W-08(상) 하드디스크 기본 공유 제거

취약점 개요

Windows는 프로그램 및 서비스를 네트워크나 컴퓨터 환경에서 관리하기 위해 시스템 기본 공유 항목을 자동으로 생성함. 이를 제거하지 않으면 비인가자가 모든 시스템 자원에 접근할 수 있는 위험한 상황이 발생할 수 있으며 이러한 공유 기능의 경로를 이용하여 바이러스가 침투될 수 있음

하드디스크 기본 공유를 제거하여 시스템 정보 노출을 차단하고자 함

※ 기본 공유: 관리목적으로 자동 생성되는 공유 드라이브(Administrative share). 이러한 드라이브들은 C$, D$, E$ 등과 같이 이름 뒤에 $가 붙어서 숨겨진 공유로 처리되며, Windows 2000, XP에서는 관리자 ID와 Password를 알고 있으면 네트워크를 통해 이러한 공유 드라이브들에 자유롭게 접근할 수 있음. 그러나 이후 버전 Windows에서는 보안상의 이유로 로컬시스템의 관리자가 네트워크를 통해 시스템을 관리하지 못하도록 기본적으로 차단됨

※ IPC$(=널 세션 연결): 주로 네트워크 서버를 원격으로 관리하는 데 사용됨. 예를 들어, IPC$ 공유를 사용하여 원격 컴퓨터의 레지스트리, 이벤트 로그, 파일 시스템 또는 프린터 스풀러에 액세스할 수 있음

※ ADMIN$: 원격으로 소프트웨어 설치 및 원격 진단을 위한 로그, 시스템 파일 액세스가 가능. 기본적으로 Administrators 그룹의 구성원만 이 공유에 액세스할 수 있는 권한이 있음

 

점검 방법

net share | find /v "명령을 잘 실행했습니다." | find /v "The command" > Default_Share.txt

echo >> Default_Share.txt
echo >> Default_Share.txt

reg query HKLM\\SYSTEM\\CurrentControlSet\\Services\\lanmanserver\\parameters | find "AutoShareServer" >> Default_Share.txt

Net_Share.txt 파일 내 기본 공유폴더 점검(C$, D$) 및 AutoShareServer 레지스트리 값이 0인지 점검

※ AutoShareServer 옵션

AutoShareServer 0 → 재부팅 시 기본 공유 자동 활성화 하지 않음

AutoShareServer 1 → 재부팅 시 기본 공유 자동 활성화

 

판단 기준

양호 : 레지스트리의 AutoShareServer (WinNT: AutoShareWks)가 0이며 기본 공유가 존재하지 않는 경우

취약 : 레지스트리의AutoShareServer (WinNT: AutoShareWks)가 1이거나 기본 공유가 존재하는 경우

 

조치 방법

Step 1) 실행> FSMGMT.MSC> 공유> 기본 공유 선택> 마우스 우클릭> 공유 중지

Step 2) 실행> REGEDIT> 아래 레지스트리 값을 0으로 수정함(키 값이 없을 경우 새로 생성함)

HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters\AutoShareServer (Windows NT일 경우: AutoShareWks)