2016.03.22

고효율 보안을 위한 '족집게' 윈도우 그룹 정책

Roger A. Grimes | InfoWorld

다음 10가지 그룹 정책만 신중하게 설정한다면, 한결 나은 윈도우 보안 환경을 구현할 수 있다.



그룹 정책(Group Policy)은 마이크로소프트 윈도우 PC 사무 환경을 구성할 때 애용하는 수단 중 하나다. 기업 내 PC들이 일관적인 설정값을 가지도록 강제할 수 있다. 대부분의 경우, 그룹 정책은 레지스트리에 밀어넣는 형태의 설정이다. 액티브 디렉토리(Active Directory)에서도 그룹 정책을 설정할 수 있다(실제로는 클라이언트로 내려받는 형태다). 또는 로컬 PC에서 그룹 정책을 설정할 수도 있다.

필자는 1990년부터 윈도우 컴퓨터 보안 분야에 종사해오는 동안 수많은 그룹 정책을 경험해왔다. 윈도우 8.1과 윈도우 서버 2012 R2에는 운영체제에만 3,700여 개의 설정이 존재한다. 그런데, 이와 관련된 '비밀' 하나를 알려주겠다. 필자에 경험에 따르면 중시해야 할 설정은 이중 단 10개뿐이다. 다시 말해 이 10가지를 올바르게 설정하면 윈도우 환경의 안전성을 효율적으로 올릴 수 있다.

물론 이 10가지만 확인하면 된다는 이야기는 아니다. 여러 그룹 정책을 적절히 설정해야 위험을 낮출 수 있다. 그러나 이 10가지 설정이 대부분의 위험을 결정하는 것은 분명하다. 만약 새 그룹 정책을 검토하고 있다면 가장 먼저 하는 일은 이 10가지 설정을 확인할 것을 권한다. 올바르게 설정이 되어 있다면, 담당자가 일을 제대로 하고 있는 것이다.

1. 로컬 관리자 계정(Local Administrator Account) 이름 바꾸기
범죄자가 관리자 계정의 이름을 모르게 만들어야 한다. 그래야 해킹이 힘들어진다. 관리자 계정 이름을 자동으로 바꿀 수 없다. 직접 바꿔야 한다.

2. 게스트 계정 사용 비활성화
게스트 계정을 사용할 수 있도록 설정하는 것이 정말이지 좋지 않다. 윈도우 컴퓨터에 액세스가 자유로워진다. 또 암호도 없다. 다행히 기본 값은 사용할 수 없는 것이다.

3. LM 및 NTLM v1 비활성화
LM(LAN Manager) 및 NTLMv1 인증 프로토콜은 취약점을 갖고 있다. 따라서 NTLMv2와 Kerberos 사용을 강제해야 한다.

참고로 대부분의 윈도우 시스템은 기본 값으로 4개 프로토콜을 모두 수용한다. (10년 이상 된) 구형 시스템, 패치가 되지 않은 시스템을 보유하고 있는 경우를 제외하면, 앞선 2개의 구형 프로토콜을 사용할 이유가 거의 없다. 사용할 수 없도록 기본 설정되어 있다.

4. LM 해시 스토리지 비활성화
LM 암호 해시는 쉽게 플레인 텍스트 암호로 바꿀 수 있다. 윈도우가 이를 디스크에 저장하지 않도록 만전을 기해야 한다. 해커의 해시 덤프 도구가 찾을 수 있는 장소이기 때문이다. '사용 중지'가 기본 설정 값이다.

5. 최소 암호 길이 설정
일반 사용자의 최소 암호 길이는 12자 이상, 관리자(elevated user) 계정은 15자 이상이어야 한다. 12자 이상의 윈도우 비밀번호가 그나마 안전한 편이며, 윈도우 인증 환경에서 안전을 제대로 확보할 수 있는 암호 길이는 15자이다. 그래야 백도어를 방지할 수 있다. 기본 설정 값은 숫자 제한이 ‘0’이다. 즉 관리자가 최소 암호 길이를 별도로 설정해야 하며, 이를 통해 기업 PC 환경의 보안을 크게 높일 수 있다.

애석하게도 기존 그룹 정책 설정은 최소 암호 길이를 설정할 때 최대 14자까지만 수용할 수 있다. 15자 이상으로 설정하려면 더 최신 정책인 'Fine-Grained Password' 정책을 사용해야 한다.

참고로 윈도우 서버 2008 R2(그리고 이에 앞선 운영 체제)에서는 설정이 쉽지 않다. 그러나 GUI가 도입된 윈도우 서버 2012 이후에는 아주 쉽게 설정할 수 있다.




2016.03.22

고효율 보안을 위한 '족집게' 윈도우 그룹 정책

Roger A. Grimes | InfoWorld

다음 10가지 그룹 정책만 신중하게 설정한다면, 한결 나은 윈도우 보안 환경을 구현할 수 있다.



그룹 정책(Group Policy)은 마이크로소프트 윈도우 PC 사무 환경을 구성할 때 애용하는 수단 중 하나다. 기업 내 PC들이 일관적인 설정값을 가지도록 강제할 수 있다. 대부분의 경우, 그룹 정책은 레지스트리에 밀어넣는 형태의 설정이다. 액티브 디렉토리(Active Directory)에서도 그룹 정책을 설정할 수 있다(실제로는 클라이언트로 내려받는 형태다). 또는 로컬 PC에서 그룹 정책을 설정할 수도 있다.

필자는 1990년부터 윈도우 컴퓨터 보안 분야에 종사해오는 동안 수많은 그룹 정책을 경험해왔다. 윈도우 8.1과 윈도우 서버 2012 R2에는 운영체제에만 3,700여 개의 설정이 존재한다. 그런데, 이와 관련된 '비밀' 하나를 알려주겠다. 필자에 경험에 따르면 중시해야 할 설정은 이중 단 10개뿐이다. 다시 말해 이 10가지를 올바르게 설정하면 윈도우 환경의 안전성을 효율적으로 올릴 수 있다.

물론 이 10가지만 확인하면 된다는 이야기는 아니다. 여러 그룹 정책을 적절히 설정해야 위험을 낮출 수 있다. 그러나 이 10가지 설정이 대부분의 위험을 결정하는 것은 분명하다. 만약 새 그룹 정책을 검토하고 있다면 가장 먼저 하는 일은 이 10가지 설정을 확인할 것을 권한다. 올바르게 설정이 되어 있다면, 담당자가 일을 제대로 하고 있는 것이다.

1. 로컬 관리자 계정(Local Administrator Account) 이름 바꾸기
범죄자가 관리자 계정의 이름을 모르게 만들어야 한다. 그래야 해킹이 힘들어진다. 관리자 계정 이름을 자동으로 바꿀 수 없다. 직접 바꿔야 한다.

2. 게스트 계정 사용 비활성화
게스트 계정을 사용할 수 있도록 설정하는 것이 정말이지 좋지 않다. 윈도우 컴퓨터에 액세스가 자유로워진다. 또 암호도 없다. 다행히 기본 값은 사용할 수 없는 것이다.

3. LM 및 NTLM v1 비활성화
LM(LAN Manager) 및 NTLMv1 인증 프로토콜은 취약점을 갖고 있다. 따라서 NTLMv2와 Kerberos 사용을 강제해야 한다.

참고로 대부분의 윈도우 시스템은 기본 값으로 4개 프로토콜을 모두 수용한다. (10년 이상 된) 구형 시스템, 패치가 되지 않은 시스템을 보유하고 있는 경우를 제외하면, 앞선 2개의 구형 프로토콜을 사용할 이유가 거의 없다. 사용할 수 없도록 기본 설정되어 있다.

4. LM 해시 스토리지 비활성화
LM 암호 해시는 쉽게 플레인 텍스트 암호로 바꿀 수 있다. 윈도우가 이를 디스크에 저장하지 않도록 만전을 기해야 한다. 해커의 해시 덤프 도구가 찾을 수 있는 장소이기 때문이다. '사용 중지'가 기본 설정 값이다.

5. 최소 암호 길이 설정
일반 사용자의 최소 암호 길이는 12자 이상, 관리자(elevated user) 계정은 15자 이상이어야 한다. 12자 이상의 윈도우 비밀번호가 그나마 안전한 편이며, 윈도우 인증 환경에서 안전을 제대로 확보할 수 있는 암호 길이는 15자이다. 그래야 백도어를 방지할 수 있다. 기본 설정 값은 숫자 제한이 ‘0’이다. 즉 관리자가 최소 암호 길이를 별도로 설정해야 하며, 이를 통해 기업 PC 환경의 보안을 크게 높일 수 있다.

애석하게도 기존 그룹 정책 설정은 최소 암호 길이를 설정할 때 최대 14자까지만 수용할 수 있다. 15자 이상으로 설정하려면 더 최신 정책인 'Fine-Grained Password' 정책을 사용해야 한다.

참고로 윈도우 서버 2008 R2(그리고 이에 앞선 운영 체제)에서는 설정이 쉽지 않다. 그러나 GUI가 도입된 윈도우 서버 2012 이후에는 아주 쉽게 설정할 수 있다.


X