위협 및 대책
4장: 사용자 권한
업데이트 날짜: 2005년 12월 27일
사용자 권한을 통해 사용자는 컴퓨터나 도메인에서 작업을 수행할 수 있습니다. 사용자 권한에는 로그온 권한과 사용 권한이 있습니다. 로그온 권한은 컴퓨터에 로그온할 수 있는 사용자 권한 및 로그온 방법을 제어합니다. 사용 권한은 컴퓨터와 도메인 리소스에 대한 액세스를 제어하며 특정 개체에 설정된 사용 권한을 무시할 수 있습니다.
로그온 권한의 예는 컴퓨터에 로컬로 로그온할 수 있는 것입니다. 사용 권한의 예는 컴퓨터를 종료할 수 있는 것입니다. 두 가지 유형의 사용자 권한 모두 관리자에 의해 개별 사용자나 그룹에게 컴퓨터에 대한 보안 설정의 일부로 할당됩니다. 이 장에 나오는 규정된 설정은 Microsoft Excel 통합 문서 "Windows XP 기본 보안 및 서비스 구성"에 요약되어 있으며, 이 문서는 본 설명서에 포함되어 있습니다. 이 통합 문서는 기본 사용자 권한 할당 설정을 문서화합니다.
참고: IIS(Internet Information Server)에서는 사용하는 기본 제공 계정에 특정 사용자 권한을 할당해야 합니다. 이 장의 사용자 권한 할당 설정은 IIS에 어떤 권한이 필요한지 확인합니다. 이러한 요구 사항에 대한 자세한 내용은 www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/3648346f-e4f5-474b-86c7-5a86e85fa1ff.mspx의 "IIS and Built-In Accounts (IIS 6.0) (영문)"(IIS 및 기본 제공 계정(IIS 6.0)) 목록을 참조하십시오.
이 페이지에서
사용자 권한 할당 설정
그룹 정책 개체 편집기의 다음 위치에서 사용자 권한 할당 설정을 구성할 수 있습니다.
컴퓨터 구성\Windows 설정\보안 설정\로컬 정책\사용자 권한 할당
네트워크에서 이 컴퓨터 액세스
이 정책 설정은 사용자가 네트워크에서 컴퓨터에 연결할 수 있는지 여부를 결정합니다. 이 기능은 SMB(서버 메시지 블록) 기반 프로토콜, NetBIOS, CIFS(Common Internet File System), HTTP 및 COM+(Component Object Model Plus)를 비롯한 여러 네트워크 프로토콜에 필요합니다.
네트워크에서 이 컴퓨터 액세스 설정에 사용할 수 있는 값은 다음과 같습니다.
사용자 정의 계정 목록
정의되지 않음
보안 문제
자신의 컴퓨터에서 네트워크에 연결할 수 있는 사용자는 사용 권한을 가진 대상 컴퓨터의 리소스에 액세스할 수 있습니다. 예를 들어 네트워크에서 이 컴퓨터 액세스 권한은 사용자가 공유 프린터 및 폴더에 연결하는 데 필요한 권한입니다. 이 사용자 권한이 Everyone 그룹에 할당되고 동일한 그룹이 읽기 권한을 갖도록 일부 공유 폴더에 공유 및 NTFS(NTFS 파일 시스템) 사용 권한이 구성되면 이 그룹의 모든 사람이 해당 공유 폴더에 있는 파일을 볼 수 있습니다. 그러나 Windows Server 2003의 기본 공유 및 NTFS 사용 권한에는 Everyone 그룹이 포함되지 않으므로 Microsoft Windows Server 2003 SP1(서비스 팩 1)을 새로 설치하는 경우에는 이러한 상황이 거의 발생하지 않습니다. Windows NT 4.0 또는 Windows 2000을 업그레이드한 시스템의 경우는 이러한 운영 체제의 기본 사용 권한이 Windows Server 2003의 기본 사용 권한만큼 제한적이지 않으므로 이 취약점의 수준이 더 높아질 수 있습니다.
대책
서버에 대한 액세스 권한이 필요한 사용자에게만 네트워크에서 이 컴퓨터 액세스 사용자 권한을 부여합니다. 예를 들어 이 정책 설정을 Administrators 및 Users 그룹으로 구성하면 Domain Users 그룹의 구성원이 로컬 Users 그룹에 포함될 때 도메인에 로그온하는 사용자는 도메인의 서버에서 공유되는 리소스에 액세스할 수 있습니다.
잠재적 영향
도메인 컨트롤러에서 모든 사용자에 대해 네트워크에서 이 컴퓨터 액세스 사용자 권한을 제거하면 어떤 사용자도 도메인에 로그온하거나 네트워크 리소스를 사용할 수 없습니다. 구성원 서버에서 이 사용자 권한을 제거하면 사용자는 네트워크를 통해 이러한 서버에 연결할 수 없습니다. ASP.NET 또는 IIS(Internet Information Services)와 같은 선택적 구성 요소를 설치한 경우 이러한 구성 요소에 필요한 추가 계정에 이 사용자 권한을 할당해야 합니다. 권한을 가진 사용자가 네트워크에 액세스해야 하는 컴퓨터에 대해 이 권한을 할당 받았는지 확인하는 것이 중요합니다.
운영 체제의 일부로 작동
이 정책 설정은 프로세스가 사용자의 ID를 가정하여 사용자에게 액세스가 허용된 리소스에 대한 액세스 권한을 얻을 수 있는지 여부를 결정합니다. 일반적으로 낮은 수준의 인증 서비스에서만 이 사용자 권한이 필요합니다. 잠재적 액세스는 기본적으로 사용자와 관련된 항목으로만 제한되지 않습니다. 호출 프로세스가 임의의 추가 사용 권한을 액세스 토큰에 추가할 것을 요청할 수 있습니다. 또한 호출 프로세스는 시스템 이벤트 로그의 감사를 추적하기 위한 주 ID를 제공하지 않는 액세스 토큰을 작성할 수 있습니다.
운영 체제의 일부로 작동 설정에 사용할 수 있는 값은 다음과 같습니다.
사용자 정의 계정 목록
정의되지 않음
보안 문제
운영 체제의 일부로 작동 사용자 권한은 매우 강력합니다. 이 사용자 권한이 있는 모든 사용자는 컴퓨터를 완전히 제어하고 작업 기록에 대한 증거를 지울 수 있습니다.
대책
운영 체제의 일부로 작동 사용자 권한을 최대한 적은 수의 계정에만 부여합니다. 일반적인 상황에서는 Administrators 그룹에도 할당하지 말아야 합니다. 서비스에서 이 사용자 권한이 필요할 때는 이 사용 권한을 원래 가지고 있는 Local System 계정을 사용하여 로그온하도록 해당 서비스를 구성합니다. 별도의 계정을 만들어서 이 사용자 권한을 할당하지 마십시오.
잠재적 영향
Local System 계정 외에는 운영 체제의 일부로 작동 사용자 권한 필요로 하는 계정이 거의 없으므로 영향은 거의 또는 전혀 없습니다.
워크스테이션을 도메인에 추가
이 정책 설정은 사용자가 특정 도메인에 컴퓨터를 추가할 수 있는지 여부를 결정합니다. 이 사용자 권한을 적용하려면 하나 이상의 도메인 컨트롤러에 적용되도록 사용자 권한을 할당해야 합니다. 이 사용자 권한이 할당된 사용자는 최대 10개의 워크스테이션을 도메인에 추가할 수 있습니다. Active Directory 디렉터리 서비스의 컴퓨터 컨테이너 또는 OU(조직 구성 단위)에 대한 컴퓨터 개체 만들기 사용 권한이 있는 사용자는 컴퓨터를 도메인에 참가시킬 수도 있습니다. 이 사용 권한이 할당된 사용자는 워크스테이션을 도메인에 추가 사용자 권한이 있는지 여부에 관계없이 도메인에 컴퓨터를 무제한적으로 추가할 수 있습니다.
워크스테이션을 도메인에 추가 설정에 사용할 수 있는 값은 다음과 같습니다.
사용자 정의 계정 목록
정의되지 않음
보안 문제
워크스테이션을 도메인에 추가 사용자 권한의 취약점은 그리 심각하지 않습니다. 이 권한을 가진 사용자는 조직의 보안 정책을 위반하는 방식으로 구성된 컴퓨터를 도메인에 추가할 수 있습니다. 예를 들어 사용자가 자신의 컴퓨터에 대해 관리자 권한을 갖는 것을 조직에서 원하지 않을 경우 사용자는 자신의 컴퓨터에 Windows를 설치한 다음 이 컴퓨터를 도메인에 추가할 수 있습니다. 사용자는 로컬 관리자 계정의 암호를 알고 있으므로 해당 계정으로 로그인한 다음 자신의 도메인 계정을 로컬 Administrators 그룹에 추가할 수 있습니다.
대책
IT(정보 기술) 팀에서 권한을 가진 구성원만 도메인에 컴퓨터를 추가할 수 있도록 워크스테이션을 도메인에 추가 설정을 구성합니다.
잠재적 영향
사용자가 자신의 컴퓨터를 직접 설정하여 도메인에 추가하는 것을 절대 허용하지 않는 조직의 경우 이 대책은 아무런 영향이 없습니다. 전체 또는 일부 사용자가 자신의 컴퓨터를 직접 구성할 수 있도록 허용한 조직은 이 대책으로 인해 이러한 진행 절차에 대한 공식적인 프로세스를 만들어야 합니다. 이는 워크스테이션을 제거한 후 도메인에 다시 추가하지 않는 한 기존 컴퓨터에 영향을 미치지 않습니다.
프로세스 별 메모리 할당량 조정
이 정책 설정은 사용자가 프로세스에서 사용할 수 있는 최대 메모리 양을 조정할 수 있는지 여부를 결정합니다. 이 기능은 컴퓨터를 미세 조정할 때 유용한 반면 남용 가능성을 고려해야 합니다. DoS(서비스 거부) 공격과 같은 악의적인 의도로 이용될 수 있습니다.
프로세스 별 메모리 할당량 조정 설정에 사용할 수 있는 값은 다음과 같습니다.
사용자 정의 계정 목록
정의되지 않음
보안 문제
프로세스 별 메모리 할당량 조정 사용 권한이 있는 사용자는 프로세스에서 사용할 수 있는 메모리 양을 줄일 수 있으며, 이에 따라 업무상 중요한 네트워크 응용 프로그램의 속도가 느려지거나 오류가 발생할 수 있습니다.
대책
데이터베이스 관리 시스템을 유지 관리하는 응용 프로그램 관리자나 조직의 디렉터리 및 해당 지원 인프라를 관리하는 도메인 관리자와 같이 작업 수행에 필요한 사용자로 프로세스의 메모리 할당량 조정 사용자 권한을 제한합니다.
잠재적 영향
한정된 권한 역할로 사용자를 제한하지 않은 조직의 경우 이 대책 수행에 어려움을 느낄 것입니다. 또한 ASP.NET 또는 IIS와 같은 선택적 구성 요소를 설치한 경우 이러한 구성 요소에 필요한 추가 계정에 프로세스의 메모리 할당량 조정 사용자 권한을 할당해야 합니다. IIS에는 이 사용 권한이 IWAM_<ComputerName>, Network Service 및 Service 계정에 명시적으로 할당되어야 합니다. 그렇지 않으면 이 대책이 대부분의 컴퓨터에 영향을 주지 못하게 됩니다. 사용자 계정에 이 사용자 권한이 필요한 경우 도메인 계정 대신 로컬 컴퓨터 계정에 이 사용자 권한을 할당할 수 있습니다.
로컬로 로그온 허용
이 정책 설정은 사용자가 컴퓨터에서 대화형 세션을 시작할 수 있는지 여부를 결정합니다. 터미널 서비스를 통한 로그온 허용 권한이 있으면 이 권한이 없는 사용자도 컴퓨터에서 원격 대화형 세션을 시작할 수 있습니다.
로컬로 로그온 허용 설정에 사용할 수 있는 값은 다음과 같습니다.
사용자 정의 계정 목록
정의되지 않음
보안 문제
로컬로 로그온 허용 사용자 권한이 있는 계정은 컴퓨터의 콘솔에서 로그온할 수 있습니다. 컴퓨터 콘솔에 로그온해야 하는 적법한 사용자로 이 사용 권한을 제한하지 않으면 권한이 없는 사용자가 자신의 사용 권한 향상을 위해 악의적인 코드를 다운로드하여 실행할 수 있습니다.
대책
도메인 컨트롤러의 경우 로컬 로그온 허용 사용자 권한만 Administrators 그룹에 할당합니다. 다른 서버 역할의 경우 Backup Operators와 Power Users를 추가할 수 있습니다. 최종 사용자 컴퓨터의 경우 이 권한을 Users 그룹에도 할당해야 합니다.
또는 Account Operators, Server Operators 및 Guests 등의 그룹을 로컬 로그온 거부 사용자 권한에 할당할 수 있습니다.
잠재적 영향
이러한 기본 그룹을 제거하면 작업 환경의 특정 관리 역할에 할당된 사용자의 기능이 제한될 수 있습니다. ASP.NET 또는 IIS(Internet Information Services)와 같은 선택적 구성 요소를 설치한 경우 이러한 구성 요소에 필요한 추가 계정에 로컬로 로그온 허용 사용자 권한을 할당해야 합니다. IIS에는 이 사용자 권한을 IUSR_<ComputerName> 계정에 할당해야 합니다. 위임 작업이 부정적인 영향을 받지 않는지 확인해야 합니다.
터미널 서비스를 통한 로그온 허용
이 정책 설정은 사용자가 원격 데스크톱 연결을 통해 컴퓨터에 로그온할 수 있는 지 여부를 결정합니다. 이 사용자 권한을 추가 사용자 또는 그룹에 할당해서는 안 됩니다. 대신에 Remote Desktop Users 그룹에서 사용자를 추가하거나 제거하여 컴퓨터에 대한 원격 데스크톱 연결을 열 수 있는 사용자를 제어하는 것이 가장 좋은 방법입니다.
터미널 서비스를 통한 로그온 허용 설정에 사용할 수 있는 값은 다음과 같습니다.
사용자 정의 계정 목록
정의되지 않음
보안 문제
터미널 서비스를 통한 로그온 허용 사용자 권한이 있는 계정은 컴퓨터의 원격 콘솔에 로그온할 수 있습니다. 컴퓨터 콘솔에 로그온해야 하는 적법한 사용자로 이 사용 권한을 제한하지 않으면 권한이 없는 사용자가 자신의 사용 권한 향상을 위해 악의적인 코드를 다운로드하여 실행할 수 있습니다.
대책
도메인 컨트롤러의 경우 터미널 서비스를 통한 로그온 허용 사용자 권한만 Administrators 그룹에 할당합니다. 다른 서버 역할과 최종 사용자 컴퓨터의 경우 Remote Desktop Users 그룹을 추가합니다. 응용 프로그램 서버 모드로 실행되지 않는 터미널 서버의 경우 컴퓨터를 원격으로 관리해야 하며 권한이 있는 IT 직원만 이 두 그룹 중 하나에 속하는지 확인합니다.
경고: 이 기본 제공 그룹에는 이 로그온 권한이 기본적으로 있으므로 응용 프로그램 서버 모드로 실행되는 터미널 서버의 경우 서버에 대한 액세스 권한이 필요한 사용자만 Remote Desktop Users 그룹에 속하는 계정을 갖고 있는지 확인합니다.
또는 Account Operators, Server Operators, Guests 등의 그룹에 터미널 서비스를 통한 로그온 거부 사용자 권한을 할당할 수 있습니다. 그러나 터미널 서비스를 통한 로그온 거부 사용자 권한이 있는 그룹에 속하게 된 합법적인 관리자의 액세스 권한을 차단할 수도 있으므로 이 방법을 사용할 때는 신중을 기해야 합니다.
잠재적 영향
이러한 기본 그룹의 기타 그룹 또는 구성원 변경 내용에서 터미널 서비스를 통한 로그온 허용 사용자 권한을 제거하면 작업 환경에서 특정 관리 역할을 수행하는 사용자의 능력을 제한할 수 있습니다. 위임 작업이 부정적인 영향을 받지 않는지 확인해야 합니다.
파일 및 디렉터리 백업
이 정책 설정은 사용자가 파일 및 디렉터리 권한을 사용하지 않고 시스템을 백업할 수 있는지 여부를 결정합니다. 이 사용자 권한은 응용 프로그램이 NTBACKUP.EXE 같은 백업 유틸리티인 NTFS 백업 API(응용 프로그래밍 인터페이스)를 사용하여 액세스를 시도할 때만 적용됩니다. 그렇지 않으면 표준 파일 및 디렉터리 사용 권한이 적용됩니다.
파일 및 디렉터리 백업 설정에 사용할 수 있는 값은 다음과 같습니다.
사용자 정의 계정 목록
정의되지 않음
보안 문제
컴퓨터에서 데이터를 백업할 수 있는 사용자는 관리 권한이 있는 도메인에 속하지 않은 컴퓨터로 백업 미디어를 가지고 가서 데이터를 복원할 수 있습니다. 이 사용자는 해당 파일에 대한 소유권을 가지고 해당 백업 세트 내의 모든 암호화되지 않은 데이터를 볼 수 있습니다.
대책
일일 작업의 일부로 조직의 데이터를 백업할 수 있어야 하는 IT 부서의 구성원으로 파일 및 디렉터리 백업 사용자 권한을 제한합니다. 특정 서비스 계정으로 실행되는 백업 소프트웨어를 사용하는 경우 이러한 계정(IT 직원 제외)에는 파일 및 디렉터리 백업 사용자 권한이 있어야 합니다.
잠재적 영향
파일 및 디렉터리 백업 사용자 권한이 있는 그룹의 구성원이 변경되면 작업 환경의 특정 관리 역할에 할당된 사용자의 기능이 제한될 수 있습니다. 권한을 가진 백업 관리자가 백업 작업을 계속해서 수행할 수 있는지 확인해야 합니다.
통과 확인 무시
이 정책 설정은 NTFS 파일 시스템이나 레지스트리에서 개체 경로를 탐색할 때 특수 액세스 권한인 "폴더 통과"를 확인하지 않고 사용자가 폴더를 통과할 수 있는지 여부를 결정합니다. 이 사용자 권한이 있을 경우 폴더 내용을 나열할 수는 없으며 폴더를 통과할 수만 있습니다.
통과 확인 무시 설정에 사용할 수 있는 값은 다음과 같습니다.
사용자 정의 계정 목록
정의되지 않음
보안 문제
통과 확인 무시 설정의 기본 구성을 사용하면 모든 사용자가 통과 확인을 무시하고 이에 따라 경험이 많은 Windows 시스템 관리자가 파일 시스템 ACL(액세스 제어 목록)을 구성할 수 있습니다. 기본 구성이 잘못될 수 있는 유일한 경우는 사용 권한을 구성하는 관리자가 이 정책 설정이 어떻게 작동하는지 모를 때입니다. 예를 들어 관리자는 폴더에 액세스하지 못하는 사용자가 모든 자식 폴더의 내용에 액세스하지 못할 것이라고 생각할 수 있습니다. 이러한 경우는 드물기 때문에 이 취약점으로 인한 위험은 거의 없습니다.
대책
보안에 대해 철저한 주의를 기울이는 조직에서는 통과 확인 무시 사용자 권한을 가진 그룹의 목록에서 Everyone 그룹 또는 Users 그룹까지 제거하기를 원할 수도 있습니다. 통과 할당을 명시적으로 제어하면 중요한 정보에 대한 액세스를 매우 효과적으로 액세스할 수 있습니다. 또한 Windows Server 2003 SP1에 추가된 액세스 기반 열거 (영문) 기능을 사용할 수 있습니다. 액세스 기반 열거를 사용하면 사용자가 액세스할 수 없는 폴더나 파일을 보지 못하게 됩니다. 이 기능에 대한 자세한 내용은 www.microsoft.com/technet/prodtechnol/ windowsserver2003/library/BookofSP1/f04862a9-3e37-4f8c-ba87-917f4fb5b42c.mspx 페이지를 참조하십시오.
잠재적 영향
Windows 운영 체제는 많은 응용 프로그램과 마찬가지로 정당하게 컴퓨터에 액세스할 수 있는 모든 사용자가 이 권한을 가질 것을 예상하여 디자인되었습니다. 따라서 Microsoft에서는 통과 확인 무시 사용자 권한 할당에 대한 변경 내용을 철저히 테스트한 후 실제 시스템을 변경할 것을 권장합니다. 특히 IIS의 경우 이 사용자 권한을 Network Service, Local Service, IIS_WPG, IUSR_<ComputerName> 및 IWAM_<ComputerName> 계정에 할당해야 합니다. 이 사용자 권한은 Users 그룹의 구성원을 통해 ASPNET 계정에도 할당해야 합니다. 이 정책 설정은 기본 구성으로 유지하는 것이 좋습니다.
시스템 시간변경
이 정책 설정은 사용자가 컴퓨터의 내부 시계에서 시간을 조정할 수 있는지 여부를 결정합니다. 표준 시간대나 시스템 시간의 다른 디스플레이 특성을 변경하는 데는 이 사용 권한이 필요하지 않습니다.
시스템 시간 변경 설정에 사용할 수 있는 값은 다음과 같습니다.
사용자 정의 계정 목록
정의되지 않음
보안 문제
컴퓨터의 시간을 변경할 수 있는 사용자는 여러 문제를 초래할 수 있습니다. 예를 들어 이벤트 로그 항목의 타임스탬프가 정확하지 않게 되거나, 만들거나 수정한 파일과 폴더의 타임스탬프가 정확하지 않거나, 도메인에 속하는 컴퓨터에 대해 자신을 인증하거나 도메인에 로그온을 시도하는 사용자를 인증할 수 없는 등의 문제를 초래할 수 있습니다. 또한 Kerberos 인증 프로토콜의 경우 요청자와 인증자가 관리자가 정의한 비대칭 기간 내에 시계를 동기화해야 하므로 컴퓨터 시간을 변경하는 공격자는 컴퓨터가 Kerberos 티켓을 얻거나 부여하지 못하도록 할 수 있습니다.
Windows 시간 서비스에서 다음과 같은 방법으로 도메인 컨트롤러와 시간을 자동으로 동기화하기 때문에 대부분의 도메인 컨트롤러, 구성원 서버 및 최종 사용자 컴퓨터에서 이러한 유형의 이벤트에 대한 위험이 줄어듭니다.
모든 클라이언트 데스크톱 컴퓨터와 구성원 서버가 인증 도메인 컨트롤러를 자신의 인바운드 시간 파트너로 사용합니다.
도메인의 모든 도메인 컨트롤러가 자신의 인바운드 시간 파트너로 PDC(주 도메인 컨트롤러) 에뮬레이터 작업 마스터를 지정합니다.
모든 PDC 에뮬레이터 작업 마스터가 자신의 인바운드 시간 파트너 선택 시 도메인의 계층 구조를 따릅니다.
도메인 루트에 있는 PDC 에뮬레이터 작업 마스터가 조직에 대한 권한을 가집니다. 따라서 이 컴퓨터가 신뢰할 수 있는 외부 시간 서버와 동기화하도록 구성하는 것이 좋습니다.
공격자가 시스템 시간을 변경한 다음 Windows 시간 서비스를 중지하거나 정확하지 않은 시간 서버와 동기화되도록 다시 구성하는 경우 이 보안 문제는 훨씬 더 심각해집니다.
대책
IT 부서의 직원과 같이 시스템 시간 변경 권한이 합법적으로 필요한 사용자에게만 시스템 시간 변경 사용자 권한을 부여합니다.
잠재적 영향
대부분의 조직에서는 도메인에 속하는 모든 컴퓨터에 대한 시간 동기화가 완전 자동화되므로 아무런 영향이 없습니다. 해당 도메인에 속하지 않는 컴퓨터는 외부 원본과 동기화되도록 구성되어야 합니다.
페이지 파일 만들기
이 정책 설정은 사용자가 페이지 파일을 만들거나 크기를 변경할 수 있는지 여부를 결정합니다. 구체적으로 사용자가 시스템 속성 대화 상자의 고급 탭에 있는 성능 옵션 상자에서 특정 드라이브의 페이지 파일 크기를 지정할 수 있는지 여부를 결정합니다.
페이지 파일 만들기 설정에 사용할 수 있는 값은 다음과 같습니다.
사용자 정의 계정 목록
정의되지 않음
보안 문제
페이지 파일 크기를 변경할 수 있는 사용자는 해당 파일 크기를 상당히 작게 만들거나 파일을 조각이 많이 난 저장소 볼륨으로 이동하여 컴퓨터 성능 저하를 초래할 수 있습니다.
대책
Administrators 그룹의 구성원에게만 페이지 파일 만들기 사용자 권한을 부여합니다.
잠재적 영향
없음: 기본 구성입니다.
토큰 개체 만들기
이 정책 설정은 프로세스가 토큰을 만들 수 있는지 여부를 결정합니다. 프로세스는 NtCreateToken() 또는 그 밖의 토큰 만들기 API를 사용할 때 이 토큰을 사용하여 로컬 리소스에 대한 액세스 권한을 얻을 수 있습니다.
페이지 파일 만들기 설정에 사용할 수 있는 값은 다음과 같습니다.
사용자 정의 계정 목록
정의되지 않음
보안 문제
운영 체제는 사용자의 액세스 토큰을 검토하여 사용자 권한의 수준을 결정합니다. 액세스 토큰은 사용자가 로컬 컴퓨터에 로그온하거나 네트워크를 통해 원격 컴퓨터에 연결할 때 작성됩니다. 권한을 취소하는 경우 변경 내용이 즉시 기록되지만 사용자의 액세스 토큰에는 다음에 사용자가 로그온하거나 연결해야만 반영됩니다. 토큰을 만들거나 수정할 수 있는 사용자는 현재 로그온된 계정의 액세스 수준을 변경할 수 있습니다. 또한 자신의 사용 권한을 향상시키거나 DoS 상황을 만들 수 있습니다.
대책
토큰 개체 만들기 사용자 권한은 어떤 사용자에게도 할당하지 마십시오. 이 사용자 권한이 필요한 프로세스는 이 사용자 권한이 할당된 개별 사용자 계정을 사용하는 대신 이 사용자 권한을 이미 가지고 있는 System 계정을 사용해야 합니다.
잠재적 영향
없음: 기본 구성입니다.
전역 개체 만들기
이 정책 설정은 사용자가 모든 세션에서 사용할 수 있는 전역 개체를 만들 수 있는지 여부를 결정합니다. 이 사용자 권한이 없어도 사용자는 자신의 세션에만 해당되는 개체를 계속해서 만들 수 있습니다.
전역 개체 만들기 설정에 사용할 수 있는 값은 다음과 같습니다.
사용자 정의 계정 목록
정의되지 않음
보안 문제
전역 개체를 만들 수 있는 사용자는 다른 사용자의 세션에서 실행되는 프로세스에 영향을 줄 수 있습니다. 이 기능은 응용 프로그램 오류나 데이터 손상과 같은 다양한 문제를 초래할 수 있습니다.
대책
로컬 Administrators 그룹과 Service 그룹의 구성원에만 전역 개체 만들기 사용자 권한을 부여합니다.
잠재적 영향
없음: 기본 구성입니다.
영구 공유 개체 만들기
이 정책 설정은 사용자가 개체 관리자에서 디렉터리 개체를 만들 수 있는지 여부를 결정합니다. 이 기능을 가진 사용자는 장치, 세마포 및 뮤텍스를 포함하여 영구 공유 개체를 만들 수 있습니다. 이 사용자 권한은 개체 네임스페이스를 확장하는 커널 모드 구성 요소에 유용합니다. 이러한 구성 요소에는 기본적으로 이 사용자 권한이 있습니다. 따라서 일반적으로 사용자에게는 이 사용자 권한을 반드시 할당해야 할 필요가 없습니다.
영구 공유 개체 만들기 설정에 사용할 수 있는 값은 다음과 같습니다.
사용자 정의 계정 목록
정의되지 않음
보안 문제
영구 공유 개체 만들기 사용자 권한이 있는 사용자는 새 공유 개체를 만들어 중요한 데이터를 네트워크에 노출시킬 수 있습니다.
대책
영구 공유 개체 만들기 사용자 권한은 어떤 사용자에게도 할당하지 마십시오. 이 사용자 권한이 필요한 프로세스는 개별 사용자 계정을 사용하는 대신 이 사용자 권한을 이미 가지고 있는 System 계정을 사용해야 합니다.
잠재적 영향
없음: 기본 구성입니다.
프로그램 디버그
이 정책 설정은 소유하지 않는 프로세스를 포함하여 모든 프로세스를 열거나 이에 추가할 수 있는지 여부를 결정합니다. 이 사용자 권한은 주요 핵심 운영 체제 구성 요소에 대한 액세스 권한을 제공합니다.
프로그램 디버그 설정에 사용할 수 있는 값은 다음과 같습니다.
사용자 정의 계정 목록
정의되지 않음
보안 문제
프로그램 디버그 사용자 권한을 악용하면 시스템 메모리에서 중요한 컴퓨터 정보를 캡처하거나 커널 또는 응용 프로그램 구조에 액세스하여 수정할 수 있습니다. 일부 공격 도구는 디버그 프로그램 사용자 권한을 사용하여 해시된 암호 및 기타 개인 보안 정보를 추출하거나 루트키트 코드 삽입 내용에 영향을 줄 수 있습니다. 기본적으로 프로그램 디버그 사용자 권한은 관리자에게만 할당되어 이러한 취약점에 대한 위험을 줄입니다.
대책
이 권한이 필요하지 않은 모든 사용자와 그룹으로부터 프로그램 디버그 사용자 권한을 취소합니다.
잠재적 영향
이 사용자 권한을 취소하면 누구도 프로그램을 디버그하지 못하게 됩니다. 하지만 일반적인 환경의 실제 컴퓨터에서는 이 기능은 거의 필요하지 않습니다. 프로덕션 서버에서 일시적으로 응용 프로그램 디버그가 필요한 문제가 발생하면 서버를 다른 OU로 이동하고 프로그램 디버그 사용자 권한을 해당 OU의 개별 그룹 정책에 할당합니다.
클러스터 서비스에 사용되는 서비스 계정에는 프로그램 디버그 권한이 필요하며, 그렇지 않은 경우 Windows 클러스터가 실패합니다. 컴퓨터 강화와 함께 Windows 클러스터를 구성하는 방법은 https://support.microsoft.com/default.aspx?scid=891597의 Microsoft 기술 자료 문서 891597 "How to apply more restrictive security settings on a Windows Server 2003–based cluster server"(Windows Server 2003 기본 클러스터 서버에서 좀 더 제한적인 보안 설정을 적용하는 방법)을 참조하십시오.
프로세스를 관리하는 데 사용되는 유틸리티는 자신을 실행하는 사람이 소유하지 않은 프로세스에 영향을 미칠 수 없습니다. 예를 들어 Windows Server 2003 Resource Kit 도구 Kill.exe에는 관리자가 실행하지 않은 프로세스를 종료하기 위해 이 사용자 권한이 필요합니다.
또한 Windows 제품 업데이트를 설치하는 데 사용되는 Update.exe의 일부 이전 버전에서는 업데이트를 적용하는 계정에 이 사용자 권한이 있어야 합니다. 이 버전의 Update.exe를 사용하는 패치 중 하나를 설치하는 경우 컴퓨터가 응답하지 않게 될 수 있습니다. 자세한 내용은 https://support.microsoft.com/default.aspx?scid=830846의 Microsoft 기술 자료 문서 830846 “Windows 제품 업데이트가 응답하지 않거나 CPU 리소스를 대부분 또는 모두 사용할 수 있다”를 참조하십시오.
네트워크에서 이 컴퓨터 액세스 거부
이 정책 설정은 사용자가 네트워크에서 컴퓨터에 연결할 수 있는지 여부를 결정합니다.
네트워크에서 이 컴퓨터 액세스 거부 설정에 사용할 수 있는 값은 다음과 같습니다.
사용자 정의 계정 목록
정의되지 않음
보안 문제
네트워크를 통해 컴퓨터에 로그온할 수 있는 사용자는 계정 이름, 그룹 이름 및 공유 리소스 목록을 열거할 수 있습니다. 공유 폴더와 파일에 대한 액세스 권한을 가진 사용자는 네트워크를 통해 연결하여 데이터를 보거나 수정할 수 있습니다. 로컬 Guest 계정과 업무상 네트워크를 통해 컴퓨터에 액세스해야 할 필요가 없는 그 밖의 계정 등 위험성이 높은 계정에 대해 이 사용자 권한을 명시적으로 거부하여 추가적인 보호 계층을 제공할 수 있습니다.
대책
네트워크에서 이 컴퓨터 액세스 거부 사용자 권한을 다음 계정에 할당합니다.
익명 로그온
기본 제공 로컬 Administrator 계정
로컬 Guest 계정
기본 제공 Support 계정
모든 서비스 계정
이 목록에 대한 중요한 예외는 네트워크를 통해 컴퓨터에 연결해야 하는 서비스를 시작할 때 사용하는 모든 서비스 계정입니다. 예를 들어 웹 서버용 공유 폴더를 웹 사이트를 통해 해당 폴더 내의 내용을 제공하고 액세스하도록 구성한 경우 네트워크를 통해 공유 폴더가 있는 서버에 로그온하기 위해 IIS가 실행되는 계정을 허용해야 할 수 있습니다. 이 사용자 권한은 규정 준수 문제로 인해 중요한 정보를 처리하는 서버와 워크스테이션을 구성해야 할 때 특히 효과적입니다.
잠재적 영향
다른 그룹에 대해 네트워크에서 이 컴퓨터 액세스 거부 사용자 권한을 구성하면 작업 환경에서 특정 관리 역할에 할당된 사용자의 기능을 제한할 수 있습니다. 위임된 작업에 부정적인 영향을 주지 않도록 해야 합니다.
일괄 작업으로 로그온 거부
이 정책 설정은 작업이 나중에 한 번 이상 자동으로 실행되도록 예약하고 실행하는 데 사용되는 Windows Server 2003의 기능인 일괄 대기열 기능을 통해 사용자 사용자가 로그온할 수 있는지 여부를 결정합니다. 이 사용자 권한은 작업 스케줄러를 통해 예약된 작업을 실행하는 데 사용되는 모든 계정에 필요합니다.
일괄 작업으로 로그온 거부 설정에 사용할 수 있는 값은 다음과 같습니다.
사용자 정의 계정 목록
정의되지 않음
보안 문제
일괄 작업으로 로그온 거부 사용자 권한을 가진 계정을 사용하면 과도한 컴퓨터 리소스를 사용하고 DoS 상황을 초래할 수 있는 작업을 예약할 수 있습니다.
대책
일괄 작업으로 로그온 거부 사용자 권한을 기본 제공 Support 계정과 로컬 Guest 계정에 할당합니다.
잠재적 영향
일괄 작업으로 로그온 거부 사용자 권한을 다른 계정에 할당하면 특정 관리 역할에 할당된 사용자가 필요한 작업을 수행하지 못하도록 거부할 수 있습니다. 위임 작업이 부정적인 영향을 받지 않는지 확인하십시오. 예를 들어 이 사용자 권한을IWAM_<ComputerName> 계정에 할당하면 MSM 관리 지점이 실패합니다. 이 계정은 Windows Server 2003을 실행하는 새로 설치된 컴퓨터에서 Guests 그룹에 속하지 않으나 Windows 2000에서 업그레이드된 컴퓨터에서는 Guests 그룹의 구성원입니다. 따라서 어느 계정이 일괄 작업으로 로그온 거부 사용자 권한을 할당한 그룹에 속하는지 파악하는 것이 중요합니다.
서비스로 로그온 거부
이 정책 설정은 사용자가 서비스로 로그온할 수 있는지 여부를 결정합니다.
서비스로 로그온 거부 설정에 사용할 수 있는 값은 다음과 같습니다.
사용자 정의 계정 목록
정의되지 않음
보안 문제
서비스로 로그온할 수 있는 계정을 사용하면 키로거나 기타 악성 프로그램과 같이 권한이 없는 서비스를 새로 구성하고 시작할 수 있습니다. 관리 권한을 가진 사용자만이 서비스를 설치하고 구성할 수 있으며 해당 수준의 액세스 권한을 이미 획득한 공격자는 System 계정으로 실행되도록 서비스를 구성할 수 있다는 점에서 지정된 대책의 이점은 다소 줄어듭니다.
대책
서비스로 로그온 거부 사용자 권한을 모든 계정에 할당하지 않는 것이 좋습니다. 이것이 기본 구성입니다. 보안에 대해 상당히 철저한 주의를 기울이는 조직에서는 서비스로 로그온할 필요가 절대 없을 것으로 확신하는 그룹과 계정에 이 사용자 권한을 할당하기를 원할 수도 있습니다.
잠재적 영향
서비스로 로그온 거부 사용자 권한을 특정 계정에 할당하면 서비스를 시작할 수 없거나 DoS 상황이 초래될 수 있습니다.
로컬로 로그온 거부
이 정책 설정은 사용자가 컴퓨터 키보드로 직접 로그온할 수 있는지 여부를 결정합니다.
로컬로 로그온 거부 설정에 사용할 수 있는 값은 다음과 같습니다.
사용자 정의 계정 목록
정의되지 않음
보안 문제
로컬로 로그온할 수 있는 계정을 사용하여 컴퓨터의 콘솔에서 로그온할 수 있습니다. 컴퓨터 콘솔에 로그온해야 하는 적법한 사용자로 이 사용자 권한을 제한하지 않으면 권한이 없는 사용자가 자신의 사용 권한 향상을 위해 악의적인 코드를 다운로드하여 실행할 수 있습니다.
대책
로컬로 로그온 거부 사용자 권한을 기본 제공 Support 계정에 할당합니다. ASP.NET과 같은 선택적 구성 요소를 설치한 경우 이러한 구성 요소에 필요한 추가 계정에 이 사용자 권한을 할당할 수 있습니다.
참고: Support_388945a0 계정은 도움말 및 지원 서비스와 서명된 스크립트의 상호 운용성을 가능하게 합니다. 이 계정은 도움말 및 지원 서비스에서 액세스할 수 있는 서명된 스크립트에 대한 액세스 권한을 제어하는 데 주로 사용됩니다. 관리자는 이 계정을 사용하여 관리 액세스 권한이 없는 일반 사용자가 도움말 및 지원 서비스에 포함된 링크로부터 서명된 스크립트를 실행하는 기능을 위임할 수 있습니다. 이러한 스크립트는 로컬 컴퓨터에서 특정 관리 작업을 수행하는 데 사용자의 자격 증명 대신 Support_388945a0 계정 자격 증명을 사용하도록 프로그래밍될 수 있습니다. 그렇지 않으면 일반 사용자 계정으로 이러한 작업이 지원되지 않습니다.
위임된 사용자가 도움말 및 지원 서비스에서 링크를 클릭하면 Support_388945a0 계정의 보안 컨텍스트에서 스크립트가 실행됩니다. 이 계정은 컴퓨터에 대한 액세스가 제한되며 기본적으로 비활성화됩니다.
잠재적 영향
로컬로 로그온 거부 사용자 권한을 추가 계정에 할당하면 해당 환경에서 특정 관리 역할에 할당된 사용자의 기능을 제한할 수 있습니다. 그러나 IIS 6.0을 실행하는 컴퓨터의 ASPNET 계정에는 이 사용자 권한을 할당해야 합니다. 위임된 작업에 부정적인 영향을 주지 않도록 해야 합니다.
터미널 서비스를 통한 로그온 거부
이 정책 설정은 사용자가 원격 데스크톱 연결을 통해 컴퓨터에 로그온할 수 있는 지 여부를 결정합니다.
터미널 서비스를 통한 로그온 거부 설정에 사용할 수 있는 값은 다음과 같습니다.
사용자 정의 계정 목록
정의되지 않음
보안 문제
터미널 서비스를 통해 로그온할 수 있는 권한이 있는 계정을 사용하여 컴퓨터의 원격 콘솔에 로그온할 수 있습니다. 컴퓨터 콘솔에 로그온해야 하는 적법한 사용자로 이 사용자 권한을 제한하지 않으면 권한이 없는 사용자가 자신의 사용 권한 향상을 위해 악의적인 코드를 다운로드하여 실행할 수 있습니다.
대책
터미널 서비스를 통한 로그온 거부 로그온 권한을 기본 제공 로컬 Administrator 계정과 모든 서비스 계정에 할당합니다. ASP.NET과 같은 선택적 구성 요소를 설치한 경우 이러한 구성 요소에 필요한 추가 계정에 이 사용자 권한을 할당할 수 있습니다.
잠재적 영향
터미널 서비스를 통한 로그온 거부 사용자 권한을 다른 계정에 할당하면 해당 환경에서 특정 관리 역할에 할당된 사용자의 기능을 제한할 수 있습니다. 이 사용자 권한이 있는 계정은 터미널 서비스나 원격 지원을 통해 컴퓨터에 연결할 수 없습니다. 위임된 작업에 부정적인 영향을 주지 않도록 해야 합니다.
컴퓨터 및 사용자 계정을 위임용으로 트러스트할 수 있음
이 정책 설정은 사용자가 Active Directory의 사용자 또는 컴퓨터 개체에 대해 위임용으로 트러스트 설정을 변경할 수 있는지 여부를 결정합니다. 이 사용자 권한이 할당된 사용자나 컴퓨터에는 개체의 계정 제어 플래그에 대한 쓰기 권한도 있어야 합니다.
인증의 위임은 다계층 클라이언트/서버 응용 프로그램에서 사용하는 기능입니다. 이 기능을 사용하면 프런트 엔드 서비스가 클라이언트의 자격 증명을 사용하여 백 엔드 서비스를 인증할 수 있습니다. 이 구성이 가능하려면 클라이언트와 서버가 모두 위임용으로 트러스트된 계정에서 실행되어야 합니다.
컴퓨터 및 사용자 계정을 위임용으로 트러스트할 수 있음 설정에 사용할 수 있는 값은 다음과 같습니다.
사용자 정의 계정 목록
정의되지 않음
보안 문제
컴퓨터 및 사용자 계정을 위임용으로 트러스트할 수 있음 사용자 권한을 남용하면 권한이 없는 사용자가 네트워크의 다른 사용자를 가장할 수 있습니다. 공격자는 이 사용 권한으로 네트워크 리소스에 액세스할 수 있으므로 보안 사고 후에 어떤 일이 발생했는지 파악하기 더욱 어려워질 수 있습니다.
대책
컴퓨터 및 사용자 계정을 위임용으로 트러스트할 수 있음 사용자 권한은 이 기능이 반드시 필요한 경우에만 할당해야 합니다. 이 권한을 할당할 때는 제한된 위임의 사용을 검토하여 위임된 계정이 할 수 있는 작업을 제어해야 합니다.
참고: 이 사용자 권한은 도메인에 속하는 구성원 서버와 워크스테이션의 컨텍스트에서는 아무런 의미가 없으므로 그러한 서버와 워크스테이션의 사용자에게는 할당할 필요가 없습니다. 도메인 컨트롤러와 독립 실행형 컴퓨터에만 관련되는 권한입니다.
잠재적 영향
없음: 기본 구성입니다.
원격 시스템에서 강제종료
이 정책 설정은 사용자가 네트워크의 원격 위치에서 컴퓨터를 종료할 수 있는지 여부를 결정합니다.
원격 시스템에서 강제 종료 설정에 사용할 수 있는 값은 다음과 같습니다.
사용자 정의 계정 목록
정의되지 않음
보안 문제
컴퓨터를 종료할 수 있는 사용자는 DoS 상황을 초래할 수 있습니다. 따라서 이 사용자 권한은 엄격히 제한해야 합니다.
대책
Restrict the 원격 시스템에서 강제 종료 사용자 권한은 Administrators 그룹의 구성원이나 비관리 작업 센터 직원과 같이 이 기능이 필요한 다른 특정 할당 역할에만 할당합니다.
잠재적 영향
Server Operator 그룹에서 원격 시스템에서 강제 종료 사용자 권한을 제거하면 작업 환경에서 특정 관리 역할에 할당된 사용자의 기능을 제한할 수 있습니다. 위임 작업이 부정적인 영향을 받지 않는지 확인해야 합니다.
보안 감사 생성
이 정책 설정은 프로세스가 보안 로그에 감사 레코드를 생성할 수 있는지 여부를 결정합니다. 보안 로그의 정보를 사용하여 무단 컴퓨터 액세스를 추적할 수 있습니다.
보안 감사 생성 설정에 사용할 수 있는 값은 다음과 같습니다.
사용자 정의 계정 목록
정의되지 않음
보안 문제
공격자는 보안 로그에 기록할 수 있는 계정을 사용하여 해당 로그를 의미 없는 이벤트로 채울 수 있습니다. 필요할 때 이벤트를 덮어쓰도록 컴퓨터가 구성된 경우 공격자는 이 방법을 사용하여 자신의 무단 작업에 대한 증거를 제거할 수 있습니다. 컴퓨터가 보안 로그에 기록할 수 없고 로그 파일을 자동으로 백업하도록 구성되어 있지 않을 때 종료되도록 구성된 경우에는 이 방법을 사용하여 DoS(서비스 거부) 상황을 만들 수 있습니다.
대책
Service 그룹과 Network Service 계정에만 보안 감사 생성 사용자 권한이 할당되어 있어야 합니다.
잠재적 영향
없음: 기본 구성입니다.
인증 후 클라이언트로 가장
인증 후 클라이언트로 가장 사용자 권한을 사용하면 사용자를 위해 실행되는 프로그램이 해당 사용자나 다른 지정된 계정을 가장하여 해당 사용자를 위해 작동할 수 있습니다. 이러한 유형의 가장에 이 사용자 권한이 필요하도록 하면 권한이 없는 사용자가 클라이언트를 속여 RPC(원격 프로시저 호출) 또는 명명된 파이프를 통해 자신이 만든 서비스에 연결한 다음 해당 클라이언트로 가장함으로써 권한이 없는 사용자의 권한을 관리 또는 시스템 수준으로 높이지 못하게 됩니다.
서비스 제어 관리자에 의해 시작되는 서비스의 액세스 토큰에는 기본 제공 Service 그룹이 기본적으로 추가되어 있습니다. 특정 계정으로 실행되도록 구성되고 COM 인프라에 의해 시작되는 COM 서버의 액세스 토큰에도 Service 그룹이 추가되어 있습니다. 따라서 이러한 프로세스는 시작될 때 이 사용자 권한이 할당됩니다.
또한 다음과 같은 조건이 하나라도 있으면 사용자가 액세스 토큰을 가장할 수도 있습니다.
가장되는 액세스 토큰이 이와 같은 사용자에 해당합니다.
이 로그온 세션에서 사용자가 명시적인 자격 증명으로 네트워크에 로그온하여 액세스 토큰을 만들었습니다.
요청된 수준이 가장보다 낮습니다(예: 익명 또는 확인).
이러한 요인으로 인해 사용자에게는 일반적으로 이 사용자 권한을 할당할 필요가 없습니다.
인증 후 클라이언트로 가장 설정에 사용할 수 있는 값은 다음과 같습니다.
사용자 정의 계정 목록
정의되지 않음
보안 문제
인증 후 클라이언트로 가장 사용자 권한이 있는 공격자는 서비스를 만들고 클라이언트를 속여 서비스에 연결하도록 한 다음 해당 클라이언트로 가장함으로써 자신의 액세스 수준을 해당 클라이언트 수준으로 높일 수 있습니다.
대책
구성원 서버에서 Administrators 그룹과 Service 그룹에만 인증 후 클라이언트로 가장 사용자 권한이 부여되어 있는지 확인합니다. IIS 6.0을 실행하는 컴퓨터에서 Network Service 계정에 이 사용자 권한을 부여하는 IIS_WPG 그룹에는 이 사용자 권한이 설정되어 있어야 합니다.
잠재적 영향
대부분의 경우 이 구성은 아무런 영향을 주지 않습니다. ASP.NET 또는 IIS와 같은 선택적 구성 요소를 설치한 경우 IUSR_<ComputerName>, IIS_WPG, ASP.NET 또는 IWAM_<ComputerName>과 같은 구성 요소에 필요한 추가 계정에 인증 후 클라이언트로 가장 사용자 권한을 할당해야 합니다.
스케쥴링 우선 순위증가
이 정책 설정은 사용자가 프로세스의 기본 우선 순위 클래스를 높일 수 있는지 여부를 결정합니다. 우선 순위 클래스 내에서 상대적 우선 순위를 높이는 것은 권한 작업이 아닙니다. 운영 체제와 함께 제공된 관리 도구를 사용하기 위해서는 이 사용자 권한이 필요하지 않지만 소프트웨어 개발 도구를 사용할 때는 필요할 수 있습니다.
스케줄링 우선 순위 증가 설정에 사용할 수 있는 값은 다음과 같습니다.
사용자 정의 계정 목록
정의되지 않음
보안 문제
이 사용자 권한이 할당된 사용자는 프로세스의 스케줄링 우선 순위를 실시간으로 높이므로 다른 모든 프로세스의 처리 시간을 거의 없애 DoS 상황을 발생시킬 수 있습니다.
대책
Administrators에만 스케줄링 우선 순위 증가 사용자 권한이 할당되어 있어야 합니다.
잠재적 영향
없음: 기본 구성입니다.
장치 드라이버 로드 및 언로드
이 정책 설정은 사용자가 장치 드라이버를 동적으로 로드 및 언로드할 수 있는지 여부를 결정합니다. 컴퓨터의 Driver.cab 파일에 새 하드웨어에 대한 서명된 드라이버가 이미 있는 경우에는 이 사용자 권한이 필요하지 않습니다.
장치 드라이버 로드 및 언로드 설정에 사용할 수 있는 값은 다음과 같습니다.
사용자 정의 계정 목록
정의되지 않음
보안 문제
장치 드라이버는 높은 수준의 권한이 있는 코드로 실행됩니다. 장치 드라이버 로드 및 언로드 사용자 권한을 가진 사용자는 장치 드라이버를 가장하는 악의적인 코드를 실수로 설치할 수 있습니다. 따라서 관리자는 좀 더 주의를 기울이고 디지털 서명이 있는 드라이버만 설치해야 합니다.
참고: 로컬 프린터를 위한 새 드라이버를 설치하거나 로컬 프린터를 관리하고 양면 인쇄와 같은 옵션의 기본값을 설정하려면 이 사용자 권한이 있어야 하며 Administrators 또는 Power Users 그룹의 구성원이어야 합니다. 이렇게 Administrators 또는 Power Users 그룹의 구성원이어야 하는 동시에 이 사용자 권한이 있어야 하는 것은 Windows XP와 Windows Server 2003의 새로운 특징입니다.
대책
구성원 서버에서 장치 드라이버 로드 및 언로드 사용자 권한을 Administrators 그룹 외의 다른 어떤 그룹이나 사용자에게도 할당하지 마십시오. 도메인 컨트롤러에서 이 사용자 권한을 Domain Admins 외의 다른 어떤 그룹이나 사용자에게도 할당하지 마십시오.
잠재적 영향
Print Operators 그룹이나 다른 계정에서 장치 드라이버 로드 및 언로드 사용자 권한을 제거하면 작업 환경에서 특정 관리 역할에 할당된 사용자의 능력을 제한할 수 있습니다. 위임된 작업에 부정적인 영향을 주지 않도록 해야 합니다.
메모리의 페이지 잠그기
이 정책 설정은 프로세스에서 데이터를 실제 메모리에 보관할 수 있는지 여부를 결정합니다. 이렇게 하면 컴퓨터에서는 데이터를 디스크의 가상 메모리로 페이징할 수 없게 됩니다. 이 사용자 권한을 할당하면 컴퓨터 성능이 크게 저하될 수 있습니다.
메모리의 페이지 잠금 설정에 사용할 수 있는 값은 다음과 같습니다.
사용자 정의 계정 목록
정의되지 않음
보안 문제
메모리의 페이지 잠금 사용자 권한이 있는 사용자는 몇 개의 프로세스에 실제 메모리를 할당함으로써 다른 프로세스를 위한 RAM을 거의 또는 전혀 남겨두지 않아 DoS 상황을 유발할 수 있습니다.
대책
메모리의 페이지 잠금 사용자 권한은 어떤 계정에도 할당하지 마십시오.
잠재적 영향
없음: 기본 구성입니다.
일괄 작업으로 로그온
이 정책 설정은 사용자가 작업 스케줄러 서비스와 같은 일괄 대기열 기능을 통해 로그온할 수 있는 지 여부를 결정합니다. 관리자가 예약 작업 추가 마법사를 사용하여 특정 사용자 이름과 암호로 실행되도록 작업을 예약하면 해당 사용자에게 일괄 작업으로 로그온 사용자 권한이 자동으로 할당됩니다. 예약된 시간이 되면 작업 스케줄러 서비스에서 사용자가 대화형 사용자 대신 일괄 작업으로 로그온되고 해당 사용자의 보안 컨텍스트에서 작업이 실행됩니다.
일괄 작업으로 로그온 설정에 사용할 수 있는 값은 다음과 같습니다.
사용자 정의 계정 목록
정의되지 않음
보안 문제
일괄 작업으로 로그온 사용자 권한의 취약점은 위험 수준이 낮습니다. 대부분의 조직에서 기본 설정이면 충분합니다.
대책
특정 사용자 계정에 대해 작업 실행을 예약할 수 있도록 하려면 컴퓨터에서 이 로그온 권한을 자동 관리하는 것을 허용해야 합니다. 작업 스케줄러를 이런 방식으로 사용하지 않으려면 Local Service 계정과 로컬 Support 계정(Support_388945a0)에 대해서만 일괄 작업으로 로그온 사용자 권한을 구성합니다. IIS 서버에 대해서는 로컬 IUSR_<ComputerName> 계정과 IWAM_<ComputerName> 계정에 이 로그온 권한이 있는 것을 확인할 수 있도록 도메인 기반 그룹 정책을 통하는 대신 로컬로 이 정책을 구성해야 합니다.
잠재적 영향
도메인 기반 그룹 정책을 통해 일괄 작업으로 로그온 설정을 구성하면 컴퓨터에서 작업 스케줄러의 예약된 작업에 사용되는 계정에 이 사용자 권한을 할당할 수 없습니다. ASP.NET 또는 IIS와 같은 선택적 구성 요소를 설치하면 이러한 구성 요소에 필요한 추가 계정에 이 사용자 권한을 할당해야 할 수 있습니다. 예를 들어 IIS의 경우 이 사용자 권한을 IIS_WPG 그룹과 IUSR_<ComputerName>,ASPNET 및 IWAM_<ComputerName> 계정에 할당해야 합니다. 이 그룹과 이러한 그룹에 이 사용자 권한이 할당되지 않으면 IIS가 제대로 기능하는 데 필요한 일부 COM 개체를 실행할 수 없습니다.
서비스로 로그온
이 정책 설정은 보안 주체 서비스로 로그온할 수 있는지 여부를 결정합니다. 서비스로 로그온할 수 있는 기본 제공 권한을 가지고 있는 Local System, Local Service 또는 Network Service 계정에서 실행되도록 서비스를 구성할 수 있습니다. 별도의 사용자 계정으로 실행되는 모든 서비스에 이 사용자 권한이 할당되어야 합니다.
서비스로 로그온 설정에 사용할 수 있는 값은 다음과 같습니다.
사용자 정의 계정 목록
정의되지 않음
보안 문제
서비스로 로그온은 강력한 사용 권한으로서 콘솔에 아무도 로그온하지 않았을 때에도 계정이 네트워크 서비스나 컴퓨터에서 지속적으로 실행되는 서비스를 실행할 수 있도록 합니다. 관리 권한이 있는 사용자만이 서비스를 설치하고 구성할 수 있기 때문에 위험 수준은 낮아집니다. 해당 수준의 액세스 권한을 이미 획득한 공격자는 Local System 계정을 사용하여 서비스를 실행하도록 구성할 수 있습니다.
대책
서비스로 로그온 사용자 권한이 있는 기본 보안 사용자는 Local System, Local Service 및 Network Service로 제한되며, 이들 모두 기본 제공 로컬 계정입니다. 이 사용자 권한이 있는 다른 계정의 수는 최소화해야 합니다.
잠재적 영향
대부분의 컴퓨터에서 이것은 기본 구성이며 부정적인 영향은 없습니다. 그러나 ASP.NET 또는 IIS와 같은 선택적 구성 요소를 설치한 경우 이러한 구성 요소에 필요한 추가 계정에 서비스로 로그온 사용자 권한을 할당해야 합니다. IIS에서는 이 사용자 권한을 ASPNET 사용자 계정에 명시적으로 부여해야 합니다.
감사 및 보안 로그관리
이 정책 설정은 사용자가 파일, Active Directory 개체, 레지스트리 키 등의 개별 리소스에 대해 개체 액세스 감사 옵션을 지정할 수 있는지 여부를 결정합니다. 보안 설정, 로컬 정책에 있는 감사 정책을 통해 활성화하지 않으면 개체 액세스 감사가 수행되지 않습니다. 이 사용자 권한이 할당된 사용자는 이벤트 뷰어에서 보안 이벤트 로그를 보고 지울 수도 있습니다.
감사 및 보안 로그 관리 설정에 사용할 수 있는 값은 다음과 같습니다.
사용자 정의 계정 목록
정의되지 않음
보안 문제
보안 이벤트 로그를 관리할 수 있는 기능은 강력한 사용자 권한이므로 주의해서 보호해야 합니다. 이 사용자 권한이 있는 사용자는 보안 로그를 지워서 무단 작업의 중요한 증거를 지울 수 있습니다.
대책
로컬 Administrators 그룹에만 감사 및 보안 로그 관리 사용자 권한을 부여해야 합니다.
잠재적 영향
없음: 기본 구성입니다.
펌웨어 환경 값 수정
이 정책 설정은 프로세스가 API를 통해 또는 사용자가 시스템 속성을 통해 시스템 환경 변수를 수정할 수 있는지 여부를 결정합니다.
펌웨어 환경 값 수정 설정에 사용할 수 있는 값은 다음과 같습니다.
사용자 정의 계정 목록
정의되지 않음
보안 문제
펌웨어 환경 값 수정 사용자 권한이 할당된 사용자는 하드웨어 구성 요소에 문제가 발생하도록 구성 요소 속성을 구성할 수 있습니다. 이 경우 데이터가 손상되거나 DoS 상황이 발생할 수 있습니다.
대책
로컬 Administrators 그룹에만 펌웨어 환경 값 수정 사용자 권한을 할당해야 합니다.
잠재적 영향
없음: 기본 구성입니다.
볼륨 관리 작업을 수행
이 정책 설정은 관리자가 아닌 사용자나 원격 사용자가 기존 볼륨 조각 모음, 볼륨 만들기/제거, 디스크 정리 등의 볼륨 또는 디스크 관리 작업을 수행할 수 있는지 여부를 결정합니다. Windows Server 2003에서는 사용자의 보안 컨텍스트에서 실행되는 프로세스가 SetFileValidData()를 호출하는 경우 사용자의 액세스 토큰에서 이 사용자 권한을 검사합니다.
볼륨 관리 작업을 수행 설정에 사용할 수 있는 값은 다음과 같습니다.
사용자 정의 계정 목록
정의되지 않음
보안 문제
볼륨 관리 작업을 수행 사용자 권한이 할당된 사용자는 볼륨을 삭제하여 데이터 손실이나 DoS 상황을 초래할 수 있습니다.
대책
로컬 Administrators 그룹에만 볼륨 관리 작업을 수행 사용자 권한을 할당해야 합니다.
잠재적 영향
없음: 기본 구성입니다.
단일 프로세스 프로파일
이 정책 설정은 사용자가 응용 프로그램 프로세스의 성능을 선택할 수 있는지 여부를 결정합니다. 일반적으로 MMC(Microsoft Management Console) 성능 스냅인을 사용하기 위해서는 이 사용자 권한이 필요하지 않습니다. 그러나 시스템 모니터가 WMI(Windows Management Instrumentation)를 통해 데이터를 수집하도록 구성되면 이 사용자 권한이 필요합니다.
단일 프로세스 프로필 설정에 사용할 수 있는 값은 다음과 같습니다.
사용자 정의 계정 목록
정의되지 않음
보안 문제
단일 프로세스 프로필 사용자 권한의 취약점은 그리 심각하지 않습니다. 공격자가 이 사용자 권한을 얻게 되면 컴퓨터의 성능을 모니터링하여 직접 공격하려는 중요한 프로세스를 확인할 수 있습니다. 또한 공격자는 시스템에서 실행되는 프로세스를 확인하여 바이러스 백신 소프트웨어 또는 침입 감지 시스템 등 회피해야 할 보안 대책이나 컴퓨터에 로그온되어 있는 다른 사용자를 확인할 수 있습니다.
대책
로컬 Administrators 그룹에만 단일 프로세스 프로필 사용자 권한을 할당해야 합니다.
잠재적 영향
Power Users 그룹이나 다른 계정에서 단일 프로세스 프로필 사용자 권한을 제거하면 작업 환경에서 특정 관리 역할에 할당된 사용자의 능력을 제한할 수 있습니다. 위임된 작업에 부정적인 영향을 주지 않도록 해야 합니다.
시스템 성능프로필
이 정책 설정은 사용자가 컴퓨터 시스템 프로세스의 성능을 선택할 수 있는지 여부를 결정합니다. WMI를 통해 데이터를 수집하도록 구성된 경우에만 이 권한이 MMC 성능 스냅인에 필요합니다. 일반적으로 성능 스냅인을 사용하기 위해서는 이 사용자 권한이 필요하지 않습니다. 그러나 시스템 모니터가 WMI를 통해 데이터를 수집하도록 구성되면 이 사용자 권한이 필요합니다.
시스템 성능 프로필 설정에 사용할 수 있는 값은 다음과 같습니다.
사용자 정의 계정 목록
정의되지 않음
보안 문제
시스템 성능 프로필 사용자 권한의 취약점은 그리 심각하지 않습니다. 공격자가 이 사용자 권한을 얻게 되면 컴퓨터의 성능을 모니터링하여 직접 공격하려는 중요한 프로세스를 확인할 수 있습니다. 또한 공격자는 컴퓨터에 활성화되어 있는 프로세스를 확인하여 바이러스 백신 소프트웨어 또는 침입 감지 시스템 등 회피해야 할 보안 대책을 확인할 수 있습니다.
대책
로컬 Administrators 그룹에만 시스템 성능 프로필 사용자 권한을 할당해야 합니다.
잠재적 영향
없음: 기본 구성입니다.
컴퓨터를 도킹 스테이션에서 제거
이 정책 설정은 휴대용 컴퓨터 사용자가 시작 메뉴의 컴퓨터 도킹 해제를 클릭하여 컴퓨터를 도킹 해제할 수 있는지 여부를 결정합니다.
컴퓨터를 도킹 스테이션에서 제거 설정에 사용할 수 있는 값은 다음과 같습니다.
사용자 정의 계정 목록
정의되지 않음
보안 문제
컴퓨터를 도킹 스테이션에서 제거 사용자 권한이 있는 사용자는 휴대용 컴퓨터를 도킹 스테이션에서 제거할 수 있습니다. 다음 요인으로 인해 이 대책의 효과가 줄어듭니다.
공격자가 컴퓨터를 다시 시작할 수 있으면 BIOS가 시작한 후 운영 체제가 실행되기 전에 컴퓨터를 도킹 스테이션에서 제거할 수 있습니다.
일반적으로 서버는 도킹 스테이션에 설치되지 않으므로 이 설정은 서버에 영향을 미치지 않습니다.
공격자가 컴퓨터와 도킹 스테이션을 모두 훔칠 수 있습니다.
대책
로컬 Administrators 그룹과 Power Users 그룹에만 컴퓨터를 도킹 스테이션에서 제거 사용자 권한을 할당해야 합니다.
잠재적 영향
이 구성은 기본 설정이므로 영향을 거의 미치지 않습니다. 하지만 조직의 사용자가 Power Users 또는 Administrators 그룹의 구성원이 아니면 컴퓨터를 먼저 종료하지 않은 채로 자신의 휴대용 컴퓨터를 도킹 스테이션에서 제거할 수 없습니다. 따라서 컴퓨터를 도킹 스테이션에서 제거 권한을 휴대용 컴퓨터에 대한 로컬 Users 그룹에 할당하는 것이 좋을 수도 있습니다.
프로세스 레벨 토큰 바꾸기
이 정책 설정은 상위 프로세스에서 하위 프로세스와 관련된 액세스 토큰을 대체할 수 있는지 여부를 결정합니다.
프로세스 수준 토큰 대체 설정에 사용할 수 있는 값은 다음과 같습니다.
사용자 정의 계정 목록
정의되지 않음
보안 문제
프로세스 수준 토큰 대체 권한이 있는 사용자는 다른 사용자로서 프로세스를 실행할 수 있습니다. 사용자는 이러한 방법을 통해 컴퓨터상의 무단 행위를 숨길 수 있습니다. Windows 2000 컴퓨터에서 프로세스 수준 토큰 대체 사용자 권한을 사용하려면 사용자에게 이 장의 앞부분에서 논의된 프로세스 별 메모리 할당량 조정 사용자 권한이 있어야 합니다.
대책
구성원 서버의 경우 Local Service 계정과 Network Service 계정에만 프로세스 수준 토큰 대체 사용자 권한을 부여해야 합니다.
잠재적 영향
대부분의 컴퓨터에서 이것은 기본 구성이며 부정적인 영향은 없습니다. 그러나 ASP.NET 또는 IIS와 같은 선택적 구성 요소를 설치한 경우 추가 계정에 프로세스 별 메모리 할당량 조정 사용자 권한을 할당해야 할 수 있습니다. 예를 들어 IIS에서는 Service, Network Service, and IWAM_<ComputerName> 계정에 이 사용자 권한을 명시적으로 부여해야 합니다.
파일 및 디렉터리 복원
이 정책 설정은 사용자가 백업 파일과 디렉터리를 복원할 때 파일 및 디렉터리 권한을 사용하지 않아도 되는지 여부와 유효한 보안 사용자를 개체 소유자로 설정할 수 있는지 여부를 결정합니다.
파일 및 디렉터리 복원 설정에 사용할 수 있는 값은 다음과 같습니다.
사용자 정의 계정 목록
정의되지 않음
보안 문제
파일 및 디렉터리 복원 사용자 권한이 있는 공격자는 중요한 데이터를 컴퓨터로 복원하거나 최근 데이터를 덮어써서 중요한 데이터의 손실, 데이터 손상 또는 DoS를 초래할 수 있습니다. 공격자는 적법한 관리자나 시스템 서비스가 사용하는 실행 파일을 악성 코드가 포함된 버전으로 덮어써서 높은 사용 권한을 부여 받거나 데이터를 손상시키거나 백도어를 설치하여 컴퓨터에 계속 액세스할 수 있습니다.
참고: 이 대책이 구성되더라도 공격자는 자신이 제어하는 도메인의 컴퓨터에 계속해서 데이터를 복원할 수 있습니다. 따라서 조직은 데이터 백업에 사용되는 미디어를 주의 깊게 보호하는 것이 중요합니다.
대책
조직에서 백업 및 복원 담당자에 대한 역할이 명확히 정의되어 있지 않는 한 Administrators 그룹에만 파일 및 디렉터리 복원 사용자 권한을 할당해야 합니다.
잠재적 영향
파일 및 디렉터리 복원 사용자 권한을 Backup Operators 그룹과 다른 계정에서 제거하면 특정 작업을 위임 받은 사용자가 해당 작업을 수행하는 것이 불가능해질 수 있습니다. 이 변경으로 인해 조직의 담당자가 자신의 작업을 수행하는 데 부정적인 영향이 미치지 않는지 확인하십시오.
시스템종료
이 정책 설정은 사용자가 로컬 컴퓨터를 종료할 수 있는지 여부를 지정합니다.
시스템 종료 설정에 사용할 수 있는 값은 다음과 같습니다.
사용자 정의 계정 목록
정의되지 않음
보안 문제
도메인 컨트롤러를 종료할 수 있는 권한은 신뢰할 수 있는 극소수의 관리자에게만 부여해야 합니다. 시스템 종료 사용자 권한을 사용하려면 서버에 로그온할 수 있어야 하지만 도메인 컨트롤러를 종료할 수 있는 권한을 부여할 계정과 그룹을 결정할 때는 매우 신중해야 합니다.
도메인 컨트롤러가 종료되면 더 이상 이를 사용하여 로그온을 처리하고 그룹 정책을 제공하고 LDAP(Lightweight Directory Access Protocol) 쿼리에 답변할 수 없습니다. FSMO(신축 단일 마스터 작업) 역할을 소유하는 도메인 컨트롤러를 종료하면 PDC(주 도메인 컨트롤러) 에뮬레이터 역할인 새 암호에 대한 로그온 처리와 같은 주요 도메인 기능을 비활성화할 수 있게 됩니다.
대책
구성원 서버에 대해서는 Administrators와 Backup Operators에만 시스템 종료 권한을 부여하고 도메인 컨트롤러에 대해서는 Administrators에만 이 권한을 부여해야 합니다.
잠재적 영향
시스템 종료 사용자 권한에서 이러한 기본 그룹을 제거하면 작업 환경에서 할당된 역할의 위임된 기능을 제한할 수 있습니다. 위임 작업이 부정적인 영향을 받지 않는지 확인해야 합니다.
디렉터리 서비스데이터동기화
이 정책 설정은 프로세스에서 개체 및 속성의 보호 설정에 관계없이 디렉터리의 모든 개체 및 속성을 읽을 수 있는지 여부를 결정합니다. LDAP Dirsync(디렉터리 동기화) 서비스를 사용하려면 이 사용 권한이 필요합니다.
디렉터리 서비스 데이터 동기화 설정에 사용할 수 있는 값은 다음과 같습니다.
사용자 정의 계정 목록
정의되지 않음
보안 문제
디렉터리 서비스 데이터 동기화 사용자 권한은 도메인 컨트롤러에 영향을 미칩니다. 도메인 컨트롤러만 디렉터리 서비스 데이터를 동기화할 수 있어야 합니다. 도메인 컨트롤러의 System 계정 컨텍스트에서 동기화 프로세스가 실행되므로 도메인 컨트롤러에는 이 사용자 권한이 기본적으로 있습니다. 이 사용자 권한을 가진 공격자는 디렉터리 안에 저장된 모든 정보를 볼 수 있습니다. 그리고 해당 정보 중 일부를 사용하여 추가 공격을 용이하게 하거나 직통 전화 번호나 실제 주소 같은 중요한 데이터를 노출시킬 수 있습니다.
대책
어떤 계정에도 디렉터리 서비스 데이터 동기화 사용자 권한이 없도록 합니다.
잠재적 영향
없음: 기본 구성입니다.
파일 또는 다른 개체의 소유권 가져오기
이 정책 설정은 사용자가 Active Directory 개체, NTFS(NTFS 파일 시스템) 파일 및 폴더, 프린터, 레지스트리 키, 서비스, 프로세스, 스레드를 비롯하여 컴퓨터에 있는 보안 가능한 모든 개체의 소유권을 가져올 수 있는지 여부를 결정합니다.
전역 개체 만들기 설정에 사용할 수 있는 값은 다음과 같습니다.
사용자 정의 계정 목록
정의되지 않음
보안 문제
파일 또는 다른 개체의 소유권 가져오기 사용자 권한을 가진 사용자는 개체에 대한 사용 권한에 관계 없이 해당 개체를 제어하고 원하는 대로 변경할 수 있습니다. 이러한 변경으로 인해 데이터 노출, 데이터 손상 또는 DoS 상황이 발생할 수 있습니다.
대책
로컬 Administrators 그룹에만 파일 또는 다른 개체의 소유권 가져오기 사용자 권한을 부여해야 합니다.
잠재적 영향
없음: 기본 구성입니다.
추가 정보
다음 링크는 보안 및 Windows Server 2003 및 Windows XP의 사용자 권한 할당에 대한 자세한 내용을 제공합니다.
SCE로 사용자 권한을 할당하는 데 대한 다양한 정보는 Windows Server 2003의 보안 구성 편집기 온라인 도움말에서 www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ serverhelp/71b2772f-e3c0-4134-b7f0-54c244ee9aef.mspx의 "User Rights Assignment (영문)"(사용자 권한 할당) 섹션을 참조하십시오.
Windows XP 컴퓨터에서의 로컬 사용자 권한 할당에 대한 자세한 내용은 www.microsoft.com/resources/documentation/windows/xp/all/proddocs/ en-us/lpe_assign_user_right.mspx의 도움말 항목 "To assign user rights for your local computer (영문)"(로컬 컴퓨터에 사용자 권한 할당)에 나와 있습니다.
Windows XP에서의 사용자 권한 할당에 대한 자세한 내용은 www.microsoft.com/resources/documentation/windows/xp/all/proddocs/ en-us/uratopnode.mspx의 Windows XP Professional 온라인 설명서 "User Rights Assignment (영문)"(사용자 권한 할당) 섹션에 나와 있습니다.
보안 구성 편집기 사용자 인터페이스를 사용자 지정하는 방법에 대한 자세한 내용은 https://support.microsoft.com/?scid=214752의 Microsoft 기술 자료 문서 "사용자 지정 레지스트리 설정을 보안 구성 편집기에 추가하는 방법"을 참조하십시오.
Windows에서 사용자 지정 관리 템플릿 파일을 만드는 방법에 대한 자세한 내용은 https://support.microsoft.com/?scid=323639의 Microsoft 기술 자료 문서 "How to: Create Custom Administrative Templates in Windows 2000"(How to: Windows 2000에서 사용자 지정 관리 템플릿 만들기)을 참조하십시오.
다운로드
업데이트 알림
사용자 의견