameLookup 의 값이 1("사용")이므로 취약
조치방안
1. 로컬 보안 정책(secpol.msc) > 보안 옵션 > "네트워크 액세스: 익명 SID/이름 변환 허용" 정책 "사용 안 함"으로 변경할 것.
2. 또는 보안 정책 설정 LSAAnonymousNameLookup 값을 0("사용 안 함")으로 변경할 것.
'STUDY 💻 > Infra' 카테고리의 다른 글
| [MSIT] W-56. 콘솔 로그온 시 로컬 계정에서 빈 암호 사용 제한 (0) | 2023.04.04 |
|---|---|
| [MSIT] W-55. 최근 암호 기억 (0) | 2023.04.04 |
| [MSIT] W-53. 로컬 로그온 허용 (0) | 2023.04.04 |
| [MSIT] W-52. 마지막 사용자 이름 표시 안 함 (0) | 2023.04.04 |
| [MSIT] W-47. 계정 잠금 기간 설정 (0) | 2023.04.04 |