지금 해야 할 10가지 Windows 그룹 정책 설정

Microsoft Windows 운영 체제를 실행하는 사무실을 구성하는 가장 일반적인 방법 중 하나는 그룹 정책을 사용하는 것입니다. 그룹 정책은 컴퓨터의 레지스트리에 등록되며 보안 설정 및 기타 작업과 관련된 동작을 구성하는 데 사용됩니다. 그룹 정책은 Active Directory(클라이언트에서)에서 가져오거나 로컬로 구성할 수 있습니다. 저는 1990년대부터 Windows 컴퓨터 보안에 대해 일해 왔으며 많은 그룹 정책을 다루었습니다. 고객과 작업할 때는 먼저 각 그룹 정책 개체 내의 각 그룹 정책 설정을 주의 깊게 검토하십시오. 예를 들어 Windows 8.1 및 Windows Server 2012 R2에는 하나의 운영 체제에만 3,700개 이상의 설정이 있습니다. 하나의 비밀을 말씀드리면 제가 신경 쓰는 설정은 딱 10가지입니다. 이 10가지를 볼 수 있다는 것은 아닙니다. 각 그룹 정책 설정을 올바르게 구성하면 위험이 낮아집니다. 내가 말하려는 것은 10가지 설정이 대부분의 위험을 지배하고 나머지는 모두 부차적이라는 것입니다. 새 그룹 정책을 볼 때 가장 먼저 하는 일은 이 10가지 설정을 살펴보는 것입니다. 이 10가지가 제대로 설정되면 고객이 제대로 일을 하고 있고, 내 일을 더 쉽게 할 수 있습니다. 이 10가지 설정을 제대로 하면 윈도우 환경을 더욱 안전하게 만들 수 있습니다. 각 설정은 '컴퓨터 구성\Windows 설정\보안 설정'에 있습니다.

1. 로컬 관리자 계정 이름 바꾸기

관리자 계정의 이름을 모르면 해킹하기가 훨씬 더 어렵습니다. 관리자 계정의 이름은 자동으로 변경되지 않으므로 사용자가 직접 수행해야 합니다.

2. 게스트 계정 비활성화

게스트 계정을 활성화하는 것은 최악의 동작 중 하나입니다. 게스트 계정은 Windows 컴퓨터에 대한 상당한 수준의 액세스 권한을 제공하며 암호가 없습니다. 다행히도 기본적으로 비활성화되어 있습니다.

3. LM 및 NTML v1 비활성화

LAN 관리자(LM) 및 LTLMv1 인증 프로토콜에는 취약성이 있습니다. NTLMv2 및 Kerberos의 사용을 강제해야 합니다. 기본적으로 대부분의 윈도우 시스템은 네 가지 프로토콜을 모두 수용합니다. 10년 이상 된 비 패치 시스템이 없다면 구 프로토콜을 사용할 이유가 거의 없다. 기본적으로 비활성화됩니다.

4. LM 해시 저장 비활성화

LM 암호 해시는 일반 텍스트 암호로 쉽게 변환할 수 있습니다. Windows에서 디스크에 저장하는 것을 허용하지 않아야 합니다. 해커의 해시 덤프 도구가 디스크에 저장되어 있으면 이를 찾을 수 있기 때문이다. 기본적으로 비활성화됩니다.

5. 최소 비밀번호 길이

일반 사용자에게 적용되는 최소 암호 길이는 12자 이상, 권한이 높은 사용자 계정의 경우 15자 이상이어야 합니다. 12자 미만의 Windows 암호는 전혀 안전하지 않습니다. Windows 인증 환경에서 적절한 보안을 위한 마법 번호는 15자입니다. 15자가 되면, 모든 종류의 뒷문이 닫힙니다. 그 이하에서는 불필요한 위험이 발생한다(기본적으로 0자이므로 최소 길이 요건을 직접 지정해야 한다). 그러나 기존 그룹 정책 설정에서 최소 암호 크기를 설정할 때 허용되는 최댓값은 14자에 불과합니다. 따라서 새 세분화된 암호 정책을 사용해야 합니다. Windows Server 2008 R2 및 이전 버전에서는 설정 및 구성이 쉽지 않지만 Windows Server 2012 이상에서는 GUI를 통해 쉽게 설정할 수 있습니다.

6. 최대 비밀번호 사용 기간

길이가 14자 이하인 암호는 90일 이상 사용할 수 없습니다. Windows의 기본 최대 암호 만료 기간은 42일이므로 그대로 사용하거나 원하는 경우 90일로 늘릴 수 있습니다. 일부 보안 전문가들은 비밀번호 길이가 15자 이상이면 최대 1년까지 동일한 비밀번호를 사용할 수 있다고 생각한다. 그러나 암호 만료 기간을 늘리면 다른 사람이 암호를 도용하여 동일한 사용자가 소유한 다른 계정에 액세스 할 위험이 높아진다는 점을 유념해야 합니다. 암호 만료 기간이 짧을수록 좋습니다.

7. 이벤트 로그

만약 사건 일지를 켜고 그것을 확인하는 습관만 있었다면, 지금까지 발생한 대부분의 공격 피해자들은 더 일찍 그 침해를 인식할 수 있었을 것이다. Microsoft Security Complience Manager 도구에서 권장하는 설정을 사용해야 하며 기존 범주 설정 대신 감사 하위 범주를 사용해야 합니다.

8. 익명 SID 열거 비활성화

SID(보안 식별자)는 Windows(윈도우) 또는 Active Directory의 각 사용자, 그룹 및 기타 보안 엔티티에 할당된 번호입니다. 초기 Windows 버전에서는 인증되지 않은 사용자가 중요한 사용자(예: 관리자)를 식별하기 위해 이러한 번호를 쿼리 할 수 있었기 때문에 해커에 의해 종종 악용되었습니다. 다행히 열거는 기본적으로 비활성화되어 있습니다.

9. 모든 사용자 그룹에 익명 계정 허용 안 함

이 설정과 앞서 언급한 설정을 잘못 구성하면 익명(또는 null) 해커가 훨씬 더 광범위한 시스템 액세스 권한을 부여할 수 있습니다. 두 설정 모두 기본적으로 2000년부터 활성화됩니다(즉, 익명 액세스를 비활성화). 기본 상태로 둡니다.

10. 사용자 계정 컨트롤 활성화

마지막으로 UAC는 Windows Vista에서 웹 검색을 위한 가장 중요한 보호 도구 역할을 합니다. 많은 클라이언트가 응용 프로그램 호환성 문제에 대한 이전 정보를 기반으로 이 기능을 해제합니다. 이러한 문제들은 대부분 해결되었으며, 나머지 문제들도 마이크로소프트의 무료 애플리케이션 호환성 문제 해결 유틸리티를 사용하여 해결할 수 있습니다. UAC 비활성화는 최신 운영 체제에서 제공하는 높은 보안 수준 대신 Windows NT 동안 보안이 선택되는 상황입니다. UAC는 기본적으로 활성화됩니다. 자세히 살펴보면 10개 설정 중 7개는 기본적으로 Windows Vista, Windows Server 2008 이상 버전에서 잘 설정되어 있습니다. 이전에 작성한 Windows 보안 책자 대부분은 더 엄격하게 강화해야 하는 설정을 다루었지만, 요즘 내가 할 수 있는 최선의 조언은 필요한 부분만 변경하는 것이며 대부분의 경우 기본값을 건드리지 마십시오. 문제가 발생해서 체크 아웃할 때, 이것은 종종 사람들이 기본값을 변경한 이유이기도 합니다. 그건 나쁜 습관이야. 그룹 정책을 고려하기 전에 처리해야 할 더 중요한 사항들도 있다. 예를 들어 완벽한 패치 적용 및 트로이 목마 프로그램 설치를 차단합니다. 이러한 부품이 올바르게 장착되면 다음 단계는 그룹 정책을 올바르게 구성하는 것입니다. 또한 Bitrocker(윈도우 비스타/2008 이상)의 열렬한 팬이기도 합니다. Bitroker는 그룹 정책을 사용하여 구현할 수 있지만 Bitroker를 구현하는 데는 많은 시간과 고려가 필요합니다. 여러분이 무엇을 하든지, 3,700개의 모든 설정을 공부하는 데 시간을 낭비하지 말고 가장 중요한 10가지를 올바르게 하는 데 집중하세요. 이제 됐습니다.