W-36 복구 콘솔 비활성화

가이드라인 원문

상세 설명

1. 판단 기준

기본 판단 기준

• 양호: 복구 콘솔의 자동 로그온이 금지되어 있고, 시스템 부팅 메뉴에서 불필요하게 노출되지 않는 경우
• 취약: 복구 콘솔 자동 로그온이 설정되어 있거나, 누구나 제약 없이 복구 모드를 실행할 수 있는 경우

경계 케이스 (Edge Case) 처리 방법

권장 설정값

2. 점검 방법

Windows 복구 콘솔 점검

복구 콘솔이 무분별하게 사용되면, 물리적 접근이 가능한 공격자가 시스템을 장악할 수 있습니다.

1
2

# 로컬 보안 정책 확인 (Windows 2003 이하)
Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\LSA" -Name "DisableRecoveryConsole" -ErrorAction SilentlyContinue

1
2

# bcdedit 확인 (Windows 2008 이상)
bcdedit /enum

양호 출력 예시:

1
2
3

recoveryenabled    No
또는
Windows Boot Loader에 복구 관련 항목 없음

취약 출력 예시:

1

recoveryenabled    Yes

1
2
3

# 복구 콘솔 자동 로그온 정책 확인
# (구형 OS에 해당, 신규 OS에는 해당 정책 없음)
Get-ItemProperty "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole" -Name "SecurityLevel" -ErrorAction SilentlyContinue

3. 조치 방법

Windows 서버 설정

1. 복구 콘솔 자동 로그온 비활성화 (구형 OS)

   1 2 3

   1. 시작 > 실행 > secpol.msc 2. 로컬 정책 > 보안 옵션 3. "복구 콘솔: 자동 관리 로그온 허용" > [사용 안 함]

2. BCD 설정 (최신 OS)

   1 2 3 4 5

   # 자동 복구 비활성화 bcdedit /set {default} recoveryenabled No # 확인 bcdedit /enum {current}

3. 고급 부팅 옵션 제한 (최신 OS)

   1 2 3 4 5

   # 고급 부팅 옵션 메뉴 비활성화 bcdedit /set {bootmgr} displaybootmenu No # 재부팅 시간 단축 bcdedit /timeout 10

4. BitLocker 활성화 (권장 대안)

   1 2 3 4 5

   # C: 드라이브 BitLocker 활성화 Enable-BitLocker -MountPoint "C:" -UsedSpaceOnly -EncryptionMethod XtsAes256 # TPM + PIN 프로비저닝 # (BIOS에서 TPM 활성화 필요)

4. 참고 자료

• Microsoft Docs: BitLocker 개요
• CIS Benchmark: 18.5.2.1 Ensure ‘Boot recovery on a system failure’ is set to ‘Disabled’ (if possible)

5. 스크립트

• 취약점 점검 스크립트
  • 이 스크립트는 KISA 주요정보통신기반시설 기술적 취약점 분석·평가 가이드라인(2026)을 준수하여 제작된 자동 점검 도구입니다. 복잡한 단일 파일 방식이 아닌 모듈화된 구조로 설계되어 유지보수가 쉽고 확장이 용이합니다.
  • 다양한 환경에서 테스트를 진행했으나, 혹시 점검 로직에 이슈가 발견되거나 개선이 필요한 경우 적극적인 제보를 부탁드립니다.