W-55 사용자가 프린터 드라이버를 설치할 수 없게 함
가이드라인 원문
| 항목 | 내용 |
|---|
| 항목코드 | W-55 |
| 점검내용 | 사용자의프린터드라이버설치차단여부점검 |
| 점검대상 | Windows NT, 2000, 2003, 2008, 2012, 2016, 2019, 2022 |
| 판단기준 | 양호: ‘사용자가프린터드라이버를설치할수없게함’정책이’사용’인경우 |
| 판단기준 | 취약: ‘사용자가프린터드라이버를설치할수없게함’정책이’사용안함’인경우 |
| 조치방법 | ‘사용자가프린터드라이버를설치할수없게함’정책을’사용’으로설정 |
상세 설명
1. 항목 개요
이 항목은 서명되지 않았거나 신뢰할 수 없는 프린터 드라이버를 일반 사용자가 임의로 설치하지 못하도록 차단하는지 점검합니다. Windows에서 프린터 드라이버는 시스템 권한(SYSTEM)으로 실행될 수 있어 매우 중요한 보안 포인트입니다.
2. 왜 이 항목이 필요한가요?
권한 상승 및 악성코드 유입 방지
- PrintNightmare: 2021년 전 세계를 강타한 ‘PrintNightmare(CVE-2021-34527)’ 취약점은 프린터 스풀러 서비스의 취약점을 이용해 원격 코드 실행(RCE) 및 권한 상승을 가능하게 했습니다.
- 드라이버 위장: 공격자가 악성코드를 프린터 드라이버로 위장하여 배포할 경우, 사용자가 이를 설치하면 시스템의 핵심 영역(커널/시스템 레벨)이 장악될 수 있습니다.
보안 위협 시나리오
- 공격자가 가짜 네트워크 프린터 공유
- 사용자가 해당 프린터 연결 시도 시 “드라이버를 설치하시겠습니까?” 팝업 발생
- 사용자가 [예]를 누르면 악성 드라이버가 설치되며 시스템 해킹
3. 점검 대상
- Windows NT, 2000, 2003, 2008, 2012, 2016, 2019, 2022 서버
4. 판단 기준
| 구분 | 기준 |
|---|
| 양호 | “사용자가 프린터 드라이버를 설치할 수 없게 함” 정책이 **사용(Enabled)**으로 설정된 경우 |
| 취약 | 해당 정책이 **사용 안 함(Disabled)**으로 설정되어 일반 사용자도 드라이버 설치가 가능한 경우 |
5. 점검 방법
방법 1: 로컬 보안 정책 확인
1
2
3
4
5
| 1. 시작 > 실행 > secpol.msc
2. 로컬 정책 > 보안 옵션
3. **"장치: 사용자가 프린터 드라이버를 설치할 수 없게 함"** 정책 확인
- **사용**: 양호
- **사용 안 함**: 취약
|
방법 2: 레지스트리 확인
1
| Get-ItemProperty "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" -Name "AddPrinterDrivers"
|
6. 조치 방법
일반 사용자의 프린터 드라이버 설치 권한을 차단하고, 관리자(Administrators)만 설치할 수 있도록 설정합니다.
방법 1: 로컬 보안 정책 설정 (권장)
1
2
3
4
5
| 1. 시작 > 실행 > secpol.msc
2. 로컬 정책 > 보안 옵션
3. **"장치: 사용자가 프린터 드라이버를 설치할 수 없게 함"** 더블클릭
4. **[사용]** 선택
5. 확인
|
7. 조치 시 주의사항
| 주의사항 | 설명 |
|---|
| 네트워크 프린터 | 이 정책을 적용하면 일반 사용자가 새로운 네트워크 프린터를 추가할 때 드라이버가 없다면 설치에 실패합니다. 관리자가 미리 드라이버를 배포(GPO 등)하거나 설치해주어야 합니다. |
| Print Spooler | 프린터를 전혀 사용하지 않는 서버라면 Print Spooler 서비스 자체를 중지(W-18)하는 것이 가장 안전한 근본적인 해결책입니다. |
8. 참고 자료
요약
W-55 사용자가프린터드라이버를설치할수없게함는 프린터 드라이버를 통한 해킹을 막습니다. 프린터가 필요 없는 서버라면 아예 ‘Print Spooler’ 서비스를 끄세요.