지니's Blog

점검 목적

적절한 Windows 인증 모드를 적용해 적합한 복잡성 수준을 유지하기 위함.

※ DB 엔진 인증 모드에는 ①Windows 인증 모드  or  ②SQL Server가 있는 혼합 모드로 구성됨.

※ Windows 인증은 kerberos 보안 프로토콜을 사용해 강력한 암호정책을 적용하여 적합한 복잡성 수준을 유지함.

Windows 인증 모드 사용 시 SQL Server 인증을 위해 sa 라는 비활성화된 계정을 생성하고,

혼합 모드 사용함으로써 sa 계정이 활성화됨.

※ sa 계정 : 데이터베이스 설치 시 자동으로 생성되는 DB 서버 관리자 계정.

보안 위협

혼합 인증모드를 사용하고  sa 계정이 활성화되어 있을 경우, 잘 알려진 sa 계정에 대한 계정 추측 공격 가능성이 존재함.

판단기준

양호 :  Windows 인증 모드 사용, sa 계정 비활성화된 경우 sa 계정 사용 시 강력한 암호정책을 설정한 경우

취약 :  혼합 인증 모드를 사용, 활성화된 sa 계정에 대해 강력한 암호정책 설정을 하지 않은 경우

점검 방법

1. 인증 모드 확인

① SQL Server를 통한 확인 방법

- SSMS(SQL Server Management Studio) > Security > Server authentication 설정 확인할 것.

- SQL Server and Windows Authentication mode 일 경우 취약

② 또는 레지스트리 LoginMode 값 확인할 것.

[ 컴퓨터\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSWIN8.SQLWID\MSSQLSERVER ]

- LoginMode 값이 2일 경우 취약

2. sa 계정 활성화 여부 확인

① SQL Server를 통한 확인 방법 - sa 계정 암호정책 설정 확인할 것.

조치방안

1. 인증 모드 변경할 것.

① SSMS(SQL Server Management Studio) > Security > Server authentication 에서 "Windows Authentication mode"로 변경할 것.

② 또는 레지스트리 LoginMode 값 을 1로 변경할 것.

[ 컴퓨터\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSWIN8.SQLWID\MSSQLSERVER ]

2. sa 계정 활성화 여부 확인

① SSMS 에서 sa 계정 로그인 상태를 "사용 안 함"으로 변경할 것.

②  sa 계정 로그인 활성화 시, "암호 정책 강제 적용", "암호 만료 강제 적용" 체크할 것.

점검 목적

컴퓨터 계정 암호 최대 사용 기간을 설정해 계정 암호 추측을 방지하기 위함.

보안 위협

비인가자의 무작위 대입 공격, 사전 대입 공격들을 시도할 수 있는 기간 제한이 없어 장기적인 공격을 시행할 수 있음.

이로 인해 사용자 패스워드가 유출될 수 있는 확률이 증가함.

판단기준

양호 : "컴퓨터 계정 암호 변경 사용 안 함" 정책을 사용하지 않고, "컴퓨터 계정 암호 최대 사용 기간"이 "90일"로 설정되어 있는 경우

취약 : "컴퓨터 계정 암호 변경 사용 안 함" 정책을 사용하고, "컴퓨터 계정 암호 최대 사용 기간"이 "90일"로 설정되지 않은 경우

점검 방법

1. 로컬 보안 정책(secpol.msc) > 로컬 정책 > 보안 옵션 > "컴퓨터 계정 암호 변경 사항 사용 안 함" 및 "컴퓨터 계정 암호의 최대 사용 기간" 정책 설정 확인할 것.

- "사용"으로 설정되어 있고, "90일 초과"로 설정되어 있으므로 취약

2. 또는 보안 정책 설정에서 DisablePasswordChange, MaximumPasswordAge 확인할 것.

- DisablePasswordChange가 1이고, MaximumPasswordAge 90 초과로 설정되어 있으므로 취약

조치방안

1. 로컬 보안 정책(secpol.msc) > 로컬 정책 > 보안 옵션 > "컴퓨터 계정 암호 변경 사항 사용 안 함" 설정을 "사용 안 함"으로 변경하고 "컴퓨터 계정 암호의 최대 사용 기간" 을 "90일 이하"로 설정할 것.

2. 또는 보안 정책 설정에서 DisablePasswordChange 0로, MaximumPasswordAge 90으로 변경할 것.

점검 목적

FAT 파일 시스템 보다 강화된 보안 기능을 제공하는 NTFS 파일 시스템을 사용하기 위함.

※ NTFS 는 파일과 디렉터리에 소유권과 사용 권한 설정이 가능하고 ACL 을 제공함.

보안 위협

FAT 파일 시스템에 보안 기능이 없어 컴퓨터에 액세스 가능한 모든 사용자가 파일을 읽을 수 있게 됨. 

판단기준

양호 : NTFS 파일 시스템을 사용하는 경우

취약 : FAT 파일 시스템을 사용하는 경우

점검 방법

1. 시작 우클릭 > 디스크 관리 > 해당 드라이브 File System 확인할 것.

- FAT 파일 시스템을 사용하고 있으므로 취약

2. 또는 cmd 명령창 > diskpart 입력 > list volume 명령어 입력 후 파일 시스템 확인할 것.

- FAT 파일 시스템을 사용하고 있으므로 취약

조치방안

1. 시작 우클릭 > 디스크 관리 > 변경할 드라이브 클릭 후 포맷 > NTFS 파일 시스템 선택할 것.

2. 또는 cmd 명령창 > convert [드라이브명]: /fs:ntfs 명령어로 NTFS 파일 시스템으로 변경할 것.

점검 목적

해당 정책을 활성화하여 보안 채널의 서명 또는 암호화가 협상되지 않는 한 보안 채널을 확립하지 않기 위함.

보안 위협

보안 채널이 암호화되지 않을 경우 인증 트래픽 끼어들기 공격, 반복 공격, 네트워크 공격 등의 위험이 존재함.

판단기준

양호 : 3가지 정책이 "사용"으로 되어 있는 경우

          - 도메인 구성원: 보안 채널 데이터를 디지털 암호화 또는 서명 

          - 도메인 구성원: 보안 채널 데이터를 디지털 암호화 

          - 도메인 구성원: 보안 채널 데이터를 디지털 서명   

취약 : 위 3가지 정책이 "사용 안 함"으로 되어 있는 경우

점검 방법

1. 로컬 보안 정책(secpol.msc) > 로컬 정책 > 보안 옵션 > 보안 채널 데이터 정책 3가지 확인할 것.

- 3가지 정책 중 하나라도 "사용 안 함"이므로 취약

2. 또는 레지스트리 RequireSignOrSeal, SealSecureChannel, SignSecureChannel 값 확인할 것.

- 3가지 중 하나라도 0으로 설정된 경우 취약

조치방안

1. 로컬 보안 정책(secpol.msc) > 로컬 정책 > 보안 옵션 > 보안 채널 데이터 정책 3가지 모두 "사용"으로 변경할 것.

2. 또는 레지스트리 RequireSignOrSeal, SealSecureChannel, SignSecureChannel 값 1로 변경할 것.

RequireSignOrSeal   0x00000000

                                  0x00000001   "디지털 암호화 또는 서명 사용"

SealSecureChannel  0x00000000

                                  0x00000001   "디지털 암호화 사용"

SignSecureChannel  0x00000000

                                  0x00000001    "디지털 서명 사용"

점검 목적

LAN Manager 인증 수준 설정을 통해 네트워크 로그온에 사용할 Challenge/Response 인증 프로토콜을 결정하며, 안전한 인증 절차를 적용하기 위함.

※ LAN Manager는 네트워크를 통한 파일 및 프린터 공유와 같은 작업 시 인증을 담당함.

보안 위협

안전하지 않은 LAN Manager 인증 수준을 사용할 경우 인증 트래픽 가로채기를 통해 악의적인 계정 정보 노출을 허용할 수 있음.

판단기준

양호 : "LAN Manager 인증 수준" 정책에 "NTLMv2 응답만 보냄" 이 설정된 경우

취약 : "LAN Manager 인증 수준" 정책에 "LM" 및  "NTLM" 인증이 설정된 경우

점검 방법

1. 로컬 보안 정책(secpol.msc) > 로컬 정책 > 보안 옵션 > "LAN Manager 인증 수준" 정책 확인할 것.

- NTLMv2 응답만 보냄 설정이 아니므로 취약

2. 또는 레지스트리 LmCompatibilityLevel 확인할 것.

- 값이 존재하지 않음

※ Windows 2008, Windows 7 이상의 버전의 경우, 해당 값이 설정되어 있지 않아도 기본값 자체가 "NTLMv2 응답만 보내기" 설정이 되어 있음

해당 값이 설정되지 않아도, 레지스트리 값이 존재하지 않아도 양호로 판단할 것.

조치방안

1. 로컬 보안 정책(secpol.msc) > 로컬 정책 > 보안 옵션 > "LAN Manager 인증 수준" 정책 변경할 것.

- "NTLMv2 응답만 보내기" 이상으로 설정할 것.

2. 또는 레지스트리 LmCompatibilityLevel  3 이상으로 변경할 것.

※ 레지스트리 LmCompatibilityLevel 기준

- LM & NTLM 응답 보내기    0x00000000

- LM & NTLM 보내기(협상된 경우 NTLMv2 세션 보안 사용)   0x00000001

- NTLM 응답만 보내기     0x00000002

- NTLMv2 응답만 보내기    0x00000003

- NTLMv2 응답만 전송, LM 거부    0x00000004

- NTLMv2 응답만 전송, LM & NTLM 거부    0x00000005