피시 점검 프로그램 관련 정리

PC보안 프로그램 점검 사항
- 컴퓨터 이름 확인

HKLM\System\CurrentControlSet\Control\ComputerName\ActiveComputerName\ComputerName

- 패스워드 설정 점검
  + 빈 패스워드

john to rapper 로 확인
LM Hash값 : aad3b435b51404eeaad3b435b51404ee
NT Hash값 : 31d6cfe0d16ae931b73c59d7e0c089c0

    + 유효기간이 지난 패스워드(유효기간 설정)

net accounts /maxpwage:90
설정시 사전 관리자 가이드필요

    + 길이가 짧은 패스워드(확인요)

패스워드의 최소 길이는 8자이어야 함 (DISA Windows XP Security Checklist)
net accounts /minpwlen:8
LM Hash값 : aad3b435b51404eeaad3b435b51404ee 을 통해 8자이상인지 확인 가능
설정시 사전 유저 가이드필요

  + 최근 로그인 패스워드 재사용 불가

net accounts /uniquepw:3

+ 패스워드는 추측하기 힘들어야 하고 대문자, 소문자, 숫자, 특수문자를 반드시 포함해야 함

 가이드만 가능

- Guest 비활성화
  + Tune off or Disable

    + net user guest  이용
    + i.e.) 공유 프린터의 경우 Guest 계정 필요 

- Bios 비밀번호 설정
  + 피닉스, 아미, 어워드

+ 가이드만 가능

- 공유폴더 제한
  + 관리자 공유 폴더 설정(ADMIN$, C$,D$) 제거

    + HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/LanmanServer/Parameters
    + 새로만들기 DWORD AutoShareWks = 0

  + 시스템 도구/공유폴더/공유 확인

    + net share 사용
    + IPC$, print$ 예외

- 화면보호기 사용 및 잠금

HKEY_CURRENT_USER\Control Panel\Desktop\ScreenSaveActive 0
HKEY_CURRENT_USER - Control Panel - Desktop - ScreenSaverIsSecure  1
HKCU\Control Panel\Desktop\ScreenSaveTimeOut SUCCESS "600" 

- 방화벽, 자동업데이트, 바이러스백신 사용 유무 확인 및 설정
  + 방화벽 예외허용 (on/off) 점검 ==> 기본값 복원 사용?

      - HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccess
      - ParametersFirewallPolicyStandardProfile

        위 레지스트리 경로에서 다음의 값으로 변경하여 방화벽 기능을 해제한다.

        DisableNotifications = 1
        EnableFirewall = 0
        DoNotAllowExceptions" = 0

        보안센터의 경고기능을 해제하기 위해서 다음의 레지스트리 경로에서

        - HKEY_LOCAL_MACHINESoftwareMicrosoftSecurity Center

        아래 값으로 변경한다.

        - AntiVirusDisableNotify = 1
        - FirewallDisableNotify = 1
        - UpdatesDisableNotify = 1
        - AntiVirusOverride = 1
        - FirewallOverride = 1

  + 자동업데이트 - Automatic Updates 서비스 on

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU

값 이름: NoAutoUpdate
값 데이터: 0 또는 1

• 0: 자동 업데이트 사용(기본값)
• 1: 자동 업데이트 사용 안 함

레지스트리 값 종류: Reg_DWORD

값 이름: AUOptions
값 데이터: 1 - 4

• 1: "컴퓨터를 업데이트 상태로 유지합니다." 설정이 자동 업데이트에서 사용할 수 없도록 되어 있음
• 2: 다운로드 및 설치할 때 알림
• 3: 자동으로 다운로드하고 설치할 때 알림
• 4: 자동으로 다운로드하고 설치를 예약

레지스트리 값 종류: Reg_DWORD

값 이름: ScheduledInstallDay
값 데이터: 0 - 7

• 0: 매일
• 1 - 7: 일요일(1)부터 토요일(7)까지의 요일

레지스트리 값 종류: Reg_DWORD

값 이름: ScheduledInstallTime
값 데이터: n, 여기서 n은 24시간 형식의 시간(0-23)입니다.
레지스트리 값 종류: Reg_DWORD

값 이름: UseWUServer
값 데이터: Windows Update 대신 Software Update Services를 실행 중인 서버를 사용하도록 자동 업데이트를 구성하려면 이 값을 1로 설정하십시오.
레지스트리 값 종류: Reg_DWORD

값 이름: RescheduleWaitTime
값 데이터: m, 여기서 m은 자동 업데이트가 시작되는 시간과 예약된 시간을 경과한 설치를 시작하는 시간 사이에 대기할 시간입니다. 이 시간은 분 단위로 1-60 사이의 값으로 나타납니다.
레지스트리 값 종류: Reg_DWORD

참고 클라이언트가 SUS SP1 클라이언트 버전 이상으로 업데이트된 경우 이 설정은 클라이언트 동작에만 영향을 미칩니다.

값 이름: NoAutoRebootWithLoggedOnUsers
값 데이터: Reg_DWORD: 0(거짓) 또는 1(참). 1로 설정하면 사용자가 로그온되어 있는 경우 자동 업데이트가 컴퓨터를 자동으로 다시 시작하지 않습니다.
레지스트리 값 종류: Reg_DWORD

참고 클라이언트가 SUS SP1 클라이언트 버전 이상으로 업데이트된 경우 이 설정은 클라이언트 동작에 영향을 미칩니다.

- 서비스 점검

net start 사용
  + blacklist 활용
    ex) alerter, Computer Browser, Fast User Switching Compatibility, Messenger, Netmeeting, Remote Desktop Sharing, Telnet

- 프로세스 목록 보기 및 통지(Unknown Process 포함) 

pslist 사용
+ adv) 프로세스 죽이기
- P2P 프로그램 사용 여부 확인 (여러 종류가 있으므로 구현 고려 필요)
  +프루나(Pruna), 당나귀(eDonkey), 몽키(Monkey) 3, 파일구리(FileGuri), Azureus, BitComet, 동키호테(Donkeyhote), eMule(이뮬), myPMC, LimeWire Basic
- 웹하드, HTS, VNC 메신저 등

- 자동 로그인 비활성화

  + control userpasswords2
  + 사용자 이름과 암호를 입력해야 이 컴퓨터를 사용할 수 있음” 체크박스를 선택
  + HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\AutoAdminLogon "0" 

- 패치 업데이트 여부

  + HOTFIX 설치 지원, 자동업데이트 툴 적용 여부 확인(Inciter)
  + %script%\Hfnetchk.exe /x %script%\mssecure.xml 사용
  + "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Hotfix"            
  + "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\MinorVersion"
  + adv)패치 강제 업데이트

- 메일 클라이언트 보안설정(6.0, 2003 모두 고려 필요)

  + 6.0) 미리보기 해제, 보안수준 고정
  + 2003) 보안영역 (제한된 사이트), 자동다운로드(그림 자동 다운로드 금지), 미리보기 해제
HKCU\Identities\{1642DAD5-6AA3-4E40-9200-D6293EBAFB3A}\Software\Microsoft\Outlook Express\5.0\Mail\ShowHybridView SUCCESS 0x0 

- 웹 브라우저 버전확인

http://support.microsoft.com/kb/164539/

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer Version

5.00.2014.0216	Internet Explorer 5
5.00.2314.1003	Internet Explorer 5(Office 2000)
5.00.2614.3500	Internet Explorer 5(Windows 98 Second Edition)
5.00.2516.1900	Internet Explorer 5.01(Windows 2000 베타 3, 빌드 5.00.2031)
5.00.2919.800	Internet Explorer 5.01(Windows 2000 RC1, 빌드 5.00.2072)
5.00.2919.3800	Internet Explorer 5.01(Windows 2000 RC2, 빌드 5.00.2128)
5.00.2919.6307	Internet Explorer 5.01(Office 2000 SR-1)
5.00.2920.0000	Internet Explorer 5.01(Windows 2000, 빌드 5.00.2195)
5.00.3103.1000	Internet Explorer 5.01 SP1(Windows 2000 SP1)
5.00.3105.0106	Internet Explorer 5.01 SP1(Windows 95/98 및 Windows NT 4.0)
5.00.3314.2101	Internet Explorer 5.01 SP2(Windows 95/98 및 Windows NT 4.0)
5.00.3315.1000	Internet Explorer 5.01 SP2(Windows 2000 SP2)
5.00.3502.1000	Internet Explorer 5.01 SP3(Windows 2000 SP3만 해당)
5.00.3700.1000	Internet Explorer 5.01 SP4(Windows 2000 SP4만 해당)
5.50.3825.1300	Internet Explorer 5.5 Developer Preview(베타)
5.50.4030.2400	Internet Explorer 5.5 및 인터넷 도구 베타
5.50.4134.0100	Windows Me용 Internet Explorer 5.5(4.90.3000)
5.50.4134.0600	Internet Explorer 5.5
5.50.4308.2900	Internet Explorer 5.5 Advanced Security Privacy 베타
5.50.4522.1800	Internet Explorer 5.5 서비스 팩 1
5.50.4807.2300	Internet Explorer 5.5 서비스 팩 2
6.00.2462.0000	Internet Explorer 6 Public Preview(베타)
6.00.2479.0006	Internet Explorer 6 Public Preview(베타) Refresh
6.00.2600.0000	Internet Explorer 6(Windows XP)
6.00.2800.1106	Internet Explorer 6 서비스 팩 1(Windows XP SP1)
6.00.2900.2180	Windows XP SP2용 Internet Explorer 6
6.00.3663.0000	Windows Server 2003 RC1용 Internet Explorer 6
6.00.3718.0000	Windows Server 2003 RC2용 Internet Explorer 6
6.00.3790.0000	Windows Server 2003용 Internet Explorer 6(릴리스)
6.00.3790.1830	Windows Server 2003 SP1 및 Windows XP x64용 Internet Explorer 6
6.00.3790.3959	Windows Server 2003 SP1 및 Windows XP x64용 Internet Explorer 6 SP2
7.00.5730.1100	Windows XP 및 Windows Server 2003용 Internet Explorer 7
7.00.6000.16386	Windows Vista용 Internet Explorer 7
7.00.6000.16441	Windows Server 2003 SP2 x64용 Internet Explorer 7
7.00.6000.16441	Windows XP SP2 x64용 Internet Explorer 7
7.0.6001.1800	Windows Server 2008 및 Windows Vista SP1용 Internet Explorer 7

- 웹 브라우저 보안설정( IE 5.5, 6.0, 7.0, 8.0 지원 고려 필요)

  + 보통으로 고정
  + 팝업차단 사용 여부 확인
  + 엑티브X 차단 사용 여부 확인

- 설치 프로그램 목록 보여주기

  + 필수 요소는 아님
  + 개인정보 누출 이슈가 있음

- 백신 주기적 검사 설정/업데이트 여부 확인

  + 모든 백신 지원은 사실상 불가능

- 백신 설치 여부 확인

  + APC Agent(Ahnlab Policy Center)

-방화벽 설정

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List

방화벽 설정 메인 부분
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile]

 실행 프로그램 등록 부분
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\List]

 포트 등록 부분
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\GloballyOpenPorts\List]

 ICMP 설정 부분
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\IcmpSettings]

 

- 신뢰사이트 설정

로컬인트라넷 & 신뢰 사이트 레지스트리

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains\도메인호스트(?)
  http REG_DWORD 0x00000002 (1:로컬인트라넷, 2:신뢰사이트)
  https REG_DWORD 0x00000002 (1:로컬인트라넷, 2:신뢰사이트)

예)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains\localhost
  http REG_DWORD 0x00000001
  https REG_DWORD 0x00000001

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains\microsoft.com\windowsupdate
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains\microsoft.com\*.update
  http REG_DWORD 0x00000002
  https REG_DWORD 0x00000002