[시스템 보안] 1) 계정관리 - 5

이번 카테고리에서는 "주요정보통신기반시설 기술적 취약점 분석·평가 방법 상세가이드 (2021.3.)" 를 기준으로

시스템 보안 실습을 하겠습니다.

실습 환경은 Windows 11 개발환경(WinDev2208Eval)으로, 가상 머신은 VMware를 사용하겠습니다.

---

[ 1) 계정관리 ]

   1.5) 해독 가능한 암호화를 사용하여 암호 저장 해제

---

취약점 개요

 

{ 점검 내용 }

> 해독 가능한 암호화 사용 여부 점검

 

{ 점검 목적 }

> "해독 가능한 암호화를 사용하여 암호 저장" 정책이 설정되어 사용자 계정 비밀번호가

   해독 가능한 텍스트 형태로 저장 되는 것을 차단하기 위함

 

{ 보안 위협 }

> 위 정책이 설정된 경우 OS에서 사용자 ID, PW를 입력받아 인증을 진행하는

   응용 프로그램 프로토콜 지원 시 OS 는 사용자의 PW 를 해독 가능한 방식으로

   암호를 저장하기 때문에, 노출된 계정에 대해 공격자가 암호 복호화 공격으로

   PW를 획득하여 네트워크 리소스에 접근할 수 있음

   ( 위 정책은 암호를 암호화 하지 않은 상태로 저장하여 일반 텍스트 버전의

     암호를 저장하는 것과 같으나, 시스템에서 기본적으로 동작하지는 않음)

---

판단기준

 

> 양호 : "해독 가능한 암호화를 사용하여 암호 저장" 정책이 "사용 안 함" 으로 되어 있는 경우

> 취약 : "해독 가능한 암호화를 사용하여 암호 저장" 정책이 "사용" 으로 되어 있는 경우

 

조치방법

 

> "해독 가능한 암호화를 사용하여 암호 저장" 정책을 "사용 안 함"으로 설정

---

실습

 

1) Windows Tools => Local Security Policy => Account Policies => Password Policy

    에서 Store passwords using reversible encryption 항목을 "사용 안 함(Disabled)"로 설정합니다