전체 글57 윈도우 취약점 진단 (Day 7) W-53 로컬 로그온 허용 일차적 진단 방법은 secedit /export /cfg 'filename'.inf 해서 보안 설정값 중 'SeInteractiveLogonRight'과 'SeDenyInteractiveLogonRight' 설정값을 확인하는 것이다. 1. SeInteractiveLogonRight: 사용자가 로컬 컴퓨터에서 물리적으로 로그인을 수행할 수 있는 권한을 부여한다. 2. SeDenyInteractiveLogonRight: 해당 설정값에 포함되어 있는 사용자는 로그인할 수 없다. 정책 변경 후 적용시에는 시스템을 다시 시작하거나, gpupdate /force 명령을 사용한다. ※ SeInteractiveLogonRight와 SeDenyInteractiveLogonRight는 상호 .. 2025. 1. 7. 윈도우 취약점 진단 (Day 6) W-48 패스워드 복잡성 설정 secedit /export /cfg FileName.inf 해서 가져온 파일 안에 PasswordComplexity가 1로 설정되어 있는지 확인하면 된다. 주통 가이드에 보면 PasswordComplexity가 하는 일은 다음과 같다 ' 암호를 변경하거나 새로운 암호 생성 시 영문, 숫자, 특수문자 중 2종류 이상 최소 10자리 혹은 3종류 이상 최소 8자리 이상의 길이로 구성한다. 다시말해, PasswordComplexity가 적용되어 있어서 새로 암호를 변경하거나 생성하지 않으면 무용지물이라는 말이다. 추가로, 서버 접근제어 솔루션을 사용하고 있다면 굳이 OS영역의 패스워드 복잡성 설정을 확인하지 않아도 무방하다. @echo offsetlocalchcp 437ech.. 2025. 1. 6. 윈도우 Active Directory 기본 용어 정리 AD 왜 사용할까? 회사내의 컴퓨터가 수백/수천 대라면 네트워크에 연결된 컴퓨터 중에서 B 사용자의 컴퓨터를 찾는 일은 굉장히 어려울 것이다. 또한, 본사에서 자신의 자리에서 업무를 보다가 지사로 출장을 가서 업무를 연속해야 한다면 PC를 가져가기도 어려울 뿐더러, 노트북이더라도 네트워크 환경을 모두 다시 설정해야 한다. 또한, 그쪽에 있는 프린터 등의 컴퓨터 자원을 알아내고 사용하기 위해서도 복잡한 과정을 거쳐야 한다. Directory Service는 이렇게 분산된 네트워크 관련 자원 정보를 중앙의 저장소에 통합시켜 놓음으로서 더 이상 사용자가 네트워크상의 정보를 찾기 위해서 헤메지 않도록 도와준다. 즉, 사용자는 중앙의 저장소를 통해서 원하는 정보에 대한 정보를 '자동으로' 취득하게 되고, 네트워.. 2025. 1. 3. 윈도우 취약점 진단 (Day 5) W-6 관리자 그룹에 최소한의 사용자 포함 해당 항목은 'administrators' 그룹에 포함되어 있는지 계정 中, 불필요한 계정이 존재하는지 여부를 확인한다. net localgroup administrators | findstr /v "successfully" 상기 명령어 결과가 'administrator'만 존재한다면 양호, 이외에 계정들이 존재한다면 담당자와 인터뷰로 진단하면 된다. 'administrator'를 제외한 나머지 계정이 명백하게 관리자 계정인것이 보이면 양호로 판단해도 무방하다. W-46 Everyone 사용 권한을 익명 사용자에 적용 해제 해당 항목을 진단하기 위해서는 secedit 설정에서 "EveryoneIncludesAnonymous" 설정값을 확인해야 한다. 0 .. 2025. 1. 3. 이전 1 2 3 4 5 6 ··· 15 다음
