W-56 SMB 세션 중단 관리 설정

가이드라인 원문

상세 설명

1. 항목 개요

이 항목은 SMB(Server Message Block) 세션을 통해 파일 공유 등을 이용하다가 일정 시간 동안 활동이 없을 때(Idle), 자동으로 연결을 끊도록 설정되어 있는지 점검합니다. 두 가지 관련 정책을 함께 확인합니다.

1. 로그온 시간이 만료되면 클라이언트 연결 끊기: 사용 허용 시간이 지났을 때 강제 연결 종료
2. 세션 연결을 중단하기 전에 필요한 유휴 시간: 일정 시간(예: 15분) 동안 사용 없으면 연결 종료

2. 왜 이 항목이 필요한가요?

세션 관리 및 리소스 확보

• 접근 권한 관리: 사용자가 퇴근했거나 자리를 비운 사이, 열려 있는 SMB 세션을 통해 다른 사람이 파일을 조회하는 것을 방지합니다.
• 리소스 최적화: 불필요한 유휴 세션(Dead Session)이 계속 유지되면 서버의 메모리와 세션 풀(Pool) 자원을 낭비하게 됩니다.

보안 위협 시나리오

1. 사용자가 서버 공유 폴더를 열어둔 채 퇴근 (PC는 켜둠)
2. 밤 사이 청소 용역 업체 직원이 해당 PC를 통해 공유 폴더 내 급여 대장 열람
3. 또는 랜섬웨어가 감염된 PC에서 유휴 세션을 통해 서버 공유 폴더 암호화

3. 점검 대상

• Windows NT, 2000, 2003, 2008, 2012, 2016, 2019, 2022 서버

4. 판단 기준

5. 점검 방법

방법 1: 로컬 보안 정책 확인

1
2
3
4
5

1. 시작 > 실행 > secpol.msc
2. 로컬 정책 > 보안 옵션
3. 확인 항목:
   - **Microsoft 네트워크 서버: 로그온 시간이 만료되면 클라이언트 연결 끊기**: 사용
   - **Microsoft 네트워크 서버: 세션 연결을 중단하기 전에 필요한 유휴 시간**: 15분

방법 2: 레지스트리 확인

1
2
3
4
5

# 연결 끊기
Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" -Name "EnableForcedLogOff"

# 유휴 시간 (AutoDisconnect, 분 단위)
Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" -Name "AutoDisconnect"

6. 조치 방법

불필요한 세션을 정리하도록 정책을 설정합니다.

방법 1: 로컬 보안 정책 설정 (권장)

1
2
3
4
5

1. 시작 > 실행 > secpol.msc
2. 로컬 정책 > 보안 옵션
3. **"Microsoft 네트워크 서버: 로그온 시간이 만료되면 클라이언트 연결 끊기"** > **[사용]**
4. **"Microsoft 네트워크 서버: 세션 연결을 중단하기 전에 필요한 유휴 시간"** > **15**분 입력
5. 확인

방법 2: 명령줄 설정 (Net Config)

1

net config server /autodisconnect:15

7. 조치 시 주의사항

8. 참고 자료

• Microsoft Docs: Microsoft network server: Amount of idle time required before suspending session

요약

W-56 SMB세션중단관리설정은 “사용한 물건은 제자리에” 두는 것과 같습니다. 파일 공유를 쓰고 나서 안 닫고 가면, 서버가 알아서 15분 뒤에 닫아줍니다.