Windows system 보안 설정 체크해볼까요

1 윈도우 시스템의 기본적인 문제점
- 관리자적 공유 (숨김공유)
  c$, admin$, print$
  접근 : 시작 -> 실행 -> \\IP\c$
  확인 : 시작 -> 관리도구 -> 컴퓨터관리 -> 공유폴더 -> 공유 해제 (재부팅시 다시 살아남)
  해결책 : 레지스트리에서 제거
           시작 -> 실행 -> regedit
           HLM/System/CurrentControlSet/Services/LanmanServer/Parameters/
    간단한 레지스트리 값을 만들어서 $ 공유들을 해제할 수 있습니다
           편집 새로만들기 DWORD값
           키 : AutoShareServer 키값 : 0(16진수)   win2000server 대소문자구분필수
           키 : AutoShareWks    키값 : 0(16진수)   xp, win2000pro 대소문자구분필수
           도스창에서
           > net share c$ /delete
           > net share admin$ /delete
           > net share d$ /delete
           > net share print$ /delete

           레지스트리 편집 모드 (서버 관리시)
           regedit(16bit)
           regedt32(32bit) 보안 -> 사용권한 -> 소유권 회수
           시스템 정책편집기(gpedit.msc)

           서비스의 원격레지스티리 서비스 중지  관리도구 -> 서비스 -> Remote Registry Service 사용안함

- IPC$ 문제점
  확인 : 시작 -> 관리도구 -> 컴퓨터관리 -> 공유폴더 -> 공유 해제
  Internet process Connection 또는 Inter Process call
  역할 : 사용자 정보유지 암호정책 활동중인 서비스 정책 프로세스정보
  접근 정보 차단 (삭제 안됨)
  해결책 : 시작 -> 실행 -> regedit
  HLM/System/CurrentControlSet/Control/LSA/
  = restrictAnonymous - 0 이값을 - 2 로 변경

  Null Session 공격 (default 가 0 값으로 되어 있을때 공격가능)
  또는
  MSSQL의 Named Pipe(명명된 파이프) 호출 함수

  > net use \\IP\ipc$ "" /user:""
    (명령이 잘 실행되었습니다) 라고 나오면 널 세션 공격 성공

  > net view \\IP (숨김공유는 목록이 보이지 않음)
  > start \\IP\공유폴더

- 불필요한 서비스 중지 (사용안함)
  확인 : 시작 -> 관리도구 -> 서비스
  Messenger 서비스 중지 (Messenger : 같은 작업그룹컴에 메시지 보냄 net send * "뭐라고")
  Remote Registry Service 서비스 중지
  RunAs Service 서비스 중지 (원격 접속에서 쉬프트 오른쪽 다른계정으로 접속)
  Task Scheduler 서비스 중지 (자동화스케쥴러)
  TCP/IP NetBIOS Helper Service (win98이 한대라도 있을경우만 사용 그외 중지)

- 윈도우 업데이트

- 좋은 백신 & 피싱 프로그램 추가

 

Windows system 보안설정에 대해서 알아보았습니다.