2019.10.28

How To : 윈도우 마이그레이션 후 권한을 감사하는 방법

Susan Bradley | CSO
랜섬웨어는 흔히 해킹된 관리자 또는 로컬 관리자 비밀번호를 이용해 네트워크 전체에 액세스하거나, 네트워크 전체를 아우르는 권한을 설정해 공격자에게 액세스를 허용한다. 따라서 윈도우에서 권한을 세심하게 관리하는 것이 중요하다.



예를 들어 새 버전으로 마이그레이션 중이거나 최근 윈도우 7이나 서버 2009 R2에서 마이그레이션을 완료했다고 하자. 일반적으로 파일을 복사하고, 데이터를 옮기고, 서버를 이전하는 기본 권한을 변경해야 한다. 그러나 마이그레이션 완료 후 이러한 과도한 권한을 되돌렸는가? 혹시 공격자를 위해 문을 열어두고 있는 상황은 아닌가?

마이그레이션 전에 권한 설정 점검하기
Get-Acl기본 파워셸 명령어다. 리소스 보안에 대한 정보를 제공한다. 구식 네트워크에서 NT 파일 시스템(NTFS) 권한은 느슨하게 설정된 경우가 흔했다. 이들을 점검하는 것이 중요하다. 만약 구식 운영체제로부터 마이그레이션 중이라면 권한은 최근 보안 상식에 맞게 설정해야 한다.

마이그레이션 과정을 시작하기 전에, 먼저 권한이 설정된 현황을 점검하라. 파워셸 Get-Acl 명령으로 NTFS 권한이 어떻게 설정되어 있는지 확인한다. 네트워크 내 모든 이용자 또는 이용자 집단의 권한을 일일이 검사하려면 ‘NTFS 디렉터리 유효 권한 감사(NTFS Directory Effective Permissions Audit, NTFS)’를 실행하면 된다.

가상머신을 내보내기 할 때의 권한
가상머신(VMs)을 내보내기 할 때에는 흔히 마이그레이션을 위해 권한을 변경해야 한다. 권한을 변경하지 않은 경우, “Failed to copy file from ‘VHD file>’ to ‘’: General access denied error (0x80070005)”라는 오류 메시지가 뜬다. 하이퍼-V 호스트의 시스템 계정이 내보내기를 실행하기 때문에 하이퍼-V 호스트는 네트워크 공유 권한을 가지고 있지 않다. 따라서 시스템이 상호 액세스할 수 있도록 권한을 변경하는 것이 좋다.

네트워크를 통해 리소스를 내보내기 하는 또 다른 방법은 시스인터널즈(Sysinternals)의 PsTools을 이용하는 것이다. 아래의 단계를 따르며 위험한 권한이 방치되지 않도록 하는 것이 중요하다.

- 활성 디렉터리 안에 ‘PsTools’를 설치한다.
- 관리자 권한 명령 프롬프트를 열고 사용자 접근 제어(User Access Controls, UAC) 프롬프트를 허용한다.
- ‘psexec.exe \\<localServerName> /s cmd.exe’를 실행한다. 이는 이용자 맥락이 아닌 시스템 맥락에서 실행되는 또 다른 명령 프롬프트를 제공한다.
- 명령 ‘net use \\<remoteServerName>\<sharename> /user:\<userName>’를 실행한다. 이 명령은 네트워크에 걸쳐 시스템 계정을 공유 자원까지 허용한다. 가상 머신을 내보내기할 때 필요하다.
- 하이퍼-V 마이크로소프트 매니지먼트 콘솔(MMC)로 돌아가면 내보내기가 완료된다.
- 일단 여기까지 끝났다면 명령 ‘net use \\<remoteServerName>\<sharename> /delete’을 이용해 시스템 계정으로부터 인증정보를 제거하거나 컴퓨터를 재부팅해 권한을 제거해야 한다.

오피스 365로 이전 시 권한
오피스 365로 파일과 리소스를 이전하는 기업이 많다. 클라우드 자원으로 일단 이전하면 여러 툴을 이용해 공유 및 권한을 조회할 수 있다. NTFS 감사는 전통적인 파일 공유처럼 대단한 무엇이 더 이상 아니다.

마이크로소프트 365는 다른 사람과 원드라이브와 셰어포인트에서 무엇을 공유했는지 조회할 수 있다. 오피스 365의 ‘공유 감사’를 이용하면 관리자가 공유된 리소스 목록을 생성할 수 있다. 이를 활성화하려면 마이크로소프트의 ‘시큐리티 앤 컴플라이언스 센터’로 가서 로그인해야 한다. 좌측 창에서 ‘검색’을 클릭한 후 ‘감사 로그 검색’을 클릭한다. ‘활동’ 하의 ‘공유 및 액세스 요청 활동’을 클릭해 공유 관련 이벤트를 검색한다.



여기서 액세스 링크 생성부터 파일, 폴더, 사이트 공유에 이르기까지 검색을 수행할 수 있다.



이제 오피스 365의 검색 바에서 “ViewableByExternalUsers=True” 질의와 “ViewableByAnonymousUsers=true"를 검색해 셰어포인트로의 액세스를 조회한다. 이들 명령은 조직 외부에서 공유된 파일이나 폴더를 개괄적으로 표시한다. 더 상세히 열람하려면 ‘Netwrix Auditor for Office 365’를 다운로드해 오피스 365의 액세스 보고서를 생성할 수 있다. 이는 제한적 커뮤니티 버전이고, 클라우드 자산으로의 액세스를 보고하고 변화를 통지하도록 설정할 수 있다.

온-프레미스든지, 클라우드 서비스든지, 어느 곳으로 마이그레이션을 하더라도, 권한이 의도한 대로 설정되어 있는지 확인해야 한다. 우발적 과다 권한은 퍼스트 아메리칸 파이낸셜 코퍼레이션(First American Financial Corporation)의 8억 8,500만 모기지 기록 노출 같은 보안 사건으로 이어질 수 있다. 웹 서버를 잘못 설정해 액세스해서는 안 되는 기록에 이용자 액세스가 허용된 것이다. 웹 서버상의 권한을 감사했다면, 이러한 황당한 사태는 막을 수 있었을 것이다. 따라서 시간을 가지고 권한 및 액세스를 점검하여 이들이 의도대로 설정되어 있음을 확인해야 한다. ciokr@idg.co.kr


2019.10.28

How To : 윈도우 마이그레이션 후 권한을 감사하는 방법

Susan Bradley | CSO
랜섬웨어는 흔히 해킹된 관리자 또는 로컬 관리자 비밀번호를 이용해 네트워크 전체에 액세스하거나, 네트워크 전체를 아우르는 권한을 설정해 공격자에게 액세스를 허용한다. 따라서 윈도우에서 권한을 세심하게 관리하는 것이 중요하다.



예를 들어 새 버전으로 마이그레이션 중이거나 최근 윈도우 7이나 서버 2009 R2에서 마이그레이션을 완료했다고 하자. 일반적으로 파일을 복사하고, 데이터를 옮기고, 서버를 이전하는 기본 권한을 변경해야 한다. 그러나 마이그레이션 완료 후 이러한 과도한 권한을 되돌렸는가? 혹시 공격자를 위해 문을 열어두고 있는 상황은 아닌가?

마이그레이션 전에 권한 설정 점검하기
Get-Acl기본 파워셸 명령어다. 리소스 보안에 대한 정보를 제공한다. 구식 네트워크에서 NT 파일 시스템(NTFS) 권한은 느슨하게 설정된 경우가 흔했다. 이들을 점검하는 것이 중요하다. 만약 구식 운영체제로부터 마이그레이션 중이라면 권한은 최근 보안 상식에 맞게 설정해야 한다.

마이그레이션 과정을 시작하기 전에, 먼저 권한이 설정된 현황을 점검하라. 파워셸 Get-Acl 명령으로 NTFS 권한이 어떻게 설정되어 있는지 확인한다. 네트워크 내 모든 이용자 또는 이용자 집단의 권한을 일일이 검사하려면 ‘NTFS 디렉터리 유효 권한 감사(NTFS Directory Effective Permissions Audit, NTFS)’를 실행하면 된다.

가상머신을 내보내기 할 때의 권한
가상머신(VMs)을 내보내기 할 때에는 흔히 마이그레이션을 위해 권한을 변경해야 한다. 권한을 변경하지 않은 경우, “Failed to copy file from ‘VHD file>’ to ‘’: General access denied error (0x80070005)”라는 오류 메시지가 뜬다. 하이퍼-V 호스트의 시스템 계정이 내보내기를 실행하기 때문에 하이퍼-V 호스트는 네트워크 공유 권한을 가지고 있지 않다. 따라서 시스템이 상호 액세스할 수 있도록 권한을 변경하는 것이 좋다.

네트워크를 통해 리소스를 내보내기 하는 또 다른 방법은 시스인터널즈(Sysinternals)의 PsTools을 이용하는 것이다. 아래의 단계를 따르며 위험한 권한이 방치되지 않도록 하는 것이 중요하다.

- 활성 디렉터리 안에 ‘PsTools’를 설치한다.
- 관리자 권한 명령 프롬프트를 열고 사용자 접근 제어(User Access Controls, UAC) 프롬프트를 허용한다.
- ‘psexec.exe \\<localServerName> /s cmd.exe’를 실행한다. 이는 이용자 맥락이 아닌 시스템 맥락에서 실행되는 또 다른 명령 프롬프트를 제공한다.
- 명령 ‘net use \\<remoteServerName>\<sharename> /user:\<userName>’를 실행한다. 이 명령은 네트워크에 걸쳐 시스템 계정을 공유 자원까지 허용한다. 가상 머신을 내보내기할 때 필요하다.
- 하이퍼-V 마이크로소프트 매니지먼트 콘솔(MMC)로 돌아가면 내보내기가 완료된다.
- 일단 여기까지 끝났다면 명령 ‘net use \\<remoteServerName>\<sharename> /delete’을 이용해 시스템 계정으로부터 인증정보를 제거하거나 컴퓨터를 재부팅해 권한을 제거해야 한다.

오피스 365로 이전 시 권한
오피스 365로 파일과 리소스를 이전하는 기업이 많다. 클라우드 자원으로 일단 이전하면 여러 툴을 이용해 공유 및 권한을 조회할 수 있다. NTFS 감사는 전통적인 파일 공유처럼 대단한 무엇이 더 이상 아니다.

마이크로소프트 365는 다른 사람과 원드라이브와 셰어포인트에서 무엇을 공유했는지 조회할 수 있다. 오피스 365의 ‘공유 감사’를 이용하면 관리자가 공유된 리소스 목록을 생성할 수 있다. 이를 활성화하려면 마이크로소프트의 ‘시큐리티 앤 컴플라이언스 센터’로 가서 로그인해야 한다. 좌측 창에서 ‘검색’을 클릭한 후 ‘감사 로그 검색’을 클릭한다. ‘활동’ 하의 ‘공유 및 액세스 요청 활동’을 클릭해 공유 관련 이벤트를 검색한다.



여기서 액세스 링크 생성부터 파일, 폴더, 사이트 공유에 이르기까지 검색을 수행할 수 있다.



이제 오피스 365의 검색 바에서 “ViewableByExternalUsers=True” 질의와 “ViewableByAnonymousUsers=true"를 검색해 셰어포인트로의 액세스를 조회한다. 이들 명령은 조직 외부에서 공유된 파일이나 폴더를 개괄적으로 표시한다. 더 상세히 열람하려면 ‘Netwrix Auditor for Office 365’를 다운로드해 오피스 365의 액세스 보고서를 생성할 수 있다. 이는 제한적 커뮤니티 버전이고, 클라우드 자산으로의 액세스를 보고하고 변화를 통지하도록 설정할 수 있다.

온-프레미스든지, 클라우드 서비스든지, 어느 곳으로 마이그레이션을 하더라도, 권한이 의도한 대로 설정되어 있는지 확인해야 한다. 우발적 과다 권한은 퍼스트 아메리칸 파이낸셜 코퍼레이션(First American Financial Corporation)의 8억 8,500만 모기지 기록 노출 같은 보안 사건으로 이어질 수 있다. 웹 서버를 잘못 설정해 액세스해서는 안 되는 기록에 이용자 액세스가 허용된 것이다. 웹 서버상의 권한을 감사했다면, 이러한 황당한 사태는 막을 수 있었을 것이다. 따라서 시간을 가지고 권한 및 액세스를 점검하여 이들이 의도대로 설정되어 있음을 확인해야 한다. ciokr@idg.co.kr


X