[ Fixing Guideline ]/[02] Windows

[N3-W-AM-001] Administrator 관리자 계정 명은 변경하였는가?

n3015m 2008. 3. 29. 19:26

-----------------------------------------------------------------------------------------------------------
  분  류 : 계정관리::사용자계정관리
  코  드 : N3-W-AM-001
  항  목 : 관리자 권한의 Administrator 계정명을 변경하였는가?
-----------------------------------------------------------------------------------------------------------

Last Update : 2008.04.07.

1. 항목 설명

Administrator 계정은 윈도우 시스템 설치 時 컴퓨나 도메인을 관리하도록 기본 제공된 관리자 계정이다. 이 계정은 대부분의 윈도우 시스템에서 기본 계정명을 그대로 사용하고 있어 공격자가 네트워크나 리소스의 접근권한 획득을 위한 주요 공격 대상이 되는 계정이다.

이런한 기본 계정을 통한 공격 방법이 다수가 나와 있고 또한 기본 계정은 웜바이러스 등등의 공격 대상이 되기도 한다.


※ 해당 계정명을 변경하여도 Null Session 또는 SID 등등의 방법을 통하여 계정명이 노출될 수 있다.


2. 점검 방법

  - 윈도우 command 창에서 아래의 명령을 수행 후 administrator 계정이 존재하는 확인
     net user 또는 net user localgroup administrators

  - [컴퓨터 관리]→[로컬 사용자 및 그룹]→[사용자]에서 Administrator의 속성을 확인


3. 대응 방안

윈도우 Administrator의 기본 계정 보호 방법에 대한 설명이다. 아래의 방법 중 운영 환경을 고려하여 가장 적절하고 적합한 항목을 적용한다.
[windows 2000, Windows XP, Windows 2003]

3.1 계정명 변경
가장 많이 권고하는 방법으로 계정명을 변경하는 것이 가장 좋다.

[제어판]→[관리도구]→[로컬보안설정]→[로컬정책]→[보안옵션]→[계정 :Administrator 계정 이름바꾸기]→[속성] 에서 이름 변경

[컴퓨터 관리]→[로컬 사용자 및 그룹]→[사용자]에서 Administrator의 이름 바꾸기도 동일하다.

※ 추가 적인 계정명 노출 차단
[컴퓨터 관리]→[로컬 보안 설정]→[로컬 정책]→[보안 옵션]
- 네트워크 액세스: 익명 SID/이름 변환 허용 → 사용 안 함
  관리자 SID를 획득 할 경우 해당 컴퓨터에 연결하여 SID를 관리자 계정명으로 변환이 가능하다.

- 네트워크 액세스: SAM 계정의 익명 열거 허용 안 함 → 사용
  익명의 사용자가 계정 목록 획득이 가능하다.

3.2 계정설명 제거 또는 변경
기본 계정의 설명은 초기에 "컴퓨터/도메인을 관리하도록 기본 제공된 계정"로 설정되어 있어 변경하거나 제거하면 보안에 도움이 된다.

[컴퓨터 관리]→[로컬 사용자 및 그룹]→[사용자] Administrator에서 속성에 설명을 변경

3.3 거짓 Administrator 계정 생성
많은 공격자는 Administrator 계정명만을 확인한다. 거짓 Administrator 계정을 생성할 경우 아무런 권한을 부여하지 않고 비활성 계정으로 설정한다. 이러면 공격자는 이계정을 통해서 접근권한을 획득할 수 없게 된다.

[컴퓨터 관리]→[로컬 사용자 및 그룹]→[사용자]→[메뉴:동작→새 사용자]에서 계정 생성
  - 사용자 이름 : Administrator
  - 설명 : 컴퓨터/도메인을 관리하도록 기본 제공된 계정
  - 계정 사용 안 함 : 체크


[컴퓨터 관리]→[로컬 사용자 및 그룹]→[사용자] Administrator에서 속성의 소속 그룹에서 등록된 모든 그룹을 제거

3.4 복잡도가 높은 패스워드로 설정
패스워드 대신에 아래의 예시와 같은 패스구문 등의 긴 문자열을 사용하여 패스워드를 보호하고 주기적으로 패스워드를 변경 및 검수(패스워드 크랙 등등)를 해야 한다. 패스워드를 사용할 경우 알파벳, 숫자, 특수문자 등을 조합하여 8자리 이상으로 작성한다.

예시) "여기는 네오이즘 블로그 입니다. 화이팅!!!"

3.5 Administrator 계정 사용 금지
시스템 관리상의 목적이 아닌 경우 Administrator 계정 사용을 금한다. 관리자 계정 사용은 시스템을 트로이 목마나 다른 보안 위험에 대하여 취약점을 노출시키는 것이다. 또한, 인터넷 사이트를 단순하게 방문하는 것도 시스템에 대한 취약점을 노출시키는 것이므로 낯선 인터넷 사이트에 접속하는 것은 시스템에 저장되어 실행될 수 있는 트로이 목마 프로그램을 포함하고 있을지 모르기 때문에 관리자 계정으로 시스템에 로그온하는 것은 트로이 목마 프로그램이 하드디스크 포멧, 파일 삭제, 새로운 계정 생성 등의 작업을 수행할 수기 때문이다.


※ 예외사항
해당 계정명은 변경이 불가할 경우로 설치된 애플리케이션 또는 유관 시스템에서 하드코딩된 계정명 등을 사용할 경우 변경 불가한 경우가 발생 할 수 있다. 이러한 경우는 예외처리하여 이력사항을 기록하여 보관한다.


※ 참고 사이트

1. Windows의 기본 계정의 이해
    http://n3015m.tistory.com/entry/SECLETTER02