[MSIT] W-74. 세션 연결을 중단하기 전에 필요한 유휴시간

점검 목적

 

세션이 중단되기 전에 SMB 세션에서 보내야 하는 연속 유휴 시간을 결정하여 서비스 거부 공격에 악용되지 않도록 하기 위함.

 

※ Administrators 는 이 정책을 활성화아여 제어가 가능

   정책 값을 0으로 설정 시, 유휴 세션 연결이 가능한 빨리 끊어지고, 

   최대값 99999(208일) 설정 시 정책 설정 해제를 의미.

 

 

보안 위협

 

SMB 세션은 서버 리소스를 사용하기 때문에  NULL 세션 수가 많아지면 서버 속도가 저하되거나 오류가 발생할 수 있음. 공격자가 이를 악용해 SMB 세션을 반복 설정해 서버의 SMB 서비스가 느려지거나 응답하지 않게 하여 DoS 공격을 유발할 수 있음.

 

그러므로 세션 연결 중단 시 유휴시간(아무런 활동이 없는 시간) 설정을 점검하여 세션 중단 전에 SMB 세션에서 보내야하는 연속 유휴 시간을 결정해 악용되지 않도록 해야 함.

 

 

판단기준

 

양호 : "로그온 시간 만료 시 클라이언트 연결 끊기" 정책 "사용", "세션 연결 중단 전 필요한 유휴 시간" 정책 "15분"으로 설정한 경우

취약 : "로그온 시간 만료 시 클라이언트 연결 끊기" 정책 "사용 안 함", "세션 연결 중단 전 필요한 유휴 시간" 정책 "15분"으로 설정되지 않은 경우

 

 

점검 방법

 

1. "로그온 시간 만료 시 클라이언트 연결 끊기" 정책 사용 여부

 

① 로컬 보안 정책(secpol.msc) > 로컬 정책 > 보안 옵션 > "로그온 시간 만료 시 클라이언트 연결 끊기" 정책 확인할 것.

- 사용 안 함으로 설정되어 있으므로 취약

 

 

② 또는 레지스트리 enableforcedlogoff 확인할 것.

 

 

 

2. SMB 세션 중단 전 필요한 유휴시간 설정 확인 

 

① 로컬 보안 정책(secpol.msc) > 로컬 정책 > 보안 옵션 > "세션을 중단하기 전에 필요한 유휴 시간" 정책 확인할 것.

- 15분 미만으로 설정 시 취약

 

② 또는 레지스트리 enableforcedlogoff 확인할 것.

- 15분 미만으로 설정 시 취약

 

 

 

조치방안

 

1.

① 로컬 보안 정책(secpol.msc) > 로컬 정책 > 보안 옵션 > "로그온 시간 만료 시 클라이언트 연결 끊기" 정책 "사용" 으로 변경해줄 것.

 

② 또는 레지스트리 enableforcedlogoff  값을 1로 변경할 것.

 

2.

① 로컬 보안 정책(secpol.msc) > 로컬 정책 > 보안 옵션 > "세션을 중단하기 전에 필요한 유휴 시간" 정책 15분 이상으로 변경해줄 것.

 

② 또는 레지스트리 enableforcedlogoff  값을 15 이상로 변경할 것.

 

 

※ 유휴 시간이 너무 짧게 되면, 세션 끊어지는 빈도가 높아져 리소스를 더 많이 소비하게 됨. 뿐만 아니라 세션을 다시 설정하는 데에 있어 시간이 길어지면 사용자의 작업 흐름을 방해할 수 있게됨.