취약점 개요

위 정책이 설정된 경우 OS에서 사용자 ID, PW를 입력받아 인증을 진행하는 응용프로그램 프로토콜 지원 시 OS 는 사용자의 PW 를 해독 가능한 방식으로 암호를 저장하기 때문에, 노출된 계정에 대해 공격자가 암호 복호화 공격으로 PW를 획득하여 네트워크 리소스에 접근할 수 있음

‘해독 가능한 암호화를 사용하여 암호 저장‘ 정책이 설정되어 사용자 계정 비밀번호가 해독 가능한 텍스트 형태로 저장 되는 것을 방지해야 함

점검 방법

secedit /export /cfg > SecurityPolicy.txt

SecurityPolicy.txt 파일 내 ClearTextPassword = 0인지 점검

※ ClearTextPassword 옵션

ClearTextPassword = 0 → 해독 가능한 암호화를 사용 안 함

ClearTextPassword = 1 → 해독 가능한 암호화를 사용

판단 기준

양호 : “해독 가능한 암호화를 사용하여 암호 저장” 정책이 “사용 안 함” 으로 되어 있는 경우(ClearTextPassword = 0인 경우)

취약 : “해독 가능한 암호화를 사용하여 암호 저장” 정책이 “사용” 으로 되어 있는 경우(ClearTextPassword = 1인 경우)

조치 방법

Step 1) 실행> SECPOL.MSC> 계정 정책> 암호 정책

Step 2) "해독 가능한 암호화를 사용하여 암호 저장"을 "사용 안 함"으로 설정