지니's Blog

점검 목적

원격에서 로그 파일을 접근하는 것을 차단해 로그 파일 훼손 및 변조를 차단하기 위함.

보안 위협

원격 익명 사용자의 시스템 로그 파일에 접근 가능 시 '중요 시스템 로그' 파일 및 '애플리케이션 로그' 등 중요 보안 감사 정보의 변조, 삭제, 유출 위험이 존재함.

시스템 로그 파일 디렉터리에 ACL을 부여함으로써 권한이 없는 사용자로부터 시스템 접근을 차단해야 함.

※ ACL(Access Control List) : 접근이 허가된 주체들과 허가받은 접근 종류들이 기록된 리스트

판단기준

양호 : 로그 디렉터리 접근 권한에 Everyone 권한이 없는 경우

취약 : 로그 디렉터리 접근 권한에 Everyone 권한이 있는 경우

점검 방법

1. 로그 파일 디렉터리 속성에서 권한 확인할 것.

- Everyone 권한 존재 시 취약

조치방안

1. 로그 파일 디렉터리 속성에서 Everyone 권한을 제거할 것.

점검 목적

유사 시(비상 시) 책임 추적을 위해 주요 이벤트가 누락되지 않도록 이벤트 로그 파일의 크기 및 보관 기간을 적절하게 유지하기 위함.

보안 위협

로그 파일 크기가 충분하지 않을 경우 중요 로그가 저장되지 않을 위험이 존재함.또한 최대 보존 크기를 초과하는 경우 자동으로 덮어씀으로써 중요 로그 손실의 우려가 있음.

판단기준

양호 : 최대 로그 크기 "10,240KB 이상"으로 설정, "90일 이후 이벤트 덮어씀"을 설정한 경우

취약 : 최대 로그 크기 "10,240KB 미만"으로 설정, 이벤트 덮어씀 기간이 "90일 이하"로 설정된 경우

※ Windows 2008 이상 부터는 기간 설정이 불가능하고 "필요한 경우 이벤트 덮어쓰기" 로 설정할 것.

점검 방법

1. 로그 크기 제한 값 확인할 것.

① 이벤트 뷰어(eventvmr.msc) > windows 로그 > 응용프로그램, 보안, 시스템 > 속성 > 최대 로그 크기 확인할 것.

② 또는 레지스트리 각 경로의 MaxSize 확인할 것.

[ 컴퓨터\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application ]

[ 컴퓨터\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Security ]

[ 컴퓨터\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\System ]

2. 이벤트 덮어씀 기간 확인할 것.

① 이벤트 뷰어(eventvmr.msc) > windows 로그 > 응용프로그램, 보안, 시스템 > 속성 > "최대 이벤트 로그 크기에 도달할 때" 확인할 것. 

② 또는 레지스트리 각 경로의 Retention 확인할 것.

[ 컴퓨터\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application ]

[ 컴퓨터\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Security ]

[ 컴퓨터\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\System ]

조치방안

1. 로그 크기는 10,240 KB 이상으로 변경할 것.

2.

이벤트 뷰어(eventvmr.msc) > windows 로그 > 응용프로그램, 보안, 시스템 > 속성 > "최대 이벤트 로그 크기에 도달할 때" 설정에서 "필요한 경우 이벤트 덮어쓰기"로 변경할 것. (Windows 2008 이상)

또는 레지스트리 값 Retention 0으로 설정할 것.

- Retention  0    "필요한 경우 이벤트 덮어쓰기"

- GUI 에서 나머지 값 선택시 레지스트리 값이 0 이외의 값으로 변경됨.

점검 목적

적절한 로깅 설정으로 유사 시 (비상 시) 책임 추적을 위한 로그가 확보될 수 있게 하기 위함.

보안 위협

감사 설정이 구성되지 않거나 감사 설정 수준이 너무 낮은 경우, 보안 관련 문제 발생 시 원인 파악이 어려우며 법적 대응을 위한 충분한 증거 확보가 어려움.

※ 감사 정책이 너무 강하게 설정될 경우, 보안 로그에 불필요한 항목이 많이 기록되므로 법적 요구 사항과 조직의 정책에 따라 꼭 필요한 로그만 남기도록 설정해야 함.

판단기준

양호 : 감사 정책 권고 기준에 따라 감사 설정이 되어 있는 경우

취약 : 감사 정책 권고 기준에 따라 감사 설정이 되어있지 않는 경우

점검 방법

1. 로컬 보안 정책(secpol.msc) > 로컬 정책 > 감사 정책 > 감사 정책 설정 확인할 것.

- 감사 안 함으로 설정되어 있으므로 취약

2. 또는 보안 정책 설정에서 감사 정책 파라미터 확인할 것.

- 감사 안 함으로 설정되어 있으므로 취약

조치방안

1. 로컬 보안 정책(secpol.msc) > 로컬 정책 > 감사 정책 > 감사 정책 설정 변경할 것.

- 아래의 설정을 권고함.

2. 또는 보안 정책 설정에서 감사 정책 파라미터 변경할 것.

※ 감사 정책 설정 값

0  :  감사 안 함

1  :  성공만 기록함

2  :  실패만 기록함

3  :  성공과 실패 모두 기록함

※ 감사 정책 기준

- 계정 관리 감사(AuditAccountManage)  :  사용자나 그룹의 작성, 변경, 삭제 시간을 판단

- 로그온 이벤트 감사(AuditLogonEvents)  :  사용자가 도메인에 로그온 시 도메인 컨트롤러에 로그인 시도 기록

- 디렉터리 서비스 액세스 감사(AuditDSAccess)  :  Active Directory 개체에 대한 사용자 액세스를 감사

- 계정 로그온 이벤트 감사(AuditAccountLogon)  :   사용자가 컴퓨터 로그온,오프 시 로그온 시도된 컴퓨터 보안 로그에 이벤트 생성함

- 시스템 이벤트 감사(AuditSystemEvents)  :  컴퓨터 환경 변경 시 시스템 이벤트가 생성되고, 시스템 이벤트 감사할 경우 보안 로그 삭제 시간 감사함  

- 정책 변경 감사(AuditPolicyChange)  :  감사 정책 변경의 성공 및 실패를 감사함  

점검 목적

불필요한 데이터 소스 및 드라이버를 ODBC 데이터 소스 관리자 도구를 이용해 제거하여 비인가자에 의한 데이터베이스 접속 및 자료 유출을 차단하기 위함.

※ ODBC(Open DataBase Connectivity) : 데이터베이스에 접근하기 위한 소프트웨어 표준 규격

※ OLE-DB(Object Linking and Embedding, Database) : 통일된 방식으로 저장된 여러 종류의 데이터에 접근하기 위해 만들어진 API

보안 위협

불필요한 ODBC/OLE-DB 데이터 소스를 통한 비인가자에 의한 데이터베이스 접속 및 자료 유출 위험 존재함.

판단기준

양호 : 시스템 DSN 부분의 Data Source 를 현재 사용하지 있지 않는 경우

취약 : 시스템 DSN 부분의 Data Source 를 현재 사용하고 있는 경우

점검 방법

1. 제어판 > 관리도구 > ODBC 데이터 원본 64비트 > 시스템 DSN 확인할 것.

- 불필요한 데이터 소스 확인할 것.

2. 또는 레지스트리 ODBC Data Sources 데이터 소스 확인할 것.

조치방안

1. 담당자와의 인터뷰를 통해 불필요한 데이터 소스 및 드라이버 존재 시 제거할 것.

점검 목적

접속 배너를 통한 불필요한 정보 노출을 방지하기 위함.

보안 위협

HTTP, FTP, SMTP 접속 시도 시 노출되는 접속 배너를 통해서 정보를 수집하여 악의적 공격 이용 가능성 존재함.

판단기준

양호 : HTTP, FTP, SMTP 접속 시 배너 정보가 보이지 않음

취약 : HTTP, FTP, SMTP 접속 시 배너 정보가 보임

점검 방법

1. HTTP

① 서버 헤더 노출 정보 확인할 것. (URL 재작성 모듈)

IIS 관리자(inetmgr)  >  웹 사이트  >  URL 재작성  >  아웃 바운드 규칙 설정

- URL 재작성 모듈을 사용하지 않거나 아웃 바운드 규칙이 존재하지 않은 경우 취약

URL 재작성 모듈 존재하지 않을 시, 아래의 사이트에서 다운 받은 후 설치하면 됨.

https://www.iis.net/downloads/microsoft/url-rewrite#additionalDownloads

② 서버 헤더 노출 정보(HTTP 응답 헤더) 확인할 것.

- HTTP 응답 헤더에 X-Powered-By 가 설정된 경우 취약

2. FTP

IIS 관리자(inetmgr)  >  FTP 사이트  >  FTP 메시지

- 기본 배너 숨기기 설정이 체크 해제 되어 있으므로 취약

3. SMTP

IIS 설정 파일(%systemroot%￦inetsrv￦MetaBase.xml)에서 ConnectResponse 옵션 확인할 것.

- ConnectResponse 지시자가 존재하지 않으므로 취약

조치방안

1. HTTP

① 서버 헤더 노출 정보 변경할 것. (URL 재작성 모듈)

IIS 관리자(inetmgr)  >  웹 사이트  >  URL 재작성  >  아웃 바운드 규칙 편집할 것.

- 패턴은 ".*"로 설정함으로써 모든 문자를 탐지하고,

  패턴에 매칭된 값 대신 보여줄 값을 작성함.

② 서버 헤더 노출 정보(HTTP 응답 헤더) 확인 후 X-Powered-By 제거할 것.

2. FTP

IIS 관리자(inetmgr)  >  FTP 사이트  >  FTP 메시지에서 "기본 배너 숨기기" 체크 할 것.

3. SMTP

IIS 설정 파일(%systemroot%￦inetsrv￦MetaBase.xml)에서 ConnectResponse 옵션에 보여줄 값 작성할 것.