W-49 원격 시스템에서 강제로 시스템 종료
가이드라인 원문
| 항목 | 내용 |
|---|---|
| 항목코드 | W-49 |
| 점검내용 | 원격시스템종료정책적절성점검 |
| 점검대상 | Windows NT, 2000, 2003, 2008, 2012, 2016, 2019, 2022 |
| 판단기준 | 양호: ‘원격시스템에서강제로시스템종료’정책에’Administrators’만존재하는경우 |
| 판단기준 | 취약: ‘원격시스템에서강제로시스템종료’정책에’Administrators’외다른계정및그룹이존재하 는경우 |
| 조치방법 | ‘원격시스템에서강제로시스템종료’정책에’Administrators’외다른계정및그룹제거 |
상세 설명
1. 항목 개요
이 항목은 네트워크를 통해 **원격에서 시스템을 강제로 종료(재부팅)**할 수 있는 권한을 가진 사용자 목록을 점검합니다. 로컬 콘솔 종료(W-48)와 마찬가지로, 원격 종료 역시 관리자 권한을 가진 사용자에게만 허용되어야 합니다.
2. 왜 이 항목이 필요한가요?
가용성 확보 및 침해 사고 예방
- 권한 오남용 방지: 일반 사용자나 게스트가 재미 삼아, 혹은 실수로
shutdown /m \\ServerIP명령을 내려 서버를 꺼버리는 것을 막습니다. - 서비스 연속성: 서버의 종료는 곧 서비스 중단을 의미하므로, 이는 막중한 책임이 있는 관리자(Administrators)의 고유 권한이어야 합니다.
보안 위협 시나리오
- 공격자가 권한이 낮은 계정(Guest) 획득
- 해당 계정에 ‘원격에서 강제 종료’ 권한이 할당되어 있음
- 공격자가 원격지에서 종료 명령을 전송하여 서버 다운(DoS)
3. 점검 대상
- Windows NT, 2000, 2003, 2008, 2012, 2016, 2019, 2022 서버
4. 판단 기준
| 구분 | 기준 |
|---|---|
| 양호 | “원격 시스템에서 강제로 시스템 종료” 권한이 Administrators 그룹에만 할당된 경우 |
| 취약 | 해당 권한에 Everyone, Users, Guests 등 불필요한 그룹이 포함된 경우 |
5. 점검 방법
방법 1: 로컬 보안 정책 확인
| |
방법 2: 권한 확인 도구 사용
secedit내보내기 파일을 통해 확인 가능
6. 조치 방법
불필요한 그룹을 제거하고 Administrators만 남깁니다.
방법 1: 로컬 보안 정책 설정 (권장)
| |
7. 조치 시 주의사항
| 주의사항 | 설명 |
|---|---|
| Server Operators | 도메인 컨트롤러의 경우 Server Operators 그룹이 기본적으로 포함될 수 있습니다. 해당 그룹이 실제 서버 운영 목적에 부합한다면 유지해도 무방합니다. |
| 서비스 계정 | UPS(무정전 전원 장치) 관리 소프트웨어 등 자동 종료가 필요한 서비스 계정에는 권한이 필요할 수 있습니다. |
8. 참고 자료
요약
W-49 원격시스템에서강제로시스템종료는 원격 명령으로 서버를 끌 수 있는 사람을 제한합니다. 관리자 외에는 누구도 서버 전원을 건드려선 안 됩니다.