W-58 사용자별 홈 디렉터리 권한 설정
가이드라인 원문
| 항목 | 내용 |
|---|
| 항목코드 | W-58 |
| 점검내용 | 사용자홈디렉터리권한적절성점검 |
| 점검대상 | Windows NT, 2000, 2003, 2008, 2012, 2016, 2019, 2022 |
| 판단기준 | 양호: 홈디렉터리에Everyone 권한이없는경우(All Users, Default User디렉터리제외) |
| 판단기준 | 취약: 홈디렉터리에Everyone권한이있는경우 |
| 조치방법 | Everyone권한제거 |
상세 설명
1. 항목 개요
이 항목은 각 사용자의 **홈 디렉터리(예: C:\Users\User1)**에 대해 권한 설정이 적절한지 점검합니다. 원칙적으로 자신의 홈 디렉터리는 “자신"과 “관리자"만 접근할 수 있어야 합니다.
2. 왜 이 항목이 필요한가요?
기밀성 및 무결성 보장
- 개인 정보 보호: 홈 디렉터리에는 ‘문서’, ‘바탕화면’, ‘다운로드’ 등 개인적인 파일이나 업무상 중요 자료가 저장됩니다. 다른 사용자가 이를 들여다보거나 수정해서는 안 됩니다.
- 악성코드 확산 방지: 공격자가 공용 계정으로 침투했을 때, 다른 사용자의 폴더(예: 관리자의 다운로드 폴더)에 악성코드를 심어두는 것을 막아야 합니다.
보안 위협 시나리오
- 공격자가 게스트 권한이나 일반 사용자 권한 획득
C:\Users 폴더를 탐색하여 다른 사용자의 홈 디렉터리에 접근 시도Everyone 권한이 있어 다른 사용자의 ‘내 문서’ 폴더에 저장된 대외비 파일 열람
3. 점검 대상
- Windows NT, 2000, 2003, 2008, 2012, 2016, 2019, 2022 서버
4. 판단 기준
| 구분 | 기준 |
|---|
| 양호 | 홈 디렉터리에 Everyone 권한이 없고, 해당 사용자 및 관리자(System 포함) 그룹만 권한이 있는 경우 |
| 취약 | 홈 디렉터리에 Everyone 그룹이 존재하여 누구나 접근 가능한 경우 |
5. 점검 방법
방법 1: 탐색기 확인
1
2
3
4
5
| 1. 탐색기에서 `C:\Users` 이동
2. 각 사용자 폴더 우클릭 > [속성] > [보안] 탭
3. 그룹 또는 사용자 이름 목록 확인
- **Everyone**: 없어야 함
- **Users** (PC 전체 사용자): 없어야 함 (단, 본인 계정은 있어야 함)
|
방법 2: 명령줄 확인 (ICACLS)
6. 조치 방법
불필요한 그룹(Everyone)을 제거합니다.
방법 1: 탐색기 설정 (권장)
1
2
3
| 1. `C:\Users\<사용자ID>` 폴더 우클릭 > [속성] > [보안] > [편집]
2. **Everyone** 그룹 선택 후 [제거]
3. 확인
|
7. 조치 시 주의사항
| 주의사항 | 설명 |
|---|
| All Users / Public | C:\Users\Public (공용) 폴더는 공유를 목적으로 하므로 Everyone 권한이 있을 수 있습니다. (점검 제외) |
| 상속(Inheritance) | 가급적 상속을 끊고 명시적인 권한을 부여하는 것이 좋지만, 관리가 복잡할 경우 상위 폴더(C:\Users)의 권한을 정비하여 상속받게 할 수도 있습니다. |
8. 참고 자료
요약
W-58 사용자별홈디렉터리권한설정은 “내 방은 나만 들어간다"는 원칙입니다. 옆방 사람이 내 서랍을 열어보게 두지 마세요.