취약점 개요
점검내용
- 관리자 그룹에 불필요한 사용자의 포함 여부 점검
점검목적
- 관리자 그룹 구성원에 불필요한 사용자의 포함 여부를 점검하여, 관리 권한자를 최소화 하고자 함
보안위협
- Administrators와 같은 관리자 그룹에 속한 구성원은 컴퓨터 시스템에 대한 완전하고 제한 없는 액세스 권한을 가지므로 사용자를 관리자 그룹에 포함 시킬 경우 비인가 사용자에 대한 과도한 관리 권한이 부여될 수 있음
참고
- 관리 권한의 오남용으로 인한 시스템 피해를 줄이기 위해서 관리 업무를 위한 계정과 일반 업무를 위한 계정을 분리하여 사용하는 것이 바람직함
- 시스템 관리를 위해서 관리권한 게정과 일반권한 계정을 분리하여 운영하는 것을 권고
- 시스템 관리자는 원칙적으로 1명 이하로 유지하고 부득이하게 2명 이상의 관리 권한자를 유지하여야 하는 경우에는 관리자 그룹에는 최소한의 사용자만 포함하도록 하여야 함
점검대상 및 판단기준
대상
- Windows NT, 2000, 2003, 2008, 2012
판단 기준
- 양호 : Administrators 그룹의 구성원을 1명 이하로 유지하거나 불필요한 관리자 계정이 존재하지 않는 경우
- 취약 : Administrators 그룹에 불필요한 관리자 계정이 존재하는 경우
조치방법
- Administors 구룹에 포함된 불필요한 계정 제거
점검 및 조치 사례
- Window NT
Step 1) 시작 > 프로그램 > 관리도구 > 도메인 사용자 관리 > Administrators 그룹 > 등록 정보
Step 2) Administrator 그룹에서 불필요한 계정 제거 후 그룹 변경
- Windows 2000, 2003, 2008, 2012
Step 1) 시작 > 실행 > LUSRMGR.MSC > 그룹 > Administrators > 속성
Step 2) Administrators 그룹에서 불필요한 계정 제거 후 그룹 변경
조치 시 영향
- Administrator 그룹에 있는 계정을 잘못 삭제하는 경우 해당 업무에 장애 발생 가능성이 있음
'개발 > 한국인터넷진흥원 취약점 분석 평가' 카테고리의 다른 글
| 2. 서비스 관리 > 2.2 하드디스크 기본 공유 제거 (0) | 2020.02.18 |
|---|---|
| 2. 서비스 관리 > 2.1 공유 권한 및 사용자 그룹 설정 (0) | 2020.02.18 |
| 1. 계정관리 > 1.5 해독 가능한 암호화를 사용하여 암호 저장 해제 (0) | 2020.02.13 |
| 1. 계정관리 > 1.4 계정 잠금 임계값 설정 (0) | 2020.02.12 |
| 1. 계정관리 > 1.3 불필요한 계정 제거 (0) | 2020.02.10 |
댓글