1. Fuctions
1) Process: 실행되고 있는 프로세스의 목록을 보여주며 파일주소, 숨겨진 프로세스까지 확인및 제거 가능


윈도우 서버의 보안취약성을 조사하기위한 가장 빠르고 간편한 방법인 MBSA를 소개합니다.
예전부터 블로그에 올려둔 내용인데 링크를 수정해서 다시 올려봅니다 .
현재 2.2버전이 배포되고 있는데 무료입니다.
Windows 서버가 가지고 있는 역할에 따라 여러가지를 점검해줍니다.
어떤것이 스캔되었는지 리포트해주고 보완책까지 보여주니 좋은 툴이라 하지 아니할수없습니다.
참고사항 : MBSAcli : MBSA를 명령행에서 실행하여 배치작업이 가능하게 해주는 툴입니다.
다운로드 URL: << MS 다운로드 사이트에서 >>
간략하게 서버에서 공통적으로 점검해야 할 리스트를 정리해보았습니다.
MBSA의 사항을 기본으로 약간더 추가해보았습니다. ^^
A. Security Update (MBSA로 점검)
1. windows security updates
2. SQL Server Security Updates:
B. Administrative Vulnerabilites
1. Local Account Password: 계정에 불필요 사용자 제거, 패스워드는 복잡성 만족해야 (로컬계정의 패스워드 시한정하는 것은 실제론 쉽지 않아서 …. 적용이 쉽지않음)
2. filesystem: 모두 NTFS인가? 보안속성 검토
3. Autologon: Autologon 금지
4. Guest Account : Guest Account disable 했는가?
5. Restrict Anonymous: anonymous access금지되어 있는가? (win2003에선 대부분 금지되어있음)
(win2000경우) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
– RestrictAnonymous REG_DWORD 0x2(16진수)
6. Administrators: 관리자 그룹에 속한 유저 확인하기: (최소로 사용하기)
C. Additional System information
1. Auditing: 적합한 감사정책이 세워져 있는가?
(제어판/ Administrative Tools / Local Security Policy) (Local Policies / Audit Policy )
-Audit account logon events (Success, Failure)
-Audit account management (Success, Failure)
-Audit directory service access (Failure)
-Audit logon events (Success, Failure)
-Audit object access (Failure)
-Audit policy change (Success, Failure)
-Audit system events (Success, Failure)
2. Services: 불필요 서비스의 존재 여부 (특히 Telnet)
3. Shares: 불필요 공유폴더의 존재 여부 (DMZ엔 공유폴더가 존재하지 않아야 한다.)
D. Internet Information Services
1. IIS status: IIS가 불필요하게 서버에 설치되고 가동되고 있지는 않는가?
2. 관리자사이트: 사용금지
E. SQL Server
1. SQL status: SQL이나 MSDE가 불필요하게 서버에 설치되어 구동되고있지는 않은가?
F. Desktop Application
1. IE enhanced security configuration for administrators: IE 추가보안설정이 되어있는지 확인
제어판/ 프로그램 추가제거 / 윈도우즈 구성요소 추가제거/ Internet Explorer enhanced security configuration에서
for administrator groups 와 for all other users groups 항목을 체크해준다.
2. Office product status: 불필요하게 서버에 오피스 프로그램이 설치되어있지는 않은가?
G. 기타사항들
1. Domain 가입 필수
2. 백신 설치 (인트라넷에서 자동업데이트 되도록 설정)
3. IP: 사설 아이피만 존재해야 함
4. 모뎀 설치 금지
5. 중요도에 따라 MOM서버에서 모니터링 하도록 설정 필수
6. 백업 및 복구계획 (파일서버, DB서버, AD서버,)