지니's Blog

EOS(End of Service)

- 서비스 혹은 판매가 중단된 상태

- 더 이상 서비스 혹은 판매할 수 없는 상태

- 하드웨어의 경우, 부속품에 대해 교체는 가능

- 소프트웨어의 경우, 간혹 업데이트 가능

EOL(End of Life)

- 서비스 혹은 판매에 대한 모든 상태가 종료됨

- 더 이상 유지보수가 되지 않음

즉, EOS의 경우에는 판매정지로 판매활동만 중단될 뿐, 업데이트나 유지보수가 가능한 상태이다.

그리고 EOL의 경우 수명이 끝난 상태로, 업데이트나 유지보수가 더이상 지원되지 않는 상태이다.

제품에 대한 생산을 중단하고자 할 때는 EOS 이후 EOL을 공지한다.

점검 목적

적절한 Windows 인증 모드를 적용해 적합한 복잡성 수준을 유지하기 위함.

※ DB 엔진 인증 모드에는 ①Windows 인증 모드  or  ②SQL Server가 있는 혼합 모드로 구성됨.

※ Windows 인증은 kerberos 보안 프로토콜을 사용해 강력한 암호정책을 적용하여 적합한 복잡성 수준을 유지함.

Windows 인증 모드 사용 시 SQL Server 인증을 위해 sa 라는 비활성화된 계정을 생성하고,

혼합 모드 사용함으로써 sa 계정이 활성화됨.

※ sa 계정 : 데이터베이스 설치 시 자동으로 생성되는 DB 서버 관리자 계정.

보안 위협

혼합 인증모드를 사용하고  sa 계정이 활성화되어 있을 경우, 잘 알려진 sa 계정에 대한 계정 추측 공격 가능성이 존재함.

판단기준

양호 :  Windows 인증 모드 사용, sa 계정 비활성화된 경우 sa 계정 사용 시 강력한 암호정책을 설정한 경우

취약 :  혼합 인증 모드를 사용, 활성화된 sa 계정에 대해 강력한 암호정책 설정을 하지 않은 경우

점검 방법

1. 인증 모드 확인

① SQL Server를 통한 확인 방법

- SSMS(SQL Server Management Studio) > Security > Server authentication 설정 확인할 것.

- SQL Server and Windows Authentication mode 일 경우 취약

② 또는 레지스트리 LoginMode 값 확인할 것.

[ 컴퓨터\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSWIN8.SQLWID\MSSQLSERVER ]

- LoginMode 값이 2일 경우 취약

2. sa 계정 활성화 여부 확인

① SQL Server를 통한 확인 방법 - sa 계정 암호정책 설정 확인할 것.

조치방안

1. 인증 모드 변경할 것.

① SSMS(SQL Server Management Studio) > Security > Server authentication 에서 "Windows Authentication mode"로 변경할 것.

② 또는 레지스트리 LoginMode 값 을 1로 변경할 것.

[ 컴퓨터\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSWIN8.SQLWID\MSSQLSERVER ]

2. sa 계정 활성화 여부 확인

① SSMS 에서 sa 계정 로그인 상태를 "사용 안 함"으로 변경할 것.

②  sa 계정 로그인 활성화 시, "암호 정책 강제 적용", "암호 만료 강제 적용" 체크할 것.

점검 목적

컴퓨터 계정 암호 최대 사용 기간을 설정해 계정 암호 추측을 방지하기 위함.

보안 위협

비인가자의 무작위 대입 공격, 사전 대입 공격들을 시도할 수 있는 기간 제한이 없어 장기적인 공격을 시행할 수 있음.

이로 인해 사용자 패스워드가 유출될 수 있는 확률이 증가함.

판단기준

양호 : "컴퓨터 계정 암호 변경 사용 안 함" 정책을 사용하지 않고, "컴퓨터 계정 암호 최대 사용 기간"이 "90일"로 설정되어 있는 경우

취약 : "컴퓨터 계정 암호 변경 사용 안 함" 정책을 사용하고, "컴퓨터 계정 암호 최대 사용 기간"이 "90일"로 설정되지 않은 경우

점검 방법

1. 로컬 보안 정책(secpol.msc) > 로컬 정책 > 보안 옵션 > "컴퓨터 계정 암호 변경 사항 사용 안 함" 및 "컴퓨터 계정 암호의 최대 사용 기간" 정책 설정 확인할 것.

- "사용"으로 설정되어 있고, "90일 초과"로 설정되어 있으므로 취약

2. 또는 보안 정책 설정에서 DisablePasswordChange, MaximumPasswordAge 확인할 것.

- DisablePasswordChange가 1이고, MaximumPasswordAge 90 초과로 설정되어 있으므로 취약

조치방안

1. 로컬 보안 정책(secpol.msc) > 로컬 정책 > 보안 옵션 > "컴퓨터 계정 암호 변경 사항 사용 안 함" 설정을 "사용 안 함"으로 변경하고 "컴퓨터 계정 암호의 최대 사용 기간" 을 "90일 이하"로 설정할 것.

2. 또는 보안 정책 설정에서 DisablePasswordChange 0로, MaximumPasswordAge 90으로 변경할 것.

점검 목적

FAT 파일 시스템 보다 강화된 보안 기능을 제공하는 NTFS 파일 시스템을 사용하기 위함.

※ NTFS 는 파일과 디렉터리에 소유권과 사용 권한 설정이 가능하고 ACL 을 제공함.

보안 위협

FAT 파일 시스템에 보안 기능이 없어 컴퓨터에 액세스 가능한 모든 사용자가 파일을 읽을 수 있게 됨. 

판단기준

양호 : NTFS 파일 시스템을 사용하는 경우

취약 : FAT 파일 시스템을 사용하는 경우

점검 방법

1. 시작 우클릭 > 디스크 관리 > 해당 드라이브 File System 확인할 것.

- FAT 파일 시스템을 사용하고 있으므로 취약

2. 또는 cmd 명령창 > diskpart 입력 > list volume 명령어 입력 후 파일 시스템 확인할 것.

- FAT 파일 시스템을 사용하고 있으므로 취약

조치방안

1. 시작 우클릭 > 디스크 관리 > 변경할 드라이브 클릭 후 포맷 > NTFS 파일 시스템 선택할 것.

2. 또는 cmd 명령창 > convert [드라이브명]: /fs:ntfs 명령어로 NTFS 파일 시스템으로 변경할 것.

점검 목적

해당 정책을 활성화하여 보안 채널의 서명 또는 암호화가 협상되지 않는 한 보안 채널을 확립하지 않기 위함.

보안 위협

보안 채널이 암호화되지 않을 경우 인증 트래픽 끼어들기 공격, 반복 공격, 네트워크 공격 등의 위험이 존재함.

판단기준

양호 : 3가지 정책이 "사용"으로 되어 있는 경우

          - 도메인 구성원: 보안 채널 데이터를 디지털 암호화 또는 서명 

          - 도메인 구성원: 보안 채널 데이터를 디지털 암호화 

          - 도메인 구성원: 보안 채널 데이터를 디지털 서명   

취약 : 위 3가지 정책이 "사용 안 함"으로 되어 있는 경우

점검 방법

1. 로컬 보안 정책(secpol.msc) > 로컬 정책 > 보안 옵션 > 보안 채널 데이터 정책 3가지 확인할 것.

- 3가지 정책 중 하나라도 "사용 안 함"이므로 취약

2. 또는 레지스트리 RequireSignOrSeal, SealSecureChannel, SignSecureChannel 값 확인할 것.

- 3가지 중 하나라도 0으로 설정된 경우 취약

조치방안

1. 로컬 보안 정책(secpol.msc) > 로컬 정책 > 보안 옵션 > 보안 채널 데이터 정책 3가지 모두 "사용"으로 변경할 것.

2. 또는 레지스트리 RequireSignOrSeal, SealSecureChannel, SignSecureChannel 값 1로 변경할 것.

RequireSignOrSeal   0x00000000

                                  0x00000001   "디지털 암호화 또는 서명 사용"

SealSecureChannel  0x00000000

                                  0x00000001   "디지털 암호화 사용"

SignSecureChannel  0x00000000

                                  0x00000001    "디지털 서명 사용"