점검 목적
LAN Manager 인증 수준 설정을 통해 네트워크 로그온에 사용할 Challenge/Response 인증 프로토콜을 결정하며, 안전한 인증 절차를 적용하기 위함.
※ LAN Manager는 네트워크를 통한 파일 및 프린터 공유와 같은 작업 시 인증을 담당함.
보안 위협
안전하지 않은 LAN Manager 인증 수준을 사용할 경우 인증 트래픽 가로채기를 통해 악의적인 계정 정보 노출을 허용할 수 있음.
판단기준
양호 : "LAN Manager 인증 수준" 정책에 "NTLMv2 응답만 보냄" 이 설정된 경우
취약 : "LAN Manager 인증 수준" 정책에 "LM" 및 "NTLM" 인증이 설정된 경우
점검 방법
1. 로컬 보안 정책(secpol.msc) > 로컬 정책 > 보안 옵션 > "LAN Manager 인증 수준" 정책 확인할 것.
- NTLMv2 응답만 보냄 설정이 아니므로 취약
2. 또는 레지스트리 LmCompatibilityLevel 확인할 것.
- 값이 존재하지 않음
※ Windows 2008, Windows 7 이상의 버전의 경우, 해당 값이 설정되어 있지 않아도 기본값 자체가 "NTLMv2 응답만 보내기" 설정이 되어 있음
해당 값이 설정되지 않아도, 레지스트리 값이 존재하지 않아도 양호로 판단할 것.
조치방안
1. 로컬 보안 정책(secpol.msc) > 로컬 정책 > 보안 옵션 > "LAN Manager 인증 수준" 정책 변경할 것.
- "NTLMv2 응답만 보내기" 이상으로 설정할 것.
2. 또는 레지스트리 LmCompatibilityLevel 3 이상으로 변경할 것.
※ 레지스트리 LmCompatibilityLevel 기준
- LM & NTLM 응답 보내기 0x00000000
- LM & NTLM 보내기(협상된 경우 NTLMv2 세션 보안 사용) 0x00000001
- NTLM 응답만 보내기 0x00000002
- NTLMv2 응답만 보내기 0x00000003
- NTLMv2 응답만 전송, LM 거부 0x00000004
- NTLMv2 응답만 전송, LM & NTLM 거부 0x00000005
'STUDY 💻 > Infra' 카테고리의 다른 글
| [MSIT] W-79. 파일 및 디렉터리 보호 (0) | 2023.04.06 |
|---|---|
| [MSIT] W-78. 보안 채널 데이터 디지털 암호화 또는 서명 (0) | 2023.04.06 |
| [MSIT] W-76. 사용자별 홈 디렉터리 권한 설정 (0) | 2023.04.05 |
| [MSIT] W-75. 경고 메시지 설정 (0) | 2023.04.05 |
| [MSIT] W-74. 세션 연결을 중단하기 전에 필요한 유휴시간 (0) | 2023.04.05 |