이 장에서는 관리 템플릿(.adm) 파일 내에는 정의되어 있지 않은 기본 보안 템플릿 파일의 레지스트리 키 항목(레지스트리 값)에 대한 추가 정보를 제공합니다. .adm 파일은 Microsoft Windows Server 2003의 데스크톱, 셸 및 보안에 대한 정책과 제한 사항을 정의합니다.
MMC(Microsoft Management Console) 보안 템플릿 스냅인을 로드하고 보안 템플릿을 보는 경우 다음 표의 항목은 표시되지 않습니다. 이러한 항목은 SCE(보안 구성 편집기)의 사용자 지정 버전을 사용하여 .inf 파일에 추가된 항목입니다. 메모장 같은 텍스트 편집기를 사용하여 이러한 항목을 보거나 수정할 수도 있습니다. 이러한 항목은 컴퓨터의 SCE 사용자 인터페이스를 수정했는지 여부에 관계 없이 항목에 대해 정책을 다운로드할 때 컴퓨터에 적용됩니다.
그런 다음 이러한 항목은 보안 템플릿 내에 포함되어 변경 내용을 자동으로 적용합니다. 정책을 제거하는 경우 이러한 항목은 자동으로 함께 제거되지 않으므로 Regedt32.exe 같은 레지스트리 편집 도구를 사용하여 수동으로 변경해야 합니다. 이 설명서에 포함된 Microsoft Excel 통합 문서 "Windows Default Security and Services Configuration"(Windows 기본 보안 및 서비스 구성)에서 기본 설정을 확인할 수 있습니다.
보안 구성 편집기 사용자 인터페이스를 수정하는 방법
SCE는 개별 컴퓨터 또는 그룹 정책을 통해 여러 컴퓨터에 적용할 수 있는 보안 템플릿을 정의하는 데 사용됩니다. 보안 템플릿에는 암호 정책, 잠금 정책, Kerberos 프로토콜 정책, 감사 정책, 이벤트 로그 설정, 레지스트리 값, 서비스 시작 모드, 서비스 사용 권한, 사용자 권한, 그룹 구성원 제한, 레지스트리 권한 및 파일 시스템 권한이 포함될 수 있습니다. SCE는 다양한 MMC 스냅인과 관리 도구에 표시되며 보안 템플릿 스냅인과 보안 구성 및 분석 스냅인에 사용됩니다. 그룹 정책 편집기 스냅인은 컴퓨터 구성 트리의 보안 설정 부분에 SCE를 사용합니다. 또한 SCE는 로컬 보안 설정, 도메인 컨트롤러 보안 정책 및 도메인 보안 정책 도구에도 사용됩니다.
이 설명서에는 %systemroot%\inf 폴더에 있는 Seregvl.inf 파일을 수정하고 Scecli.dll 파일을 다시 등록하면 SCE에 추가되는 추가 항목이 포함되어 있습니다. 원래 보안 설정 및 추가 설정은 모두 이 가이드 앞부분에서 설명한 스냅인 및 도구의 로컬 정책\보안 아래에 표시됩니다. 이 설명서와 함께 제공되는 보안 템플릿 및 그룹 정책을 편집할 모든 컴퓨터에서 다음 섹션의 설명에 따라 Sceregvl.inf 파일을 업데이트하고 Scecli.dll을 다시 등록해야 합니다. 그러나 Sceregvl.inf 파일의 사용자 지정 정보는 Microsoft Windows XP Professional 서비스 팩 1(SP1) 및 Windows Server 2003에서만 제공되는 기능을 사용하므로 이전 버전의 Windows에는 설치하지 마십시오.
Sceregvl.inf 파일을 수정 및 등록하면 사용자 지정 레지스트리 값이 해당 컴퓨터의 SCE 사용자 인터페이스에 나타납니다. 이름 앞부분에 "MSS:"가 붙은 새 설정이 SCE 항목 목록 아래쪽에 표시됩니다. MSS는 이 설명서를 작성한 그룹의 이름, 즉 Microsoft Solutions for Security를 의미합니다. 그런 다음 이러한 새 레지스트리 값을 정의하는 보안 템플릿 또는 정책을 만들 수 있습니다. 이 정책 또는 템플릿은 대상 컴퓨터에서 Sceregvl.inf 파일이 수정되었는지 여부에 상관없이 모든 컴퓨터에 적용할 수 있습니다. 다음 번에 SCE UI를 실행하면 사용자 지정 레지스트리 값이 표시됩니다.
SCE 사용자 인터페이스를 수정하는 방법에 대한 지침은 다음 절차에서 확인할 수 있습니다. 이 절차는 SCE에 대해 다른 사용자 지정 작업을 이미 수행한 경우 따라야 하는 수동 지침입니다. 최소한의 사용자 작업만을 수행하여 설정을 추가하기 위한 스크립트가 제공됩니다. 이 스크립트에는 오류 검출 및 복구 기능이 기본적으로 포함되어 있지만 실패할 수도 있습니다. 스크립트가 실패하는 경우 실패의 원인을 확인하여 문제를 해결하거나 수동 지침을 수행해야 합니다. 또한 SCE 사용자 인터페이스를 기본 상태로 복원하는 데 사용할 수 있는 다른 스크립트도 제공됩니다. 이 스크립트를 실행하면 모든 사용자 지정 설정이 제거되며 SCE가 Windows XP SP2 또는 Windows Server 2003 SP1을 기본 설치할 때 표시되는 상태로 돌아갑니다.
sceregvl.inf를 수동으로 업데이트하려면
메모장 같은 텍스트 편집기를 사용하여 이 설명서의 다운로드 버전에 있는 SCE Update 폴더에서 Values-sceregvl.txt 파일을 엽니다.
텍스트 편집기를 다른 창으로 연 다음 %systemroot%\inf\sceregvl.inf 파일을 엽니다.
sceregvl.inf 파일의 "[Register Registry Values]" 섹션 아래쪽으로 이동합니다. Values-sceregvl.txt 파일의 텍스트를 페이지 나누기 없이 복사하여 sceregvl.inf 파일의 이 섹션에 붙여 넣습니다.
Values-sceregvl.txt 파일을 닫고 다운로드 버전 설명서의 SCE Update 폴더에서 Strings-sceregvl.txt 파일을 엽니다.
sceregvl.inf 파일의 "[Strings]" 섹션 아래쪽으로 이동합니다. Strings-sceregvl.txt 파일의 텍스트를 페이지 나누기 없이 복사하여 sceregvl.inf 파일의 이 섹션에 붙여 넣습니다.
sceregvl.inf 파일을 저장하고 텍스트 편집기를 닫습니다.
명령 프롬프트를 열고 regsvr32 scecli.dll 명령을 실행하여 DLL 파일을 다시 등록합니다.
다음 번에 SCE를 실행하면 이러한 사용자 지정 레지스트리 값이 표시됩니다.
sceregvl.inf를 자동으로 업데이트하려면
다운로드 버전 설명서의 SCE Update 폴더에 있는 Values-sceregvl.txt,Strings-sceregvl.txt및Update_SCE_with_MSS_Regkeys.vbs 파일이 같은 위치에 있어야 스크립트가 제대로 작동합니다.
업데이트하려는 컴퓨터에서 Update_SCE_with_MSS_Regkeys.vbs 스크립트를 실행합니다.
화면에 표시되는 메시지에 따라 작업을 진행합니다.
이 절차를 수행하면 앞의 절차에서 설명한 Update_SCE_with_MSS_Regkeys.vbs 스크립트를 통해 생성되는 사용자 지정 항목만 제거됩니다. 자동 업데이트 스크립트를 통해 수행한 변경 내용을 되돌릴 수도 있습니다.
Update_SCE_with_MSS_Regkeys.vbs 스크립트를 통해 수행한 변경 내용을 되돌리려면
업데이트하려는 컴퓨터에서 Rollback_SCE_for_MSS_Regkeys.vbs 스크립트를 실행합니다.
화면에 표시되는 메시지에 따라 작업을 진행합니다.
이 절차를 수행하면 이 설명서에 포함된 사용자 지정 항목 및 이전 버전 설명서와 다른 보안 설명서에서 제공되었던 사용자 지정 항목을 포함하여 SCE 사용자 인터페이스에 추가한 모든 사용자 지정 항목이 제거됩니다.
SCE를 Windows XP SP2 및 Windows Server 2003 SP1의 기본 상태로 복원하려면
다운로드 버전 설명서의 SCE Update 폴더에 있는 sceregvl_W2K3_SP1.inf.txt,sceregvl_XPSP2.inf.txt및Restore_SCE_to_Default.vbs 파일이 같은 위치에 있어야 스크립트가 제대로 작동합니다.
업데이트하려는 컴퓨터에서 Restore_SCE_to_Default.vbs 스크립트를 실행합니다.
화면에 표시되는 메시지에 따라 작업을 진행합니다.
SCE 사용자 인터페이스의 기본 모양을 수동으로 복원하려면
시작, 실행을 클릭하고 regedit.exe를 입력한 다음 Enter 키를 눌러 레지스트리 편집기 도구를 엽니다.
DoS(서비스 거부) 공격을 방지하려면 컴퓨터를 최신 보안 수정 프로그램으로 업데이트하고 공격자에게 노출될 수 있는 Windows Server 2003 컴퓨터의 TCP/IP 프로토콜 스택을 강화해야 합니다. 기본 TCP/IP 스택 구성은 표준 인트라넷 트래픽을 처리하도록 조정되어 있습니다. 컴퓨터를 인터넷에 직접 연결하는 경우에는 DoS 공격에 대비하여 TCP/IP 스택을 강화하는 것이 좋습니다.
TCP/IP 스택을 대상으로 하는 DoS 공격은 수많은 TCP 연결을 여는 등 시스템 리소스를 과도하게 사용하는 공격과 네트워크 스택 또는 전체 운영 체제에서 오류가 발생하도록 하는 특수 제작된 패킷을 보내는 공격의 두 가지 유형으로 분류됩니다. 다음 레지스트리 설정을 사용하면 TCP/IP 스택을 대상으로 하는 공격을 방지할 수 있습니다.
표 10.1 Windows Server 2003 SP1 및 Windows XP SP2의 TCP/IP 관련 레지스트리 항목
레지스트리 항목
형식
XP SP2 기본값
2003 SP1 기본값
가장 안전한 값(십진수)
DisableIPSourceRouting
DWORD
1
1
2
EnableDeadGWDetect
DWORD
1
1
0
EnableICMPRedirect
DWORD
1
1
0
KeepAliveTime
DWORD
7200000
7200000
300,000달러
PerformRouterDiscovery
DWORD
2
2
0
SynAttackProtect
DWORD
0
1
1
TcpMaxConnectResponseRetransmissions
DWORD
2
2
2
TcpMaxDataRetransmissions
DWORD
5
5
3
#### DisableIPSourceRouting: IP source routing protection level (protects against packet spoofing)
이 항목은 SCE에서 **MSS: (DisableIPSourceRouting) IP source routing protection level (protects against packet spoofing)**로 나타납니다. IP 원본 라우팅은 데이터그램이 네트워크를 통해 이동해야 하는 IP 경로를 보낸 사람이 결정할 수 있도록 하는 메커니즘입니다.
##### 보안 문제
공격자는 원본에서 라우팅한 패킷을 사용하여 해당 ID와 위치를 모호하게 만들 수 있습니다. 원본 라우팅을 사용하면 패킷을 보내는 컴퓨터가 패킷 이동 경로를 지정할 수 있습니다.
##### 대책
**MSS: (DisableIPSourceRouting) IP source routing protection level (protects against packet spoofing)** 항목의 값을 **Highest protection,** **source routing is completely disabled**로 구성합니다.
이 레지스트리 항목에 사용할 수 있는 값은 다음과 같습니다.
- 0, 1 또는 2, 기본 구성은 1(원본에서 라우팅한 패킷이 전달되지 않음)
SCE UI에는 다음 옵션 목록이 표시됩니다.
- No additional protection, source routed packets are allowed
- Medium, source routed packets ignored when IP forwarding is enabled.
- Highest protection, source routing is completely disabled
- 정의되지 않음
##### 잠재적 영향
이 값을 **2**로 구성하면 원본에서 라우팅한 들어오는 패킷이 모두 삭제됩니다.
#### EnableDeadGWDetect: Allow automatic detection of dead network gateways (could lead to DoS)
이 항목은 SCE에서 **MSS: (EnableDeadGWDetect) Allow automatic detection of dead network gateways (could lead to DoS)**로 나타납니다. 작동하지 않는 게이트웨이 검색 기능을 사용하는 경우 많은 연결에서 문제가 발생하면 IP는 백업 게이트웨이로 변경될 수 있습니다.
##### 보안 문제
공격자는 서버가 게이트웨이를 의도하지 않은 다른 게이트웨이로 전환하도록 만들 수 있습니다. 그러나 이러한 방식의 공격을 수행하기는 매우 어려우므로 이 항목은 값이 작습니다.
##### 대책
**MSS: (EnableDeadGWDetect) Allow automatic detection of dead network gateways (could lead to DoS)** 항목의 값을 **사용 안 함**으로 구성합니다.
이 레지스트리 항목에 사용할 수 있는 값은 다음과 같습니다.
- 1 또는 0, Windows Server 2003에서 기본 구성은 1(사용)
SCE UI에서 이러한 옵션은 다음과 같이 표시됩니다.
- 사용
- 사용 안 함
- 정의되지 않음
##### 잠재적 영향
이 값을 **0**으로 구성하면 Windows에서 작동하지 않는 게이트웨이를 검색할 수 없으므로 대체 게이트웨이로 자동 전환합니다.
#### EnableICMPRedirect: Allow ICMP redirects to override OSPF generated routes
이 항목은 SCE에서 **MSS: (EnableICMPRedirect) Allow ICMP redirects to override OSPF generated routes**로 나타납니다. ICMP(Internet Control Message Protocol) 리디렉션을 통해 스택은 호스트 경로를 연결합니다. 이러한 경로는 OSPF(Open Shortest Path First)에서 생성한 경로보다 우선합니다.
##### 보안 문제
이 동작은 예상 가능한 동작입니다. 그러나 문제는 ICMP 리디렉션 연결 경로의 10분 제한 시간으로 인해 트래픽이 더 이상 해당 호스트에 대해 제대로 라우팅되지 않는 일시적인 네트워크 문제 상황이 발생한다는 것입니다.
##### 대책
**MSS: (EnableICMPRedirect) Allow ICMP redirects to override OSPF generated routes** 항목의 값을 **사용 안 함**으로 구성합니다.
이 레지스트리 항목에 사용할 수 있는 값은 다음과 같습니다.
- 1 또는 0, 기본 구성은 1(사용)
SCE UI에서 이러한 옵션은 다음과 같이 표시됩니다.
- 사용
- 사용 안 함
- 정의되지 않음
##### 잠재적 영향
ASBR(자치 시스템 경계 라우터)로 구성된 RRAS(라우팅 및 원격 액세스 서비스)는 연결된 인터페이스 서브넷 경로를 제대로 가져올 수 없습니다. 대신 이 라우터는 OSPF 경로에 호스트 경로를 삽입합니다. 그러나 OSPF 라우터를 ASBR 라우터로 사용할 수는 없으므로 연결된 인터페이스 서브넷 경로를 OSPF로 가져오는 경우 알 수 없는 라우팅 경로가 지정된 라우팅 테이블이 생성될 수 있습니다.
#### KeepAliveTime: How often keep–alive packets are sent in milliseconds (300,000 is recommended)
이 항목은 SCE에서 **MSS: (KeepAliveTime) How often keep-alive packets are sent in milliseconds (300,000 is recommended)**로 나타납니다. 이 항목은 TCP가 연결 유지 패킷을 보냄으로써 유휴 연결이 여전히 유지되고 있는지 확인하는 빈도를 지정합니다. 원격 컴퓨터에 계속 연결할 수 있는 경우 TCP는 연결 유지 패킷을 승인합니다.
##### 보안 문제
네트워크 응용 프로그램에 연결할 수 있는 공격자는 많은 연결을 설정하여 DoS 상황을 발생시킬 수 있습니다.
##### 대책
**MSS: (KeepAliveTime) How often keep-alive packets are sent in milliseconds (300,000 is recommended)** 항목의 값을 **300000** **or 5 minutes**로 구성합니다.
이 레지스트리 항목에 사용할 수 있는 값은 다음과 같습니다.
- 1에서 0xFFFFFFFF 사이의 값 기본 구성은 7,200,000(2시간)입니다.
SCE UI에는 다음 옵션 목록이 표시됩니다.
- 150000 or 2.5 minutes
- 300000 or 5 minutes **(recommended)**
- 600000 or 10 minutes
- 1200000 or 20 minutes
- 2400000 or 40 minutes
- 3600000 or 1 hour
- 7200000 or 2 hours **(default value)**
- 정의되지 않음
##### 잠재적 영향
Windows에서는 연결 유지 패킷을 기본적으로 보내지 않습니다. 그러나 일부 응용 프로그램에서는 연결 유지 패킷을 필요로 하는 TCP 스택 플래그를 구성할 수 있습니다. 이러한 구성의 경우에는 이 값을 기본 설정인 2시간에서 5분으로 줄여 비활성 상태인 세션의 연결을 보다 빨리 끊을 수 있습니다.
#### PerformRouterDiscovery: Allow IRDP to detect and configure Default Gateway addresses (could lead to DoS)
이 항목은 SCE에서 **MSS: (PerformRouterDiscovery) Allow IRDP to detect and configure Default Gateway addresses (could lead to DoS)**로 나타납니다. 이 항목을 통해 IRDP(Internet Router Discovery Protocol)를 사용하거나 사용하지 않도록 설정할 수 있습니다. IRDP는 컴퓨터가 인터페이스별로 RFC 1256의 설명과 같이 기본 게이트웨이 주소를 자동으로 검색 및 구성할 수 있도록 합니다.
##### 보안 문제
같은 네트워크 세그먼트에서 컴퓨터를 제어할 수 있는 공격자는 네트워크에서 컴퓨터가 라우터를 가장하도록 구성할 수 있습니다. 그러면 IRDP를 사용하는 다른 컴퓨터에서 이와 같이 손상된 컴퓨터를 통해 해당 트래픽을 라우팅하려고 시도하게 됩니다.
##### 대책
**MSS: (PerformRouterDiscovery) Allow IRDP to detect and configure Default Gateway addresses (could lead to DoS)** 항목의 값을 **사용 안 함**으로 구성합니다.
이 레지스트리 항목에 사용할 수 있는 값은 다음과 같습니다.
- 0, 1 또는 2, 기본 구성은 2 (enable only if DHCP sends the Perform Router Discovery option)
SCE UI에서 이러한 옵션은 다음과 같이 표시됩니다.
- 0 (Disabled)
- 1 (Enabled)
- 2 (enable only if DHCP sends the Perform Router Discovery option)
- 정의되지 않음
##### 잠재적 영향
이 설정을 사용하지 않으면 IRDP를 지원하는 Windows Server 2003에서 컴퓨터의 기본 게이트웨이 주소를 자동으로 검색 및 구성할 수 없습니다.
#### SynAttackProtect: Syn attack protection level (protects against DoS)
이 항목은 SCE에서 **MSS: (SynAttackProtect) Syn attack protection level (protects against DoS)**로 나타납니다. 이 항목을 통해 TCP가 SYN-ACK 재전송을 조정하도록 할 수 있습니다. 이 항목을 구성하면 연결 요청(SYN) 공격의 불완전한 전송 오버헤드가 감소합니다.
이 항목을 사용하여 Windows가 RFC 1256의 설명과 같이 라우터 검색 메시지를 멀티캐스트가 아닌 브로드캐스트로 보내도록 구성할 수 있습니다. 기본적으로 라우터 검색을 사용하는 경우 라우터 검색 요청을 모든 라우터의 멀티캐스트 그룹(224.0.0.2)으로 보냅니다.
##### 보안 문제
공격자는 SYN 플러드 공격을 통해 지속적인 SYN 패킷 스트림을 서버로 보낼 수 있습니다. 서버는 부분적으로 연결된 상태로 유지되기 때문에 스트림을 지속적으로 받으면 더 이상 올바른 요청에 대해 응답할 수 없는 상태가 됩니다.
##### 대책
**MSS: (SynAttackProtect) Syn attack protection level (protects against DoS)** 항목의 값을 **Connections time out sooner if a SYN attack is detected**로 구성합니다.
이 레지스트리 항목에 사용할 수 있는 값은 다음과 같습니다.
- 1 또는 0, Windows Server 2003 SP1의 기본 구성은 1(사용)이며 Windows XP SP2의 기본 구성은 0(사용 안 함)
SCE UI에서 이러한 옵션은 다음과 같이 표시됩니다.
- Connections time–out more quickly if a SYN attack is detected
- No additional protection, use default settings
- 정의되지 않음
##### 잠재적 영향
이 값을 사용하면 연결 표시가 지연되어 SYN 공격이 진행될 때 TCP 연결 요청의 시간 제한이 더 빨리 초과됩니다. 이 레지스트리 항목을 구성하면 초기 RTT(왕복 시간)와 창 크기 등 각 어댑터에 대해 구성된 조정 가능한 창 및 TCP 매개 변수 등의 소켓 옵션이 더 이상 작동하지 않습니다. 즉, 컴퓨터가 공격을 받으면 모든 소켓의 조정 가능한 창(RFC 1323) 및 어댑터별로 구성된 TCP 매개 변수(초기 RTT, 창 크기) 옵션을 더 이상 사용할 수 없습니다. 이러한 옵션을 사용할 수 없는 이유는 보호 기능이 작동 중일 때 경로 캐시 항목은 SYN-ACK을 보낸 후에 쿼리되며 이 연결 단계에서는 Winsock 옵션을 사용할 수 없기 때문입니다.
#### TcpMaxConnectResponseRetransmissions: SYN – ACK retransmissions when a connection request is not acknowledged
이 항목은 SCE에서 **MSS: (TcpMaxConnectResponseRetransmissions) SYN-ACK retransmissions when a connection request is not acknowledged**로 나타납니다. 이 항목은 전송 시도를 중단할 때까지 TCP에서 SYN을 재전송하는 횟수를 결정합니다. 재전송 시간 제한은 지정한 연결 시도에서 각 재전송 작업을 연속적으로 시도할 때마다 두 배로 증가합니다. 초기 시간 제한 값은 3초입니다.
##### 보안 문제
공격자는 SYN 플러드 공격을 통해 지속적인 SYN 패킷 스트림을 서버로 보낼 수 있습니다. 서버는 부분적으로 연결된 상태로 유지되기 때문에 스트림을 지속적으로 받으면 더 이상 올바른 요청에 대해 응답할 수 없는 상태가 됩니다.
##### 대책
**MSS: (TcpMaxConnectResponseRetransmissions) SYN-ACK retransmissions when a connection request is not acknowledged** 항목의 값을 **3 seconds,** **half-open connections dropped after nine seconds**로 구성합니다.
이 레지스트리 항목에 사용할 수 있는 값은 다음과 같습니다.
- 0에서 0xFFFFFFFF 사이의 값. 기본 구성은 2입니다.
SCE UI에는 다음 옵션 목록이 표시되며 각 옵션은 0, 1, 2, 3 값에 해당합니다.
- No retransmission, half–open connections dropped after 3 seconds
- 3 seconds, half–open connections dropped after 9 seconds
- 3 & 6 seconds, half–open connections dropped after 21 seconds
- 3, 6, & 9 seconds, half–open connections dropped after 45 seconds
- 정의되지 않음
##### 잠재적 영향
이 값을 **2** 이상으로 구성하는 경우 스택에서 SYN-ATTACK 보호를 내부적으로 적용합니다. 이 항목을 **2** 미만의 값으로 구성하는 경우에는 스택에서 SYN-ATTACK 보호를 위한 레지스트리 값을 읽을 수 없습니다. 이 항목은 부분적 TCP 연결을 정리하는 데 필요한 시간을 줄입니다. 공격을 많이 받는 사이트의 경우 이 값을 **1**과 같이 낮은 값으로 설정할 수 있으며 **0**도 사용할 수 있습니다. 그러나 이 값을 **0**으로 설정하면 SYN-ACK는 재전송되지 않으며 시간 제한이 3초 이내에 초과됩니다. 이와 같이 이 값을 낮게 설정하면 먼 거리의 클라이언트에서 합법적으로 연결을 시도해도 연결되지 않습니다.
#### TcpMaxDataRetransmissions: How many times unacknowledged data is retransmitted (3 recommended, 5 is default)
이 항목은 SCE에서 **MSS: (TcpMaxDataRetransmissions) How many times unacknowledged data is retransmitted (3 recommended,** **5 is default)**로 나타납니다. 이 매개 변수는 연결을 중단하기 전까지 TCP에서 개별 데이터 세그먼트(연결되지 않은 세그먼트)를 재전송하는 횟수를 제어합니다. 재전송 시간 제한은 연결에서 각 재전송 작업을 연속적으로 시도할 때마다 두 배로 증가하며 응답이 재개되면 다시 설정됩니다. 기본 시간 제한 값은 연결 시 측정된 왕복 시간에 따라 동적으로 결정됩니다.
##### 보안 문제
대상 컴퓨터에서 전송한 데이터에 대해 승인 메시지를 보내지 않는 경우 악의적인 사용자는 대상 컴퓨터의 리소스를 모두 소모할 수 있습니다.
##### 대책
**MSS: (TcpMaxDataRetransmissions) How many times unacknowledged data is retransmitted (3 recommended,** **5 is default)** 항목의 값을 **3**으로 구성합니다. 이 레지스트리 항목에 사용할 수 있는 값은 다음과 같습니다.
- 0에서 0xFFFFFFFF 사이의 값. 기본 구성은 5입니다.
SCE UI에서는 텍스트 항목 상자를 사용해 이 설정을 조정할 수 있습니다.
- 사용자 정의 수
- 정의되지 않음
##### 잠재적 영향
TCP는 각 아웃바운드 세그먼트가 IP로 전달될 때 재전송 타이머를 시작합니다. 타이머가 만료되기 전에 해당 세그먼트에서 데이터에 대한 승인이 수신되지 않은 경우 세그먼트가 세 번까지 재전송됩니다.
[](#mainsection)[페이지 위쪽](#mainsection)
### 기타 레지스트리 항목
다음 표에 있는 레지스트리 항목 역시 사용하는 것이 좋습니다. 각 레지스트리 키 설정의 위치를 포함하여 각 항목에 대한 추가 정보는 표 다음에 나오는 하위 섹션에서 확인할 수 있습니다.
**표 10.2 Windows Server 2003의 레지스트리에 추가된 TCP/IP가 아닌 항목**
MSS: (DisableSavePassword) Prevent the dial-up passsword from being saved (recommended)
DWORD
1
MSS: (Hidden) Hide Computer From the Browse List (not recommended except for highly secure environments)
DWORD
1을 사용해야 하는 매우 안전한 환경을 제외하고는 정의되지 않음
MSS: (NoDefaultExempt) Enable NoDefaultExempt for IPSec Filtering (recommended)
DWORD
Windows XP를 실행하는 컴퓨터의 경우 1, Windows Server 2003을 실행하는 컴퓨터의 경우 3
MSS: (NoDriveTypeAutoRun) Disable Autorun for all drives (recommended)
DWORD
0xFF
MSS: (NoNameReleaseOnDemand) WINS 서버에서 제외되는 NetBIOS 이름 해제 요청을 컴퓨터에서 무시할 수 있도록 허용
DWORD
1
MSS: 컴퓨터에서 8.3 스타일 파일 이름의 생성을 중지할 수 있음
DWORD
1
MSS: 안전한 DLL 검색 모드 사용(권장)
DWORD
1
MSS: 화면 보호기 유예 기간 만료 시간(초)(0 권장)
String
0
MSS: 시스템에서 경고를 생성할 보안 이벤트 로그 용량에 대한 백분율 임계값
DWORD
0
#### Disable Automatic Logon: Disable Automatic Logon
이 항목은 SCE에서 **MSS: (AutoAdminLogon) Enable Automatic Logon (not recommended)**으로 나타납니다. 이 항목은 자동 로그온 기능 사용 여부를 결정합니다. 이 항목은 Windows XP의 시작 화면 기능과는 다른 별도의 항목입니다. 해당 기능을 사용하지 않아도 이 항목은 영향을 받지 않습니다. 기본적으로 이 항목은 사용되지 않습니다. 자동 로그온 기능은 레지스트리에 저장된 도메인, 사용자 이름 및 암호를 사용하여 컴퓨터가 시작할 때 사용자가 컴퓨터에 로그온되도록 합니다. 로그온 대화 상자는 표시되지 않습니다.
자세한 내용은