W-51 SAM 계정과 공유의 익명 열거 허용 안 함
가이드라인 원문
| 항목 | 내용 |
|---|---|
| 항목코드 | W-51 |
| 점검내용 | ‘SAM계정과공유의익명열거허용안함’정책설정여부점검 |
| 점검대상 | Windows NT, 2000, 2003, 2008, 2012, 2016, 2019, 2022 |
| 판단기준 | 양호: ‘SAM계정과공유의익명열거허용안함’이’사용’으로설정된경우 |
| 판단기준 | 취약: ‘SAM계정과공유의익명열거허용안함’이’사용안함’으로설정된경우 |
| 조치방법 | 레지스트리값또는,로컬보안정책설정 |
상세 설명
1. 항목 개요
이 항목은 익명(Anonymous) 사용자, 즉 인증받지 않은 사용자가 네트워크를 통해 시스템의 **계정 목록(SAM Accounts)**이나 공유 자원(Shares) 목록을 조회할 수 없도록 제한하는지 점검합니다. 과거 Windows 버전(2000 이전)에서는 익명 연결을 통한 정보 수집(Null Session Enumeration)이 쉬웠으나, 최신 OS에서는 이를 막아야 합니다.
2. 왜 이 항목이 필요한가요?
정보 수집 단계 차단
- 계정 목록 노출: 공격자가 익명으로 시스템에 접속하여
Administrator,Guest,User1등의 실제 계정 ID 목록을 획득하면, 이를 바탕으로 무차별 대입 공격(Brute Force)을 수행할 수 있습니다. - 공유 폴더 노출: 숨겨진 공유 폴더나 중요한 네트워크 자원 목록을 파악하여 취약점을 찾을 수 있습니다.
보안 위협 시나리오
- 공격자가
net use \\ServerIP\IPC$ ""명령으로 Null Session 연결 enum등의 도구를 사용해 시스템의 사용자 목록(RID Cycling) 추출- 획득한 ID 목록을 이용해 패스워드 크랙 시도
3. 점검 대상
- Windows NT, 2000, 2003, 2008, 2012, 2016, 2019, 2022 서버
4. 판단 기준
| 구분 | 기준 |
|---|---|
| 양호 | “SAM 계정과 공유의 익명 열거 허용 안 함” 정책이 **사용(Enabled)**으로 설정된 경우 |
| 취약 | 해당 정책이 **사용 안 함(Disabled)**으로 설정되어, 익명 사용자가 정보를 조회할 수 있는 경우 |
5. 점검 방법
방법 1: 로컬 보안 정책 확인
| |
방법 2: 레지스트리 확인
| |
1또는2: 양호 (제한함)0: 취약 (허용함)
6. 조치 방법
익명 열거를 차단하여 정보 유출을 방지합니다.
방법 1: 로컬 보안 정책 설정 (권장)
| |
주의: Windows Server 2016 이상에서는 기본값이 ‘사용’일 수 있습니다.
7. 조치 시 주의사항
| 주의사항 | 설명 |
|---|---|
| 하위 호환성 | 매우 오래된 레거시 시스템(NT 4.0 등)과 통신해야 하는 환경에서는 이 설정 시 도메인 트러스트나 파일 공유에 문제가 생길 수 있습니다. (최근 환경에서는 거의 영향 없음) |
| 유사 정책 | 이 설정 외에도 네트워크 액세스: 익명 사용자의 Everyone 사용 권한 적용 허용 안 함 등의 정책도 함께 적용하는 것이 좋습니다. |
8. 참고 자료
요약
W-51 SAM계정과공유의익명열거허용안함은 공격자가 “누구 있나요?“라고 물었을 때 침묵하는 설정입니다. ID 목록은 공격의 시작점이 되므로 절대 알려주면 안 됩니다.