위협 및 대책
5장: 보안 옵션
업데이트 날짜: 2005년 12월 27일
그룹 정책의 보안 옵션 섹션은 데이터의 디지털 서명, Administrator 및 Guest 계정 이름, 플로피 디스크 드라이브 및 CD-ROM 드라이브 액세스, 드라이버 설치 동작, 로그온 프롬프트 등의 컴퓨터 보안 설정을 사용하거나 사용할 수 없도록 설정하는 데 사용됩니다. 이 설명서의 다운로드 버전에 포함된 Microsoft Excel 통합 문서 "Windows 기본 보안 및 서비스 구성"에서 기본 설정을 확인할 수 있습니다.
이 페이지에서
보안 옵션 설정
그룹 정책 개체 편집기의 다음 위치에서 보안 옵션 설정을 구성할 수 있습니다.
컴퓨터 구성\Windows 설정\보안 설정\ 로컬 정책\보안 옵션
계정: Administrator 계정 상태
이 정책 설정은 정상 작동 상태에서 Administrator 계정을 사용하거나 사용할 수 없도록 설정하는 데 사용됩니다. 컴퓨터를 안전 모드에서 시작하면 이 정책 설정을 어떻게 구성하든 관계없이 Administrator 계정은 항상 사용하도록 설정됩니다.
계정: Administrator 계정 상태 설정에 사용할 수 있는 값은 다음과 같습니다.
사용
사용 안 함
정의되지 않음
보안 문제
일부 조직의 경우에는 로컬 계정의 암호를 주기적으로 변경하는 일정을 지정하는 경우 관리 작업의 부담이 가중될 수 있습니다. 그러므로 기본 제공 Administrator 계정을 공격으로부터 보호하기 위해 정기적으로 암호를 변경하는 대신 해당 계정을 사용할 수 없도록 지정할 수 있습니다. 이 기본 제공 계정을 사용할 수 없도록 설정하는 또 다른 이유는, 이 계정은 로그온 실패 횟수에 관계 없이 잠글 수 없으므로 암호를 추측하려는 무단 공격을 받을 가능성이 높기 때문입니다. 또한 이 계정의 SID(보안 식별자)는 잘 알려져 있으며 계정 이름 대신 SID를 사용하여 인증할 수 있도록 하는 여러 타사 도구가 있습니다. 따라서 Administrator 계정의 이름을 바꾸더라도 공격자가 SID를 사용해 로그온하여 무단 공격을 실행할 수 있습니다.
대책
계정: Administrator 계정 상태 설정을 사용 안 함으로 구성하여 기본 제공 Administrator 계정을 정상적인 시스템 시작 모드에서 더 이상 사용할 수 없도록 만듭니다.
잠재적 영향
Administrator 계정을 사용할 수 없도록 설정하면 특정 상황에서 유지 관리 문제가 발생할 수 있습니다. 예를 들어 도메인 환경에서 구성원 컴퓨터 및 도메인 컨트롤러 간의 보안 채널에 오류가 발생하는 경우 다른 로컬 Administrator 계정이 없으면 안전 모드에서 컴퓨터를 다시 시작하여 보안 채널 오류의 원인이 되는 문제를 해결해야 합니다.
현재 사용하는 Administrator 암호가 암호 요구 사항에 맞지 않는 경우 Administrator 계정을 사용할 수 없도록 설정하면 나중에 해당 계정을 다시 사용할 수 없습니다. 이 경우 Administrators 그룹의 다른 구성원이 로컬 사용자 및 그룹 도구를 사용하여 Administrator 계정의 암호를 설정해야 합니다.
계정: Guest 계정 상태
이 정책 설정은 Guest 계정의 사용 가능 여부를 결정합니다.
계정: Guest 계정 상태 설정에 사용할 수 있는 값은 다음과 같습니다.
사용
사용 안 함
정의되지 않음
보안 문제
기본 Guest 계정을 사용하면 권한이 없는 네트워크 사용자가 암호 없이도 Guest로 로그온할 수 있습니다. 그러면 권한이 없는 사용자는 네트워크에서 Guest 계정으로 액세스할 수 있는 모든 리소스에 액세스할 수 있습니다. 즉, 네트워크에서 Guest 계정, Guests 그룹 또는 Everyone 그룹 권한으로 액세스할 수 있는 모든 네트워크 공유에 액세스할 수 있게 되므로 데이터가 위험에 노출되거나 손상될 수 있습니다.
대책
계정: Guest 계정 상태 설정을 사용 안 함으로 구성하여 기본 제공 Guest 계정을 더 이상 사용할 수 없도록 만듭니다.
잠재적 영향
모든 네트워크 사용자는 공유 리소스에 액세스하려면 인증을 받아야 합니다. Guest 계정을 사용할 수 없도록 설정하고 네트워크 액세스: 공유 및 보안 모델 옵션을 게스트 전용으로 설정하는 경우 Microsoft 네트워크 서버(SMB 서비스)에서 수행하는 작업과 같은 네트워크 로그온이 실패합니다. 이 정책 설정은 Microsoft Windows 2000, Windows XP 및 Windows Server 2003의 기본 설정으로 대부분의 조직에서 미치는 영향은 거의 없습니다.
계정: 콘솔 로그온 시 로컬 계정에서 빈 암호 사용 제한
이 정책 설정은 빈 암호를 사용하는 로컬 계정에 터미널 서비스, Telnet 및 FTP(File Transfer Protocol)와 같은 네트워크 서비스의 원격 대화형 로그온을 허용할지 여부를 지정합니다. 이 정책 설정을 사용하는 경우 원격 클라이언트에서 대화형 또는 네트워크 로그온을 하는 데 사용하려는 로컬 계정에는 암호가 있어야 하며 이 암호는 비어 있지 않아야 합니다.
계정: 콘솔 로그온 시 로컬 계정에서 빈 암호 사용 제한 설정에 사용할 수 있는 값은 다음과 같습니다.
사용
사용 안 함
정의되지 않음
참고: 이 정책 설정은 콘솔에서 실제로 수행하는 대화형 로그온이나 도메인 계정을 사용하는 로그온에는 영향을 주지 않습니다.
주의: 원격 대화형 로그온을 사용하는 타사 응용 프로그램의 경우 이 정책 설정을 무시할 수 있습니다.
보안 문제
빈 암호를 사용하는 경우 컴퓨터 보안에 심각한 문제가 발생할 수 있으므로 기업 정책과 적절한 기술적 조치를 통해 사용하지 못하도록 금지해야 합니다. 실제로 Windows Server 2003 Active Directory 디렉터리 서비스 도메인의 기본 설정에서는 7자 이상의 복잡한 암호를 사용해야 합니다. 그러나 새 계정을 만들 수 있는 권한이 있는 사용자가 도메인 기반 암호 정책을 무시하는 경우 빈 암호를 사용하는 계정을 만들 수 있습니다. 예를 들어 사용자는 독립 실행형 컴퓨터를 구축하고 빈 암호를 사용하는 계정을 하나 이상 만든 다음 해당 컴퓨터를 도메인에 가입시킬 수 있습니다. 이 경우 빈 암호를 사용하는 로컬 계정은 계속 작동합니다. 그러므로 이와 같이 보호되지 않은 계정의 이름만 알면 누구나 해당 계정을 사용하여 로그온할 수 있게 됩니다.
대책
계정: 콘솔 로그온 시 로컬 계정에서 빈 암호 사용 제한 설정을 사용합니다.
잠재적 영향
없음: 기본 구성입니다.
계정: Administrator 계정 이름 바꾸기
이 정책 설정은 다른 계정 이름을 Administrator 계정의 SID에 연결할지 여부를 결정합니다.
계정: Administrator 계정 이름 바꾸기 설정에 사용할 수 있는 값은 다음과 같습니다.
사용자 정의 텍스트
정의되지 않음
보안 문제
Administrator 계정은 Windows 2000, Windows Server 2003 또는 Windows XP Professional 운영 체제를 실행하는 모든 컴퓨터에 있습니다. 이 계정의 이름을 바꾸면 권한이 없는 사용자가 컴퓨터에 대한 권한이 부여된 이 Administrator 계정의 사용자 이름 및 암호 조합을 추측하기가 보다 어려워집니다.
공격자가 잘못된 암호를 여러 번 사용하더라도 기본 제공 Administrator 계정은 잠기지 않습니다. 따라서 Administrator 계정은 무단 암호 추측 공격의 주요 대상이 됩니다. 또한 이 계정의 SID가 잘 알려져 있고 계정 이름 대신 SID를 사용하여 인증할 수 있도록 하는 여러 타사 도구가 있기 때문에 이 대책의 효과는 미약합니다. 따라서 Administrator 계정의 이름을 바꾸더라도 공격자는 SID를 사용해 로그온하여 무단 공격을 실행할 수 있습니다.
대책
계정: Administrator 계정 이름 바꾸기 설정에 새 이름을 지정하여 Administrator 계정의 이름을 바꿉니다.
참고: 이어지는 장에서는 이 정책 설정이 보안 템플릿에서 구성되지 않으며 이 설명서에서 제안하는 계정에 대한 새로운 사용자 이름이 아니라는 사실을 확인할 수 있습니다. 이 지침을 참고하는 여러 조직에서 해당 환경에 동일한 새 사용자 이름을 구현하지 않도록 하기 위해 템플릿에는 이 정책 설정이 생략되어 있습니다.
잠재적 영향
이 계정을 사용할 수 있는 권한이 있는 사용자에게 새 계정 이름을 알려 주어야 합니다. 이 설정과 관련한 지침에서는 이 장 앞부분에서 제안한 것과 같이 Administrator 계정을 사용하는 것으로 간주합니다.
계정: Guest 계정 이름 바꾸기
계정: Guest 계정 이름 바꾸기 설정은 다른 계정 이름을 Guest 계정의 SID에 연결할지 여부를 결정합니다.
이 그룹 정책 설정에 사용할 수 있는 값은 다음과 같습니다.
사용자 정의 텍스트
정의되지 않음
보안 문제
Guest 계정은 Windows 2000, Windows Server 2003 또는 Windows XP Professional 운영 체제를 실행하는 모든 컴퓨터에 있습니다. 이 계정의 이름을 바꾸면 권한이 없는 사용자가 컴퓨터에 대한 권한이 부여된 이 Guest 계정의 사용자 이름 및 암호 조합을 추측하기가 보다 어려워집니다.
대책
계정: Guest 계정 이름 바꾸기 설정에 새 이름을 지정하여 Guest 계정의 이름을 바꿉니다.
참고: 이어지는 장에서는 이 정책 설정이 보안 템플릿에서 구성되지 않으며 이 설명서에서 제안하는 계정에 대한 새로운 사용자 이름이 아니라는 사실을 확인할 수 있습니다. 이 지침을 참고하는 여러 조직에서 해당 환경에 동일한 새 사용자 이름을 구현하지 않도록 하기 위해 템플릿에는 이 정책 설정이 생략되어 있습니다.
잠재적 영향
Guest 계정은 Windows 2000, Windows XP 및 Windows Server 2003에서 기본적으로 사용할 수 없도록 설정되어 있으므로 영향이 거의 없습니다.
감사: 글로벌 시스템 개체에 대한 액세스 감사
이 정책 설정을 사용하도록 설정하면 컴퓨터에서 뮤텍스, 이벤트, 세마포 및 MS-DOS 장치 같은 시스템 개체를 만들 때 기본 SACL(시스템 액세스 제어 목록)이 적용됩니다. 이 설명서의 3장에서 설명한 대로 감사 개체 액세스 감사 설정도 사용하도록 설정하면 해당 시스템 개체에 대한 액세스를 감사합니다.
"기본 시스템 개체" 또는 "기본 이름 개체"라고도 하는 글로벌 시스템 개체는 생성하는 응용 프로그램이나 시스템 구성 요소에서 이름을 할당하여 사용한 후 삭제하는 커널 개체입니다. 이러한 개체는 일반적으로 여러 응용 프로그램이나 복잡한 응용 프로그램의 여러 부분을 동기화하는 데 사용되며 이러한 개체에는 이름이 할당되기 때문에 범위가 전역으로 지정되므로 시스템의 모든 프로세스에서 볼 수 있습니다. 이러한 개체에는 모두 보안 설명자가 있으며 일반적으로 NULL SACL도 있습니다. 시스템 시작 시 이 정책 설정을 사용하도록 설정하면 이러한 개체가 작성될 때 커널에서 개체에 SACL을 할당합니다.
감사: 글로벌 시스템 개체에 대한 액세스 감사 설정에 사용할 수 있는 값은 다음과 같습니다.
사용
사용 안 함
정의되지 않음
보안 문제
전역적으로 표시되는 명명된 개체의 경우 보안을 적절하게 설정하지 않으면 해당 개체의 이름을 아는 악의적인 프로그램에서 개체를 악용할 수 있습니다. 예를 들어 뮤텍스와 같은 동기화 개체에서 DACL(임의 액세스 제어 목록)을 제대로 선택하지 않은 경우 악의적인 프로그램이 이름을 사용해 해당 뮤텍스에 액세스하여 이 개체를 생성한 프로그램이 제대로 작동하지 않도록 할 수 있습니다. 그러나 이러한 위험이 발생할 가능성은 매우 낮습니다.
대책
감사: 글로벌 시스템 개체에 대한 액세스 감사 설정을 사용합니다.
잠재적 영향
감사: 글로벌 시스템 개체에 대한 액세스 감사 설정을 사용하는 경우 특히 사용량이 많은 도메인 컨트롤러 및 응용 프로그램 서버에서 많은 보안 이벤트가 생성될 수 있습니다. 따라서 서버의 응답 시간이 느려지고 보안 이벤트 로그에 중요하지 않은 이벤트가 많이 기록될 수 있습니다. 이 정책 설정은 사용하거나 사용할 수 없도록 설정하는 것만이 가능하며 기록되는 이벤트를 필터링할 수 있는 방법은 없습니다. 이 정책 설정을 통해 생성되는 이벤트를 분석할 수 있는 리소스가 있는 조직의 경우에도 각 명명된 개체의 용도에 대한 설명이나 소스 코드가 있을 가능성은 적습니다. 따라서 대부분의 조직에서 이 정책 설정을 사용하여 효과를 볼 가능성은 거의 없습니다.
감사: 백업 및 복원 권한 사용을 감사
이 정책 설정은 권한 사용 감사 설정을 사용하는 경우 백업 및 복원을 포함한 모든 사용자 권한 사용을 감사할지 여부를 결정합니다. 두 정책 설정을 모두 사용하는 경우 백업 또는 복원되는 모든 파일에 대해 감사 이벤트가 생성됩니다.
권한 사용 감사 설정과 함께 이 정책 설정을 사용하는 경우 보안 로그에서 사용되는 사용자 권한이 기록됩니다. 이 정책 설정을 사용할 수 없도록 설정하면 권한 사용 감사 설정을 사용하는 경우에도 백업 또는 복원 권한이 있는 사용자가 수행하는 작업을 감사하지 않습니다.
감사: 백업 및 복원 권한 사용을 감사 설정에 사용할 수 있는 값은 다음과 같습니다.
사용
사용 안 함
정의되지 않음
보안 문제
이 옵션과 함께 권한 사용 감사 설정도 사용하면 백업 또는 복원되는 모든 파일에 대해 감사 이벤트가 생성됩니다. 이 이벤트의 정보를 통해 실수로 또는 고의로 데이터를 무단 복원하는 데 사용된 계정을 확인할 수 있습니다.
대책
백업 및 복원 권한 사용을 감사 설정을 사용합니다. 또는 https://support.microsoft.com/default.aspx?kbid=312571의 Microsoft 기술 자료 문서 "The event log stops logging events before reaching the maximum log size"(최대 로그 크기에 도달하기 전에 이벤트 로그가 이벤트 기록을 중지함)에 설명되어 있는 AutoBackupLogFiles 레지스트리를 구성하는 방법을 통해 자동 로그 백업을 구현합니다.
잠재적 영향
이 정책 설정을 사용하면 많은 양의 보안 이벤트가 생성되어 서버 응답 속도가 느려지고 보안 이벤트 로그에 중요하지 않은 이벤트가 많이 기록될 수 있습니다. 시스템 종료 가능성을 줄이기 위해 보안 로그 크기를 늘리면 로그 파일 크기가 너무 커져 시스템 성능에 영향을 줄 수 있습니다.
감사: 보안 감사를 로그할 수 없는 경우 즉시 시스템 종료
이 정책 설정은 보안 이벤트를 기록할 수 없는 경우 컴퓨터를 종료할 것인지 여부를 결정합니다. TCSEC(Trusted Computer System Evaluation Criteria)-C2 및 Common Criteria 인증을 사용하는 경우 감사 시스템이 감사 이벤트를 기록할 수 없을 때는 컴퓨터에서 이러한 이벤트가 발생하지 않도록 해야 합니다. Microsoft에서는 감사 시스템에 오류가 발생하는 경우 컴퓨터를 종료하고 중지 메시지를 표시하여 이 요구 사항을 준수합니다. 이 정책 설정을 사용하면 보안 감사를 기록할 수 없는 경우 컴퓨터가 중지됩니다. 일반적으로 보안 이벤트 로그가 꽉 찬 상태이며 보안 이벤트 로그에 대해 지정된 보존 방법이 이벤트를 덮어쓰지 않음 또는 매일 이벤트 덮어쓰기인 경우 이벤트가 기록되지 않습니다.
이 정책 설정을 사용하는 경우 보안 로그가 꽉 차고 기존 항목을 덮어쓸 수 없게 되면 다음과 같은 중지 메시지가 표시됩니다.
중지: C0000244 {감사 실패}
보안 감사를 만들려 했으나 만들지 못했습니다.
컴퓨터를 복구하려면 관리자는 로그온하여 원하는 경우 로그를 보관하고 로그를 지운 다음 이 옵션을 사용할 수 없도록 설정하여 컴퓨터를 다시 시작해야 합니다. 여기서 이 정책 설정을사용 으로 구성하려면 보안 이벤트 로그를 수동으로 지워야 할 수도 있습니다.
감사: 보안 감사를 로그할 수 없는 경우 즉시 시스템 종료 설정에 사용할 수 있는 값은 다음과 같습니다.
사용
사용 안 함
정의되지 않음
보안 문제
컴퓨터가 이벤트를 보안 로그에 기록할 수 없는 경우 보안 사고 이후 중요한 증거나 문제 해결 정보를 검토할 수 없습니다. 또한 공격자가 많은 양의 보안 이벤트 로그를 생성하여 컴퓨터가 종료되도록 할 수도 있습니다.
대책
보안 감사를 로그할 수 없는 경우 즉시 시스템 종료 설정을 사용합니다.
잠재적 영향
이 정책 설정을 사용하는 경우 관리 부담이 커질 수 있습니다. 특히 보안 로그 보존 방법을 이벤트 덮어쓰지 않음(수동으로 로그 지우기) 으로 구성한 경우에는 더욱 그러합니다. 즉, 이와 같은 구성으로 인해 서버가 보안 로그에 기록된 로그온 이벤트 및 기타 보안 이벤트로 가득 찬 상태가 되어 강제로 종료될 수 있기 때문에 거부 위협(백업 관리자가 데이터 백업이나 복원을 거부할 수 있는 상태)이 DoS(서비스 거부) 보안 문제로 발전할 수 있습니다. 또한 종료는 정상적이 동작이 아니므로 운영 체제, 응용 프로그램 또는 데이터에 중대한 손상을 입힐 수 있습니다. NTFS 파일 시스템(NTFS)에서는 컴퓨터가 비정상적으로 종료되는 경우에도 무결성이 보장되지만 컴퓨터 재시작 시에도 모든 응용 프로그램의 데이터 파일이 모두 사용 가능한 형태로 유지되는 것은 아닙니다.
DCOM: SDDL(Security Descriptor Definition Language)의 컴퓨터 액세스 제한
이 정책 설정은 관리자가 컴퓨터에서 모든 DCOM(Distributed Component Object Model) 기반 응용 프로그램에 대한 액세스를 제어하는 컴퓨터 전체 액세스 컨트롤을 추가로 정의할 수 있도록 합니다. 이러한 컨트롤은 컴퓨터에 대한 호출, 활성화 또는 실행 요청을 제한합니다. 이 액세스 컨트롤은 컴퓨터에서 이루어지는 각 COM 서버 호출, 활성화 또는 실행 작업의 컴퓨터 전체 ACL(액세스 제어 목록)에 대해 수행되는 추가적인 액세스 확인 호출의 개념으로 생각하면 됩니다. 액세스 확인이 실패하면 호출, 활성화 또는 실행 요청이 거부됩니다. 이 확인 작업은 서버 관련 ACL에 대해 실행되는 모든 액세스 확인 작업을 보완하는 추가 확인 작업입니다. 이 확인 호출 과정에서는 컴퓨터의 COM 서버에 액세스하기 위해 통과해야 하는 최소 인증 표준을 제공합니다. DCOM: SDDL(Security Descriptor Definition Language)의 컴퓨터 액세스 제한 설정은 액세스 권한을 제어하여 호출 권한을 관리합니다.
이와 같은 컴퓨터 전체 ACL을 사용하면 CoInitializeSecurity 또는 응용 프로그램 관련 보안 설정을 통해 특정 응용 프로그램에서 지정한 취약한 보안 설정을 무시할 수 있습니다. 또한 특정 서버의 설정에 관계없이 통과해야 하는 최소 보안 표준을 적용할 수 있습니다.
관리자는 ACL을 사용하여 컴퓨터의 모든 COM 서버에 적용되는 일반 인증 정책을 중앙의 단일 위치에서 설정할 수 있습니다.
DCOM: SDDL(Security Descriptor Definition Language)의 컴퓨터 액세스 제한 설정을 사용하면 두 가지 방법으로 ACL을 지정할 수 있습니다. 즉, SDDL로 보안 설명자를 입력할 수도 있고 사용자 및 그룹을 선택하여 로컬 액세스 및 원격 액세스 권한을 부여하거나 거부할 수도 있습니다. 기본 사용자 인터페이스를 사용하여 이 설정을 적용할 ACL 콘텐츠를 지정하는 것이 좋습니다.
보안 문제
대부분의 COM 응용 프로그램에는 CoInitializeSecurity 호출을 위한 코드 등 보안 관련 코드가 포함되어 있지만 보통 프로세스에 대한 무단 액세스를 허용하는 취약한 설정을 사용합니다. 관리자는 응용 프로그램 자체를 수정하지 않으면 이러한 설정을 무시하고 이전 버전의 Windows에서 사용하던 보다 강력한 보안을 적용할 수가 없습니다. 공격자는 COM 호출을 통해 개별 응용 프로그램의 보안 취약점을 공격하는 방법으로 이와 같은 취약한 부분을 악용할 수 있습니다.
또한 COM 인프라에는 컴퓨터를 시작하는 동안 실행되며 컴퓨터 시작 후에는 항상 실행되는 시스템 서비스인 RPCSS가 포함됩니다. 이 서비스는 COM 개체 활성화 및 실행 중인 개체 테이블을 관리하며 DCOM 원격 작업에 대한 도우미 서비스를 제공합니다. 또한 원격으로 호출할 수 있는 RPC 인터페이스를 제공합니다. 이전 섹션에서 설명한 것처럼 일부 COM 서버에서는 무단 원격 액세스를 허용하기 때문에, 이러한 인터페이스는 무단 사용자를 포함해 모든 사용자가 호출할 수 있습니다. 그러므로 RPCSS가 권한이 없는 원격 컴퓨터를 사용하는 악의적인 사용자의 공격을 받을 수 있습니다.
대책
개별 COM 기반 응용 프로그램 또는 서비스를 보호하려면 DCOM: SDDL(Security Descriptor Definition Language)의 컴퓨터 액세스 제한 설정을 적절한 컴퓨터 전체 ACL로 지정합니다.
잠재적 영향
Windows XP SP2 및 Windows Server 2003 SP1은 해당 설명서에 지정된 대로 기본 COM ACL을 구현합니다. COM 서버를 구현하는 경우 기본 보안 설정을 무시하려면 응용 프로그램 관련 호출 권한 ACL이 해당 사용자에게 올바른 권한을 할당하는지 확인하십시오. 그렇지 않은 경우에는 해당 사용자에게 적절한 권한이 제공되어 DCOM을 사용하는 응용 프로그램 및 Windows 구성 요소에 오류가 발생하지 않도록 응용 프로그램 관련 권한 ACL을 변경해야 합니다.
참고: Windows XP SP2에 적용된 기본 COM 컴퓨터 액세스 제한에 대한 자세한 내용은 www.microsoft.com/technet/prodtechnol/winxppro/maintain/mangxpsp2/mngsecps.mspx의 "Managing Windows XP Service Pack 2 Features Using Group Policy (영문)"(그룹 정책을 사용하여 Windows XP 서비스 팩 2 기능 관리) 설명서를 참조하십시오. Windows Server 2003 SP1에 적용된 제한에 대한 자세한 내용은 www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ BookofSP1/ed9975ba-3933-4e28-bcb4-72b80d7865b7.mspx의 "Changes to Functionality in Microsoft Windows Server 2003 Service Pack 1 (영문)"(Microsoft Windows Server 2003 서비스 팩 1의 기능 변경 사항) 설명서에서 "DCOM Security Enhancements"(DCOM 보안 기능 향상) 섹션을 참조하십시오. 실행 권한에 대한 자세한 내용은 Microsoft MSDN (https://go.microsoft.com/fwlink/?LinkId=20924)에서 "LaunchPermission (영문)" 페이지를 참조하십시오.
DCOM: SDDL(Security Descriptor Definition Language)의 컴퓨터 실행 제한
이 정책 설정은 관리자가 컴퓨터의 모든 DCOM 기반 응용 프로그램에 대한 액세스를 제어하는 컴퓨터 전체 액세스 컨트롤을 추가로 정의할 수 있도록 한다는 점에서 DCOM: SDDL(Security Descriptor Definition Language)의 컴퓨터 액세스 제한 설정과 비슷합니다. 그러나 이 정책 설정에 지정되어 있는 ACL은 액세스 요청이 아닌 컴퓨터의 로컬 및 원격 COM 실행 요청을 제어합니다. 이 액세스 컨트롤은 컴퓨터에서 이루어지는 각 COM 서버 실행 작업의 컴퓨터 전체 ACL에 대해 수행되는 추가적인 액세스 확인 호출의 개념으로 생각하면 됩니다. 액세스 확인이 실패하면 호출, 활성화 또는 실행 요청이 거부됩니다. 이 확인 작업은 서버 관련 ACL에 대해 실행되는 모든 액세스 확인 작업을 보완하는 추가 확인 작업입니다. 이 확인 호출 과정에서는 컴퓨터의 COM 서버를 실행하기 위해 통과해야 하는 최소 인증 표준을 제공합니다. 이는 이미 실행된 COM 서버에 액세스하려는 시도에 대해 적용되는 최소 액세스 확인을 제공하는 이전 정책과는 다릅니다.
이와 같은 컴퓨터 전체 ACL을 사용하면 CoInitializeSecurity 또는 응용 프로그램 관련 보안 설정을 통해 특정 응용 프로그램에서 지정한 취약한 보안 설정을 무시할 수 있습니다. 또한 특정 COM 서버의 설정에 관계없이 통과해야 하는 최소 보안 표준을 적용할 수 있습니다. 관리자는 ACL을 사용하여 컴퓨터의 모든 COM 서버에 적용되는 일반 인증 정책을 중앙의 단일 위치에서 설정할 수 있습니다.
DCOM: SDDL(Security Descriptor Definition Language)의 컴퓨터 실행 제한 설정을 사용하면 두 가지 방법으로 ACL을 지정할 수 있습니다. 즉, SDDL로 보안 설명자를 입력할 수도 있고 사용자 및 그룹을 선택하여 로컬 액세스 및 원격 액세스 권한을 부여하거나 거부할 수도 있습니다. 기본 사용자 인터페이스를 사용하여 이 설정을 적용할 ACL 콘텐츠를 지정하는 것이 좋습니다.
보안 문제
대부분의 COM 응용 프로그램에는 CoInitializeSecurity 호출을 위한 코드 등 보안 관련 코드가 포함되어 있지만 보통 프로세스에 대한 무단 액세스를 허용하는 취약한 설정을 사용합니다. 관리자는 응용 프로그램 자체를 수정하지 않으면 이러한 설정을 무시하고 이전 버전의 Windows에서 사용하던 보다 강력한 보안을 적용할 수가 없습니다. 공격자는 COM 호출을 통해 개별 응용 프로그램의 보안 취약점을 공격하는 방법으로 이와 같은 취약한 부분을 악용할 수 있습니다.
또한 COM 인프라에는 컴퓨터를 시작하는 동안 실행되며 컴퓨터 시작 후에는 항상 실행되는 시스템 서비스인 RPCSS가 포함됩니다. 이 서비스는 COM 개체 활성화 및 실행 중인 개체 테이블을 관리하며 DCOM 원격 작업에 대한 도우미 서비스를 제공합니다. 또한 원격으로 호출할 수 있는 RPC 인터페이스를 제공합니다. 이전 섹션에서 설명한 것처럼 일부 COM 서버에서는 무단 원격 구성 요소 활성화를 허용하기 때문에, 이러한 인터페이스는 무단 사용자를 포함해 모든 사용자가 호출할 수 있습니다. 그러므로 RPCSS가 권한이 없는 원격 컴퓨터를 사용하는 악의적인 사용자의 공격을 받을 수 있습니다.
대책
개별 COM 기반 응용 프로그램 또는 서비스를 보호하려면 DCOM: SDDL(Security Descriptor Definition Language)의 컴퓨터 실행 제한 설정을 적절한 컴퓨터 전체 ACL로 지정합니다.
잠재적 영향
Windows XP SP2 및 Windows Server 2003 SP1은 해당 설명서에 지정된 대로 기본 COM ACL을 구현합니다. COM 서버를 구현하는 경우 기본 보안 설정을 무시하려면 응용 프로그램 관련 실행 권한 ACL이 해당 사용자에게 활성화 권한을 할당하는지 확인하십시오. 그렇지 않은 경우에는 해당 사용자에게 활성화 권한이 제공되어 DCOM을 사용하는 응용 프로그램 및 Windows 구성 요소에 오류가 발생하지 않도록 응용 프로그램 관련 실행 권한 ACL을 변경해야 합니다.
참고: Windows XP SP2에 적용된 기본 COM 컴퓨터 실행 제한에 대한 자세한 내용은 www.microsoft.com/technet/prodtechnol/winxppro/maintain/mangxpsp2/mngsecps.mspx의 "Managing Windows XP Service Pack 2 Features Using Group Policy (영문)"(그룹 정책을 사용하여 Windows XP 서비스 팩 2 기능 관리) 설명서를 참조하십시오. Windows Server 2003 SP1에 적용된 제한에 대한 자세한 내용은 www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ BookofSP1/ed9975ba-3933-4e28-bcb4-72b80d7865b7.mspx의 "Changes to Functionality in Microsoft Windows Server 2003 Service Pack 1 (영문)"(Microsoft Windows Server 2003 서비스 팩 1의 기능 변경 사항) 설명서에서 "DCOM Security Enhancements"(DCOM 보안 기능 향상) 섹션을 참조하십시오. 실행 권한에 대한 자세한 내용은 MSDN(https://go.microsoft.com/fwlink/?LinkId=20924)에서 "LaunchPermission (영문)" 페이지를 참조하십시오.
장치: 로그온할 필요 없이 도킹 해제 허용
이 정책 설정은 사용자가 도킹 스테이션에서 휴대용 컴퓨터를 제거할 수 있는 권한을 요청하려면 로그온해야 하는지 여부를 결정합니다. 이 정책 설정을 사용하면 사용자가 도킹된 휴대용 컴퓨터에서 실제로 꺼내기 단추를 눌러 컴퓨터를 안전하게 도킹 해제할 수 있습니다. 이 정책 설정을 사용할 수 없도록 설정하면 사용자는 로그온하여 컴퓨터 도킹 해제를 위한 권한을 받아야 합니다. 도킹 스테이션에서 컴퓨터 제거 권한이 있는 사용자만 이 권한을 받을 수 있습니다.
참고: 기계적으로 도킹 해제할 수 없는 휴대용 컴퓨터에 대해서는 이 정책 설정을 사용하지 않아야 합니다. 기계적으로 도킹 해제할 수 있는 컴퓨터는 Windows 도킹 해제 기능 사용 여부에 관계 없이 사용자가 실제로 제거할 수 있습니다.
장치: 로그온할 필요 없이 도킹 해제 허용 설정에 사용할 수 있는 값은 다음과 같습니다.
사용
사용 안 함
정의되지 않음
보안 문제
이 정책 설정을 사용하면 도킹 스테이션의 휴대용 컴퓨터에 실제로 액세스할 수 있는 모든 사용자가 휴대용 컴퓨터를 제거 및 무단 변경할 수 있습니다. 도킹 스테이션이 없는 컴퓨터인 경우 이 정책 설정은 아무 영향도 없습니다.
대책
장치: 로그온할 필요 없이 도킹 해제 허용 설정을 사용하지 않습니다.
잠재적 영향
사용자가 컴퓨터를 도킹한 경우 로컬 콘솔로 로그온해야 컴퓨터를 도킹 해제할 수 있습니다.
장치: 이동식 미디어 포맷 및 꺼내기 허용
이 정책 설정은 이동식 미디어를 포맷하고 꺼낼 수 있는 사용자를 결정합니다.
장치: 이동식 미디어 포맷 및 꺼내기 허용 설정에 사용할 수 있는 값은 다음과 같습니다.
Administrators
Administrators 및 Power Users
Administrators 및 Interactive Users
정의되지 않음
보안 문제
사용자가 관리 권한을 가진 다른 컴퓨터로 이동식 디스크의 데이터를 이동할 수 있습니다. 그런 다음 파일에 대한 소유권을 얻고 자신에게 모든 권한을 부여하여 파일을 보거나 수정할 수 있습니다. 그러나 대부분의 이동식 저장 장치의 경우 기계의 단추를 누르면 미디어를 꺼낼 수 있기 때문에 이 정책 설정을 사용해도 이점을 얻을 수 없습니다.
대책
이동식 미디어 포맷 및 꺼내기 허용 설정을 Administrators로 구성합니다.
잠재적 영향
관리자만 NTFS로 포맷된 이동식 미디어를 꺼낼 수 있습니다.
장치: 사용자가 프린터 드라이버를 설치할 수 없게 함
컴퓨터에서 네트워크 프린터로 인쇄하려면 로컬 컴퓨터에 해당 네트워크 프린터 드라이버가 설치되어 있어야 합니다. 장치: 사용자가 프린터 드라이버를 설치할 수 없게 함 설정에 따라 네트워크 프린터를 추가할 때 프린터 드라이버를 설치할 수 있는 사용자가 결정됩니다. 이 정책 설정을 사용하는 경우 Administrators 및 Power users 그룹 구성원만이 네트워크 프린터를 추가할 때 프린터 드라이버를 설치할 수 있습니다. 이 정책 설정을 사용할 수 없도록 설정하면 모든 사용자가 네트워크 프린터를 추가할 때 프린터 드라이버를 설치할 수 있습니다. 이 정책 설정을 사용하면 일반 사용자는 신뢰할 수 없는 프린터 드라이버를 다운로드 및 설치할 수 없습니다.
참고: 관리자가 드라이버를 다운로드할 수 있는 신뢰할 수 있는 경로를 구성해 놓은 경우 이 정책 설정은 아무 영향을 미치지 않습니다. 신뢰할 수 있는 경로를 사용하는 경우 인쇄 하위 시스템은 이 신뢰할 수 있는 경로를 통해 드라이버를 다운로드합니다. 신뢰할 수 있는 경로에서 다운로드하면 누구라도 드라이버를 설치할 수 있습니다. 신뢰할 수 있는 경로에서 다운로드하지 못하면 드라이버가 설치되지 않고 네트워크 프린터도 추가되지 않습니다.
장치: 사용자가 프린터 드라이버를 설치할 수 없게 함 설정에 사용할 수 있는 값은 다음과 같습니다.
사용
사용 안 함
정의되지 않음
보안 문제
일부 조직에서는 사용자가 프린터 드라이버를 워크스테이션에 설치할 수도 있습니다. 그러나 이는 서버의 경우에는 해당되지 않습니다. 서버에 프린터 드라이버를 설치하는 경우 컴퓨터의 안정성이 떨어질 수 있습니다. 서버에 대해서는 관리자만이 이러한 권한을 가지고 있어야 합니다. 악의적인 사용자가 고의적으로 잘못된 프린터 드라이버를 설치하여 컴퓨터를 손상시킬 수도 있고, 사용자가 프린터 드라이버로 위장한 악성 코드를 실수로 설치할 수도 있기 때문입니다.
대책
장치: 사용자가 프린터 드라이버를 설치할 수 없게 함 설정을 사용으로 구성합니다.
잠재적 영향
Administrator, Power User 또는 Server Operator 권한이 있는 사용자만 서버에 프린터를 설치할 수 있습니다. 이 정책 설정을 사용하는 경우 네트워크 프린터 드라이버가 로컬 컴퓨터에 이미 있어도 사용자는 네트워크 프린터를 계속 추가할 수 있습니다.
장치: 로컬로 로그온한 사용자만이 CD-ROM에 액세스 가능
이 정책 설정은 로컬 및 원격 사용자가 동시에 CD-ROM에 액세스할 수 있는지 여부를 결정합니다. 이 정책 설정을 사용하면 대화형으로 로그온한 사용자만 이동식 CD-ROM 미디어에 액세스할 수 있습니다. 이 정책 설정을 사용하는데 대화형으로 로그온한 사용자가 없으면 네트워크를 통해 CD-ROM-ROM에 액세스할 수 있습니다.
장치: 로컬로 로그온한 사용자만이 CD-ROM에 액세스 가능 설정에 사용할 수 있는 값은 다음과 같습니다.
사용
사용 안 함
정의되지 않음
보안 문제
원격 사용자가 중요한 정보가 들어 있는 탑재 CD-ROM에 액세스할 수 있습니다. 네트워크를 공유하면 CD-ROM 드라이브를 자동으로 사용할 수 있게 되는 것이 아니라 관리자가 드라이브를 공유하도록 직접 선택해야 하기 때문에 이러한 위험 상황은 거의 발생하지 않습니다. 그러나 관리자가 네트워크 사용자에 대해 데이터를 볼 수 있는 권한이나 서버에서 이동식 미디어에 있는 응용 프로그램을 실행하는 권한을 거부할 수도 있습니다.
대책
로컬로 로그온한 사용자만이 CD-ROM에 액세스 가능 설정을 사용합니다.
잠재적 영향
네트워크를 통해 서버에 연결된 사용자는 서버의 로컬 콘솔로 로그온한 사용자가 있을 때 해당 서버에 설치된 모든 CD-ROM 드라이브를 사용할 수 없습니다. 또한 CD-ROM 드라이브에 액세스해야 사용할 수 있는 시스템 도구를 사용할 수 없게 됩니다. 예를 들어 볼륨 섀도 복사본 서비스는 초기화 시에 컴퓨터에 존재하는 모든 CD-ROM 및 플로피 드라이브에 액세스하는데, 이러한 드라이브 중 하나에 액세스할 수 없는 경우 서비스가 실패합니다. 백업 작업에 대해 볼륨 섀도 복사본을 지정한 경우 이로 인해 Windows 백업 유틸리티에 오류가 발생합니다. 또한 볼륨 섀도 복사본을 사용하는 모든 타사 백업 제품에도 오류가 발생합니다. 네트워크 사용자를 위한 CD 주크박스 기능을 제공하는 컴퓨터에는 이 정책 설정을 사용하지 않는 것이 좋습니다.
장치: 로컬로 로그온한 사용자만이 플로피 디스크에 액세스 가능
이 정책 설정은 로컬 및 원격 사용자가 동시에 이동식 플로피 미디어에 액세스할 수 있는지 여부를 결정합니다. 이 정책 설정을 사용하면 대화형으로 로그온한 사용자만 이동식 플로피 미디어에 액세스할 수 있습니다. 이 정책 설정을 사용하는데 대화형으로 로그온한 사용자가 없으면 네트워크를 통해 플로피 미디어에 액세스할 수 있습니다.
장치: 로컬로 로그온한 사용자만이 플로피 드라이브에 액세스 가능 설정에 사용할 수 있는 값은 다음과 같습니다.
사용
사용 안 함
정의되지 않음
보안 문제
원격 사용자가 중요한 정보가 들어 있는 탑재 플로피 미디어에 액세스할 수 있습니다. 네트워크를 공유하면 플로피 드라이브를 자동으로 사용할 수 있게 되는 것이 아니라 관리자가 드라이브를 공유하도록 직접 선택해야 하기 때문에 이러한 위험 상황은 거의 발생하지 않습니다. 그러나 관리자가 네트워크 사용자에 대해 데이터를 볼 수 있는 권한이나 서버에서 이동식 미디어에 있는 응용 프로그램을 실행하는 권한을 거부할 수도 있습니다.
대책
로컬로 로그온한 사용자만이 플로피 드라이브에 액세스 가능 설정을 사용합니다.
잠재적 영향
네트워크를 통해 서버에 연결된 사용자는 서버의 로컬 콘솔로 로그온한 사용자가 있을 때는 해당 서버에 설치된 모든 플로피 디스크 드라이브를 사용할 수 없습니다. 또한 플로피 드라이브에 액세스해야 사용할 수 있는 시스템 도구를 사용할 수 없게 됩니다. 예를 들어 볼륨 섀도 복사본 서비스는 초기화 시에 컴퓨터에 존재하는 모든 CD-ROM 및 플로피 드라이브에 액세스하는데, 이러한 드라이브 중 하나에 액세스할 수 없는 경우 서비스가 실패합니다. 백업 작업에 대해 볼륨 섀도 복사본을 지정한 경우 이로 인해 Windows 백업 유틸리티에 오류가 발생합니다. 또한 볼륨 섀도 복사본을 사용하는 모든 타사 백업 제품에도 오류가 발생합니다.
장치: 서명되지 않은 드라이버 설치 동작
이 정책 설정은 설치 API(응용 프로그래밍 인터페이스)를 사용하여 WHQL(Windows Hardware Quality Lab)에서 승인 및 서명하지 않은 장치 드라이버를 설치하려고 할 때 발생하는 동작을 결정합니다.
장치: 서명되지 않은 드라이버 설치 동작 설정에 사용할 수 있는 값은 다음과 같습니다.
작업 완료
경고하면서 설치 허용함
설치 허용 안 함
정의되지 않음
보안 문제
이 정책 설정은 서명되지 않은 드라이버를 설치하지 못하도록 하거나, 서명되지 않은 드라이버 소프트웨어를 설치하려고 했다는 경고를 관리자에게 보냅니다. 이 기능을 사용하는 경우 설치 API를 사용할 수 없어 Windows XP 또는 Windows Server 2003에서 실행하도록 승인되지 않은 드라이버를 설치하지 못할 수 있습니다. 또한 이 정책 설정을 사용해도 악의적인 .sys 파일을 복사하여 시스템 서비스로 시작되도록 등록하는 일부 공격 도구에서 사용하는 방법은 막을 수 없습니다.
대책
장치: 서명되지 않은 드라이버 설치 동작 설정을 Windows XP SP2 기본 구성인 경고하면서 설치 허용함으로 지정합니다. Windows Server 2003의 경우 기본 설정은 정의되지 않음입니다.
잠재적 영향
장치 드라이버를 설치할 수 있는 권한이 있는 사용자는 서명되지 않은 장치 드라이버를 설치할 수 있지만 서버에 안정성 문제가 발생할 수 있습니다. 또한 경고하면서 설치 허용함 구성을 선택하는 경우 서명되지 않은 드라이버를 설치하려 할 때 무인 설치 스크립트가 실패하는 문제가 발생할 수 있습니다.
도메인 컨트롤러: Server Operator가 작업을 스케줄하도록 허용
이 정책 설정은 Server Operator가 AT 스케줄 기능을 사용하여 작업을 제출할 수 있는지 여부를 결정합니다.
참고: 이 보안 옵션 설정은 AT 스케줄 기능에만 적용되며 작업 스케줄러 기능에는 영향을 주지 않습니다.
도메인 컨트롤러: Server Operator가 작업을 스케줄하도록 허용 설정에 사용할 수 있는 값은 다음과 같습니다.
사용
사용 안 함
정의되지 않음
보안 문제
이 정책 설정을 사용하는 경우 Server Operator가 AT 서비스를 통해 작성한 작업은 해당 서비스를 실행하는 계정의 컨텍스트 내에서 실행됩니다. 기본적으로 이 계정은 로컬 SYSTEM 계정입니다. 따라서 이 정책 설정을 사용하면 Server Operator가 자신의 계정을 로컬 Administrators 그룹에 추가하는 등 원래는 수행할 수 없지만 SYSTEM 계정을 사용하면 가능한 작업을 수행할 수 있습니다.
대책
도메인 컨트롤러: Server Operator가 작업을 스케줄하도록 허용 설정을 사용하지 않습니다.
잠재적 영향
대부분의 조직은 이 설정을 사용하지 않아도 거의 영향을 받지 않습니다. Server Operators 구성원을 포함하여 사용자는 작업 스케줄러 마법사를 통해 계속 작업을 작성할 수 있습니다. 그러나 이러한 방식으로 작성한 작업은 사용자가 작업을 설정할 때 인증하는 계정의 컨텍스트 내에서 실행됩니다.
도메인 컨트롤러: LDAP 서버 서명 필요
이 정책 설정은 LDAP(Lightweight Directory Access Protocol) 서버에 데이터 서명을 협상할 LDAP 클라이언트가 필요한지 여부를 결정합니다.
도메인 컨트롤러: LDAP 서버 서명 필요 설정에 사용할 수 있는 값은 다음과 같습니다.
없음: 서버에 대한 바인딩 작업에는 데이터 서명이 필요하지 않습니다. 클라이언트가 데이터 서명을 요청하는 경우 서버에서 이를 지원합니다.
서명 필요: TLS/SSL(Transport Layer Security/Secure Socket Layer)을 사용 중인 경우가 아니면 LDAP 데이터 서명 옵션을 협상해야 합니다.
정의되지 않음
보안 문제
서명되지 않은 네트워크 트래픽은 끼어들기 공격을 받기 쉽습니다. 이러한 공격 과정에서 침입자는 서버와 클라이언트 간의 패킷을 캡처한 후 수정하여 클라이언트에 전달합니다. LDAP 서버의 경우 공격자는 클라이언트가 LDAP 디렉터리의 잘못된 레코드를 기준으로 의사 결정을 하도록 만들 수 있습니다. 조직 네트워크에서 이러한 침입의 위험을 줄이기 위해 네트워크 인프라를 보호하는 강력한 물리적 보안 조치를 구현할 수 있습니다. 또한 IP 트래픽에 대한 상호 인증과 패킷 무결성을 수행하는 IPSec(인터넷 프로토콜 보안) AH(인증 헤더 모드)를 구현하면 모든 종류의 끼어들기 공격 수행을 매우 어렵게 만들 수 있습니다.
대책
도메인 컨트롤러: LDAP 서버 서명 필요 설정을 서명 필요로 구성합니다.
잠재적 영향
LDAP 서명을 지원하지 않는 클라이언트는 도메인 컨트롤러에 대해 LDAP 쿼리를 실행할 수 없습니다. Windows Server 2003 또는 Windows XP 기반 컴퓨터에서 관리되며 Windows NT Challenge/Response(NTLM) 인증을 사용하는 조직의 모든 Windows 2000 기반 컴퓨터에는 Windows 2000 서비스 팩 3(SP3)이 설치되어 있어야 합니다. 또는 이러한 클라이언트의 레지스트리를 https://support.microsoft.com/default.aspx?scid=325465의 Microsoft 기술 자료 문서 Q325465 "Windows Server 2003 관리 도구를 사용하는 경우 Windows 2000 도메인 컨트롤러에 SP3 이상이 있어야 한다"에서 설명하는 대로 변경해야 합니다. 또한 일부 타사 운영 체제의 경우 LDAP 서명을 지원하지 않습니다. 이 정책 설정을 사용하면 해당 운영 체제를 사용하는 클라이언트 컴퓨터에서 도메인 리소스에 액세스하지 못할 수 있습니다.
도메인 컨트롤러: 컴퓨터 계정 암호 변경 거부
이 정책 설정은 도메인 컨트롤러에서 컴퓨터 계정 암호 변경 요청을 수락할지 여부를 결정합니다.
도메인 컨트롤러: 컴퓨터 계정 암호 변경 거부 설정에 사용할 수 있는 값은 다음과 같습니다.
사용
사용 안 함
정의되지 않음
보안 문제
도메인의 모든 도메인 컨트롤러에 대해 이 정책 설정을 사용하면 도메인 구성원은 해당 컴퓨터 계정의 암호를 변경할 수 없으므로 암호가 공격을 받기 쉽습니다.
대책
도메인 컨트롤러: 컴퓨터 계정 암호 변경 거부 설정을 사용하지 않습니다.
잠재적 영향
없음: 기본 구성입니다.
도메인 구성원: 보안 채널 데이터를 디지털 암호화 또는 서명(여러 관련 설정)
다음 정책 설정은 보안 채널 트래픽을 서명하거나 암호화할 수 없는 도메인 컨트롤러에서 보안 채널을 설정할 수 있는지 여부를 결정합니다.
도메인 구성원: 보안 채널 데이터를 디지털 암호화 또는 서명(항상)
도메인 구성원: 보안 채널 데이터를 디지털 암호화(가능한 경우)
도메인 구성원: 보안 채널 데이터를 디지털 서명(가능한 경우)
도메인 구성원: 보안 채널 데이터를 디지털 암호화 또는 서명(항상) 설정을 사용하면 모든 보안 채널 데이터를 서명하거나 암호화할 수 없는 도메인 컨트롤러에서 보안 채널을 설정할 수 없습니다.
인증 트래픽을 끼어들기 공격, 반복 공격 및 기타 유형의 네트워크 공격에서 보호하기 위해 Windows 기반 컴퓨터에서는 NetLogon을 통해 보안 채널이라는 통신 채널을 만듭니다. 이 채널은 컴퓨터 계정을 인증하며 원격 사용자가 네트워크 리소스에 연결되어 있고 사용자 계정이 신뢰할 수 있는 도메인에 있는 경우 사용자 계정도 인증합니다. 통과 인증이라고 하는 이러한 유형의 인증은 도메인에 가입한 컴퓨터가 해당 도메인 및 신뢰할 수 있는 모든 도메인의 사용자 계정 데이터베이스에 액세스할 수 있게 합니다.
참고: 도메인 구성원: 보안 채널 데이터를 디지털 암호화 또는 서명(항상) 설정을 구성원 워크스테이션이나 서버에서 사용하려면 구성원이 속한 도메인의 모든 도메인 컨트롤러가 모든 보안 채널 데이터를 서명하거나 암호화할 수 있어야 합니다. 즉, 모든 도메인 컨트롤러가 Windows NT 4.0 서비스 팩 6a 이상 버전의 Windows 운영 체제를 실행해야 합니다.
도메인 구성원: 보안 채널 데이터를 디지털 암호화 또는 서명(항상) 설정을 사용하도록 설정하면 도메인 구성원: 보안 채널 데이터를 디지털 서명(가능한 경우) 설정도 자동으로 사용하도록 설정됩니다.
이 정책 설정에 사용할 수 있는 값은 다음과 같습니다.
사용
사용 안 함
정의되지 않음
보안 문제
Windows Server 2003, Windows XP, Windows 2000 또는 Windows NT 컴퓨터가 도메인에 가입하면 컴퓨터 계정이 만들어집니다. 도메인에 가입한 후 컴퓨터는 다시 시작할 때마다 해당 계정의 암호를 사용하여 해당 도메인의 도메인 컨트롤러로 보안 채널을 만듭니다. 보안 채널로 보낸 요청은 인증되고 암호와 같은 중요한 정보는 암호화되지만 이 채널의 무결성이 확인된 것은 아니며 모든 정보가 암호화되지는 않습니다. 컴퓨터가 항상 보안 채널 데이터를 암호화 또는 서명하도록 구성되어 있지만 도메인 컨트롤러에서 보안 채널 데이터를 서명 또는 암호화할 수 없는 경우에는 컴퓨터와 도메인 컨트롤러 간에 보안 채널을 설정할 수 없습니다. 컴퓨터가 가능한 경우 보안 채널 데이터를 암호화 또는 서명하도록 구성된 경우에는 보안 채널을 설정할 수 있지만 암호화 및 서명 수준을 협상합니다.
대책
도메인 구성원: 보안 채널 데이터를 디지털 암호화 또는 서명(항상) 설정을 사용으로 설정합니다.
도메인 구성원: 보안 채널 데이터를 디지털 암호화(가능한 경우) 설정을 사용으로 설정합니다.
도메인 구성원: 보안 채널 데이터를 디지털 서명(가능한 경우) 설정을 사용으로 설정합니다.
잠재적 영향
"보안 채널"의 디지털 암호화와 서명 기능이 지원되는 경우 사용하는 것이 좋습니다. 보안 채널은 도메인 컨트롤러로 보내는 도메인 자격 증명을 보호합니다. 그러나 Windows NT 4.0 서비스 팩 6a(SP6a) 이상 버전의 Windows 운영 체제만이 보안 채널 디지털 암호화 및 서명을 지원합니다. Windows 98 Second Edition 클라이언트는 Dsclient를 설치하지 않는 한 이 기능을 지원하지 않습니다. 따라서 도메인 구성원으로 Windows 98 클라이언트를 지원하는 도메인 컨트롤러에서는 도메인 구성원: 보안 채널 데이터를 디지털 암호화 또는 서명(항상) 설정을 사용할 수 없습니다. 다음과 같은 잠재적 영향이 있을 수 있습니다.
하위 수준 트러스트 관계를 작성 또는 삭제하는 기능을 사용할 수 없습니다.
하위 수준 클라이언트에서 로그온할 수 없습니다.
하위 수준 트러스트된 도메인에서 다른 도메인의 사용자를 인증하는 기능을 사용할 수 없습니다.
도메인의 모든 Windows 9x 클라이언트를 제거하고 모든 Windows NT 4.0 서버와 도메인 컨트롤러를 트러스트된/트러스팅 도메인에서 Windows NT 4.0 SP6a로 업그레이드한 후에 이 정책 설정을 사용할 수 있습니다. 나머지 두 정책 설정, 즉 도메인 구성원: 보안 채널 데이터를 디지털 암호화(가능한 경우) 및 도메인 구성원: 보안 채널 데이터를 디지털 서명(가능한 경우) 은 해당 설정을 지원하는 도메인의 모든 컴퓨터에서 사용할 수 있으며, 하위 수준 클라이언트 및 응용 프로그램은 영향을 받지 않습니다.
도메인 구성원: 컴퓨터 계정 암호 변경 사용 안 함
이 정책 설정은 도메인 구성원이 정기적으로 해당 컴퓨터의 계정 암호를 변경할 수 있는지 여부를 결정합니다. 이 정책 설정을 사용하면 도메인 구성원이 해당 컴퓨터의 계정 암호를 변경할 수 없습니다. 이 정책 설정을 사용하지 않으면 도메인 구성원이 도메인 구성원: 컴퓨터 계정 암호 최대 사용 기간 설정에 지정된 값(기본적으로 30일마다)에 따라 컴퓨터 계정 암호를 변경할 수 있습니다.
주의: 이 정책 설정을 사용하지 마십시오. 컴퓨터 계정 암호는 도메인 컨트롤러와 구성원 사이 및 도메인 내부에서는 도메인 컨트롤러 자체 사이에 보안 채널 통신을 설정하는 데 사용됩니다. 보안 채널이 설정되면 이 채널을 통해 인증 및 인증 결정에 필요한 중요한 정보가 전달됩니다.
같은 컴퓨터 계정을 사용하는 이중 부팅 시나리오를 지원하려는 경우 이 정책 설정을 사용하지 마십시오. 같은 도메인에 참가하는 두 설치에 대해 이러한 시나리오를 지원하려면 두 설치에 각각 다른 컴퓨터 이름을 사용하십시오. 이 정책 설정은 조직이 수개월 후 생산에 들어가는 사전 빌드 컴퓨터를 보다 쉽게 비축할 수 있도록 하기 위해 Windows에 추가되었습니다. 이 설정을 사용하면 이러한 컴퓨터를 도메인에 다시 가입시키지 않아도 됩니다. 또한 이미지 컴퓨터나 하드웨어 또는 소프트웨어 수준의 변경이 금지된 컴퓨터에 이 정책 설정을 사용하기도 합니다. 올바른 이미징 절차에서는 이미지 컴퓨터에 필요하지 않은 이 정책을 사용합니다.
도메인 구성원: 컴퓨터 계정 암호 변경 사용 안 함 설정에 사용할 수 있는 값은 다음과 같습니다.
사용
사용 안 함
정의되지 않음
보안 문제
도메인에 속한 Windows Server 2003 기반 컴퓨터는 30일마다 계정 암호를 자동 변경하도록 기본적으로 구성되어 있습니다. 이 정책 설정을 사용하지 않으면 Windows Server 2003을 실행하는 컴퓨터의 암호가 해당 컴퓨터 계정의 암호와 동일하게 유지됩니다. 컴퓨터에서 더 이상 계정 암호를 자동으로 변경할 수 없게 되면 공격자가 해당 컴퓨터의 도메인 계정 암호를 알아내기 쉽게 됩니다.
대책
도메인구성원: 컴퓨터 계정 암호 변경 사용 안 함 설정을 사용 안 함으로 구성합니다.
잠재적 영향
없음: 기본 구성입니다.
도메인 구성원: 컴퓨터 계정 암호 최대 사용 기간
이 정책 설정은 컴퓨터 계정 암호를 사용할 수 있는 최대 기간을 결정합니다. 이 설정은 Windows 2000 컴퓨터에도 적용되지만 이러한 컴퓨터의 보안 구성 관리자 도구를 통해서는 사용할 수 없습니다.
도메인 구성원: 컴퓨터 계정 암호 최대 사용 기간 설정에 사용할 수 있는 값은 다음과 같습니다.
사용자 정의 일 수(0에서 999 사이)
정의되지 않음
보안 문제
Active Directory 기반 도메인에서 각 컴퓨터에는 모든 사용자의 경우와 마찬가지로 계정과 암호가 있습니다. 기본적으로 도메인 구성원은 도메인 암호를 30일마다 자동으로 변경합니다. 암호를 변경하는 간격을 크게 늘리거나 0으로 설정하여 컴퓨터가 더 이상 암호를 변경하지 않도록 하면 공격자가 무단 공격을 실행하여 하나 이상의 컴퓨터 계정 암호를 추측할 수 있는 시간도 길어집니다.
대책
도메인 구성원: 컴퓨터 계정 암호 최대 사용 기간 설정을 30일로 구성합니다.
잠재적 영향
없음: 기본 구성입니다.
도메인 구성원: 고급 세션 키 요청(Windows 2000 이상)
이 정책 설정은 보안 채널 트래픽을 고급 128비트 세션 키로 암호화할 수 없는 도메인 컨트롤러에서 보안 채널을 설정할 수 있는지 여부를 결정합니다. 이 정책 설정을 사용하면 고급 키로 보안 채널 데이터를 암호화할 수 없는 도메인 컨트롤러에 보안 채널을 설정할 수 없습니다. 이 정책 설정을 사용하지 않으면 64비트 세션 키를 사용할 수 있습니다.
참고: 구성원 워크스테이션이나 서버에서 이 정책 설정을 사용하려면 구성원이 속한 도메인에 있는 모든 도메인 컨트롤러가 고급 128비트 키를 사용하여 보안 채널 데이터를 암호화할 수 있어야 합니다. 즉, 이와 같은 모든 도메인 컨트롤러에서 Windows 2000 이상 버전의 Windows 운영 체제를 실행해야 합니다.
도메인 구성원: 고급 세션 키 요청(Windows2000 이상) 설정에 사용할 수 있는 값은 다음과 같습니다.
사용
사용 안 함
정의되지 않음
보안 문제
Windows 2000에서 도메인 컨트롤러와 구성원 컴퓨터 사이에 보안 채널 통신을 설정하는 데 사용되는 세션 키는 이전의 Microsoft 운영 체제의 키보다 더욱 고급화되었습니다.
가능한 경우 항상 이러한 고급 세션 키를 사용하여 네트워크 세션 하이재킹 및 도청 공격으로부터 보안 채널 통신을 보호해야 합니다. 도청은 전송 중인 네트워크 데이터를 읽거나 수정하는 해킹의 한 유형입니다. 데이터를 수정하여 보낸 사람을 숨기거나 변경할 수도 있고 데이터를 리디렉션할 수도 있습니다.
대책
도메인 구성원: 고급 세션 키 요청(Windows2000 이상) 설정을 사용으로 구성합니다.
이 정책 설정을 사용하면 나가는 모든 보안 채널 트래픽에는 고급(Windows 2000 이상) 암호화 키를 사용해야 합니다. 이 정책 설정을 사용하지 않으면 키 강도를 협상합니다. 모든 트러스트된 도메인의 도메인 컨트롤러가 고급 키를 지원하는 경우에만 이 정책 설정을 사용해야 합니다. 기본적으로 이 정책 설정은 사용되지 않습니다.
잠재적 영향
이 정책 설정을 사용하는 컴퓨터는 Windows NT 4.0 도메인에 가입할 수 없으며 Active Directory 도메인 및 Windows NT 스타일 도메인 사이의 트러스트가 제대로 작동하지 않을 수 있습니다. 또한 이 정책 설정을 지원하지 않는 컴퓨터는 도메인 컨트롤러에서 이 정책 설정을 사용하는 도메인에 가입할 수 없습니다.
대화형 로그온: 마지막 사용자 이름 표시 안 함
이 정책 설정은 컴퓨터에 마지막으로 로그온한 사용자의 이름을 Windows 로그온 대화 상자에 표시할지 여부를 결정합니다. 이 정책 설정을 사용하면 마지막으로 로그온한 사용자의 이름이 표시되지 않습니다. 이 정책 설정을 사용하지 않으면 마지막으로 로그온한 사용자의 이름이 표시됩니다.
대화형 로그온: 마지막 사용자 이름 표시 안 함 설정에 사용할 수 있는 값은 다음과 같습니다.
사용
사용 안 함
정의되지 않음
보안 문제
실제로 콘솔에 액세스할 수 있는 사용자 또는 터미널 서비스를 통해 서버에 연결할 수 있는 사용자 등 콘솔에 액세스할 수 있는 공격자는 서버에 마지막으로 로그온한 사용자의 이름을 볼 수 있습니다. 그러면 공격자는 암호를 추측하거나 사전을 사용하거나 무단 공격을 통해 로그온을 시도합니다.
대책
마지막 사용자 이름 표시 안 함 설정을 사용으로 구성합니다.
잠재적 영향
사용자가 서버에 로그온할 때 항상 사용자 이름을 입력해야 합니다.
대화형 로그온: [CTRL+ALT+DEL]을 사용할 필요 없음
이 정책 설정은 사용자가 로그온할 때 Ctrl+Alt+Del을 눌러야 하는지 여부를 결정합니다. 이 정책 설정을 사용하면 사용자가 이 키 조합을 누르지 않아도 로그온할 수 있습니다. 이 정책 설정을 사용하면 사용자는 Windows 로그온에 스마트 카드를 사용하는 경우를 제외하고는 Ctrl+Alt+Del을 눌러야 Windows에 로그온할 수 있습니다. 스마트 카드는 보안 정보를 저장하는 변조 방지 장치입니다.
대화형 로그온: [CTRL+ALT+DEL]을 사용할 필요 없음 설정에 사용할 수 있는 값은 다음과 같습니다.
사용
사용 안 함
정의되지 않음
보안 문제
Microsoft는 신체 장애가 있는 사용자가 Windows를 실행하는 컴퓨터에 쉽게 로그온할 수 있도록 이 기능을 개발했습니다. Ctrl+Alt+Del 키 조합을 누를 필요가 없도록 이 기능을 사용하는 사용자는 암호를 알아내려는 공격을 받기가 쉽습니다. 로그온 전에 Ctrl+Alt+Del을 눌러야 하는 경우에는 사용자 암호를 트러스트된 경로를 통해 전달하게 됩니다.
공격자는 표준 Windows 로그온 대화 상자처럼 보이는 트로이 목마 프로그램을 설치하고 사용자의 암호를 캡처할 수 있습니다. 그런 다음 공격자는 이와 같이 공격을 받은 계정으로 로그온하여 해당 사용자의 모든 권한을 사용할 수 있습니다.
대책
[CTRL+ALT+DEL]을 사용할 필요 없음 설정을 사용 안 함으로 구성합니다.
잠재적 영향
스마트 카드를 사용하여 로그온하는 경우를 제외하고 사용자가 세 키를 동시에 눌러야 로그온 대화 상자가 표시됩니다.
대화형 로그온: 로그온 시도하는 사용자에 대한 메시지 텍스트
대화형 로그온: 로그온 시도하는 사용자에 대한 메시지 텍스트 및 대화형 로그온: 로그온 시도하는 사용자에 대한 메시지 제목 설정은 밀접하게 연관되어 있습니다. 대화형 로그온: 로그온 시도하는 사용자에 대한 메시지 텍스트 정책 설정은 사용자가 로그온할 때 표시되는 텍스트 메시지를 지정하며, 대화형 로그온: 로그온 시도하는 사용자에 대한 메시지 제목 정책 설정은 해당 텍스트 메시지를 포함하는 창의 제목 표시줄에 표시되는 제목을 지정합니다. 여러 조직에서 이 텍스트를 법적인 이유로 사용합니다. 예를 들어 사용자에게 회사 정보를 올바르지 않은 용도로 사용할 경우 생기는 문제에 대해 경고하거나 사용자의 동작이 감사될 수 있음을 경고하기 위해 이 텍스트를 사용할 수 있습니다.
주의: Windows XP Professional에는 512자를 초과할 수 있으며 캐리지 리턴과 줄 바꿈 시퀀스도 포함할 수 있는 로그온 배너도 지원합니다. 그러나 Windows 2000 클라이언트에서는 이러한 메시지를 해석하여 표시하지 못합니다. Windows 2000 컴퓨터에 적용할 로그온 메시지 정책은 Windows 2000 컴퓨터를 사용하여 만들어야 합니다. 실수로 Windows XP Professional 컴퓨터를 사용하여 로그온 메시지 정책을 만든 경우 Windows 2000 컴퓨터에서 해당 메시지 정책이 제대로 표시되지 않으면 다음을 실행하십시오.
이 설정을 정의되지 않음으로 다시 구성합니다.
Windows 2000 컴퓨터를 사용하여 이 설정을 다시 구성합니다.
Windows XP Professional에서 정의한 로그온 메시지 설정을 Windows 2000 컴퓨터로 바꾼다고 해서 해당 설정이 작동하지는 않습니다. 먼저 설정을 정의되지 않음으로 다시 구성해야 합니다.
이 정책 설정에 사용할 수 있는 값은 다음과 같습니다.
사용자 정의 텍스트
정의되지 않음
보안 문제
로그온 전에 경고 메시지가 표시되도록 하면 공격자가 공격을 시작하기 전에 경고함으로써 공격을 막을 수 있습니다. 또한 직원들에게 로그온 프로세스 중에 적절한 정책에 대해 알림으로써 회사 정책을 강화할 수 있습니다.
대책
로그온 시도하는 사용자에 대한 메시지 텍스트 및 로그온 시도하는 사용자에 대한 메시지 제목 설정을 조직에 적합한 값으로 구성합니다.
참고: 표시되는 모든 경고 메시지에 대해 먼저 조직의 법무 담당자와 인사 담당자의 승인을 받아야 합니다.
잠재적 영향
사용자가 서버 콘솔에 로그온하기 전에 대화 상자에 메시지가 표시됩니다.
대화형 로그온: 캐시할 로그온의 횟수(도메인 컨트롤러가 사용 불가능할 경우)
이 정책 설정은 캐시된 계정 정보를 사용하여 Windows 도메인에 로그온할 수 있는 고유 사용자 수를 결정합니다. 도메인 계정에 대한 로그온 정보를 로컬로 캐시할 수 있기 때문에 다음에 로그온할 때 도메인 컨트롤러에 접속할 수 없어도 사용자는 로그온할 수 있습니다. 이 정책 설정에 따라 로그온 정보를 로컬로 캐시할 수 있는 고유 사용자의 수가 결정됩니다.
도메인 컨트롤러를 사용할 수 없고 사용자의 로그온 정보가 캐시된 경우 사용자에게 다음과 같은 메시지가 표시됩니다.
해당 도메인의 도메인 컨트롤러에 연결할 수 없습니다. 캐시된 계정 정보를 사용하여 로그온했습니다. 마지막으로 로그온한 후 프로필을 변경한 내용은 적용되지 않을 수 있습니다.
도메인 컨트롤러를 사용할 수 없고 사용자의 로그온 정보가 캐시되지 않은 경우 사용자에게 다음과 같은 메시지가 표시됩니다.
<DOMAIN_NAME>도메인을 사용할 수 없으므로 시스템에 로그온할 수 없습니다.
대화형 로그온: 캐시할 로그온의 횟수(도메인 컨트롤러가 사용 불가능할 경우) 설정에 사용할 수 있는 값은 다음과 같습니다.
사용자 정의 숫자(0에서 50 사이)
정의되지 않음
보안 문제
이 정책 설정에 할당된 숫자는 서버에서 로그온 정보를 로컬로 캐시할 사용자 수를 나타냅니다. 즉, 이 수를 10으로 설정하면 서버에서 10명의 사용자에 대한 로그온 정보를 캐시합니다. 11번째 사용자가 컴퓨터에 로그온하면 서버는 캐시된 로그온 세션 중 가장 오래된 정보를 덮어씁니다.
서버 콘솔에 액세스하는 사용자의 로그온 자격 증명이 해당 서버에 캐시됩니다. 그러므로 서버의 파일 시스템에 액세스할 수 있는 공격자가 이 캐시된 정보를 찾아 무단 공격을 통해 사용자 암호를 알아낼 수 있습니다.
이러한 공격의 피해를 줄이기 위해 Windows에서는 정보를 암호화하며 정보의 실제 위치를 숨깁니다.
대책
대화형 로그온:캐시할 로그온의 횟수(도메인 컨트롤러가 사용 불가능할 경우) 설정을 0으로 구성합니다. 이렇게 하면 로그온 정보가 로컬로 캐시되지 않습니다. 강력한 암호 정책을 사용하고 컴퓨터 위치를 물리적으로 보호하는 것도 대책이 될 수 있습니다.
잠재적 영향
사용자는 자신을 인증할 도메인 컨트롤러가 없는 컴퓨터에는 로그온할 수 없습니다. 조직에서는 모바일 사용자를 비롯하여 최종 사용자 컴퓨터에 대해 이 값을 2로 구성할 수 있습니다. 이 값을 2로 구성하면 최근에 IT 부서의 구성원이 컴퓨터에 로그온하여 시스템 유지 관리를 수행한 경우에도 사용자의 로그온 정보가 계속 캐시에 유지됩니다. 따라서 이러한 사용자는 조직의 네트워크에 연결되어 있지 않을 때도 컴퓨터에 로그온할 수 있습니다.
대화형 로그온: 암호 만료 전에 사용자에게 암호를 변경하도록 프롬프트
이 정책 설정은 암호가 만료되기 며칠 전에 사용자에게 경고 메시지를 표시할 것인지를 결정합니다. 이와 같이 미리 경고가 표시되기 때문에 사용자는 암호가 만료되기 전까지 여유 있게 강력한 암호를 구성할 수 있습니다.
대화형 로그온: 암호 만료 전에 사용자에게 암호를 변경하도록 프롬프트 설정에 사용할 수 있는 값은 다음과 같습니다.
사용자 정의 일 수(1에서 999 사이)
정의되지 않음
보안 문제
사용자 암호가 정기적으로 만료되도록 구성하는 것이 좋습니다. 사용자에게는 암호가 곧 만료된다는 경고가 표시되어야 합니다. 그렇지 않으면 암호가 만료되었을 때 사용자가 실수로 컴퓨터를 잠글 수 있습니다. 이 경우 네트워크에 로컬로 액세스하는 사용자가 혼란을 겪을 수 있으며, 전화 접속 또는 VPN(가상 사설망) 연결을 통해 조직의 네트워크에 액세스하지 못할 수도 있습니다.
대책
대화형 로그온: 암호 만료 전에 사용자에게 암호를 변경하도록 프롬프트 설정을 14일로 구성합니다.
잠재적 영향
암호가 14일 이내에 만료되도록 구성되어 있는 경우 사용자가 도메인에 로그온할 때마다 암호를 변경하라는 대화 상자가 표시됩니다.
대화형 로그온: 워크스테이션 잠금 해제를 위해 도메인 컨트롤러 인증 필요
잠겨 있는 컴퓨터의 잠금을 해제하려면 로그온 정보가 필요합니다. 도메인 계정의 경우 대화형 로그온: 워크스테이션 잠금 해제를 위해 도메인 컨트롤러 인증 필요 설정은 컴퓨터의 잠금을 해제하려면 도메인 컨트롤러에 접속해야 하는지 여부를 결정합니다. 이 설정을 사용하면 도메인 컨트롤러가 컴퓨터 잠금을 해제하는 데 사용되는 도메인 계정을 인증해야 합니다. 이 설정을 사용하면 사용자가 컴퓨터 잠금을 해제할 때 도메인 컨트롤러로 로그온 정보를 확인하지 않아도 됩니다. 그러나 대화형 로그온: 캐시할 로그온의 횟수(도메인 컨트롤러가 사용 불가능할 경우) 설정을 0보다 큰 값으로 구성하는 경우 사용자의 캐시된 자격 증명을 사용하여 컴퓨터 잠금을 해제합니다.
참고: 이 설정은 Windows 2000 컴퓨터에 적용되지만 이러한 컴퓨터에서 보안 구성 관리자 도구를 통해 이 설정을 사용할 수는 없습니다.
대화형 로그온: 워크스테이션 잠금 해제를 위해 도메인 컨트롤러 인증 필요 설정에 사용할 수 있는 값은 다음과 같습니다.
사용
사용 안 함
정의되지 않음
보안 문제
기본적으로 컴퓨터는 로컬로 인증된 모든 사용자의 자격 증명을 메모리에 캐시한 후 이 캐시된 자격 증명을 사용하여 콘솔 잠금을 해제하려는 사용자를 인증합니다. 캐시된 자격 증명을 사용할 때 사용자 권한 할당, 계정 잠금 또는 사용할 수 없도록 설정된 계정 등 최근에 해당 계정에 대해 수행한 변경 내용은 계정을 인증한 후에 고려 또는 적용되지 않습니다. 따라서 사용자 권한이 업데이트되지 않을 뿐만 아니라 사용할 수 없도록 설정된 계정으로도 여전히 컴퓨터 콘솔의 잠금을 해제할 수 있습니다.
대책
대화형 로그온: 워크스테이션 잠금 해제를 위해 도메인 컨트롤러 인증 필요 설정을 사용으로 구성하고 대화형 로그온: 캐시할 로그온의 횟수(도메인 컨트롤러가 사용 불가능할 경우) 설정을 0으로 구성합니다.
잠재적 영향
컴퓨터 콘솔이 사용자에 의해 잠기거나 화면 보호기 시간 초과로 인해 자동으로 잠기는 경우 콘솔의 잠금은 사용자가 도메인 컨트롤러를 다시 인증할 수 있는 경우에만 해제할 수 있습니다. 사용할 수 있는 도메인 컨트롤러가 없는 경우 사용자는 워크스테이션 잠금을 해제할 수 없습니다. 대화형 로그온: 캐시할 로그온의 횟수(도메인 컨트롤러가 사용 불가능할 경우) 설정을 0으로 구성하면 모바일 사용자 또는 원격 사용자 등 해당 도메인 컨트롤러를 사용할 수 없는 사용자는 로그온할 수 없습니다.
대화형 로그온: 스마트 카드 필요
이 정책 설정을 사용하는 경우 사용자는 스마트 카드를 사용하여 컴퓨터에 로그온해야 합니다.
참고: 이 설정은 Windows 2000 컴퓨터에 적용되지만 이러한 컴퓨터에서 보안 구성 관리자 도구를 통해 이 설정을 사용할 수는 없습니다.
대화형 로그온: 스마트 카드 필요 설정에 사용할 수 있는 값은 다음과 같습니다.
사용
사용 안 함
정의되지 않음
보안 문제
사용자가 인증을 위해 길고 복잡한 암호를 사용하도록 하고 특히 암호를 정기적으로 변경하도록 하면 네트워크 보안이 향상됩니다. 이렇게 하면 공격자가 무단 공격을 통해 사용자의 암호를 추측하기가 어렵게 됩니다. 그러나 사용자가 강력한 암호를 선택하기가 까다로우며, 강력한 암호를 사용하는 경우에도 공격자에게 충분한 시간과 컴퓨팅 리소스가 있으면 무단 공격을 받을 수 있습니다. 암호 대신 최신 기술인 스마트 카드를 사용하여 인증하면 보안이 획기적으로 개선됩니다. 스마트 카드를 사용하면 공격자가 다른 사용자를 가장하는 것이 거의 불가능하기 때문입니다. PIN(개인 ID 번호)을 필요로 하는 스마트 카드를 사용하면 두 가지 요소를 통해 사용자를 인증할 수 있습니다. 즉, 사용자는 스마트 카드를 소유하고 있어야 할 뿐 아니라 PIN도 알고 있어야 합니다. 이렇게 하면 사용자 컴퓨터와 도메인 컨트롤러 사이의 인증 트래픽을 캡처한 공격자가 트래픽을 해독하기가 극히 어려워질 뿐만 아니라, 트래픽을 해독하더라도 사용자가 네트워크에 다시 로그온할 때 사용자와 도메인 컨트롤러 사이의 트래픽을 암호화하기 위해 새 세션 키가 생성됩니다.
대책
중요한 계정의 경우 사용자에게 스마트 카드를 발급하고 대화형 로그온: 스마트 카드 필요 설정을 사용으로 구성합니다.
잠재적 영향
모든 사용자가 네트워크에 로그온하기 위해 스마트 카드를 사용해야 합니다. 따라서 조직은 신뢰할 수 있는 PKI(공개 키 인프라)와 모든 사용자의 스마트 카드 및 스마트 카드 판독기를 마련해야 합니다. 이러한 기술을 계획 및 배포하는 데는 해당 기술 전문가 및 리소스가 필요하므로 조직에 있어 이는 큰 부담이 될 수 있습니다. 그러나 Windows Server 2003에는 인증서 구현 및 관리를 위한 고급 서비스인 인증서 서비스가 포함되어 있습니다. 인증서 서비스를 Windows XP에서 사용하는 경우 자동 사용자 및 컴퓨터 등록과 갱신 같은 기능을 사용할 수 있게 됩니다.
대화형 로그온: 스마트 카드 제거 동작
이 정책 설정은 로그온한 사용자의 스마트 카드를 스마트 카드 판독기에서 제거할 때 발생하는 동작을 결정합니다.
대화형 로그온: 스마트 카드 제거 동작 설정에 사용할 수 있는 값은 다음과 같습니다.
작업 없음
워크스테이션 잠금
강제 로그오프
정의되지 않음
보안 문제
스마트 카드를 사용하여 인증하는 경우 카드를 제거하면 컴퓨터가 자동으로 잠겨야 합니다. 이렇게 하면 사용자가 자리를 비울 때 워크스테이션을 수동으로 잠그는 것을 잊어버리더라도 악의적인 사용자가 해당 컴퓨터에 액세스할 수 없도록 할 수 있습니다.
대책
스마트 카드 제거 동작 설정을 워크스테이션 잠금으로 구성합니다.
이 정책 설정의 속성 대화 상자에서 워크스테이션 잠금을 선택하면 스마트 카드를 제거할 때 워크스테이션이 잠깁니다. 그러면 사용자가 스마트 카드를 가지고 자리를 비워도 세션은 계속 보호됩니다.
이 정책 설정의 속성 대화 상자에서 강제 로그오프를 선택한 경우 스마트 카드를 제거하면 사용자가 자동으로 로그오프됩니다.
잠재적 영향
사용자가 워크스테이션으로 돌아오면 스마트 카드를 다시 삽입하고 PIN을 다시 입력해야 합니다.
Microsoft 네트워크 클라이언트 및 서버: 디지털 서명 통신(네 가지 관련 설정)
디지털 서명 SMB(서버 메시지 블록) 통신과 관련하여 다음과 같은 네 가지 설정을 사용할 수 있습니다.
Microsoft 네트워크 클라이언트: 디지털 서명 통신(항상)
Microsoft 네트워크 서버: 디지털 서명 통신(항상)
Microsoft 네트워크 클라이언트: 디지털 서명 통신(서버에서 동의한 경우)
Microsoft 네트워크 서버: 디지털 서명 통신(클라이언트에서 동의한 경우)
이러한 각 정책 설정에 사용할 수 있는 값은 다음과 같습니다.
사용
사용 안 함
정의되지 않음
보안 문제
고급 보안 네트워크에서 디지털 서명을 구현하면 클라이언트 및 서버로 가장하는 행위를 방지할 수 있습니다. 이러한 가장은 세션 하이재킹이라고도 하며, 공격자는 세션 하이재킹 도구를 통해 동일한 네트워크에 클라이언트나 서버로 액세스하여 진행 중인 세션을 중단하거나 끝내거나 훔칠 수 있습니다. 또한 공격자는 서명되지 않은 SMB 패킷을 가로채 수정한 다음 트래픽을 수정하여 전달함으로써 서버가 올바른 작업을 수행하지 못하게 할 수도 있으며, 합법적인 인증을 통해 서버나 클라이언트로 가장하여 데이터에 무단으로 액세스할 수도 있습니다.
SMB는 다양한 Microsoft 운영 체제에서 지원하는 리소스 공유 프로토콜이며 NetBIOS 및 기타 여러 프로토콜의 기반이 되는 요소입니다. SMB 서명은 사용자 및 데이터를 호스트하는 서버를 모두 인증합니다. 사용자와 서버 중 한 쪽에서 인증 프로세스가 실패하면 데이터가 전송되지 않습니다.
참고: 모든 네트워크 트래픽을 보호할 수 있는 다른 대책으로 IPSec을 사용하여 디지털 서명을 구현할 수 있습니다. IPsec 암호화 및 서명을 위해 하드웨어 기반 가속기를 사용하면 서버 CPU 성능에 미치는 영향을 최소화할 수 있습니다. 그러나 SMB 서명에 사용할 수 있는 가속기는 없습니다.
대책
네 가지 설정을 각각 다음과 같이 구성합니다.
Microsoft 네트워크 클라이언트: 디지털 서명 통신(항상) 설정을 사용 안 함으로 구성합니다.
Microsoft 네트워크 서버: 디지털 서명 통신(항상) 설정을 사용 안 함으로 구성합니다.
Microsoft 네트워크 클라이언트: 디지털 서명 통신(서버에서 동의한 경우) 설정을 사용으로 구성합니다.
Microsoft 네트워크 서버: 디지털 서명 통신(클라이언트에서 동의한 경우) 설정을 사용으로 구성합니다.
일부 리소스의 경우에는 네 가지 설정을 모두 사용으로 구성하는 것이 좋습니다. 그러나 이렇게 구성하면 클라이언트 컴퓨터의 성능이 떨어질 수 있으며 레거시 SMB 응용 프로그램 및 운영 체제와 통신하지 못할 수 있습니다.
잠재적 영향
Windows 2000 Server, Windows 2000 Professional, Windows Server 2003 및 Windows XP Professional의 SMB 파일 및 인쇄 공유 프로토콜 구현에서는 상호 인증을 지원하므로 세션 하이재킹 공격을 방지할 수 있으며 끼어들기 공격을 막기 위한 메시지 인증을 사용할 수 있습니다. SMB 서명은 각 SMB에 디지털 서명을 포함시켜 클라이언트와 서버가 모두 확인하도록 함으로써 이 인증 방식을 제공합니다. 그러나 SMB 서명을 구현하면 각 패킷에 서명을 적용하고 해당 서명을 확인해야 하므로 성능이 떨어질 수 있습니다. 컴퓨터가 서명되지 않은 SMB 통신을 모두 무시하도록 구성된 경우 레거시 응용 프로그램 및 운영 체제에는 연결할 수 없습니다. 모든 SMB 서명을 완전히 사용하지 않는 경우 컴퓨터가 세션 하이재킹 공격을 받을 가능성이 높아집니다.
Microsoft 네트워크 클라이언트: 타사 SMB 서버에 암호화되지 않은 암호를 보냄
이 정책 설정을 사용하면 SMB 리디렉터가 인증 시 암호 부호화를 지원하지 않는 타사 SMB 서버에 일반 텍스트 암호를 보낼 수 있습니다.
Microsoft 네트워크 클라이언트: 타사 SMB 서버에 암호화되지 않은 암호를 보냄 설정에 사용할 수 있는 값은 다음과 같습니다.
사용
사용 안 함
정의되지 않음
보안 문제
이 정책 설정을 사용하면 서버에서 네트워크를 통해 암호를 SMB 서비스를 제공하는 다른 컴퓨터에 일반 텍스트 형태로 전송할 수 있습니다. 그러면 이러한 암호를 받은 다른 컴퓨터는 Windows Server 2003에 포함된 SMB 보안 메커니즘을 사용하지 못할 수 있습니다.
대책
Microsoft 네트워크 클라이언트: 타사 SMB 서버에 암호화되지 않은 암호를 보냄 설정을 사용 안 함으로 구성합니다.
잠재적 영향
MS-DOS, Windows for Workgroups 3.11, Windows 95a 등과 같은 오래된 응용 프로그램과 운영 체제에서는 SMB 프로토콜을 통해 조직의 서버와 통신하지 못할 수 있습니다.
Microsoft 네트워크 서버: 세션 연결을 중단하기 전에 필요한 유휴 시간
이 정책 설정은 SMB 세션이 동작하지 않아 연결이 끊어지기 전에 이 세션에서 경과되어야 하는 연속 유휴 시간을 설정합니다. 관리자는 이 정책 설정을 사용하여 컴퓨터가 비활성 SMB 세션을 중단하는 시점을 제어할 수 있습니다. 중단된 세션은 클라이언트 작업을 다시 시작할 때 자동으로 다시 설정됩니다. 이 설정의 값을 0으로 구성하면 유휴 세션의 연결을 즉시 끊습니다. 최대값은 99999, 즉 208일이며 실제로 최대값을 설정하는 것은 설정을 사용하지 않는 것과 같습니다.
Microsoft 네트워크 서버: 세션 연결을 중단하기 전에 필요한 유휴 시간 설정에 사용할 수 있는 값은 다음과 같습니다.
사용자 정의 기간(분)
정의되지 않음
보안 문제
각 SMB 세션에서는 서버 리소스를 사용하며, null 세션의 수가 많으면 서버 속도가 느려지거나 서버에 오류가 발생할 수 있습니다. 공격자는 SMB 세션을 반복 설정하여 서버의 SMB 서비스가 느려지거나 응답하지 않도록 할 수 있습니다.
대책
Microsoft 네트워크 서버: 세션 연결을 중단하기 전에 필요한 유휴 시간 설정을 15분으로 구성합니다.
잠재적 영향
클라이언트가 작업을 다시 시작하면 SMB 세션이 자동으로 다시 설정되기 때문에 별다른 영향이 없습니다.
Microsoft 네트워크 서버: 로그온 시간이 만료되면 클라이언트 연결 끊기
이 정책 설정은 사용자 계정의 유효한 로그온 시간을 초과하여 로컬 컴퓨터에 연결되어 있는 사용자의 연결을 끊을지 여부를 결정합니다. 이 설정은 SMB 구성 요소에 영향을 줍니다. 이 정책 설정을 사용하면 클라이언트의 로그온 시간이 만료될 때 SMB 서비스가 있는 클라이언트 세션의 연결이 강제로 끊어집니다. 이 정책 설정을 사용하지 않으면 설정되어 있는 클라이언트 세션은 클라이언트의 로그온 시간이 만료되어도 계속 유지됩니다. 이 정책 설정을 사용하는 경우에는 네트워크 보안: 로그온 시간이 만료되면 강제로 로그오프 설정도 함께 사용해야 합니다.
Microsoft 네트워크 서버: 로그온 시간이 만료되면 클라이언트 연결 끊기 설정에 사용할 수 있는 값은 다음과 같습니다.
사용
사용 안 함
정의되지 않음
보안 문제
조직에서 사용자의 로그온 시간을 구성하는 경우에는 이 정책 설정을 사용하는 것이 좋습니다. 그렇지 않은 경우에는 자신의 로그온 시간을 초과하여 네트워크 리소스에 액세스할 수 없도록 지정된 사용자가 실제로 허용된 시간 동안 설정된 세션을 통해 해당 리소스를 계속해서 사용하는 것이 가능해질 수도 있습니다.
대책
Microsoft 네트워크 서버: 로그온 시간이 만료되면 클라이언트 연결 끊기 설정을 사용합니다.
잠재적 영향
조직에서 로그온 시간을 사용하지 않는다면 이 정책 설정을 사용해도 아무런 효과가 없습니다. 로그온 시간을 사용하는 경우 해당 로그온 시간이 만료되면 기존 사용자 세션이 강제로 종료됩니다.
네트워크 액세스: 익명 SID/이름 변환 허용
이 정책 설정은 익명 사용자가 다른 사용자의 SID 특성을 요청할 수 있는지 여부를 결정합니다.
네트워크 액세스: 익명 SID/이름 변환 허용 설정에 사용할 수 있는 값은 다음과 같습니다.
사용
사용 안 함
정의되지 않음
보안 문제
이 정책 설정을 사용하는 경우 로컬 액세스 권한이 있는 사용자는 잘 알려진 Administrator SID를 사용하여 기본 제공 Administrator 계정의 실제 이름을 알아낼 수 있습니다. 이는 해당 계정의 이름을 바꾼 경우에도 가능합니다. 그런 다음 해당 사용자는 계정 이름을 사용하여 암호 추측 공격을 실행할 수 있습니다.
대책
네트워크 액세스: 익명 SID/이름 변환 허용 설정을 사용 안 함으로 구성합니다.
잠재적 영향
구성원 컴퓨터의 경우 이 정책 설정의 기본 구성이 사용 안 함이므로 아무런 영향을 받지 않습니다. 그러나 도메인 컨트롤러의 경우 기본 구성은 사용입니다. 도메인 컨트롤러에 대해 이 정책 설정을 사용하지 않으면 레거시 컴퓨터에서 Windows Server 2003 기반 도메인과 통신하지 못할 수 있습니다. 예를 들어 다음과 같은 컴퓨터가 작동하지 않을 수 있습니다.
Windows NT 4.0 기반 원격 액세스 서비스 서버
Windows NT 3.x 기반 컴퓨터 또는 Windows NT 4.0 기반 컴퓨터에서 실행되는 Microsoft SQL Servers
Windows NT 3.x 도메인 또는 Windows NT 4.0 도메인에 있는 Windows 2000 기반 컴퓨터에서 실행되는 원격 액세스 서비스 서버 또는 Microsoft SQL Server
네트워크 액세스: SAM 계정의 익명 열거 허용 안 함
이 정책 설정은 컴퓨터에 익명으로 연결할 때 부여할 추가 권한을 결정합니다. Windows에서는 익명 사용자가 도메인 계정 이름 및 네트워크 공유를 열거하는 등의 특정 작업을 수행할 수 있습니다. 예를 들어 서로 신뢰하지 않는 트러스트된 도메인의 사용자에게 관리자가 액세스 권한을 부여하려는 경우에 이 기능을 사용하면 편리합니다. 그러나 이 설정을 사용하는 경우에도 익명 사용자는 기본 제공된 특수 그룹인 ANONYMOUS LOGON을 명시적으로 포함하는 사용 권한이 있는 모든 리소스에 계속해서 액세스할 수 있습니다.
Windows 2000에서는 익명 연결에 대한 추가 제한이라는 유사한 정책 설정이 HKLM\SYSTEM\CurrentControlSet\Control\LSA 레지스트리 키에 있는 RestrictAnonymous라는 레지스트리 값을 관리했습니다. Windows Server 2003에서는 네트워크 액세스: SAM 계정의 익명 열거 허용 안 함 및 네트워크 액세스: SAM 계정과 공유의 익명 열거 허용 안함 정책 설정이 Windows 2000 정책 설정을 대체합니다. 이러한 설정은 HKLM\System\CurrentControlSet\Control\Lsa\ 레지스트리 키에 있는 RestrictAnonymousSAM 및 RestrictAnonymous 레지스트리 값을 각각 관리합니다.
네트워크 액세스: SAM 계정의 익명 열거 허용 안 함 설정에 사용할 수 있는 값은 다음과 같습니다.
사용
사용 안 함
정의되지 않음
보안 문제
권한이 없는 사용자가 익명으로 계정 이름을 나열하고 이 정보를 사용하여 사회 공학적 공격을 수행하거나 암호를 추측할 수 있습니다. 사회 공학적 공격은 사용자를 속여 암호나 보안 정보를 얻으려는 공격입니다.
대책
네트워크 액세스: SAM 계정의 익명 열거 허용 안 함 설정을 사용으로 구성합니다.
잠재적 영향
Windows NT 4.0 기반 도메인과 트러스트를 설정할 수 없습니다. 또한 Windows NT 3.51 및 Windows 95 같은 이전 버전의 Windows 운영 체제를 실행하는 클라이언트 컴퓨터에서 서버의 리소스를 사용하려고 하면 문제가 발생할 수 있습니다.
네트워크 액세스: SAM 계정과 공유의 익명 열거 허용 안 함
이 정책 설정은 SAM(보안 계정 관리자) 계정 및 공유를 익명으로 열거할 수 있는지 여부를 결정합니다. 이전 섹션에서 설명한 것처럼, Windows에서는 익명 사용자가 도메인 계정 이름 및 네트워크 공유를 열거하는 등의 특정 작업을 수행할 수 있습니다. 예를 들어 서로 신뢰하지 않는 트러스트된 도메인의 사용자에게 관리자가 액세스 권한을 부여하려는 경우에 이 기능을 사용하면 편리합니다. SAM 계정 및 공유의 익명 열거를 허용하지 않으려는 경우 이 정책 설정을 사용하면 됩니다. 그러나 이 설정을 사용하는 경우에도 익명 사용자는 기본 제공된 특수 그룹인 ANONYMOUS LOGON을 명시적으로 포함하는 사용 권한이 있는 모든 리소스에 계속해서 액세스할 수 있습니다.
Windows 2000에서는 익명 연결에 대한 추가 제한이라는 유사한 정책 설정이 HKLM\SYSTEM\CurrentControlSet\Control\LSA 레지스트리 키에 있는 RestrictAnonymous라는 레지스트리 값을 관리했습니다. Windows Server 2003에서는 네트워크 액세스: SAM 계정의 익명 열거 허용 안 함 및 네트워크 액세스: SAM 계정과 공유의 익명 열거 허용 안 함 정책 설정이 Windows 2000 정책 설정을 대체합니다. 이러한 설정은 HKLM\System\CurrentControlSet\Control\Lsa\ 레지스트리 키에 있는 RestrictAnonymousSAM 및 RestrictAnonymous 레지스트리 값을 각각 관리합니다.
네트워크 액세스: SAM 계정과 공유의 익명 열거 허용 안 함 설정에 사용할 수 있는 값은 다음과 같습니다.
사용
사용 안 함
정의되지 않음
보안 문제
권한이 없는 사용자가 익명으로 계정 이름 및 공유 리소스를 나열하고 이 정보를 사용하여 암호를 추측하거나 사회 공학적 공격을 수행할 수 있습니다.
대책
네트워크 액세스: SAM 계정과 공유의 익명 열거 허용 안 함 설정을 사용으로 구성합니다.
잠재적 영향
트러스팅 도메인의 관리자가 다른 도메인의 계정 목록을 열거할 수 없기 때문에 단방향 트러스트를 통해 다른 도메인 사용자에게 액세스 권한을 부여할 수 없습니다. 파일 및 인쇄 서버에 익명으로 액세스하는 사용자는 해당 서버의 공유 네트워크 리소스를 나열할 수 없습니다. 공유 폴더와 프린터 목록을 보려는 사용자는 먼저 인증을 받아야 합니다.
네트워크 액세스: 네트워크 인증에 대한 자격 증명의 저장소나 .NET Passport 허용 안 함
이 정책 설정은 저장된 사용자 이름 및 암호 기능이 도메인 인증을 받으면 나중에 사용하기 위해 암호나 자격 증명을 저장할 수 있는지 여부를 결정합니다. 이 정책 설정을 사용하면 Windows의 저장된 사용자 이름 및 암호 기능이 암호 및 자격 증명을 저장하지 않습니다.
네트워크 액세스: 네트워크 인증에 대한 자격 증명의 저장소나 .NET Passport 허용 안 함 설정에 사용할 수 있는 값은 다음과 같습니다.
사용
사용 안 함
정의되지 않음
보안 문제
사용자가 컴퓨터에 로그온할 때 캐시된 암호에 액세스할 수 있습니다. 이는 자연스러운 과정으로 생각될 수도 있지만, 암호를 읽어 권한이 없는 다른 사용자에게 전달하는 악의적인 코드를 사용자가 실수로 실행하는 경우에는 문제가 발생할 수 있습니다.
참고: 이러한 악용 문제 및 악의적인 코드와 관련된 기타 위험은 조직에서 합리적인 소프트웨어 제한 정책과 함께 기업형 바이러스 백신 솔루션을 효과적으로 구현 및 관리하는 경우 현격히 줄어듭니다. 소프트웨어 제한 정책에 대한 자세한 내용은 제 8장 "소프트웨어 제한 정책"을 참조하십시오.
대책
네트워크 액세스: 네트워크 인증에 대한 자격 증명의 저장소나 .NET Passport 허용 안 함 설정을 사용으로 구성합니다.
잠재적 영향
사용자는 Passport 계정에 로그온하거나 사용자의 도메인 계정으로 액세스할 수 없는 다른 네트워크 리소스에 로그온할 때마다 암호를 입력해야 합니다. 이 정책 설정은 사용자가 자신의 Active Directory 기반 도메인 계정으로 액세스할 수 있도록 구성된 네트워크 리소스에 액세스하는 데는 영향을 주지 않습니다.
네트워크 액세스: Everyone 사용 권한을 익명 사용자에게 적용
이 정책 설정은 컴퓨터에 익명으로 연결할 때 부여되는 추가 권한을 결정합니다. 이 정책 설정을 사용하면 익명 사용자가 도메인 계정 이름 및 네트워크 공유를 열거할 수 있으며 기타 특정 작업을 수행할 수 있습니다. 예를 들어 서로 신뢰하지 않는 트러스트된 도메인의 사용자에게 관리자가 액세스 권한을 부여하려는 경우에 이 기능을 사용하면 편리합니다.
기본적으로 익명 연결에 대해 생성되는 토큰에는 Everyone SID가 포함되어 있지 않습니다. 따라서 Everyone 그룹에 할당된 사용 권한은 익명 사용자에게 적용되지 않습니다. 이 정책 설정을 사용하면 Everyone SID가 익명 연결에 대해 생성되는 토큰에 추가되므로 익명 사용자가 Everyone 그룹이 사용 권한을 할당 받은 모든 리소스에 액세스할 수 있게 됩니다.
네트워크 액세스: Everyone 사용 권한을 익명 사용자에게 적용 설정에 사용할 수 있는 값은 다음과 같습니다.
사용
사용 안 함
정의되지 않음
보안 문제
권한이 없는 사용자가 익명으로 계정 이름 및 공유 리소스를 나열하고 이 정보를 사용하여 암호를 추측하거나 사회 공학적 공격을 수행하거나 DoS 공격을 실행할 수 있습니다.
대책
네트워크 액세스: Everyone 사용 권한을 익명 사용자에게 적용 설정을 사용 안 함으로 구성합니다.
잠재적 영향
없음: 기본 구성입니다.
네트워크 액세스: 익명으로 액세스할 수 있는 명명된 파이프
이 정책 설정은 익명 액세스를 허용하는 특성 및 사용 권한을 가질 통신 세션(파이프)을 결정합니다.
네트워크 액세스: 익명으로 액세스할 수 있는 명명된 파이프 설정에 사용할 수 있는 값은 다음과 같습니다.
사용자 정의 공유 목록
정의되지 않음
이 정책 설정을 적용하려면 네트워크 액세스: 명명된 파이프와 공유에 대한 익명 액세스 제한 설정도 사용해야 합니다.
보안 문제
COMNAP 및 LOCATOR 같은 명명된 파이프에 통한 액세스를 제한하면 네트워크에 대한 무단 액세스를 방지할 수 있습니다. 다음 표에서는 명명된 파이프 및 해당 용도의 기본 목록을 보여 줍니다.
표 5.1: 익명으로 액세스할 수 있는 기본 명명된 파이프
| 명명된 파이프 | 용도 |
|---|---|
| COMNAP | SnaBase 명명된 파이프. SNA(Systems Network Architecture)는 원래 IBM 메인프레임 컴퓨터용으로 개발된 네트워크 프로토콜의 모음입니다. |
| COMNODE | SNA 서버 명명된 파이프 |
| SQL\QUERY | SQL Server용 기본 명명된 파이프 |
| SPOOLSS | 인쇄 스풀러 서비스용 명명된 파이프 |
| EPMAPPER | 끝점 매퍼 명명된 파이프 |
| LOCATOR | Remote Procedure Call Locator 서비스 명명된 파이프 |
| TrkWks | Distributed Link Tracking Client 명명된 파이프 |
| TrkSvr | Distributed Link Tracking Server 명명된 파이프 |