W-20(상) 하드디스크 기본 공유 제거 여부 점검

주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다.

주요정보통신기반시설 취약점 Windows 서버 점검 항목

■ 취약점 개요

○ 점검개요 : 하드디스크 기본 공유 제거 여부 점검

○ 점검목적 : 하드디스크 기본 공유를 제거하여 시스템 정보 노출을 차단하고자 함

○ 보안위협 : Windows는 프로그램 및 서비스를 네트워크나 컴퓨터 환경에서 관리하기 위해 시스템 기본 공유 항목을 자동으로 생성함. 이를 제거하지 않으면 비인가자가 모든 시스템 자원에 접근할 수 있는 위험한 상황이 발생할 수 있으며 이러한 공유 기능의 경로를 이용하여 바이러스가 침투될 수 있음

○ 점검대상 : Windows NT, 2000, 2003, 2008, 2012, 2016 등

○ 판단기준

- 양호 : 레지스트리의 AutoShareServer (WinNT: AutoShareWks)가 0이며 기본 공유가 존재하지 않는 경우

- 취약 : 레지스트리의AutoShareServer (WinNT: AutoShareWks)가 1이거나 기본 공유가 존재하는 경우

 

■ 점검방법

○ Window NT

Step 1

아래 경로를 참고하여 설정 확인 프로그램> 관리도구> 서버 관리자> 컴퓨터> 공유 디렉토리

○ Window 2000, 2003, 2008, 2012, 2016 등

Step 1

아래 경로를 참고하여 설정 확인 시작> 실행> FSMGMT.MSC> 공유

 

■ 조치방안

○ Window NT

Step 1	아래 경로를 참고하여 설정 확인 프로그램> 관리도구> 서버 관리자> 컴퓨터> 공유 디렉토리
Step 2	기본 공유 존재 시 공유 멈춤
Step 3	공유 중지 후 레지스트리 값 설정(IPC$, 일반 공유 제외) 시작> 실행> REGEDIT 아래 레지스트리 값을 0으로 수정함(키 값이 없을 경우 새로 생성함) “HKLM\SYSTEM\CurrentControlSet\Services\Ianmanserver\parameters\AutoShareWks”

○ Window 2000, 2003, 2008, 2012

Step 1	아래 경로를 참고하여 설정 확인 시작> 실행> FSMGMT.MSC> 공유
Step 2	기본 공유 존재 시 공유 중지
Step 3	공유 중지 후 레지스트리 값 설정(IPC$, 일반 공유 제외) 시작> 실행> REGEDIT 아래 레지스트리 값을 0으로 수정함(키 값이 없을 경우 새로 생성함) “HKLM\SYSTEM\CurrentControlSet\Services\Ianmanserver\parameters\AutoShareServe”

○ 방화벽과 라우터에서 135~139(TCP/UDP)포트를 차단하여 외부로부터의 위험을 제거함으로써 보안성을 높일 수 있음 (Windows 2008 제외)

 

■ 조치 시 영향

Active Directory, Clustered system에서는 적용 시 영향 있음

※ Active Directory: 중앙 집중화된 자원 관리를 위한 계층적 디렉토리 서비스

※ Clustered system: 여러 개의 시스템을 결합하여 사용함

 

■ 기본 공유 : 관리목적으로 자동 생성되는 공유 드라이브(Administrative share). 이러한 드라이브들은 C$, D$, E$ 등과 같이 이름 뒤에 $가 붙어서 숨겨진 공유로 처리되며, Windows 2000, XP에서는 관리자 ID와 Password를 알고 있으면 네트워크를 통해 이러한 공유 드라이브들에 자유롭게 접근할 수 있음. 그러나 이후 버전 Windows에서는 보안상의 이유로 로컬시스템의 관리자가 네트워크를 통해 시스템을 관리하지 못하도록 기본적으로 차단됨