Windows 보안 기준
이 문서에서는 다음 구현에 적용할 수 있는 Windows 게스트의 구성 설정에 대해 자세히 설명합니다.
- [미리 보기]: Windows 머신은 Azure 컴퓨팅 보안 기준 Azure Policy 게스트 구성 정의에 대한 요구 사항을 충족해야 함
- Azure Security Center에서 컴퓨터 보안 구성의 취약성을 수정해야 함)
자세한 내용은 Azure Automanage 컴퓨터 구성을 참조하세요.
Important
Azure Policy 게스트 구성은 Windows Server SKU 및 Azure Stack SKU에만 적용됩니다. Windows 10 및 Windows 11 SKU와 같은 최종 사용자 컴퓨팅에는 적용되지 않습니다.
계정 정책 - 암호 정책
속성 (ID) |
세부 정보 | 예상 값 (형식) |
심각도 |
---|---|---|---|
계정 잠금 기간 (AZ-WIN-73312) |
설명: 이 정책 설정은 잠긴 계정이 잠금 해제되고 사용자가 다시 로그온을 시도할 수 있기 전에 경과해야 하는 시간 길이를 결정합니다. 이 설정은 잠긴 계정을 사용할 수 없는 기간(분)을 지정하여 이 작업을 수행합니다. 이 정책 설정의 값이 0으로 구성된 경우 잠긴 계정은 관리자가 수동으로 잠금을 해제할 때까지 잠겨 있습니다. 이 정책 설정의 값을 높은 값으로 구성하는 것이 좋은 아이디어처럼 보일 수 있지만 해당 구성은 실수로 잠긴 계정의 잠금을 해제하기 위해 지원 센터가 수신하는 문의 수를 늘릴 수 있습니다. 사용자는 매우 긴급하게 컴퓨터에 대한 액세스 권한을 다시 얻어야 하는 경우에만 지원 센터에 문의해야 함을 알게 되므로 잠금이 유지되는 시간 길이를 알고 있어야 합니다. 이 설정의 권장 상태는 15 or more minute(s) 입니다. 참고: 암호 정책 설정(섹션 1.1) 및 계정 잠금 정책 설정(섹션 1.2)은 기본 동작으로 도메인 사용자 계정에 전체적으로 적용하기 위해 기본 도메인 정책 GPO를 통해 적용해야 합니다. 이 설정이 다른 GPO에서 구성된 경우에는 GPO를 수신하는 컴퓨터의 로컬 사용자 계정에만 영향을 줍니다. 그러나 특정 도메인 사용자 및/또는 그룹의 기본 암호 정책 및 계정 잠금 정책 규칙에 대한 사용자 지정 예외는 그룹 정책에서 완전히 분리되는 PSO(Password Settings Object)를 사용하여 정의하고 Active Directory 관리 센터를 사용하여 가장 쉽게 구성할 수 있습니다.키 경로: [시스템 액세스]LockoutDuration OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원 그룹 정책 경로: 컴퓨터 구성\정책\Windows 설정\보안 설정\계정 정책\계정 잠금 정책\계정 잠금 기간 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 1.2.1 CIS WS2019 1.2.1 |
>= 15 (정책) |
Warning |
관리 템플릿 - Windows Defender
속성 (ID) |
세부 정보 | 예상 값 (형식) |
심각도 |
---|---|---|---|
잠재적으로 원치 않는 애플리케이션에 대한 검색 구성 (AZ-WIN-202219) |
설명: 이 정책 설정은 원치 않는 응용 프로그램 번들 또는 번들된 애플리케이션인 PUA(잠재적으로 원치 않는 애플리케이션)에 대한 검색 및 작업을 제어하며, 이는 어드웨어 또는 맬웨어를 제공할 수 있습니다. 이 설정의 권장 상태는 Enabled: Block 입니다. 자세한 내용은 Microsoft Defender 바이러스 백신을 사용하여 사용자 동의 없이 설치된 애플리케이션 차단 | Microsoft Docs 링크를 참조하세요.키 경로: SOFTWARE\Policies\Microsoft\Windows Defender\PUAProtection OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원 그룹 정책 경로: 컴퓨터 구성\정책\관리 템플릿\Windows 구성 요소\Microsoft Defender 바이러스 백신\잠재적으로 원치 않는 애플리케이션에 대한 검색 구성 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 18.9.47.15 CIS WS2019 18.9.47.15 |
= 1 (레지스트리) |
위험 |
다운로드한 모든 파일 및 첨부 파일 검사 (AZ-WIN-202221) |
설명: 이 정책 설정은 모든 다운로드한 파일 및 첨부 파일에 대한 검사를 구성합니다. 이 설정의 권장 상태는 Enabled 입니다.키 경로: Software\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableIOAVProtection OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원 그룹 정책 경로: 컴퓨터 구성\정책\관리 템플릿\Windows 구성 요소\Microsoft Defender 바이러스 백신\실시간 보호\다운로드한 모든 파일 및 첨부 파일 검사 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 18.9.47.9.1 CIS WS2019 18.9.47.9.1 |
= 0 (레지스트리) |
Warning |
Microsoft Defender 바이러스 백신 끄기 (AZ-WIN-202220) |
설명: 이 정책 설정은 Microsoft Defender 바이러스 백신을 끕니다. 설정이 사용 안 함으로 구성되면 Microsoft Defender 바이러스 백신이 실행되고 컴퓨터에서 맬웨어 및 기타 사용자 동의 없이 설치된 소프트웨어가 있는지 검사됩니다. 이 설정의 권장 상태는 Disabled 입니다.키 경로: Software\Policies\Microsoft\Windows Defender\DisableAntiSpyware OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원 그룹 정책 경로: 컴퓨터 구성\정책\관리 템플릿\Windows 구성 요소\Microsoft Defender 바이러스 백신\Microsoft Defender 바이러스 백신 끄기 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 18.9.47.16 CIS WS2019 18.9.47.16 |
= 0 (레지스트리) |
위험 |
실시간 보호 끄기 (AZ-WIN-202222) |
설명: 이 정책 설정은 알려진 맬웨어 탐지에 대한 실시간 보호 프롬프트를 구성합니다. Microsoft Defender 바이러스 백신은 사용자 동의 없이 설치된 소프트웨어가 컴퓨터에서 설치되거나 실행되려고 할 경우 이를 경고합니다. 이 설정의 권장 상태는 Disabled 입니다.키 경로: Software\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableRealtimeMonitoring OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원 그룹 정책 경로: 컴퓨터 구성\정책\관리 템플릿\Windows 구성 요소\Microsoft Defender 바이러스 백신\실시간 보호\실시간 보호 해제 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 18.9.47.9.2 CIS WS2019 18.9.47.9.2 |
= 0 (레지스트리) |
Warning |
이메일 검사 켜기 (AZ-WIN-202218) |
설명: 이 정책 설정을 사용하여 메일 검사를 구성할 수 있습니다. 전자 메일 검사를 사용하도록 설정하면 엔진은 메일 본문 및 첨부 파일을 분석하기 위해 특정 형식에 따라 사서함 및 메일 파일을 구문 분석합니다. 현재 pst(Outlook), dbx, mbx, mime(Outlook Express), binhex(Mac) 등의 여러 메일 형식이 지원됩니다. 이 설정의 권장 상태는 Enabled 입니다.키 경로: SOFTWARE\Policies\Microsoft\Windows Defender\Scan\DisableEmailScanning OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: 컴퓨터 구성\정책\관리 템플릿\Windows 구성 요소\Microsoft Defender 바이러스 백신\스캔\전자 메일 검사 켜기 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 18.9.47.12.2 CIS WS2019 18.9.47.12.2 |
= 0 (레지스트리) |
Warning |
스크립트 검사 켜기 (AZ-WIN-202223) |
설명: 이 정책 설정을 사용하여 스크립트 검사를 켜고 끌 수 있습니다. 스크립트 검사는 스크립트를 가로챈 후 시스템에서 실행되기 전에 검사합니다. 이 설정의 권장 상태는 Enabled 입니다.키 경로: Software\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableScriptScanning OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원 그룹 정책 경로: 컴퓨터 구성\정책\관리 템플릿\Windows 구성 요소\Microsoft Defender 바이러스 백신\실시간 보호\스크립트 검사 켜기 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 18.9.47.9.4 CIS WS2019 18.9.47.9.4 |
= 0 (레지스트리) |
Warning |
관리 템플릿 - 제어판
속성 (ID) |
세부 정보 | 예상 값 (형식) |
심각도 |
---|---|---|---|
입력 개인 설정 허용 (AZ-WIN-00168) |
설명: 이 정책을 통해 음성, 수동 입력 및 입력을 비롯하여 입력 개인 설정의 자동 학습 구성 요소를 사용할 수 있습니다. 자동 학습을 사용하면 음성 및 필기 패턴, 입력 기록, 연락처 및 최근 일정 정보를 수집할 수 있습니다. Cortana를 사용하는 데 필요합니다. 수집된 이 정보 중 일부는 수동 입력 및 입력 시 사용자의 OneDrive에 저장될 수 있습니다. 일부 정보는 음성을 개인 설정하기 위해 Microsoft에 업로드됩니다. 이 설정의 권장 상태는 Disabled 입니다.키 경로: SOFTWARE\Policies\Microsoft\InputPersonalization\AllowInputPersonalization OS: WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 Disabled 다음으로 설정합니다. Computer Configuration\Policies\Administrative Templates\제어판\Regional and Language Options\Allow users to enable online speech recognition services Note: This Group Policy path may not exist by default. Microsoft Windows 10 RTM(릴리스 1507) 관리 템플릿(이상)에 포함된 그룹 정책 템플릿 Globalization.admx/adml에서 제공됩니다. 참고 #2: 이전 Microsoft Windows 관리 템플릿에서 이 설정은 처음에 입력 개인 설정 허용으로 이름이 지정되었지만 사용자가 Windows 10 R1809 및 Server 2019 관리 템플릿부터 온라인 음성 인식 서비스를 사용하도록 허용하도록 이름이 바뀌었습니다.규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 18.1.2.2 |
= 0 (레지스트리) |
Warning |
관리 템플릿 - MS 보안 가이드
속성 (ID) |
세부 정보 | 예상 값 (형식) |
심각도 |
---|---|---|---|
SMB v1 클라이언트 사용 안 함(LanmanWorkstation에 대한 종속성 제거) (AZ-WIN-00122) |
설명: SMBv1은 SMB의 일부로 MD5 알고리즘을 사용하는 레거시 프로토콜입니다. MD5는 충돌, 사전 이미지 공격 등의 다양한 공격에 취약할 뿐만 아니라 FIPS 규격이 아닌 것으로 알려져 있습니다. 키 경로: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\DependOnService OS: WS2008, WS2008R2, WS2012 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: 컴퓨터 구성\관리 템플릿\MS 보안 가이드\SMBv1 클라이언트 드라이버 구성 규정 준수 표준 매핑: |
존재하지 않거나 = Bowser\0MRxSmb20\0NSI\0\0 (레지스트리) |
위험 |
WDigest 인증 (AZ-WIN-73497) |
설명: WDigest 인증을 사용하도록 설정하면 Lsass.exe는 사용자의 일반 텍스트 암호 복사본을 메모리에 유지합니다. 이 경우 도난 위험이 있을 수 있습니다. 이 설정을 구성하지 않으면 WDigest 인증은 Windows 8.1 및 Windows Server 2012 R2에서 사용하지 않도록 설정됩니다. 이 인증은 이전 버전의 Windows 및 Windows Server에서 기본적으로 사용하도록 설정됩니다. 로컬 계정 및 자격 증명 도난에 대한 자세한 내용은 “PtH(Pass-the-Hash) 공격 및 기타 자격 증명 도난 기술 완화” 문서를 검토하세요. UseLogonCredential 에 대한 자세한 내용은 Microsoft 기술 자료 문서 2871997: 자격 증명 보호 및 관리를 개선하기 위한 Microsoft 보안 권고 업데이트 2014년 5월 13일을 참조하세요. 이 설정의 권장 상태는 Disabled 입니다.키 경로: SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\UseLogonCredential OS: WS2016, WS2019 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: 컴퓨터 구성\정책\관리 템플릿\MS 보안 가이드\WDigest 인증(사용하지 않도록 설정하려면 KB2871997 필요) 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 18.3.7 CIS WS2019 18.3.7 |
= 0 (레지스트리) |
Important |
관리 템플릿 - MSS
속성 (ID) |
세부 정보 | 예상 값 (형식) |
심각도 |
---|---|---|---|
MSS: (DisableIPSourceRouting IPv6) IP 원본 라우팅 보호 수준(패킷 스푸핑으로부터 보호) (AZ-WIN-202213) |
설명: IP 원본 라우팅은 보낸 사람이 데이터그램이 네트워크를 통해 뒤따라야 하는 IP 경로를 확인할 수 있는 메커니즘입니다. 이 설정의 권장 상태는 Enabled: Highest protection, source routing is completely disabled 입니다.키 경로: System\CurrentControlSet\Services\Tcpip6\Parameters\DisableIPSourceRouting OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원 그룹 정책 경로: 컴퓨터 구성\정책\관리 템플릿\MSS(레거시)\MSS: (DisableIPSourceRouting IPv6) IP 원본 라우팅 보호 수준(패킷 스푸핑으로부터 보호) 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 18.4.2 CIS WS2019 18.4.2 |
= 2 (레지스트리) |
정보 제공 |
MSS: (DisableIPSourceRouting) IP 원본 라우팅 보호 수준(패킷 스푸핑으로부터 보호) (AZ-WIN-202244) |
설명: IP 원본 라우팅은 보낸 사람이 데이터그램이 네트워크를 통해 사용해야 하는 IP 경로를 확인할 수 있는 메커니즘입니다. 엔터프라이즈 환경에서는 이 설정을 정의되지 않음으로 구성하고 높은 보안 환경에서는 최고 수준의 보호로 구성하여 원본 라우팅을 완전히 사용하지 않도록 설정하는 것이 좋습니다. 이 설정의 권장 상태는 Enabled: Highest protection, source routing is completely disabled 입니다.키 경로: System\CurrentControlSet\Services\Tcpip\Parameters\DisableIPSourceRouting OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원 그룹 정책 경로: 컴퓨터 구성\정책\관리 템플릿\MSS(레거시)\MSS: (DisableIPSourceRouting) IP 원본 라우팅 보호 수준(패킷 스푸핑으로부터 보호) 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 18.4.3 CIS WS2019 18.4.3 |
= 2 (레지스트리) |
정보 제공 |
MSS: (NoNameReleaseOnDemand) 컴퓨터에서 WINS 서버를 제외한 NetBIOS 이름 해제 요청을 무시하도록 허용 (AZ-WIN-202214) |
설명: NetBIOS over TCP/IP는 특히 Windows 기반 시스템에 등록된 NetBIOS 이름을 해당 시스템에 구성된 IP 주소에 대해 쉽게 확인할 수 있는 방법을 제공하는 네트워크 프로토콜입니다. 이 설정은 컴퓨터가 이름 해제 요청을 수신할 때 NetBIOS 이름을 해제하는지 여부를 결정합니다. 이 설정의 권장 상태는 Enabled 입니다.키 경로: System\CurrentControlSet\Services\Netbt\Parameters\NoNameReleaseOnDemand OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원 그룹 정책 경로: 컴퓨터 구성\정책\관리 템플릿\MSS (레거시)\MSS: (NoNameReleaseOnDemand) 컴퓨터에서 WINS 서버를 제외한 NetBIOS 이름 릴리스 요청을 무시하도록 허용 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 18.4.6 CIS WS2019 18.4.6 |
= 1 (레지스트리) |
정보 제공 |
MSS: (SafeDllSearchMode) 안전한 DLL 검색 모드 사용(권장) (AZ-WIN-202215) |
설명: DLL 검색 순서는 다음 두 가지 방법 중 하나로 프로세스를 실행하여 요청되는 DLL을 검색하도록 구성할 수 있습니다. - 먼저 시스템 경로에 지정된 폴더를 검색한 다음, 현재 작업 폴더를 검색합니다. - 먼저 현재 작업 폴더를 검색한 다음, 시스템 경로에 지정된 폴더를 검색합니다. 사용하도록 설정하면 레지스트리 값이 1로 설정됩니다. 설정이 1이면 시스템은 먼저 시스템 경로에 지정된 폴더를 검색한 다음, 현재 작업 폴더를 검색합니다. 사용하지 않도록 설정하면 레지스트리 값이 0으로 설정되고 시스템은 먼저 현재 작업 폴더를 검색한 다음, 시스템 경로에 지정된 폴더를 검색합니다. 애플리케이션은 먼저 시스템 경로에서 DLL을 검색해야 합니다. 애플리케이션에 포함된 이 DLL의 고유한 버전이 필요한 애플리케이션의 경우 이 항목으로 인해 성능 또는 안정성 문제가 발생할 수 있습니다. 이 설정의 권장 상태는 Enabled 입니다. 참고: 안전한 DLL 검색 모드의 작동 방식에 대한 자세한 내용은 동적 연결 라이브러리 검색 순서 - Windows 애플리케이션 | Microsoft Docs 링크를 참조하세요.키 경로: SYSTEM\CurrentControlSet\Control\Session Manager\SafeDllSearchMode OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원 그룹 정책 경로: 컴퓨터 구성\정책\관리 템플릿\MSS(레거시)\MSS: (SafeDllSearchMode) 안전한 DLL 검색 모드 사용(권장) 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 18.4.8 CIS WS2019 18.4.8 |
= 1 (레지스트리) |
Warning |
MSS: (WarningLevel) 시스템에서 경고를 생성하는 보안 이벤트 로그에 대한 백분율 임계값 (AZ-WIN-202212) |
설명: 이 설정은 로그가 사용자 정의 임계값에 도달하면 보안 이벤트 로그에서 보안 감사를 생성할 수 있습니다. 이 설정의 권장 상태는 Enabled: 90% or less 입니다. 참고: 로그 설정이 필요에 따라 이벤트를 덮어쓰거나 x일보다 오래된 이벤트를 덮어쓰도록 구성된 경우에는 이 이벤트가 생성되지 않습니다.키 경로: SYSTEM\CurrentControlSet\Services\Eventlog\Security\WarningLevel OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원 그룹 정책 경로: 컴퓨터 구성\정책\관리 템플릿\MSS(레거시)\MSS: (WarningLevel) 시스템에서 경고를 생성하는 보안 이벤트 로그에 대한 백분율 임계값 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 18.4.12 CIS WS2019 18.4.12 |
<= 90 (레지스트리) |
정보 제공 |
ICMP(Internet Control Message Protocol) 리디렉션에서 OSPF(Open Shortest Path First) 생성 경로를 재정의하지 않도록 Windows Server를 구성해야 함 (AZ-WIN-73503) |
설명: ICMP(Internet Control Message Protocol) 리디렉션으로 인해 IPv4 스택이 호스트 경로를 연결합니다. 이 경로는 OSPF(Open Shortest Path First) 생성 경로를 재정의합니다. 이 설정의 권장 상태는 Disabled 입니다.키 경로: SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableICMPRedirect OS: WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: 컴퓨터 구성\정책\관리 템플릿\MSS(레거시)\MSS: (EnableICMPRedirect) ICMP 리디렉션이 OSPF 생성 경로를 재정의하도록 허용 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 18.4.4 CIS WS2019 18.4.4 |
= 0 (레지스트리) |
정보 제공 |
관리 템플릿 - 네트워크
속성 (ID) |
세부 정보 | 예상 값 (형식) |
심각도 |
---|---|---|---|
안전하지 않은 게스트 로그온 사용 (AZ-WIN-00171) |
설명: 이 정책 설정은 SMB 클라이언트가 SMB 서버에 안전하지 않은 게스트 로그온을 허용할지 여부를 결정합니다. 이 설정의 권장 상태는 Disabled 입니다.키 경로: SOFTWARE\Policies\Microsoft\Windows\LanmanWorkstation\AllowInsecureGuestAuth OS: WS2016, WS2019, WS2022 서버 유형: 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Disabled 설정합니다.컴퓨터 구성\정책\관리 템플릿 etwork\Lanman Workstation\안전하지 않은 게스트 로그온 사용 참고: 이 그룹 정책 경로는 기본적으로 존재하지 않을 수 있습니다. Microsoft Windows 10 릴리스 1511 관리 템플릿(이상)에 포함된 그룹 정책 템플릿 'LanmanWorkstation.admx/adml'에서 제공됩니다. 규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-93239 STIG WS2016 V-73507 CIS WS2019 18.5.8.1 CIS WS2022 18.5.8.1 |
= 0 (레지스트리) |
위험 |
강화된 UNC 경로 - NETLOGON (AZ_WIN_202250) |
설명: 이 정책 설정은 UNC 경로에 대한 보안 액세스를 구성합니다. 키 경로: SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths?ValueName=\*\NETLOGON OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원 그룹 정책 경로: 컴퓨터 구성\관리 템플릿\네트워크\네트워크 공급자\강화된 UNC 경로 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 18.5.14.1 |
= RequireMutualAuthentication=1, RequireIntegrity=1 (레지스트리) |
Warning |
강화된 UNC 경로 - SYSVOL (AZ_WIN_202251) |
설명: 이 정책 설정은 UNC 경로에 대한 보안 액세스를 구성합니다. 키 경로: SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths?ValueName=\*\SYSVOL OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원 그룹 정책 경로: 컴퓨터 구성\관리 템플릿\네트워크\네트워크 공급자\강화된 UNC 경로 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 18.5.14.1 |
= RequireMutualAuthentication=1, RequireIntegrity=1 (레지스트리) |
Warning |
인터넷 또는 Windows 도메인에 대한 동시 연결 수 최소화 (CCE-38338-0) |
설명: 이 정책 설정은 컴퓨터가 도메인 기반 네트워크와 비 도메인 기반 네트워크에 동시에 연결할 수 없도록 합니다. 이 설정의 권장 상태는 Enabled 입니다.키 경로: SOFTWARE\Policies\Microsoft\Windows\WcmSvc\GroupPolicy\fMinimizeConnections OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Enabled: 3 = Prevent Wi-Fi when on Ethernet 설정합니다.컴퓨터 구성\정책\관리 템플릿 etwork\Windows 연결 관리자\인터넷 또는 Windows 도메인에 대한 동시 연결 수 최소화 참고: 이 그룹 정책 경로는 기본적으로 존재하지 않을 수 있습니다. Microsoft Windows 8.0 및 Server 2012(비 R2) 관리 템플릿에 포함된 그룹 정책 템플릿 'WCM.admx/adml'에서 제공됩니다. Windows 10 릴리스 1903 관리 템플릿으로 시작하는 새로운 정책 옵션 하위 설정 최소화로 업데이트되었습니다. 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 18.5.21.1 |
없거나 = 1 (레지스트리) |
Warning |
DNS 도메인 네트워크에서 네트워크 브리지 설치 및 구성 금지 (CCE-38002-2) |
설명: 이 절차를 사용하여 네트워크 브리지를 설치하고 구성하는 사용자의 기능을 제어할 수 있습니다. 이 설정의 권장 상태는 Enabled 입니다.키 경로: SOFTWARE\Policies\Microsoft\Windows\Network Connections\NC_AllowNetBridge_NLA OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Enabled 설정합니다.컴퓨터 구성\정책\관리 템플릿\네트워크\네트워크 연결\DNS 도메인 네트워크에 네트워크 브리지 설치 및 구성 금지 참고: 이 그룹 정책 경로는 모든 버전의 Microsoft Windows 관리 템플릿 NetworkConnections.admx/adml 에 포함된 그룹 정책 템플릿에서 제공됩니다.규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 18.5.11.2 CIS WS2022 18.5.11.2 |
= 0 (레지스트리) |
Warning |
DNS 도메인 네트워크에서 인터넷 연결 공유 사용 금지 (AZ-WIN-00172) |
설명: 이 "레거시" 설정은 Windows 2000, Windows XP 및 Server 2003에서 ICS(인터넷 연결 공유)의 사용에 전통적으로 적용되었지만 이제 이 설정은 Windows 10 및 Server 2016의 모바일 핫스팟 기능에 새로 적용됩니다. 이 설정의 권장 상태는 Enabled 입니다.키 경로: SOFTWARE\Policies\Microsoft\Windows\Network Connections\NC_ShowSharedAccessUI OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Enabled 설정합니다.컴퓨터 구성\정책\관리 템플릿 etwork etwork Connections\DNS 도메인 네트워크에서 인터넷 연결 공유 사용 금지 참고: 이 그룹 정책 경로는 모든 버전의 Microsoft Windows 관리 템플릿에 포함된 그룹 정책 템플릿 'NetworkConnections.admx/adml'에서 제공됩니다. 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 18.5.11.3 |
= 0 (레지스트리) |
Warning |
멀티캐스트 이름 확인 해제 (AZ-WIN-00145) |
설명: LLMNR은 보조 이름 확인 프로토콜입니다. LLMNR을 사용하면 단일 서브넷의 로컬 네트워크 링크를 통해 멀티캐스트를 사용하여 클라이언트 컴퓨터에서 LLMNR을 사용하는 동일한 서브넷의 다른 클라이언트 컴퓨터로 쿼리를 전송합니다. LLMNR은 DNS 서버 또는 DNS 클라이언트 구성이 필요하지 않으며 기존의 DNS 이름 확인이 불가능한 시나리오에서도 이름 확인을 가능하게 합니다. 이 설정의 권장 상태는 Enabled 입니다.키 경로: SOFTWARE\Policies\Microsoft\Windows NT\DNSClient\EnableMulticast OS: WS2016, WS2019, WS2022 서버 유형: 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Enabled 설정합니다.컴퓨터 구성\정책\관리 템플릿 etwork\DNS 클라이언트\멀티캐스트 이름 확인 해제 참고: 이 그룹 정책 경로는 기본적으로 존재하지 않을 수 있습니다. Microsoft Windows 8.0 및 Server 2012(비 R2) 관리 템플릿(이상)에 포함된 그룹 정책 템플릿 'DnsClient.admx/adml'에서 제공됩니다. 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 18.5.4.2 |
= 0 (레지스트리) |
Warning |
관리 템플릿 - 보안 가이드
속성 (ID) |
세부 정보 | 예상 값 (형식) |
심각도 |
---|---|---|---|
SEHOP(구조적 예외 처리 덮어쓰기 보호) 사용 (AZ-WIN-202210) |
설명: Windows에는 SEHOP(Structured Exception Handling Overwrite Protection)에 대한 지원이 포함됩니다. 컴퓨터의 보안 프로필을 개선하려면 이 기능을 사용하도록 설정하는 것이 좋습니다. 이 설정의 권장 상태는 Enabled 입니다.키 경로: SYSTEM\CurrentControlSet\Control\Session Manager\kernel\DisableExceptionChainValidation OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원 그룹 정책 경로: 컴퓨터 구성\정책\관리 템플릿\MS 보안 가이드\SEHOP(구조적 예외 처리 덮어쓰기 보호 사용) 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 18.3.4 CIS WS2019 18.3.4 |
= 0 (레지스트리) |
위험 |
NetBT NodeType 구성 (AZ-WIN-202211) |
설명: 이 설정은 NetBT(NetBIOS over TCP/IP)가 이름을 등록하고 확인하는 데 사용하는 방법을 결정합니다. 사용 가능한 방법은 다음과 같습니다. - B 노드(브로드캐스트) 방법은 브로드캐스트만 사용합니다. - P 노드(지점 간) 방법은 이름 서버(WINS)에 대한 이름 쿼리만 사용합니다. - M 노드(혼합) 방법은 먼저 브로드캐스트한 다음, 브로드캐스트에 실패한 경우 이름 서버(WINS)를 쿼리합니다. - H 노드(하이브리드) 방법은 먼저 이름 서버(WINS)를 쿼리한 다음, 쿼리가 실패한 경우 브로드캐스트합니다. 이 설정의 권장 상태는 Enabled: P-node (recommended) 입니다(지점 간). 참고: LMHOSTS 또는 DNS를 통한 해결 방법은 이 방법을 따릅니다. NodeType 레지스트리 값이 있으면 DhcpNodeType 레지스트리 값을 재정의합니다. NodeType 및 DhcpNodeType 이 둘 다 없는 경우 컴퓨터에는 네트워크에 대해 구성된 WINS 서버가 없는 경우 B 노드(브로드캐스트)를 사용하고, 하나 이상의 WINS 서버가 구성된 경우 H 노드(하이브리드)를 사용합니다.키 경로: SYSTEM\CurrentControlSet\Services\NetBT\Parameters\NodeType OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원 그룹 정책 경로: 컴퓨터 구성\정책\관리 템플릿\MS 보안 가이드\NetBT NodeType 구성 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 18.3.6 CIS WS2019 18.3.6 |
= 2 (레지스트리) |
Warning |
관리 템플릿 - 시스템
속성 (ID) |
세부 정보 | 예상 값 (형식) |
심각도 |
---|---|---|---|
사용자가 로그인 시 계정 세부 정보를 표시하지 못하도록 차단 (AZ-WIN-00138) |
설명: 이 정책은 사용자가 로그인 화면에 계정 세부 정보(이메일 주소 또는 사용자 이름)를 표시하지 못하도록 합니다. 이 정책 설정을 사용하면 사용자가 로그인 화면에 계정 세부 정보를 표시하도록 선택할 수 없습니다. 이 정책 설정을 사용하지 않거나 구성하지 않으면 사용자가 로그인 화면에 계정 세부 정보를 표시하도록 선택할 수 있습니다. 키 경로: Software\Policies\Microsoft\Windows\System\BlockUserFromShowingAccountDetailsOnSignin OS: WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Enabled 설정합니다.Computer Configuration\Policies\Administrative Templates\System\Logon\Block user from showing account details on sign-in 참고: 이 그룹 정책 경로는 기본적으로 존재하지 않을 수 있습니다. Microsoft Windows 10 릴리스 1607 및 Server 2016 관리 템플릿(이상)에 포함된 그룹 정책 템플릿 'Logon.admx/adml'에서 제공됩니다. 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 18.8.28.1 |
= 1 (레지스트리) |
Warning |
부팅 시작 드라이버 초기화 정책 (CCE-37912-3) |
설명: 이 정책 설정을 사용하면 초기 실행 맬웨어 방지 부팅 시작 드라이버에 의해 결정된 분류에 따라 초기화되는 부팅 시작 드라이버를 지정할 수 있습니다. 조기 실행 맬웨어 방지 프로그램 부팅 시작 드라이버는 각 부팅 시작 드라이버에 대해 다음과 같은 분류를 반환할 수 있습니다. - 좋음: 드라이버가 서명되고 변경되지 않았습니다. - 나쁨: 드라이버가 맬웨어로 식별되었습니다. 알려진 잘못된 드라이버를 초기화할 수 없도록 하는 것이 좋습니다. - 나쁘지만 부팅에 필요함: 드라이버가 맬웨어로 식별되었지만 이 드라이버를 로드하지 않으면 컴퓨터를 부팅할 수 없습니다. - 알 수 없음: 이 드라이버는 맬웨어 검색 애플리케이션에 의해 확인되지 않고 조기 실행 맬웨어 방지 프로그램 부팅 시작 드라이버에 의해 분류되지 않았습니다. 이 정책 설정을 사용하면 다음에 컴퓨터를 시작할 때 초기화할 부팅 시작 드라이버를 선택할 수 있습니다. 이 정책 설정을 사용하지 않거나 구성하지 않으면 부팅 시작 드라이버가 양수, 알 수 없음 또는 불량으로 결정되지만 부팅 위험 요소가 초기화되고 잘못된 것으로 확인된 드라이버의 초기화는 건너뜁집니다. 맬웨어 검색 애플리케이션에 맬웨어 방지 부팅 시작 드라이버가 포함되어 있지 않거나 초기 실행 맬웨어 방지 부팅 시작 드라이버가 비활성화된 경우 이 설정은 효과가 없으며 모든 부팅 시작 드라이버가 초기화됩니다. 키 경로: SYSTEM\CurrentControlSet\Policies\EarlyLaunch\DriverLoadPolicy OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Enabled: Good, unknown and bad but critical 설정합니다.Computer Configuration\Policies\Administrative Templates\System\Early Launch Antimalware\Boot-Start 드라이버 초기화 정책 참고: 이 그룹 정책 경로는 기본적으로 존재하지 않을 수 있습니다. Microsoft Windows 8.0 및 Server 2012(비 R2) 관리 템플릿(이상)에 포함된 그룹 정책 템플릿 'EarlyLaunchAM.admx/adml'에서 제공됩니다. 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 18.8.14.1 |
없거나 = 3 (레지스트리) |
Warning |
제품 원격 지원 구성 (CCE-36388-7) |
설명: 이 정책 설정을 사용하면 이 컴퓨터에서 제안(원치 않는) 원격 지원을 켜거나 끌 수 있습니다. 지원 센터 및 지원 담당자가 사용자 지원 요청에 계속 응답할 수 있지만, 사전에 지원을 제공할 수는 없습니다. 이 설정의 권장 상태는 Disabled 입니다.키 경로: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fAllowUnsolicited OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Disabled 설정합니다.컴퓨터 구성\정책\관리 템플릿\시스템\원격 지원\제안 원격 지원 구성 참고: 이 그룹 정책 경로는 기본적으로 존재하지 않을 수 있습니다. Microsoft Windows 8.0 및 Server 2012(비 R2) 관리 템플릿 RemoteAssistance.admx/adml (이상)에 포함된 그룹 정책 템플릿에서 제공됩니다.규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 18.8.36.1 CIS WS2022 18.8.36.1 |
없거나 = 0 (레지스트리) |
Warning |
요청된 원격 지원 구성 (CCE-37281-3) |
설명: 이 정책 설정을 사용하면 이 컴퓨터에서 요청(요청) 원격 지원을 켜거나 끌 수 있습니다. 이 설정의 권장 상태는 Disabled 입니다.키 경로: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fAllowToGetHelp OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Disabled 설정합니다.Computer Configuration\Policies\Administrative Templates\System\Remote Assistance\Configure Solicited Remote Assistance 참고: 이 그룹 정책 경로는 기본적으로 존재하지 않을 수 있습니다. Microsoft Windows 8.0 및 Server 2012(비 R2) 관리 템플릿 RemoteAssistance.admx/adml (이상)에 포함된 그룹 정책 템플릿에서 제공됩니다.규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 18.8.36.2 CIS WS2022 18.8.36.2 |
= 0 (레지스트리) |
위험 |
네트워크 선택 UI 표시 안 함 (CCE-38353-9) |
설명: 이 정책 설정을 사용하면 누구나 로그온 화면에서 사용 가능한 네트워크 UI와 상호 작용할 수 있는지 여부를 제어할 수 있습니다. 이 정책 설정을 사용하면 Windows에 로그인해야 PC의 네트워크 연결 상태를 변경할 수 있습니다. 이 정책 설정을 사용하지 않거나 구성하지 않으면 모든 사용자가 네트워크에서 PC 연결을 끊거나 Windows에 로그인하지 않고 PC를 사용 가능한 다른 네트워크에 연결할 수 있습니다. 키 경로: SOFTWARE\Policies\Microsoft\Windows\System\DontDisplayNetworkSelectionUI OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Enabled 설정합니다.컴퓨터 구성\정책\관리 템플릿\시스템\로그온\네트워크 선택 UI 표시 안 함 참고: 이 그룹 정책 경로는 기본적으로 존재하지 않을 수 있습니다. Microsoft Windows 8.1 및 Server 2012 R2 관리 템플릿(이상)에 포함된 그룹 정책 템플릿 'Logon.admx/adml'에서 제공됩니다. 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 18.8.28.2 |
= 1 (레지스트리) |
Warning |
도메인에 조인된 컴퓨터의 연결된 사용자 열거 안 함 (AZ-WIN-202216) |
설명: 이 정책 설정은 연결된 사용자가 도메인 조인 컴퓨터에서 열거되는 것을 방지합니다. 이 설정의 권장 상태는 Enabled 입니다.키 경로: Software\Policies\Microsoft\Windows\System\DontEnumerateConnectedUsers OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원 그룹 정책 경로: 컴퓨터 구성\정책\관리 템플릿\시스템\로그온\도메인에 가입된 컴퓨터에서 연결된 사용자를 열거하지 마세요. 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 18.8.28.3 CIS WS2019 18.8.28.3 |
= 1 (레지스트리) |
Warning |
RPC 엔드포인트 매퍼 클라이언트 인증 사용 (CCE-37346-4) |
설명: 이 정책 설정은 수행 중인 호출에 인증 정보가 포함될 때 RPC 클라이언트가 엔드포인트 매퍼 서비스에서 인증하는지 여부를 제어합니다. Windows NT4(모든 서비스 팩)를 실행하는 컴퓨터의 엔드포인트 매퍼 서비스는 이러한 방식으로 제공된 인증 정보를 처리할 수 없습니다. 이 정책 설정을 사용하지 않도록 설정하면 RPC 클라이언트는 엔드포인트 매퍼 서비스에 인증되지 않지만 Windows NT4 Server의 엔드포인트 매퍼 서비스와 통신할 수 있습니다. 이 정책 설정을 사용하면 RPC 클라이언트가 인증 정보를 포함하는 호출에 대해 엔드포인트 매퍼 서비스에 인증합니다. 이러한 호출을 하는 클라이언트는 Windows NT4 서버 엔드포인트 매퍼 서비스와 통신할 수 없습니다. 이 정책 설정을 구성하지 않으면 사용하지 않도록 설정된 상태로 유지됩니다. RPC 클라이언트는 엔드포인트 매퍼 서비스의 인증을 받지 않지만 Windows NT4 Server 엔드포인트 매퍼 서비스와 통신할 수 있습니다. 참고: 이 정책은 시스템을 다시 부팅할 때까지 적용되지 않습니다. 키 경로: SOFTWARE\Policies\Microsoft\Windows NT\Rpc\EnableAuthEpResolution OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Enabled 설정합니다.Computer Configuration\Policies\Administrative Templates\System\Remote Procedure Call\Enable RPC Endpoint Mapper Client Authentication 참고: 이 그룹 정책 경로는 기본적으로 존재하지 않을 수 있습니다. Microsoft Windows 8.0 및 Server 2012(비 R2) 관리 템플릿(또는 그 이상)에 포함된 그룹 정책 템플릿 'RPC.admx/adml'에서 제공됩니다. 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 18.8.37.1 |
= 1 (레지스트리) |
위험 |
Windows NTP 클라이언트 사용 (CCE-37843-0) |
설명: 이 정책 설정은 Windows NTP 클라이언트를 사용할 수 있는지 여부를 지정합니다. Windows NTP 클라이언트를 사용하도록 설정하면 컴퓨터가 컴퓨터 시계를 다른 NTP 서버와 동기화할 수 있습니다. 타사 시간 공급자를 사용하기로 결정한 경우 이 서비스를 사용하지 않도록 설정할 수 있습니다. 이 설정의 권장 상태는 Enabled 입니다.키 경로: SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\Enabled OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 작업 그룹 멤버 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Enabled 설정합니다.Computer Configuration\Policies\Administrative Templates\System\Windows Time Service\Time Providers\Enable Windows NTP Client 참고: 이 그룹 정책 경로는 모든 버전의 Microsoft Windows 관리 템플릿에 포함된 그룹 정책 템플릿 'W32Time.admx/adml'에서 제공됩니다. 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 18.8.53.1.1 |
= 1 (레지스트리) |
위험 |
CredSSP 프로토콜에 대한 암호화 Oracle 수정 (AZ-WIN-201910) |
설명: 일부 애플리케이션(예: 원격 데스크톱 연결)에서 사용되는 일부 버전의 CredSSP 프로토콜은 클라이언트에 대한 암호화 oracle 공격에 취약합니다. 이 정책은 취약한 클라이언트 및 서버와의 호환성을 제어하며 이 정책을 사용하여 암호화 oracle 취약성에 대해 원하는 보호 수준을 설정할 수 있도록 합니다. 이 설정의 권장 상태는 Enabled: Force Updated Clients 입니다.키 경로: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\AllowEncryptionOracle OS: WS2016, WS2019 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: 컴퓨터 구성\정책\관리 템플릿\시스템\자격 증명 위임\암호화 Oracle 수정 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 18.8.4.1 CIS WS2019 18.8.4.1 |
= 0 (레지스트리) |
위험 |
'레지스트리 정책 처리 구성: 정기적인 백그라운드 작업을 처리하는 동안 적용 안 함'이 '사용: FALSE'로 설정되어 있는지 확인함 (CCE-36169-1) |
설명: "정기적인 백그라운드 작업을 처리하는 동안 적용 안 함" 옵션은 컴퓨터를 사용하는 동안 시스템에서 백그라운드로 영향을 받는 정책을 업데이트하지 못하도록 합니다. 백그라운드 업데이트가 사용하지 않도록 설정되면 다음 사용자가 다음에 로그온하거나 시스템이 다시 시작할 때까지 정책 변경 내용이 적용되지 않습니다. 이 설정의 권장 상태는 Enabled: FALSE (선택 취소됨)입니다.키 경로: SOFTWARE\Policies\Microsoft\Windows\Group Policy{35378EAC-683F-11D2-A89A-00C04FBBCFA2}\NoBackgroundPolicy OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원 그룹 정책 경로: GP를 통해 권장 구성을 설정하려면 다음 UI 경로를 < TRUE 설정합니다Process even if the Group Policy objects have not changed .컴퓨터 구성\정책\관리 템플릿\시스템\그룹 정책\레지스트리 정책 처리 구성 참고: 이 그룹 정책 경로는 기본적으로 존재하지 않을 수 있습니다. Microsoft Windows 8.0 및 Server 2012(비 R2) 관리 템플릿 GroupPolicy.admx/adml (이상)에 포함된 그룹 정책 템플릿에서 제공됩니다.규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 18.8.21.2 CIS WS2022 18.8.21.2 |
= 0 (레지스트리) |
위험 |
'레지스트리 정책 처리 구성: 변경되지 않아도 그룹 정책 개체 처리'가 '사용: TRUE'로 설정되어 있는지 확인함 (CCE-36169-1a) |
설명: "변경되지 않아도 그룹 정책 개체 처리" 옵션은 정책이 변경되지 않은 경우에도 정책을 업데이트하고 다시 적용합니다. 이 설정의 권장 상태는 Enabled: TRUE (선택됨)입니다.키 경로: SOFTWARE\Policies\Microsoft\Windows\Group Policy{35378EAC-683F-11D2-A89A-00C04FBBCFA2}\NoGPOListChanges OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 Enabled 로 설정한 다음 , '그룹 정책 개체가 변경되지 않은 경우에도 프로세스' 옵션을 'TRUE'(선택됨)로 설정합니다.컴퓨터 구성\정책\관리 템플릿\시스템\그룹 정책\레지스트리 정책 처리 구성 참고: 이 그룹 정책 경로는 기본적으로 존재하지 않을 수 있습니다. Microsoft Windows 8.0 및 Server 2012(비 R2) 관리 템플릿(이상)에 포함된 그룹 정책 템플릿 'GroupPolicy.admx/adml'에서 제공됩니다. 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 18.8.21.3 |
= 0 (레지스트리) |
위험 |
'이 디바이스에서 계속 실행'이 '사용 안 함'으로 설정되었는지 확인 (AZ-WIN-00170) |
설명: 이 정책 설정은 Windows 디바이스가 디바이스 간 환경에 참여할 수 있는지 여부를 결정합니다(계속 환경). 이 설정의 권장 상태는 Disabled 입니다.키 경로: SOFTWARE\Policies\Microsoft\Windows\System\EnableCdp OS: WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Disabled 설정합니다.Computer Configuration\Policies\Administrative Templates\System\Group Policy\Continue experiences on this device 참고: 이 그룹 정책 경로는 기본적으로 존재하지 않을 수 있습니다. Microsoft Windows 10 릴리스 1607 및 Server 2016 관리 템플릿(이상)에 포함된 그룹 정책 템플릿 'GroupPolicy.admx/adml'에서 제공됩니다. 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 18.8.21.4 |
없거나 = 0 (레지스트리) |
Warning |
도메인에 조인된 컴퓨터의 로컬 사용자 열거 (AZ_WIN_202204) |
설명: 이 정책 설정을 사용하여 도메인 조인 컴퓨터에서 로컬 사용자를 열거할 수 있습니다. 이 설정의 권장 상태는 Disabled 입니다.키 경로: SOFTWARE\Policies\Microsoft\Windows\System\EnumerateLocalUsers OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 구성원 그룹 정책 경로: 컴퓨터 구성\정책\관리 템플릿\시스템\로그온\도메인 가입 컴퓨터에서 로컬 사용자 열거 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 18.8.28.4 CIS WS2019 18.8.28.4 |
없거나 = 0 (레지스트리) |
Warning |
프로세스 생성 이벤트에 명령줄 포함 (CCE-36925-6) |
설명: 이 정책 설정은 새 프로세스를 만들 때 보안 감사 이벤트에 기록되는 정보를 결정합니다. 이 설정은 감사 프로세스 만들기 정책을 사용하는 경우에만 적용됩니다. 이 정책 설정을 사용하면 모든 프로세스에 대한 명령줄 정보가 이 정책 설정이 적용되는 워크스테이션 및 서버에서 감사 프로세스 만들기 이벤트 4688의 일부로 보안 이벤트 로그에 일반 텍스트로 기록됩니다. 이 정책 설정을 사용하지 않거나 구성하지 않으면 프로세스의 명령줄 정보가 Audit Process Creation 이벤트에 포함되지 않습니다. 기본값: 구성되지 않음 참고: 이 정책 설정을 사용하면 보안 이벤트를 읽을 권한을 가진 모든 사용자가 성공적으로 만들어진 프로세스에 대한 명령줄 인수를 읽을 수 있습니다. 명령줄 인수는 암호 또는 사용자 데이터와 같은 중요한 또는 개인 정보를 포함할 수 있습니다. 키 경로: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Audit\ProcessCreationIncludeCmdLine_Enabled OS: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Enabled 설정합니다.Computer Configuration\Policies\Administrative Templates\System\Audit Process Creation\Include 명령줄 in process creation events 참고: 이 그룹 정책 경로는 기본적으로 존재하지 않을 수 있습니다. Microsoft Windows 8.1 및 Server 2012 R2 관리 템플릿(이상)에 포함된 그룹 정책 템플릿 'AuditSettings.admx/adml'에서 제공됩니다. 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 18.8.3.1 |
= 1 (레지스트리) |
위험 |
인터넷에서 디바이스 메타데이터 검색 금지 (AZ-WIN-202251) |
설명: 이 정책 설정을 사용하여 Windows가 인터넷에서 디바이스 메타데이터를 검색하는 것을 방지할 수 있습니다. 이 설정의 권장 상태는 Enabled 입니다. 참고: 이렇게 해도 기본 하드웨어 드라이버 설치를 방지할 수는 없지만, 연결된 타사 유틸리티 소프트웨어가 SYSTEM 계정의 컨텍스트에서 자동으로 설치되는 것을 방지합니다.키 경로: SOFTWARE\Policies\Microsoft\Windows\Device Metadata\PreventDeviceMetadataFromNetwork OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원 그룹 정책 경로: 컴퓨터 구성\정책\관리 템플릿\시스템\디바이스 설치\인터넷에서 디바이스 메타데이터 검색 방지 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 18.8.7.2 CIS WS2019 18.8.7.2 |
= 1 (레지스트리) |
정보 제공 |
원격 호스트에서 내보낼 수 없는 자격 증명의 위임을 허용함 (AZ-WIN-20199) |
설명: 원격 호스트는 내보낼 수 없는 자격 증명의 위임을 허용합니다. 자격 증명 위임을 사용하는 경우 디바이스는 원격 호스트에 내보낼 수 있는 버전의 자격 증명을 제공합니다. 이렇게 하면 사용자가 원격 호스트의 공격자로부터 자격 증명 도난의 위험에 노출됩니다. 제한된 관리자 모드 및 Windows Defender Remote Credential Guard 기능은 이 위험을 방지하는 데 도움이 되는 두 가지 옵션입니다. 이 설정의 권장 상태는 Enabled 입니다. 참고: Windows Defender Remote Credential Guard 및 이 기능과 제한된 관리자 모드의 비교에 대한 자세한 내용은 Windows Defender Remote Credential Guard를 사용하여 원격 데스크톱 자격 증명 보호(Windows 10) | Microsoft Docs를 참조하세요.키 경로: SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowProtectedCreds OS: WS2016, WS2019 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: 컴퓨터 구성\정책\관리 템플릿\시스템\자격 증명 위임\원격 호스트는 내보낼 수 없는 자격 증명의 위임을 허용합니다. 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 18.8.4.2 CIS WS2019 18.8.4.2 |
= 1 (레지스트리) |
위험 |
잠금 화면에서 앱 알림 끄기 (CCE-35893-7) |
설명: 이 정책 설정을 사용하면 잠금 화면에 앱 알림이 표시되지 않도록 할 수 있습니다. 이 설정의 권장 상태는 Enabled 입니다.키 경로: SOFTWARE\Policies\Microsoft\Windows\System\DisableLockScreenAppNotifications OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Enabled 설정합니다.컴퓨터 구성\정책\관리 템플릿\시스템\로그온\잠금 화면에서 앱 알림 끄기 참고: 이 그룹 정책 경로는 기본적으로 존재하지 않을 수 있습니다. Microsoft Windows 8.0 및 Server 2012(비 R2) 관리 템플릿(또는 그 이상)에 포함된 그룹 정책 템플릿 'Logon.admx/adml'에서 제공됩니다. 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 18.8.28.5 |
= 1 (레지스트리) |
Warning |
그룹 정책 백그라운드 새로 고침 끄기 (CCE-14437-8) |
설명: 이 정책 설정은 컴퓨터를 사용하는 동안 그룹 정책이 업데이트되는 것을 방지합니다. 이 정책 설정은 컴퓨터, 사용자 및 도메인 컨트롤러의 그룹 정책에 적용됩니다. 이 설정의 권장 상태는 Disabled 입니다.키 경로: Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableBkGndGroupPolicy OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원 그룹 정책 경로: 컴퓨터 구성\정책\관리 템플릿\시스템\그룹 정책\그룹 정책의 백그라운드 새로 고침 해제 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 18.8.21.5 CIS WS2019 18.8.21.5 |
= 0 (레지스트리) |
Warning |
HTTP를 통한 인쇄 드라이버 다운로드 끄기 (CCE-36625-2) |
설명: 이 정책 설정은 컴퓨터가 HTTP를 통해 인쇄 드라이버 패키지를 다운로드할 수 있는지 여부를 제어합니다. HTTP 인쇄를 설정하려면 표준 운영 체제 설치에서 사용할 수 없는 프린터 드라이버를 HTTP를 통해 다운로드해야 할 수 있습니다. 이 설정의 권장 상태는 Enabled 입니다.키 경로: SOFTWARE\Policies\Microsoft\Windows NT\Printers\DisableWebPnPDownload OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Enabled 설정합니다.컴퓨터 구성\정책\관리 템플릿\시스템\인터넷 통신 관리\인터넷 통신 설정\HTTP를 통해 인쇄 드라이버 다운로드 끄기 참고: 이 그룹 정책 경로는 모든 버전의 Microsoft Windows 관리 템플릿에 포함된 그룹 정책 템플릿 'ICM.admx/adml'에서 제공됩니다. 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 18.8.22.1.1 |
= 1 (레지스트리) |
Warning |
URL이 Microsoft.com으로 연결하는 경우 인터넷 연결 마법사 사용 안 함 (CCE-37163-3) |
설명: 이 정책 설정은 인터넷 연결 마법사가 Microsoft에 연결하여 ISP(인터넷 서비스 공급자) 목록을 다운로드할 수 있는지 여부를 지정합니다. 이 설정의 권장 상태는 Enabled 입니다.키 경로: SOFTWARE\Policies\Microsoft\Windows\Internet Connection Wizard\ExitOnMSICW OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Enabled 설정합니다.컴퓨터 구성\정책\관리 템플릿\시스템\인터넷 통신 관리\인터넷 통신 설정\URL 연결이 Microsoft.com 참조하는 경우 인터넷 연결 마법사 끄기 참고: 이 그룹 정책 경로는 모든 버전의 Microsoft Windows 관리 템플릿에 포함된 그룹 정책 템플릿 'ICM.admx/adml'에서 제공됩니다. 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 18.8.22.1.4 |
= 1 (레지스트리) |
Warning |
편리한 PIN 로그인 켜기 (CCE-37528-7) |
설명: 이 정책 설정을 사용하면 도메인 사용자가 편리한 PIN을 사용하여 로그인할 수 있는지 여부를 제어할 수 있습니다. Windows 10에서는 편리한 PIN이 더 강력한 보안 속성을 가진 Passport로 대체되었습니다. 도메인 사용자에 대해 Passport를 구성하려면 Computer configuration\Administrative Templates\Windows Components\Microsoft Passport for Work의 정책을 사용합니다. 참고: 이 기능을 사용하면 사용자의 도메인 암호가 시스템 자격 증명 모음에 캐시됩니다. 이 설정의 권장 상태는 Disabled 입니다.키 경로: SOFTWARE\Policies\Microsoft\Windows\System\AllowDomainPINLogon OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Disabled 설정합니다.컴퓨터 구성\정책\관리 템플릿\시스템\로그온\편리한 PIN 로그인 켜기 참고: 이 그룹 정책 경로는 기본적으로 존재하지 않을 수 있습니다. Microsoft Windows 8.0 및 Server 2012(비 R2) 관리 템플릿 CredentialProviders.admx/adml (이상)에 포함된 그룹 정책 템플릿에서 제공됩니다.참고 2: 이전 Microsoft Windows 관리 템플릿에서 이 설정은 처음에 PIN 로그인 켜기라고 명명되었지만 Windows 10 릴리스 1511 관리 템플릿부터 이름이 바뀌었습니다.규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 18.8.28.7 CIS WS2022 18.8.28.7 |
없거나 = 0 (레지스트리) |
Warning |
관리 템플릿 - Windows 구성 요소
속성 (ID) |
세부 정보 | 예상 값 (형식) |
심각도 |
---|---|---|---|
클라우드 소비자 계정 상태 콘텐츠 끄기 (AZ-WIN-202217) |
설명: 이 정책 설정은 모든 Windows 환경에서 클라우드 소비자 계정 상태 콘텐츠가 허용되는지 여부를 결정합니다. 이 설정의 권장 상태는 Enabled 입니다.키 경로: SOFTWARE\Policies\Microsoft\Windows\CloudContent\DisableConsumerAccountStateContent OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원 그룹 정책 경로: 컴퓨터 구성\정책\관리 템플릿\Windows 구성 요소\클라우드 콘텐츠\클라우드 소비자 계정 상태 콘텐츠 끄기 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 18.9.14.1 CIS WS2019 18.9.14.1 |
= 1 (레지스트리) |
Warning |
관리 템플릿 - Windows 구성 요소
속성 (ID) |
세부 정보 | 예상 값 (형식) |
심각도 |
---|---|---|---|
드라이브 리디렉션 허용 안 함 (AZ-WIN-73569) |
설명: 이 정책 설정은 사용자가 액세스하는 원격 데스크톱 서버에 클라이언트 컴퓨터의 로컬 드라이브를 공유하는 것을 방지합니다. 매핑된 드라이브는 Windows 탐색기의 세션 폴더 트리에 \\TSClient\<driveletter>$ 형식으로 표시됩니다. 로컬 드라이브가 공유되는 경우 해당 드라이브에 저장된 데이터를 악용하려는 침입자에게 취약할 수 있습니다. 이 설정의 권장 상태는 Enabled 입니다.키 경로: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fDisableCdm OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원 그룹 정책 경로: 컴퓨터 구성\정책\관리 템플릿\Windows 구성 요소\원격 데스크톱 서비스\원격 데스크톱 세션 호스트\디바이스 및 리소스 리디렉션\드라이브 리디렉션 허용 안 함 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 18.9.65.3.3.3 CIS WS2019 18.9.65.3.3.2 |
= 1 (레지스트리) |
Warning |
PowerShell 대화 내용 기록 켜기 (AZ-WIN-202208) |
설명: 이 정책 설정을 사용하면 Windows PowerShell 명령의 입력 및 출력을 텍스트 기반 대본으로 캡처할 수 있습니다. 이 설정의 권장 상태는 Disabled 입니다.키 경로: SOFTWARE\Policies\Microsoft\Windows\PowerShell\Transcription\EnableTranscripting OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원 그룹 정책 경로: 컴퓨터 구성\정책\관리 템플릿\Windows 구성 요소\Windows PowerShell\PowerShell 기록 켜기 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 18.9.100.2 CIS WS2019 18.9.100.2 |
= 0 (레지스트리) |
Warning |
관리 템플릿 - Windows 보안
속성 (ID) |
세부 정보 | 예상 값 (형식) |
심각도 |
---|---|---|---|
사용자가 설정을 수정하지 못하도록 방지 (AZ-WIN-202209) |
설명: 이 정책 설정은 사용자가 Windows 보안 설정에서 Exploit Protection 설정 영역을 변경하는 것을 방지합니다. 이 설정의 권장 상태는 Enabled 입니다.키 경로: SOFTWARE\Policies\Microsoft\Windows Defender Security Center\App and Browser protection\DisallowExploitProtectionOverride OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원 그룹 정책 경로: 컴퓨터 구성\정책\관리 템플릿\Windows 구성 요소\Windows 보안\앱 및 브라우저 보호\사용자가 설정을 수정하지 못하도록 방지 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 18.9.105.2.1 CIS WS2019 18.9.105.2.1 |
= 1 (레지스트리) |
Warning |
관리 템플릿 - Windows Defender
속성 (ID) |
세부 정보 | 예상 값 (형식) |
심각도 |
---|---|---|---|
공격 표면 감소 규칙 구성 (AZ_WIN_202205) |
설명: 이 정책 설정은 ASR(공격 표면 감소) 규칙의 상태를 제어합니다. 이 설정의 권장 상태는 Enabled 입니다.키 경로: SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR\ExploitGuard_ASR_Rules OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원 그룹 정책 경로: 컴퓨터 구성\정책\관리 템플릿\Windows 구성 요소\Microsoft Defender 바이러스 백신\Microsoft Defender Exploit Guard\공격 표면 감소\공격 표면 감소 규칙 구성 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 18.9.47.5.1.1 CIS WS2019 18.9.47.5.1.1 |
= 1 (레지스트리) |
Warning |
사용자와 앱에서 위험한 웹사이트에 액세스하지 못하도록 방지 (AZ_WIN_202207) |
설명: 이 정책 설정은 Microsoft Defender Exploit Guard 네트워크 보호를 제어합니다. 이 설정의 권장 상태는 Enabled: Block 입니다.키 경로: SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\Network Protection\EnableNetworkProtection OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원 그룹 정책 경로: 컴퓨터 구성\정책\관리 템플릿\Windows 구성 요소\Microsoft Defender 바이러스 백신\Microsoft Defender Exploit Guard\네트워크 보호\사용자 및 앱이 위험한 웹 사이트에 액세스하지 못하도록 방지 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 18.9.47.5.3.1 CIS WS2019 18.9.47.5.3.1 |
= 1 (레지스트리) |
Warning |
컴퓨터 계정 관리 감사
속성 (ID) |
세부 정보 | 예상 값 (형식) |
심각도 |
---|---|---|---|
컴퓨터 계정 관리 감사 (CCE-38004-8) |
설명: 이 하위 범주는 컴퓨터 계정 생성, 변경, 삭제, 이름 변경, 사용 안 함 설정 또는 사용 설정과 같은 컴퓨터 계정 관리의 각 이벤트를 보고합니다. 이 하위 범주의 이벤트는 다음과 같습니다. - 4741: 컴퓨터 계정이 생성되었습니다. - 4742: 컴퓨터 계정이 변경되었습니다. - 4743: 컴퓨터 계정이 삭제되었습니다. 이 설정의 권장 상태는 Success 입니다.키 경로: {0CCE9236-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러 그룹 정책 경로: 컴퓨터 구성\정책\Windows 설정\보안 설정\고급 감사 정책 구성\감사 정책\계정 관리\컴퓨터 계정 관리 감사 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 17.2.2 CIS WS2019 17.2.2 |
= Success (감사) |
위험 |
보안 코어
속성 (ID) |
세부 정보 | 예상 값 (형식) |
심각도 |
---|---|---|---|
부팅 DMA 보호 사용 (AZ-WIN-202250) |
설명: 보안 코어 지원 서버는 부팅 프로세스 중에 모든 DMA 지원 디바이스에 대한 악의적이고 의도치 않은 DMA(직접 메모리 액세스) 공격에 대한 보호를 제공하는 시스템 펌웨어를 지원합니다. 키 경로: BootDMAProtection OSEx: WSASHCI22H2 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: NA 규정 준수 표준 매핑: |
= 1 (OsConfig) |
위험 |
하이퍼바이저 적용 코드 무결성 사용 (AZ-WIN-202246) |
설명: HVCI 및 VBS는 Windows의 위협 모델을 개선하고 Windows 커널을 악용하려는 맬웨어에 대한 보호를 강화합니다. HVCI는 내부에서 커널 모드 코드 무결성을 실행하고 시스템을 손상시키는 데 사용할 수 있는 커널 메모리 할당을 제한하여 VBS에서 생성되는 격리된 가상 환경을 보호하고 강화하는 중요한 구성 요소입니다. 키 경로: HypervisorEnforcedCodeIntegrityStatus OSEx: WSASHCI22H2 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: NA 규정 준수 표준 매핑: |
= 0 (OsConfig) |
위험 |
보안 부팅 사용 (AZ-WIN-202248) |
설명: 보안 부팅은 OEM(주문자 상표 부착 방식)에서 신뢰하는 소프트웨어만 사용하여 디바이스가 부팅되도록 하기 위해 PC 업계의 멤버가 개발한 보안 표준입니다. 키 경로: SecureBootState OSEx: WSASHCI22H2 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: NA 규정 준수 표준 매핑: |
= 1 (OsConfig) |
위험 |
System Guard 사용 (AZ-WIN-202247) |
설명: DRTM(Dynamic Root of Trust of Measurement) 기술에 대한 프로세서 지원을 사용하여 System Guard는 하드웨어 기반 샌드박스에 펌웨어를 배치하여 수백만 줄의 높은 권한의 펌웨어 코드에서 취약성의 영향을 제한하는 데 도움을 줍니다. 키 경로: SystemGuardStatus OSEx: WSASHCI22H2 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: NA 규정 준수 표준 매핑: |
= 0 (OsConfig) |
위험 |
가상화 기반 보안 사용 (AZ-WIN-202245) |
설명: 가상화 기반 보안 또는 VBS는 하드웨어 가상화 기능을 사용하여 보안 메모리 영역을 만들고 일반 운영 체제에서 격리합니다. 이렇게 하면 서버가 중요한 워크로드만 계속 실행하도록 하고 관련 애플리케이션 및 데이터를 공격과 반출로부터 보호할 수 있습니다. VBS는 기본적으로 Azure Stack HCI에서 사용하도록 설정되고 잠깁니다. 키 경로: VirtualizationBasedSecurityStatus OSEx: WSASHCI22H2 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: NA 규정 준수 표준 매핑: |
= 0 (OsConfig) |
위험 |
TPM 버전 설정 (AZ-WIN-202249) |
설명: TPM(신뢰할 수 있는 플랫폼 모듈) 기술은 하드웨어 기반의 보안 관련 기능을 제공하도록 설계되었습니다. 보안 코어 기능에는 TPM2.0이 필요합니다. 키 경로: TPMVersion OSEx: WSASHCI22H2 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: NA 규정 준수 표준 매핑: |
2.0 포함 (OsConfig) |
위험 |
보안 옵션 - 계정
속성 (ID) |
세부 정보 | 예상 값 (형식) |
심각도 |
---|---|---|---|
계정: Microsoft 계정 차단 (AZ-WIN-202201) |
설명: 이 정책 설정은 사용자가 이 컴퓨터에서 새 Microsoft 계정을 추가하는 것을 방지합니다. 이 설정의 권장 상태는 Users can't add or log on with Microsoft accounts 입니다.키 경로: Software\Microsoft\Windows\CurrentVersion\Policies\System\NoConnectedUser OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원 그룹 정책 경로: 컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\보안 옵션\계정: Microsoft 계정 차단 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 2.3.1.2 CIS WS2019 2.3.1.2 |
= 3 (레지스트리) |
Warning |
계정: 게스트 계정 상태 (CCE-37432-2) |
설명: 이 정책 설정은 게스트 계정의 사용 여부를 결정합니다. 게스트 계정을 사용하면 인증되지 않은 네트워크 사용자가 시스템에 액세스할 수 있습니다. 이 설정의 권장 상태는 Disabled 입니다. 참고: 이 설정은 도메인 컨트롤러에 로컬 계정 데이터베이스가 없기 때문에 그룹 정책을 통해 도메인 컨트롤러 조직 구성 단위에 적용할 때 영향을 주지 않습니다. 계정 잠금 및 암호 정책 설정과 유사하게 그룹 정책을 통해 도메인 수준에서 구성할 수 있습니다.키 경로: [시스템 액세스]EnableGuestAccount OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Disabled 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\보안 옵션\계정: 게스트 계정 상태 규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-93497 STIG WS2016 V-73809 CIS WS2019 2.3.1.3 CIS WS2022 2.3.1.3 |
= 0 (정책) |
위험 |
계정: 콘솔 로그온 시 로컬 계정에서 빈 암호 사용 제한 (CCE-37615-2) |
설명: 이 정책 설정은 암호로 보호되지 않은 로컬 계정을 사용하여 물리적 컴퓨터 콘솔 이외의 위치에서 로그온할 수 있는지 여부를 결정합니다. 이 정책 설정을 사용하면 암호가 비어 있는 로컬 계정은 원격 클라이언트 컴퓨터에서 네트워크에 로그온할 수 없습니다. 이러한 계정은 컴퓨터의 키보드에서만 로그온할 수 있습니다. 이 설정의 권장 상태는 Enabled 입니다.키 경로: SYSTEM\CurrentControlSet\Control\Lsa\LimitBlankPasswordUse OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Enabled 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\보안 옵션\계정: 빈 암호의 로컬 계정 사용을 콘솔 로그온으로만 제한 규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-93279 STIG WS2016 V-73621 CIS WS2019 2.3.1.4 CIS WS2022 2.3.1.4 |
없거나 = 1 (레지스트리) |
위험 |
계정: 게스트 계정 이름 변경 (AZ-WIN-202255) |
설명: 기본 제공 로컬 게스트 계정은 공격자에게 잘 알려진 또 다른 이름입니다. 이 계정의 이름은 용도를 나타내지 않는 이름으로 바꾸는 것이 좋습니다. 이 계정을 사용하지 않도록 설정하더라도(권장됨) 보안을 강화하기 위해 이름을 바꿔야 합니다. 도메인 컨트롤러에는 자체 로컬 계정이 없으므로 이 규칙은 도메인을 처음 만들 때 설정된 기본 제공 게스트 계정을 참조합니다. 키 경로: [System Access]NewGuestName OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: 컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\보안 옵션\계정: 게스트 계정 이름 바꾸기 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 2.3.1.6 CIS WS2019 2.3.1.6 |
!= 게스트 (정책) |
Warning |
네트워크 액세스: 익명 SID/이름 변환 허용 (CCE-10024-8) |
설명: 이 정책 설정은 익명 사용자가 다른 사용자에 대한 SID(보안 식별자) 특성을 요청하거나 SID를 사용하여 해당 사용자 이름을 가져올 수 있는지 여부를 결정합니다. 이 설정의 권장 상태는 Disabled 입니다.키 경로: [시스템 액세스]LSAAnonymousNameLookup OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원 그룹 정책 경로: 컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\보안 옵션\네트워크 액세스: 익명 SID/이름 변환 허용 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 2.3.10.1 CIS WS2019 2.3.10.1 |
= 0 (정책) |
Warning |
보안 옵션 - 감사
속성 (ID) |
세부 정보 | 예상 값 (형식) |
심각도 |
---|---|---|---|
감사: 감사 정책 하위 범주 설정(Windows Vista 또는 그 이후 버전)이 감사 정책 범주 설정보다 우선하도록 강제로 설정합니다. (CCE-37850-5) |
설명: 이 정책 설정을 사용하면 관리자가 Windows Vista에 있는 보다 정확한 감사 기능을 사용할 수 있습니다. Windows Server 2003 Active Directory에서 제공하는 감사 정책 설정에는 아직 새 감사 하위 범주를 관리하는 설정이 없습니다. 이 기준에 규정된 감사 정책을 올바르게 적용하려면 Audit: 감사 정책 하위 범주 설정(Windows Vista 이상)을 강제로 적용하여 감사 정책 범주 설정 설정을 사용하도록 구성해야 합니다. 키 경로: SYSTEM\CurrentControlSet\Control\Lsa\SCENoApplyLegacyAuditPolicy OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Enabled 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\보안 옵션\감사: 감사 정책 하위 범주 설정(Windows Vista 이상)을 강제로 감사 정책 범주 설정을 재정의합니다. 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 2.3.2.1 |
없거나 = 1 (레지스트리) |
위험 |
감사: 보안 감사를 로그할 수 없는 경우 즉시 시스템 종료 (CCE-35907-5) |
설명: 이 정책 설정은 보안 이벤트를 기록할 수 없는 경우 시스템이 종료되는지 여부를 결정합니다. 감사 시스템에서 기록할 수 없는 경우 감사 가능 이벤트가 발생하지 않도록 하기 위해 TCSEC(신뢰할 수 있는 컴퓨터 시스템 평가 기준) -C2 및 Common Criteria 인증에 대한 요구 사항입니다. Microsoft는 감사 시스템에 오류가 발생하는 경우 시스템을 중지하고 중지 메시지를 표시하여 이 요구 사항을 충족하도록 선택했습니다. 이 정책 설정을 사용하면 어떤 이유로 보안 감사를 로그할 수 없는 경우 시스템이 종료됩니다. 감사: 보안 감사 설정을 기록할 수 없는 경우 즉시 시스템을 종료하면 계획되지 않은 시스템 오류가 발생할 수 있습니다. 특히 보안 로그 보존 방법을 이벤트 덮어쓰지 않음(수동으로 로그 지우기)으로 구성하면 관리 부담이 매우 클 수 있습니다. 이 구성으로 인해 로그온 이벤트 및 보안 로그에 기록된 기타 보안 이벤트로 인해 서버가 강제로 종료될 수 있으므로 이 구성으로 인해 거부 위협(백업 운영자가 데이터를 백업하거나 복원한 것을 거부할 수 있음)이 DoS(서비스 거부) 취약성이 됩니다. 또한 종료가 정상적이지 않으므로 운영 체제, 애플리케이션 또는 데이터에 돌이킬 수 없는 손상이 발생할 수 있습니다. NTFS 파일 시스템은 비정상적인 컴퓨터 종료가 발생할 때 무결성을 보장하지만 컴퓨터를 다시 시작할 때 모든 애플리케이션의 모든 데이터 파일이 계속 사용 가능한 형식으로 유지되도록 보장할 수는 없습니다. 이 설정의 권장 상태는 Disabled 입니다.키 경로: SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Disabled 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\보안 옵션\감사: 보안 감사를 기록할 수 없는 경우 즉시 시스템 종료 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 2.3.2.2 CIS WS2022 2.3.2.2 |
없거나 = 0 (레지스트리) |
위험 |
보안 옵션 - 디바이스
속성 (ID) |
세부 정보 | 예상 값 (형식) |
심각도 |
---|---|---|---|
장치: 이동식 미디어 포맷 및 꺼내기 허용 (CCE-37701-0) |
설명: 이 정책 설정은 이동식 미디어를 포맷하고 꺼낼 수 있는 사용자를 결정합니다. 이 정책 설정을 사용하여 권한이 없는 사용자가 한 컴퓨터에서 데이터를 제거하여 로컬 관리자 권한이 있는 다른 컴퓨터에서 액세스하지 못하도록 할 수 있습니다. 키 경로: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AllocateDASD OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Administrators 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\보안 옵션\디바이스: 이동식 미디어의 서식을 지정하고 배출할 수 있음 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 2.3.4.1 |
없거나 = 0 (레지스트리) |
Warning |
장치: 사용자가 프린터 드라이버를 설치할 수 없게 함 (CCE-37942-0) |
설명: 컴퓨터가 공유 프린터로 인쇄하려면 해당 공유 프린터의 드라이버를 로컬 컴퓨터에 설치해야 합니다. 이 보안 설정은 공유 프린터 연결의 일부로 프린터 드라이버를 설치할 수 있는 사용자를 결정합니다. 이 설정의 권장 상태는 Enabled 입니다. 참고: 이 설정은 로컬 프린터를 추가하는 기능에 영향을 주지 않습니다. 이 설정은 관리자에게 영향을 주지 않습니다.키 경로: SYSTEM\CurrentControlSet\Control\Print\Providers\LanMan Print Services\Servers\AddPrinterDrivers OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Enabled 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\보안 옵션\디바이스: 사용자가 프린터 드라이버를 설치하지 못하도록 방지 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 2.3.4.2 CIS WS2022 2.3.4.2 |
없거나 = 1 (레지스트리) |
Warning |
인쇄 드라이버 설치를 관리자로 제한 (AZ_WIN_202202) |
설명: 이 정책 설정은 관리자가 아닌 사용자가 시스템에 인쇄 드라이버를 설치할 수 있는지 여부를 제어합니다. 이 설정의 권장 상태는 Enabled 입니다. 참고: 2021년 8월 10일에 Microsoft는 관리자 권한이 필요하도록 기본 지점 및 인쇄 드라이버 설치 및 업데이트 동작을 수정하는 지점 및 인쇄 기본 동작 변경을 발표했습니다. 이 내용은 KB5005652 새 지점 관리 및 인쇄 기본 드라이버 설치 동작(CVE-2021-34481)에 설명되어 있습니다.키 경로: Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint\RestrictDriverInstallationToAdministrators OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원 그룹 정책 경로: 컴퓨터 구성\정책\관리 템플릿\MS 보안 가이드\관리자로 인쇄 드라이버 설치 제한 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 18.3.5 CIS WS2019 18.3.5 |
= 1 (레지스트리) |
Warning |
보안 옵션 - 도메인 구성원
속성 (ID) |
세부 정보 | 예상 값 (형식) |
심각도 |
---|---|---|---|
'도메인 구성원: 보안 채널 데이터를 디지털 암호화 또는 서명(항상)'이 '사용'으로 설정되어 있는지 확인함 (CCE-36142-8) |
설명: 이 보안 설정은 도메인 멤버가 시작하는 모든 보안 채널 트래픽을 서명하거나 암호화해야 하는지 여부를 결정합니다. 이 설정의 권장 상태는 Enabled 입니다.키 경로: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원 그룹 정책 경로: 컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\보안 옵션\도메인 구성원: 보안 채널 데이터 디지털 암호화 또는 서명(항상) 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 2.3.6.1 CIS WS2019 2.3.6.1 |
없거나 = 1 (레지스트리) |
위험 |
'도메인 구성원: 보안 채널 데이터를 디지털 암호화(가능한 경우)'가 '사용'으로 설정되어 있는지 확인함 (CCE-37130-2) |
설명: 이 정책 설정은 도메인 멤버가 시작하는 모든 보안 채널 트래픽에 대한 암호화를 협상해야 하는지 여부를 결정합니다. 이 설정의 권장 상태는 Enabled 입니다.키 경로: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\SealSecureChannel OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원 그룹 정책 경로: 컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\보안 옵션\도메인 구성원: 보안 채널 데이터를 디지털 암호화(가능한 경우) 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 2.3.6.2 CIS WS2019 2.3.6.2 |
없거나 = 1 (레지스트리) |
위험 |
'도메인 구성원: 보안 채널 데이터 디지털 서명(가능한 경우)'이 '사용'으로 설정되어 있는지 확인함 (CCE-37222-7) |
설명: 이 정책 설정은 도메인 구성원이 시작하는 모든 보안 채널 트래픽이 디지털 서명되어야 하는지 여부를 협상해야 하는지 여부를 결정합니다. 디지털 서명은 네트워크를 트래버스하는 데이터를 캡처하는 사용자가 트래픽을 수정하지 못하도록 보호합니다. 이 설정의 권장 상태는 'Enabled'입니다. 키 경로: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\SignSecureChannel OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Enabled 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\보안 옵션\도메인 구성원: 보안 채널 데이터에 디지털 서명(가능한 경우) 규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-93551 STIG WS2016 V-73637 CIS WS2019 2.3.6.3 CIS WS2022 2.3.6.3 |
없거나 = 1 (레지스트리) |
위험 |
'도메인 구성원: 컴퓨터 계정 암호 변경 사항 사용 안 함'이 '사용 안 함'으로 설정되어 있는지 확인함 (CCE-37508-9) |
설명: 이 정책 설정은 도메인 구성원이 컴퓨터 계정 암호를 주기적으로 변경할 수 있는지 여부를 결정합니다. 공격자가 시스템 도메인 계정에 대한 암호를 확인할 수 있으므로 계정 암호를 자동으로 변경할 수 없는 컴퓨터는 잠재적으로 취약할 수 있습니다. 이 설정의 권장 상태는 'Disabled'입니다. 키 경로: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Disabled 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\보안 옵션\도메인 구성원: 컴퓨터 계정 암호 변경 사용 안 함 규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-93273 STIG WS2016 V-73631 CIS WS2019 2.3.6.4 CIS WS2022 2.3.6.4 |
없거나 = 0 (레지스트리) |
위험 |
'도메인 구성원: 컴퓨터 계정 암호의 최대 사용 기간'이 '30일 이하이지만 0이 아님'으로 설정되어 있는지 확인함 (CCE-37431-4) |
설명: 이 정책 설정은 컴퓨터 계정 암호에 허용되는 최대 기간을 결정합니다. 기본적으로 도메인 구성원은 30일마다 도메인 암호를 자동으로 변경합니다. 컴퓨터에서 더 이상 암호를 변경하지 않도록 이 간격을 크게 늘리면 공격자가 컴퓨터 계정 중 하나에 대해 무차별 암호 대입 공격을 수행하는 데 더 많은 시간을 할애할 수 있습니다. 이 설정의 권장 상태는 30 or fewer days, but not 0 입니다. 참고: 0 값은 최대 암호 사용 기간을 사용하지 않도록 설정하므로 벤치마크를 준수하지 않습니다.키 경로: System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 30 or fewer days, but not 0 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\보안 옵션\도메인 구성원: 최대 컴퓨터 계정 암호 사용 기간 규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-93285 STIG WS2016 V-73641 CIS WS2019 2.3.6.5 CIS WS2022 2.3.6.5 |
1~30 (레지스트리) |
위험 |
'도메인 구성원: 고급 세션 키 요청(Windows 2000 이상)'이 '사용'으로 설정되어 있는지 확인함 (CCE-37614-5) |
설명: 이 정책 설정을 사용하도록 설정하면 강력한(128비트) 세션 키를 사용하여 보안 채널 데이터를 암호화할 수 있는 도메인 컨트롤러로만 보안 채널을 설정할 수 있습니다. 이 정책 설정을 사용하도록 설정하려면 도메인의 모든 도메인 컨트롤러가 강력한 키로 보안 채널 데이터를 암호화할 수 있어야 합니다. 즉, 모든 도메인 컨트롤러가 Microsoft Windows 2000 이상을 실행해야 합니다. 이 설정의 권장 상태는 Enabled 입니다.키 경로: SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원 그룹 정책 경로: 컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\보안 옵션\도메인 구성원: 강력한(Windows 2000 이상) 세션 키 필요 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 2.3.6.6 CIS WS2019 2.3.6.6 |
없거나 = 1 (레지스트리) |
위험 |
보안 옵션 - 대화형 로그온
속성 (ID) |
세부 정보 | 예상 값 (형식) |
심각도 |
---|---|---|---|
로그온 자격 증명의 캐싱을 제한해야 함 (AZ-WIN-73651) |
설명: 이 정책 설정은 사용자가 캐시된 계정 정보를 사용하여 Windows 도메인에 로그온할 수 있는지 여부를 결정합니다. 도메인 계정에 대한 로그온 정보는 도메인 컨트롤러에 연결할 수 없더라도 사용자가 로그온할 수 있도록 로컬로 캐시될 수 있습니다. 이 정책 설정은 로그온 정보가 로컬로 캐시되는 고유 사용자 수를 결정합니다. 이 값을 0으로 설정하면 로그온 캐시 기능이 사용하지 않도록 설정됩니다. 서버의 파일 시스템에 액세스할 수 있는 공격자는 이 캐시된 정보를 찾고 무차별 암호 대입 공격(brute force attack)을 사용하여 사용자 암호를 확인할 수 있습니다. 이 설정의 권장 상태는 4 or fewer logon(s) 입니다.키 경로: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CachedLogonsCount OS: WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: 컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\보안 옵션\대화형 로그온: 캐시할 이전 로그온 수(도메인 컨트롤러를 사용할 수 없는 경우) 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 2.3.7.6 CIS WS2019 2.3.7.6 |
1~4 (레지스트리) |
정보 제공 |
대화형 로그온: 마지막 사용자 이름 표시 안 함 (CCE-36056-0) |
설명: 이 정책 설정은 조직의 클라이언트 컴퓨터에 로그온할 마지막 사용자의 계정 이름을 각 컴퓨터의 각 Windows 로그온 화면에 표시할지 여부를 결정합니다. 침입자가 조직의 데스크톱 또는 랩톱 컴퓨터 화면에서 계정 이름을 시각적으로 수집하지 못하도록 하려면 이 정책 설정을 사용하도록 설정합니다. 이 설정의 권장 상태는 Enabled 입니다.키 경로: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DontDisplayLastUserName OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Enabled 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\보안 옵션\대화형 로그온: 마지막으로 로그인하지 않음 참고: 이전 버전의 Microsoft Windows에서 이 설정은 대화형 로그온이라는 이름이 지정 되었습니다. 성은 표시하지 마세요. 하지만 Windows Server 2019부터 이름이 바뀌었습니다. 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 2.3.7.2 CIS WS2022 2.3.7.2 |
= 1 (레지스트리) |
위험 |
대화형 로그온: CTRL+ALT+DEL을 사용할 필요 없음 (CCE-37637-6) |
설명: 이 정책 설정은 사용자가 로그온하기 전에 Ctrl+Alt+DEL을 눌러야 하는지 여부를 결정합니다. 이 설정의 권장 상태는 Disabled 입니다.키 경로: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableCAD OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Disabled 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\보안 옵션\대화형 로그온: Ctrl+Alt+DEL이 필요하지 않습니다. 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 2.3.7.1 CIS WS2022 2.3.7.1 |
없거나 = 0 (레지스트리) |
위험 |
대화형 로그온: 컴퓨터 비활성 제한 (AZ-WIN-73645) |
설명: Windows에서 로그온 세션의 비활성화를 확인하며 비활성 시간이 비활성화 한도를 초과하면 화면 보호기가 실행되어 세션을 잠급니다. 이 설정의 권장 상태는 900 or fewer second(s), but not 0 입니다. 참고: 0 값은 머신 비활성화 한도를 사용하지 않도록 설정하므로 벤치마크를 준수하지 않습니다.키 경로: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\InactivityTimeoutSecs OS: WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: 컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\보안 옵션\대화형 로그온: 컴퓨터 비활성 제한 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 2.3.7.3 CIS WS2019 2.3.7.3 |
1~900 (레지스트리) |
Important |
대화형 로그온: 로그온을 시도하는 사용자에 대한 메시지 텍스트 (AZ-WIN-202253) |
설명: 이 정책 설정은 로그온할 때 사용자에게 표시되는 문자 메시지를 지정합니다. 조직의 보안 및 운영 요구 사항과 일치하는 방식으로 이 설정을 구성합니다. 키 경로: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeText OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원 그룹 정책 경로: 컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\보안 옵션\대화형 로그온: 로그온하려는 사용자를 위한 메시지 텍스트 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 2.3.7.4 CIS WS2019 2.3.7.4 |
!= (레지스트리) |
Warning |
대화형 로그온: 로그온을 시도하는 사용자에 대한 메시지 제목 (AZ-WIN-202254) |
설명: 이 정책 설정은 사용자가 시스템에 로그온할 때 표시되는 창의 제목 표시줄에 표시되는 텍스트를 지정합니다. 조직의 보안 및 운영 요구 사항과 일치하는 방식으로 이 설정을 구성합니다. 키 경로: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeCaption OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원 그룹 정책 경로: 컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\보안 옵션\대화형 로그온: 로그온을 시도하는 사용자를 위한 메시지 제목 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 2.3.7.5 CIS WS2019 2.3.7.5 |
!= (레지스트리) |
Warning |
대화형 로그온: 암호 만료 전에 암호 변경 여부 묻기 (CCE-10930-6) |
설명: 이 정책 설정은 암호가 만료될 것이라는 경고를 사용자에게 표시할 사전 기간을 결정합니다. 이 정책 설정은 암호가 만료될 때 사용자에게 충분히 경고하기 위해 5일 이상, 14일 미만으로 구성하는 것이 좋습니다. 이 설정의 권장 상태는 between 5 and 14 days 입니다.키 경로: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\PasswordExpiryWarning OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: 컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\보안 옵션\대화형 로그온: 만료 전에 암호를 변경하라는 메시지를 사용자에게 표시합니다. 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 2.3.7.7 CIS WS2019 2.3.7.7 |
5~14 (레지스트리) |
정보 제공 |
보안 옵션 - Microsoft 네트워크 클라이언트
속성 (ID) |
세부 정보 | 예상 값 (형식) |
심각도 |
---|---|---|---|
Microsoft 네트워크 클라이언트: 디지털 서명 통신(항상) (CCE-36325-9) |
설명: 이 정책 설정은 SMB 클라이언트 구성 요소에 패킷 서명이 필요한지 여부를 결정합니다. 참고: Windows Vista 기반 컴퓨터에서 이 정책 설정을 사용하도록 설정하고 원격 서버의 파일 또는 인쇄 공유에 연결하는 경우 이 설정은 해당 서버의 상응하는 설정 Microsoft 네트워크 서버: 디지털 서명 통신(항상)과 동기화됩니다. 이러한 설정에 대한 자세한 내용은 챕터 5 위협 및 대책 가이드의 "Microsoft 네트워크 클라이언트 및 서버: 디지털 서명 통신(4개 관련 설정)" 섹션을 참조하세요. 이 설정의 권장 상태는 'Enabled'입니다. 키 경로: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Enabled 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\보안 옵션\Microsoft 네트워크 클라이언트: 디지털 서명 통신(항상) 규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-93555 STIG WS2016 V-73653 CIS WS2019 2.3.8.1 CIS WS2022 2.3.8.1 |
= 1 (레지스트리) |
위험 |
Microsoft 네트워크 클라이언트: 디지털 서명 통신(서버에서 동의한 경우) (CCE-36269-9) |
설명: 이 보안 설정은 SMB 클라이언트가 SMB 패킷 서명 협상을 시도할지 여부를 결정합니다. 참고: 네트워크의 SMB 클라이언트에서 이 정책 설정을 사용하면 환경의 모든 클라이언트와 서버에 패킷 서명이 완전히 적용됩니다. 이 설정의 권장 상태는 Enabled 입니다.키 경로: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnableSecuritySignature OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Enabled 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\보안 옵션\Microsoft 네트워크 클라이언트: 통신에 디지털 서명(서버가 동의하는 경우) 규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-93557 STIG WS2016 V-73655 CIS WS2019 2.3.8.2 CIS WS2022 2.3.8.2 |
없거나 = 1 (레지스트리) |
위험 |
Microsoft 네트워크 클라이언트: 타사 SMB 서버에 암호화되지 않은 암호 보내기 (CCE-37863-8) |
설명: 이 정책 설정은 SMB 리디렉터가 암호 암호화를 지원하지 않는 타사 SMB 서버에 인증하는 동안 일반 텍스트 암호를 보낼지 여부를 결정합니다. 이 정책을 사용해야 하는 강력한 비즈니스 사례가 없는 한 이 정책 설정을 사용하지 않는 것이 좋습니다. 이 정책 설정을 사용하면 암호화되지 않은 암호가 네트워크에서 허용됩니다. 이 설정의 권장 상태는 'Disabled'입니다. 키 경로: SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnablePlainTextPassword OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Disabled 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\보안 옵션\Microsoft 네트워크 클라이언트: 암호화되지 않은 암호를 타사 SMB 서버로 보내기 규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-93469 STIG WS2016 V-73657 CIS WS2019 2.3.8.3 CIS WS2022 2.3.8.3 |
없거나 = 0 (레지스트리) |
위험 |
Microsoft 네트워크 서버: 세션을 중단하기 전에 필요한 유휴 시간 (CCE-38046-9) |
설명: 이 정책 설정을 통해 SMB 세션이 이 시간 동안 연속으로 유휴 상태이면 세션을 일시 중단하도록 지정할 수 있습니다. 관리자는 이 정책 설정을 사용하여 컴퓨터가 비활성 SMB 세션을 일시 중단하는 시기를 제어할 수 있습니다. 클라이언트 활동이 다시 시작되면 세션이 자동으로 다시 설정됩니다. 세션이 무기한 유지되도록 0 값이 나타납니다. 최대값은 69일 이상인 99999입니다. 실제로 이 값은 설정을 사용하지 않도록 설정합니다. 이 설정의 권장 상태는 15 or fewer minute(s), but not 0 입니다.키 경로: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\AutoDisconnect OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 15 or fewer minute(s) 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\보안 옵션\Microsoft 네트워크 서버: 세션을 일시 중단하기 전에 필요한 유휴 시간 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 2.3.9.1 |
1-15 (레지스트리) |
위험 |
Microsoft 네트워크 서버: 디지털 서명 통신(항상) (CCE-37864-6) |
설명: 이 정책 설정은 SMB 서버 구성 요소에 패킷 서명이 필요한지 여부를 결정합니다. 혼합 환경에서 이 정책 설정을 사용하면 다운스트림 클라이언트에서 워크스테이션을 네트워크 서버로 사용할 수 없습니다. 이 설정의 권장 상태는 Enabled 입니다.키 경로: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Enabled 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\보안 옵션\Microsoft 네트워크 서버: 디지털 서명 통신(항상) 규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-93559 STIG WS2016 V-73661 CIS WS2019 2.3.9.2 CIS WS2022 2.3.9.2 |
= 1 (레지스트리) |
위험 |
Microsoft 네트워크 서버: 통신 디지털 서명(클라이언트에서 동의한 경우) (CCE-35988-5) |
설명: 이 정책 설정은 SMB 서버가 SMB 패킷 서명을 요청하는 클라이언트와 협상할지 여부를 결정합니다. 클라이언트에서 서명 요청이 제공되지 않는 경우 Microsoft 네트워크 서버: 디지털 서명 통신(항상) 설정을 사용할 수 없는 경우 서명 없이 연결이 허용됩니다. 참고: 네트워크의 SMB 클라이언트에서 이 정책 설정을 사용하도록 설정하여 환경의 모든 클라이언트 및 서버와의 패킷 서명에 완벽하게 효과적입니다. 이 설정의 권장 상태는 Enabled 입니다.키 경로: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Enabled 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\보안 옵션\Microsoft 네트워크 서버: 통신에 디지털 서명(클라이언트가 동의하는 경우) 규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-93561 STIG WS2016 V-73663 CIS WS2019 2.3.9.3 CIS WS2022 2.3.9.3 |
= 1 (레지스트리) |
위험 |
Microsoft 네트워크 서버: 로그온 시간이 만료되면 클라이언트 연결 끊기 (CCE-37972-7) |
설명: 이 보안 설정은 사용자 계정의 유효한 로그온 시간을 초과하여 로컬 컴퓨터에 연결된 사용자의 연결을 끊을지 여부를 결정합니다. 이 설정은 SMB(서버 메시지 블록) 구성 요소에 영향을 줍니다. 이 정책 설정을 사용하면 네트워크 보안도 사용하도록 설정 해야 합니다. 로그온 시간이 만료 되면 강제로 로그오프합니다(규칙 2.3.11.6). 조직에서 사용자에 대한 로그온 시간을 구성하는 경우 이 정책 설정이 효과적인지 확인해야 합니다. 이 설정의 권장 상태는 Enabled 입니다.키 경로: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\EnableForcedLogoff OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Enabled 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\보안 옵션\Microsoft 네트워크 서버: 로그온 시간이 만료되면 클라이언트 연결 끊기 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 2.3.9.4 CIS WS2022 2.3.9.4 |
없거나 = 1 (레지스트리) |
위험 |
Microsoft 네트워크 서버: 서버 SPN 대상 이름 유효성 확인 수준 (CCE-10617-9) |
설명: 이 정책 설정은 공유 폴더 또는 프린터(서버)가 있는 컴퓨터가 SMB(서버 메시지 블록) 프로토콜을 사용하여 세션을 설정할 때 클라이언트 컴퓨터에서 제공하는 SPN(서비스 주체 이름)으로 작동하는지 유효성 검사하는 수준을 제어합니다. SMB(서버 메시지 블록) 프로토콜은 원격 Windows 관리와 같은 파일 및 인쇄 공유 그리고 기타 네트워킹 작업에 대한 기본 사항을 제공합니다. SMB 프로토콜은 SMB 릴레이 공격이라고 하는 SMB 서버에 대한 공격 클래스를 방지하기 위해 SMB 클라이언트에서 제공하는 인증 Blob 내에서 SMB 서버 SPN(서비스 주체 이름)의 유효성을 검사하도록 지원합니다. 이 설정은 SMB1 및 SMB2 모두에 영향을 미칩니다. 이 설정의 권장 상태는 Accept if provided by client 입니다. 또한 이 설정을 Required from client 로 구성하면 벤치마크를 준수합니다. 참고: MS KB3161561 보안 패치가 릴리스된 이후 이 설정은 UNC 경로 강화(예: 규칙 18.5.14.1)와 동시에 사용될 때 도메인 컨트롤러에서 중요한 문제(예: 복제 문제, 그룹 정책 편집 문제 및 파란색 화면 충돌)를 일으킬 수 있습니다. 따라서 CIS는 도메인 컨트롤러에 이 설정을 배포하지 않는 것이 좋습니다.키 경로: System\CurrentControlSet\Services\LanManServer\Parameters\SMBServerNameHardeningLevel OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 구성원 그룹 정책 경로: 컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\보안 옵션\Microsoft 네트워크 서버: 서버 SPN 대상 이름 유효성 검사 수준 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 2.3.9.5 CIS WS2019 2.3.9.5 |
= 1 (레지스트리) |
Warning |
보안 옵션 - Microsoft 네트워크 서버
속성 (ID) |
세부 정보 | 예상 값 (형식) |
심각도 |
---|---|---|---|
SMB v1 서버 사용 안 함 (AZ-WIN-00175) |
설명: 이 설정을 사용하지 않도록 설정하면 SMBv1 프로토콜의 서버 쪽 처리를 사용하지 않도록 설정합니다. (권장) 이 설정을 사용하도록 설정하면 SMBv1 프로토콜의 서버 쪽 처리가 사용됩니다. (기본값) 이 설정에 대한 변경 사항을 적용하려면 다시 부팅해야 합니다. 자세한 내용은 https://support.microsoft.com/kb/2696547를 참조하세요. 키 경로: SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\SMB1 OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: 해당 없음 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 18.3.3 |
없거나 = 0 (레지스트리) |
위험 |
보안 옵션 - 네트워크 액세스
속성 (ID) |
세부 정보 | 예상 값 (형식) |
심각도 |
---|---|---|---|
계정: 관리자 계정 이름 변경 (CCE-10976-9) |
설명: 기본 제공 로컬 관리자 계정은 공격자가 대상으로 지정할 잘 알려진 계정 이름입니다. 이 계정에 다른 이름을 선택하며 관리 또는 상승된 액세스 계정을 나타내는 이름을 사용하지 않는 것이 좋습니다. 또한 컴퓨터 관리 콘솔을 통해 로컬 관리자에 대한 기본 설명을 변경해야 합니다. 도메인 컨트롤러에는 자체 로컬 계정이 없으므로 이 규칙은 도메인을 처음 만들 때 설정된 기본 제공 관리자 계정을 참조합니다. 키 경로: [시스템 액세스]NewAdministratorName OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원 그룹 정책 경로: 컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\보안 옵션\계정: 관리자 계정 이름 바꾸기 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 2.3.1.5 CIS WS2019 2.3.1.5 |
!= 관리자 (정책) |
Warning |
네트워크 액세스: SAM 계정의 익명 열거 허용 안 함 (CCE-36316-8) |
설명: 이 정책 설정은 익명 사용자가 SAM(보안 계정 관리자)의 계정을 열거하는 기능을 제어합니다. 이 정책 설정을 사용하면 익명 연결이 있는 사용자는 사용자 환경의 시스템에서 도메인 계정 사용자 이름을 열거할 수 없습니다. 이 정책 설정은 익명 연결에 대한 추가 제한도 허용합니다. 이 설정의 권장 상태는 Enabled 입니다. 참고: 이 정책은 도메인 컨트롤러에는 영향을 주지 않습니다.키 경로: SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Enabled 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\보안 옵션 etwork 액세스: SAM 계정의 익명 열거 허용 안 함 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 2.3.10.2 |
없거나 = 1 (레지스트리) |
위험 |
네트워크 액세스: SAM 계정과 공유의 익명 열거 허용 안 함 (CCE-36077-6) |
설명: 이 정책 설정은 익명 사용자가 SAM 계정과 공유를 열거하는 기능을 제어합니다. 이 정책 설정을 사용하면 익명 사용자는 환경의 시스템에서 도메인 계정 사용자 이름 및 네트워크 공유 이름을 열거할 수 없습니다. 이 설정의 권장 상태는 Enabled 입니다. 참고: 이 정책은 도메인 컨트롤러에는 영향을 주지 않습니다.키 경로: SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Enabled 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\보안 옵션 etwork 액세스: SAM 계정 및 공유의 익명 열거 허용 안 함 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 2.3.10.3 |
= 1 (레지스트리) |
위험 |
네트워크 액세스: Everyone 사용 권한을 익명 사용자에게 적용 (CCE-36148-5) |
설명: 이 정책 설정은 컴퓨터에 대한 익명 연결에 할당된 추가 권한을 결정합니다. 이 설정의 권장 상태는 Disabled 입니다.키 경로: SYSTEM\CurrentControlSet\Control\Lsa\EveryoneIncludesAnonymous OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Disabled 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\보안 옵션\네트워크 액세스: 익명 사용자에게 모든 사용자 권한 적용 규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-93293 STIG WS2016 V-73673 CIS WS2019 2.3.10.5 CIS WS2022 2.3.10.5 |
없거나 = 0 (레지스트리) |
위험 |
네트워크 액세스: 원격으로 액세스할 수 있는 레지스트리 경로 (CCE-37194-8) |
설명: 이 정책 설정은 WinReg 키를 참조하여 경로에 대한 액세스 권한을 확인한 후 액세스할 수 있는 레지스트리 경로를 결정합니다. 참고: 이 설정은 Windows XP에 없습니다. Windows XP에 이 이름을 가진 설정이 있었지만, Windows Server 2003, Windows Vista 및 Windows Server 2008에서는 "네트워크 액세스: 원격으로 액세스할 수 있는 레지스트리 경로 및 하위 경로"라고 합니다. 참고: 이 설정을 구성할 때 하나 이상의 개체 목록을 지정합니다. 목록을 입력할 때 사용되는 구분 기호는 줄 바꿈 또는 캐리지 리턴입니다. 즉, 목록에서 첫 번째 개체를 입력하고 Enter 단추를 누르고 다음 개체를 입력하고 Enter 키를 다시 누릅니다. 설정 값은 그룹 정책 보안 템플릿에 쉼표로 구분된 목록으로 저장됩니다. 또한 그룹 정책 편집기의 표시 창과 결과 정책 집합 콘솔에서 쉼표로 구분된 목록으로 렌더링됩니다. REG_MULTI_SZ 값의 줄 바꿈으로 구분된 목록으로 레지스트리에 기록됩니다. 키 경로: SYSTEM\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedExactPaths\Machine OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 설정합니다. System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server 애플리케이션 Software\Microsoft\Windows NT\CurrentVersion 컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\보안 옵션\네트워크 액세스: 원격으로 액세스할 수 있는 레지스트리 경로 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 2.3.10.8 |
없거나 = System\CurrentControlSet\Control\ProductOptions\0System\CurrentControlSet\Control\Server Applications\0Software\Microsoft\Windows NT\CurrentVersion\0\0 (레지스트리) |
위험 |
네트워크 액세스: 원격으로 액세스할 수 있는 레지스트리 경로 및 하위 경로 (CCE-36347-3) |
설명: 이 정책 설정은 애플리케이션 또는 프로세스가 WinReg 키를 참조하여 액세스 권한을 결정할 때 액세스할 수 있는 레지스트리 경로 및 하위 경로를 결정합니다. 참고: Windows XP에서 이 설정을 "네트워크 액세스: 원격으로 액세스할 수 있는 레지스트리 경로"라고 하며 Windows Vista, Windows Server 2008 및 Windows Server 2003에서 동일한 이름을 가진 설정은 Windows XP에 없습니다. 참고: 이 설정을 구성할 때 하나 이상의 개체 목록을 지정합니다. 목록을 입력할 때 사용되는 구분 기호는 줄 바꿈 또는 캐리지 리턴입니다. 즉, 목록에서 첫 번째 개체를 입력하고 Enter 단추를 누르고 다음 개체를 입력하고 Enter 키를 다시 누릅니다. 설정 값은 그룹 정책 보안 템플릿에 쉼표로 구분된 목록으로 저장됩니다. 또한 그룹 정책 편집기의 표시 창과 결과 정책 집합 콘솔에서 쉼표로 구분된 목록으로 렌더링됩니다. REG_MULTI_SZ 값의 줄 바꿈으로 구분된 목록으로 레지스트리에 기록됩니다. 키 경로: SYSTEM\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedPaths\Machine OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 설정합니다. System\CurrentControlSet\Control\Print\Printers System\CurrentControlSet\Services\Eventlog Software\Microsoft\OLAP Server Software\Microsoft\Windows NT\CurrentVersion\Print Software\Microsoft\Windows NT\CurrentVersion\Windows System\CurrentControlSet\Control\ContentIndex System\CurrentControlSet\Control\Terminal Server System\CurrentControlSet\Control\Terminal Server\UserConfig System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration Software\Microsoft\Windows NT\CurrentVersion\Perflib System\CurrentControlSet\Services\SysmonLog 컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\보안 옵션 etwork 액세스: 원격으로 액세스할 수 있는 레지스트리 경로 및 하위 경로 서버가 인증 기관 역할 서비스를 사용하여 Active Directory 인증서 서비스 역할을 보유하는 경우 위의 목록에는 'System\CurrentControlSet\Services\CertSvc'도 포함되어야 합니다. 서버에 WINS 서버 기능이 설치된 경우 위의 목록에는 다음도 포함되어야 합니다. 'System\CurrentControlSet\Services\WINS' 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 2.3.10.9 |
없거나 = System\CurrentControlSet\Control\Print\Printers\0System\CurrentControlSet\Services\Eventlog\0Software\Microsoft\OLAP Server\0Software\Microsoft\Windows NT\CurrentVersion\Print\0Software\Microsoft\Windows NT\CurrentVersion\Windows\0System\CurrentControlSet\Control\ContentIndex\0System\CurrentControlSet\Control\Terminal Server\0System\CurrentControlSet\Control\Terminal Server\UserConfig\0System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration\0Software\Microsoft\Windows NT\CurrentVersion\Perflib\0System\CurrentControlSet\Services\SysmonLog\0\0 (레지스트리) |
위험 |
네트워크 액세스: 명명된 파이프와 공유에 대한 익명 액세스 제한 (CCE-36021-4) |
설명: 사용하도록 설정하면 이 정책 설정은 익명 액세스를 해당 공유 및 설정에 Network access: Named pipes that can be accessed anonymously Network access: Shares that can be accessed anonymously 명명된 파이프로만 제한합니다. 이 정책 설정은 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters 레지스트리 키에 값이 1 인 RestrictNullSessAccess 를 추가하여 컴퓨터의 공유에 대한 null 세션 액세스를 제어합니다. 이 레지스트리 값은 null 세션 공유를 설정 또는 해제하여 서버 서비스에서 명명된 리소스에 대한 인증되지 않은 클라이언트 액세스를 제한할 것인지 여부를 제어합니다. 이 설정의 권장 상태는 Enabled 입니다.키 경로: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RestrictNullSessAccess OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Enabled 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\보안 옵션\네트워크 액세스: 명명된 파이프 및 공유에 대한 익명 액세스 제한 규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-93539 STIG WS2016 V-73675 CIS WS2019 2.3.10.10 CIS WS2022 2.3.10.10 |
없거나 = 1 (레지스트리) |
위험 |
네트워크 액세스: SAM 원격 호출이 가능한 클라이언트 제한 (AZ-WIN-00142) |
설명: 이 정책 설정을 통해 SAM에 대한 원격 RPC 연결을 제한할 수 있습니다. 선택하지 않으면 기본 보안 설명자가 사용됩니다. 이 정책은 적어도 Windows Server 2016에서 지원됩니다. 키 경로: SYSTEM\CurrentControlSet\Control\Lsa\RestrictRemoteSAM OS: WS2016, WS2019, WS2022 서버 유형: 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Administrators: Remote Access: Allow 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\보안 옵션 etwork 액세스: SAM에 대한 원격 호출을 수행할 수 있는 클라이언트 제한 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 2.3.10.11 |
없거나 = O:BAG:BAD:(A;;RC;;;BA) (레지스트리) |
위험 |
네트워크 액세스: 익명으로 액세스할 수 있는 공유 (CCE-38095-6) |
설명: 이 정책 설정은 익명 사용자가 액세스할 수 있는 네트워크 공유를 결정합니다. 모든 사용자가 서버의 공유 리소스에 액세스하려면 먼저 인증을 받아야 하므로 이 정책 설정의 기본 구성은 거의 효과가 없습니다. 참고: 이 그룹 정책 설정에 다른 공유를 추가하는 것은 매우 위험할 수 있습니다. 모든 네트워크 사용자는 나열된 공유에 액세스할 수 있으며, 중요한 데이터가 노출되거나 손상될 수 있습니다. 참고: 이 설정을 구성할 때 하나 이상의 개체 목록을 지정합니다. 목록을 입력할 때 사용되는 구분 기호는 줄 바꿈 또는 캐리지 리턴입니다. 즉, 목록에서 첫 번째 개체를 입력하고 Enter 단추를 누르고 다음 개체를 입력하고 Enter 키를 다시 누릅니다. 설정 값은 그룹 정책 보안 템플릿에 쉼표로 구분된 목록으로 저장됩니다. 또한 그룹 정책 편집기의 표시 창과 결과 정책 집합 콘솔에서 쉼표로 구분된 목록으로 렌더링됩니다. REG_MULTI_SZ 값의 줄 바꿈으로 구분된 목록으로 레지스트리에 기록됩니다. 키 경로: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\NullSessionShares OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 (예: 없음)으로 <blank> 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\보안 옵션 etwork access: 익명으로 액세스할 수 있는 공유 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 2.3.10.12 |
존재하지 않거나 = (레지스트리) |
위험 |
네트워크 액세스: 로컬 계정에 대한 공유 및 보안 모델 (CCE-37623-6) |
설명: 이 정책 설정은 로컬 계정을 사용하는 네트워크 로그온의 인증 방법을 결정합니다. 클래식 옵션을 사용하면 동일한 리소스에 대해 다양한 유형의 액세스를 다른 사용자에게 할당하는 기능을 포함하여 리소스에 대한 액세스를 정확하게 제어할 수 있습니다. 게스트 전용 옵션을 사용하면 모든 사용자를 동일하게 처리할 수 있습니다. 이 컨텍스트에서 모든 사용자는 지정된 리소스에 대해 동일한 액세스 수준을 받기 위해서만 게스트로 인증합니다. 이 설정의 권장 상태는 Classic - local users authenticate as themselves 입니다. 참고: 이 설정은 텔넷 또는 원격 데스크톱 서비스(이전의 터미널 서비스)와 같은 서비스를 사용하여 원격으로 수행되는 대화형 로그온에는 영향을 주지 않습니다.키 경로: SYSTEM\CurrentControlSet\Control\Lsa\ForceGuest OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Classic - local users authenticate as themselves 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\보안 옵션\네트워크 액세스: 로컬 계정에 대한 공유 및 보안 모델 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 2.3.10.13 CIS WS2022 2.3.10.13 |
없거나 = 0 (레지스트리) |
위험 |
보안 옵션 - 네트워크 보안
속성 (ID) |
세부 정보 | 예상 값 (형식) |
심각도 |
---|---|---|---|
네트워크 보안: 로컬 시스템이 NTLM에 컴퓨터 ID를 사용하도록 허용 (CCE-38341-4) |
설명: 이 정책 설정을 사용하면 협상에서 NTLM 인증을 선택할 때 Negotiate를 사용하는 로컬 시스템 서비스가 컴퓨터 ID를 사용하도록 합니다. 이 정책은 Windows 7 또는 Windows Server 2008 R2 이상에서 지원됩니다. 키 경로: SYSTEM\CurrentControlSet\Control\Lsa\UseMachineId OS: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Enabled 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\보안 옵션 etwork 보안: 로컬 시스템에서 NTLM에 컴퓨터 ID를 사용하도록 허용 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 2.3.11.1 |
= 1 (레지스트리) |
위험 |
네트워크 보안: LocalSystem NULL 세션 변경 허용 (CCE-37035-3) |
설명: 이 정책 설정은 LocalSystem과 함께 사용할 때 NTLM이 NULL 세션으로 대체될 수 있는지 여부를 결정합니다. 이 설정의 권장 상태는 Disabled 입니다.키 경로: SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\AllowNullSessionFallback OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Disabled 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\보안 옵션\네트워크 보안: LocalSystem NULL 세션 대체 허용 규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-93297 STIG WS2016 V-73681 CIS WS2019 2.3.11.2 CIS WS2022 2.3.11.2 |
없거나 = 0 (레지스트리) |
위험 |
네트워크 보안: 이 컴퓨터에 대한 PKU2U 인증 요청에서 온라인 ID를 사용하도록 허용 (CCE-38047-7) |
설명: 이 설정은 온라인 ID가 이 컴퓨터에 인증할 수 있는지 여부를 결정합니다. Windows 7 및 Windows Server 2008 R2에 도입된 PKU2U(The Public Key Cryptography Based User-to-User) 프로토콜은 SSP(보안 지원 공급자)로 구현됩니다. SSP를 사용하면 특히 도메인 구성원이 아닌 컴퓨터 간에 공유를 허용하는 홈 그룹이라는 Windows 7 미디어 및 파일 공유 기능을 통해 피어 투 피어 인증을 사용할 수 있습니다. PKU2U를 사용하면 협상 인증 패키지 Spnego.dll 에 새 확장이 도입되었습니다. 이전 버전의 Windows에서 Negotiate는 인증에 Kerberos 또는 NTLM을 사용할지 여부를 결정했습니다. Windows에서 인증 프로토콜로 처리되는 Negotiate Negoexts.dll 용 확장 SSP는 PKU2U를 포함한 Microsoft SSP를 지원합니다. 컴퓨터가 온라인 ID Negoexts.dll 를 사용하여 인증 요청을 수락하도록 구성된 경우 로그온하는 데 사용되는 컴퓨터에서 PKU2U SSP를 호출합니다. PKU2U SSP는 로컬 인증서를 가져오고 피어 컴퓨터 간에 정책을 교환합니다. 피어 컴퓨터에서 유효성을 검사하면 메타데이터 내의 인증서가 유효성 검사를 위해 로그온 피어로 전송되고 사용자의 인증서를 보안 토큰에 연결하고 로그온 프로세스가 완료됩니다. 이 설정의 권장 상태는 Disabled 입니다.키 경로: SYSTEM\CurrentControlSet\Control\Lsa\pku2u\AllowOnlineID OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Disabled 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\보안 옵션\네트워크 보안: 이 컴퓨터에 대한 PKU2U 인증 요청이 온라인 ID를 사용하도록 허용 규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-93299 STIG WS2016 V-73683 CIS WS2019 2.3.11.3 CIS WS2022 2.3.11.3 |
없거나 = 0 (레지스트리) |
Warning |
네트워크 보안: Kerberos에 허용된 암호화 유형 구성 (CCE-37755-6) |
설명: 이 정책 설정을 사용하면 Kerberos에서 사용할 수 있는 암호화 유형을 설정할 수 있습니다. 이 정책은 Windows 7 또는 Windows Server 2008 R2 이상에서 지원됩니다. 키 경로: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters\SupportedEncryptionTypes OS: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: 컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\보안 옵션\네트워크 보안: Kerberos에 허용되는 암호화 유형 구성 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 2.3.11.4 |
없거나 = 2147483640 (레지스트리) |
위험 |
네트워크 보안: 다음 암호 변경 시 LAN Manager 해시 값 저장 안 함 (CCE-36326-7) |
설명: 이 정책 설정은 암호 변경 시 새 암호의 LM(LAN Manager) 해시 값을 저장할 것인지 여부를 결정합니다. LM 해시는 암호화가 더 강력한 Microsoft Windows NT 해시에 비해 상대적으로 약하고 공격하기 쉽습니다. LM 해시는 보안 데이터베이스의 로컬 컴퓨터에 저장되므로 데이터베이스가 공격받을 경우 암호를 쉽게 손상시킬 수 있습니다. 참고: 이 정책 설정을 사용하도록 설정하면 이전 운영 체제 및 일부 타사 애플리케이션이 실패할 수 있습니다. 또한 적절한 이점을 얻으려면 이 설정을 사용하도록 설정한 후 모든 계정에서 암호를 변경해야 합니다. 이 설정의 권장 상태는 Enabled 입니다.키 경로: SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Enabled 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\보안 옵션\네트워크 보안: 다음 암호 변경 시 LAN 관리자 해시 값을 저장하지 마세요. 규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-93467 STIG WS2016 V-73687 CIS WS2019 2.3.11.5 CIS WS2022 2.3.11.5 |
없거나 = 1 (레지스트리) |
위험 |
네트워크 보안: LAN Manager 인증 수준 (CCE-36173-3) |
설명: LM(LAN Manager)은 사용자가 단일 네트워크에서 개인용 컴퓨터를 서로 연결할 수 있는 초기 Microsoft 클라이언트/서버 소프트웨어 제품군입니다. 네트워크 기능으로는 투명한 파일 및 인쇄 공유, 사용자 보안 기능 및 네트워크 관리 도구가 있습니다. Active Directory 도메인에서 Kerberos 프로토콜은 기본 인증 프로토콜입니다. 그러나 어떤 이유로 Kerberos 프로토콜이 협상되지 않으면 Active Directory는 LM, NTLM 또는 NTLMv2를 사용합니다. LAN Manager 인증에는 LM, NTLM 및 NTLM 버전 2(NTLMv2) 변형이 포함됩니다. 및 다음 작업을 수행할 때 모든 Windows 클라이언트를 인증하는 데 사용되는 프로토콜입니다. - 도메인 가입 - Active Directory 포리스트 간에 인증 - 하위 수준 도메인에 인증 - Windows 2000, Windows Server 2003 또는 Windows XP를 실행하지 않는 컴퓨터에 인증) - 도메인에 없는 컴퓨터에 인증 네트워크 보안에 사용할 수 있는 값: LAN 관리자 인증 수준 설정은 다음과 같습니다. - LM 및 NTLM 응답 보내기 - LM 및 NTLM 보내기 - 협상된 경우 NTLMv2 세션 보안 사용 - NTLM 응답만 보내기 - NTLMv2 응답만 보내기 - NT 보내기LMv2 응답만\거부 LM - NTLMv2 응답만 보내기\LM 및 NTLM 거부 - 정의되지 않은 네트워크 보안: LAN 관리자 인증 수준 설정은 네트워크 로그온에 사용되는 챌린지/응답 인증 프로토콜을 결정합니다. 이 선택은 클라이언트가 사용하는 인증 프로토콜 수준, 컴퓨터가 협상하는 세션 보안 수준 및 서버가 수락하는 인증 수준에 영향을 줍니다. - LM 및 NTLM 응답 보내기. 클라이언트는 LM 및 NTLM 인증을 사용하며 NTLMv2 세션 보안을 사용하지 않습니다. 도메인 컨트롤러는 LM, NTLM 및 NTLMv2 인증을 허용합니다. - LM 및 NTLM 보내기 - 협상된 경우 NTLMv2 세션 보안을 사용합니다. 클라이언트는 LM 및 NTLM 인증을 사용하고 서버에서 지원하는 경우 NTLMv2 세션 보안을 사용합니다. 도메인 컨트롤러는 LM, NTLM 및 NTLMv2 인증을 허용합니다. - NTLM 응답만 보냅니다. 클라이언트는 NTLM 인증만 사용하고 서버에서 지원하는 경우 NTLMv2 세션 보안을 사용합니다. 도메인 컨트롤러는 LM, NTLM 및 NTLMv2 인증을 허용합니다. - NTLMv2 응답만 보냅니다. 클라이언트는 NTLMv2 인증만 사용하고 서버에서 지원하는 경우 NTLMv2 세션 보안을 사용합니다. 도메인 컨트롤러는 LM, NTLM 및 NTLMv2 인증을 허용합니다. - NTLMv2 응답만 보내기\LM 거부. 클라이언트는 NTLMv2 인증만 사용하고 서버에서 지원하는 경우 NTLMv2 세션 보안을 사용합니다. 도메인 컨트롤러는 LM을 거부합니다(NTLM 및 NTLMv2 인증만 허용). - NTLMv2 응답만 보내기\LM 및 NTLM을 거부합니다. 클라이언트는 NTLMv2 인증만 사용하고 서버에서 지원하는 경우 NTLMv2 세션 보안을 사용합니다. 도메인 컨트롤러는 LM 및 NTLM을 거부합니다(NTLMv2 인증만 허용). 이러한 설정은 다음과 같이 다른 Microsoft 문서에 설명된 수준과 일치합니다. 수준 0 - LM 및 NTLM 응답을 보냅니다. NTLMv2 세션 보안을 절대 사용하지 않습니다. 클라이언트는 LM 및 NTLM 인증을 사용하며 NTLMv2 세션 보안을 사용하지 않습니다. 도메인 컨트롤러는 LM, NTLM 및 NTLMv2 인증을 허용합니다. - 수준 1 - 협상되면 NTLMv2 세션 보안 사용. 클라이언트는 LM 및 NTLM 인증을 사용하고 서버에서 지원하는 경우 NTLMv2 세션 보안을 사용합니다. 도메인 컨트롤러는 LM, NTLM 및 NTLMv2 인증을 허용합니다. - 수준 2 - NTLM 응답만 보내기. 클라이언트는 NTLM 인증만 사용하고 서버에서 지원하는 경우 NTLMv2 세션 보안을 사용합니다. 도메인 컨트롤러는 LM, NTLM 및 NTLMv2 인증을 허용합니다. - 수준 3 - NTLMv2 응답만 보내기. 클라이언트는 NTLMv2 인증을 사용하고 서버에서 지원하는 경우 NTLMv2 세션 보안을 사용합니다. 도메인 컨트롤러는 LM, NTLM 및 NTLMv2 인증을 허용합니다. - 수준 4 - 도메인 컨트롤러가 LM 응답 거부. 클라이언트는 NTLM 인증을 사용하고 서버에서 지원하는 경우 NTLMv2 세션 보안을 사용합니다. 도메인 컨트롤러는 LM 인증을 거부합니다. 즉, NTLM 및 NTLMv2를 허용합니다. - 수준 5 - 도메인 컨트롤러가 LM 및 NTLM 응답 거부(NTLMv2만 허용). 클라이언트는 서버에서 지원하는 경우 NTLMv2 인증, 사용 및 NTLMv2 세션 보안을 사용합니다. 도메인 컨트롤러는 NTLM 및 LM 인증을 거부합니다(NTLMv2만 허용). 키 경로: SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장 구성을 설정하려면 다음 UI 경로를 'NTLMv2 응답만 보내기'로 설정합니다. LM 및 NTLM 거부': 컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\보안 옵션 etwork 보안: LAN 관리자 인증 수준 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 2.3.11.7 |
= 5 (레지스트리) |
위험 |
네트워크 보안: LDAP 클라이언트 서명 필요 (CCE-36858-9) |
설명: 이 정책 설정은 LDAP BIND 요청을 발급하는 클라이언트를 대신하여 요청되는 데이터 서명 수준을 결정합니다. 참고: 이 정책 설정은 SSL()을 통한 LDAP 단순 바인딩(ldap_simple_bind ) 또는 LDAP 단순 바인딩에ldap_simple_bind_s 영향을 주지 않습니다. Windows XP Professional에 포함된 Microsoft LDAP 클라이언트는 도메인 컨트롤러와 통신하기 위해 ldap_simple_bind 또는 ldap_simple_bind_s 사용하지 않습니다. 이 설정의 권장 상태는 Negotiate signing 입니다. 또한 벤치마크를 준수하도록 Require signing 이 설정을 구성합니다.키 경로: SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장 구성을 설정하려면 다음 UI 경로를 Negotiate signing 설정합니다(벤치마크를 준수하도록 Require signing 구성).컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\보안 옵션\네트워크 보안: LDAP 클라이언트 서명 요구 사항 규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-93303 STIG WS2016 V-73693 CIS WS2019 2.3.11.8 CIS WS2022 2.3.11.8 |
없거나 = 1 (레지스트리) |
위험 |
네트워크 보안: NTLM SSP 기반(보안 RPC 포함) 클라이언트에 대한 최소 세션 보안 (CCE-37553-5) |
설명: 이 정책 설정은 NTLM SSP(보안 지원 공급자)를 사용하는 애플리케이션에 대해 클라이언트가 허용하는 동작을 결정합니다. 인증 서비스가 필요한 애플리케이션에서 SSPI(SSP 인터페이스)를 사용합니다. 이 설정은 인증 시퀀스의 작동 방식을 수정하지 않고 대신 SSPI를 사용하는 애플리케이션에서 특정 동작이 필요합니다. 이 설정의 권장 상태는 Require NTLMv2 session security, Require 128-bit encryption 입니다. 참고: 이러한 값은 네트워크 보안: LAN 관리자 인증 수준 보안 설정 값에 따라 달라집니다.키 경로: SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinClientSec OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장 구성을 설정하려면 다음 UI 경로를 Require NTLMv2 session security, Require 128-bit encryption 컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\보안 옵션\네트워크 보안: NTLM SSP 기반(보안 RPC 포함) 클라이언트에 대한 최소 세션 보안으로 설정합니다.규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 2.3.11.9 |
= 537395200 (레지스트리) |
위험 |
네트워크 보안: NTLM SSP 기반(보안 RPC 포함) 서버에 대한 최소 세션 보안 (CCE-37835-6) |
설명: 이 정책 설정은 NTLM SSP(보안 지원 공급자)를 사용하는 애플리케이션에 대해 서버에서 허용하는 동작을 지정합니다. 인증 서비스가 필요한 애플리케이션에서 SSPI(SSP 인터페이스)를 사용합니다. 이 설정은 인증 시퀀스의 작동 방식을 수정하지 않고 대신 SSPI를 사용하는 애플리케이션에서 특정 동작이 필요합니다. 이 설정의 권장 상태는 Require NTLMv2 session security, Require 128-bit encryption 입니다. 참고: 이러한 값은 네트워크 보안: LAN 관리자 인증 수준 보안 설정 값에 따라 달라집니다.키 경로: SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinServerSec OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: 컴퓨터 구성\Windows 설정\보안 설정\로컬 정책\보안 옵션\네트워크 보안에 대한 정책 값 구성: NTLMv2 세션 보안이 필요하고 128비트 암호화가 필요하도록 NTLM SSP 기반(보안 RPC 포함) 서버에 대한 최소 세션 보안(선택한 모든 옵션). 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 2.3.11.10 |
= 537395200 (레지스트리) |
위험 |
보안 옵션 - 종료
속성 (ID) |
세부 정보 | 예상 값 (형식) |
심각도 |
---|---|---|---|
시스템 종료: 로그온하지 않고 시스템 종료 허용 (CCE-36788-8) |
설명: 이 정책 설정은 사용자가 로그온하지 않을 때 컴퓨터를 종료할 수 있는지 여부를 결정합니다. 이 정책 설정을 사용하면 Windows 로그온 화면에서 종료 명령을 사용할 수 있습니다. 컴퓨터 종료 기능을 사용할 수 있는 범위를 시스템에서 자격 증명을 사용하는 사용자로 제한하려면 이 정책 설정을 사용하지 않도록 설정하는 것이 좋습니다. 이 설정의 권장 상태는 Disabled 입니다. 참고: Server 2008 R2 및 이전 버전에서 이 설정은 RDP(원격 데스크톱) /터미널 서비스 세션에 영향을 주지 않았으며 로컬 콘솔에만 영향을 줍니다. 그러나 Microsoft는 Windows Server 2012(R2 제외) 이상에서 이 동작을 변경했습니다. Enabled로 설정할 경우 RDP 세션에서도 서버를 종료하거나 다시 시작할 수 있습니다.키 경로: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ShutdownWithoutLogon OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Disabled 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\보안 옵션\종료: 로그온하지 않고도 시스템을 종료하도록 허용 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 2.3.13.1 CIS WS2022 2.3.13.1 |
없거나 = 0 (레지스트리) |
Warning |
시스템 종료: 가상 메모리 페이지 파일 지움 (AZ-WIN-00181) |
설명: 이 정책 설정은 시스템이 종료될 때 가상 메모리 페이지 파일을 지울지 여부를 결정합니다. 이 정책 설정을 사용하면 시스템이 제대로 종료될 때마다 시스템 페이지 파일이 지워집니다. 이 보안 설정을 사용하면 휴대용 컴퓨터 시스템에서 최대 절전 모드를 해제할 경우 최대 절전 모드 파일(Hiberfil.sys)이 0으로 설정됩니다. 컴퓨터를 종료하고 다시 시작하는 데 시간이 오래 걸리며, 특히 페이징 파일이 큰 컴퓨터에서 눈에 띄게 됩니다. 키 경로: System\CurrentControlSet\Control\Session Manager\Memory Management\ClearPageFileAtShutdown OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: 컴퓨터 구성\Windows 설정\보안 설정\로컬 정책\보안 옵션\종료에 대한 정책 값 구성: 가상 메모리 페이지 파일을 지웁니다 Disabled .규정 준수 표준 매핑: |
없거나 = 0 (레지스트리) |
위험 |
보안 옵션 - 시스템 암호화
속성 (ID) |
세부 정보 | 예상 값 (형식) |
심각도 |
---|---|---|---|
사용자는 컴퓨터에 저장된 프라이빗 키에 액세스하려면 암호를 입력해야 함 (AZ-WIN-73699) |
설명: 프라이빗 키가 검색되면 공격자는 키를 사용하여 권한 있는 사용자로 인증하고 네트워크 인프라에 대한 액세스 권한을 얻습니다. PKI의 기초는 정보를 암호화하거나 디지털 서명하는 데 사용되는 프라이빗 키입니다. 프라이빗 키를 도난당한 경우 이로 인해 공격자가 프라이빗 키를 사용하여 문서에 디지털 서명하고 권한 있는 사용자로 가장할 수 있기 때문에 PKI를 통해 얻은 인증 및 부인 방지가 손상됩니다. 디지털 인증서 소유자와 발급 기관은 모두 컴퓨터, 스토리지 디바이스 또는 프라이빗 키를 유지하는 데 사용하는 모든 항목을 보호해야 합니다. 키 경로: SOFTWARE\Policies\Microsoft\Cryptography\ForceKeyProtection OS: WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: 컴퓨터 구성\Windows 설정\보안 설정\로컬 정책\보안 옵션\시스템 암호화: 컴퓨터에 저장된 사용자 키에 대한 강력한 키 보호 규정 준수 표준 매핑: |
= 2 (레지스트리) |
Important |
암호화, 해싱 및 서명에 FIPS 규격 알고리즘을 사용하도록 Windows Server를 구성해야 함 (AZ-WIN-73701) |
설명: 이 설정은 시스템에서 암호화, 해시 및 서명에 FIPS 규격 알고리즘을 사용하도록 합니다. FIPS 규격 알고리즘은 미국 정부가 설정한 특정 표준을 충족하며 모든 OS 암호화 기능에 사용되는 알고리즘이어야 합니다. 키 경로: SYSTEM\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy\Enabled OS: WS2016, WS2019, WS2022 서버 유형: 도메인 구성원 그룹 정책 경로: 컴퓨터 구성\Windows 설정\보안 설정\로컬 정책\보안 옵션\시스템 암호화: 암호화, 해시 및 서명에 FIPS 규격 알고리즘 사용 규정 준수 표준 매핑: |
= 1 (레지스트리) |
Important |
보안 옵션 - 시스템 개체
속성 (ID) |
세부 정보 | 예상 값 (형식) |
심각도 |
---|---|---|---|
시스템 개체: 비 Windows 하위 시스템에 대한 대/소문자 구분 사용 안 함 필요 (CCE-37885-1) |
설명: 이 정책 설정은 모든 하위 시스템에서 대/소문자를 구분할 것인지 여부를 결정합니다. Microsoft Win32 하위 시스템은 대/소문자를 구분하지 않습니다. 그러나 커널은 POSIX(이식 가능한 운영 체제 인터페이스)와 같은 다른 하위 시스템에 대한 대/소문자 구분을 지원합니다. Windows는 대/소문자를 구분하지 않으므로(그러나 POSIX 하위 시스템은 대/소문자 구분을 지원함) 이 정책 설정을 적용하지 않으면 POSIX 하위 시스템의 사용자가 혼합 사례로 레이블을 지정하여 다른 파일과 동일한 이름의 파일을 만들 수 있습니다. 이 경우 파일 중 하나만 사용할 수 있기 때문에 일반적인 Win32 도구를 사용하는 다른 사용자가 해당 파일에 액세스하지 못할 수 있습니다. 이 설정의 권장 상태는 Enabled 입니다.키 경로: System\CurrentControlSet\Control\Session Manager\Kernel\ObCaseInsensitive OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Enabled 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\보안 옵션\시스템 개체: 비 Windows 하위 시스템에 대/소문자 구분 필요 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 2.3.15.1 CIS WS2022 2.3.15.1 |
없거나 = 1 (레지스트리) |
Warning |
시스템 개체: 내부 시스템 개체(예: 심볼 링크)에 대한 기본 사용 권한 강화 (CCE-37644-2) |
설명: 이 정책 설정은 개체에 대한 기본 DACL(임의 액세스 제어 목록)의 강도를 결정합니다. Active Directory는 DOS 디바이스 이름, 뮤텍스 및 세마포와 같은 공유 시스템 리소스의 전역 목록을 유지 관리합니다. 이러한 방식으로 개체를 배치하고 프로세스 간에 공유할 수 있습니다. 각 개체 형식은 개체에 액세스할 수 있는 사용자 및 부여되는 권한을 지정하는 기본 DACL을 사용하여 생성됩니다. 이 설정의 권장 상태는 Enabled 입니다.키 경로: SYSTEM\CurrentControlSet\Control\Session Manager\ProtectionMode OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: 컴퓨터 구성\Windows 설정\보안 설정\로컬 정책\보안 옵션\시스템 개체에 대한 정책 값 구성: 내부 시스템 개체(예: 기호 링크)의 기본 사용 권한 강화 Enabled 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 2.3.15.2 |
= 1 (레지스트리) |
위험 |
보안 옵션 - 시스템 설정
속성 (ID) |
세부 정보 | 예상 값 (형식) |
심각도 |
---|---|---|---|
시스템 설정: 소프트웨어 제한 정책을 위해 Windows 실행 파일에서 인증서 규칙 사용 (AZ-WIN-00155) |
설명: 이 정책 설정은 소프트웨어 제한 정책을 사용하도록 설정하고 사용자 또는 프로세스가 .exe 파일 이름 확장명을 사용하여 소프트웨어를 실행하려고 할 때 디지털 인증서가 처리되는지 여부를 결정합니다. 인증서 규칙(소프트웨어 제한 정책 규칙의 유형)을 사용하거나 사용하지 않도록 설정합니다. 소프트웨어 제한 정책을 사용하면 소프트웨어와 연결된 디지털 인증서에 따라 Authenticode ® 서명된 소프트웨어의 실행을 허용하거나 허용하지 않는 인증서 규칙을 만들 수 있습니다. 인증서 규칙이 소프트웨어 제한 정책에 적용되려면 이 정책 설정을 사용하도록 설정해야 합니다. 키 경로: Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\AuthenticodeEnabled OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: 컴퓨터 구성\Windows 설정\보안 설정\로컬 정책\보안 옵션\시스템 설정: 소프트웨어 제한 정책에 Windows 실행 파일에서 인증서 규칙 사용 규정 준수 표준 매핑: |
= 1 (레지스트리) |
Warning |
보안 옵션 - 사용자 계정 제어
속성 (ID) |
세부 정보 | 예상 값 (형식) |
심각도 |
---|---|---|---|
사용자 계정 컨트롤: 기본 제공 관리자 계정에 대한 관리자 승인 모드 (CCE-36494-3) |
설명: 이 정책 설정은 기본 제공 관리자 계정에 대한 관리자 승인 모드의 동작을 제어합니다. 이 설정의 권장 상태는 Enabled 입니다.키 경로: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\FilterAdministratorToken OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Enabled 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\보안 옵션\사용자 계정 컨트롤: 기본 제공 관리자 계정에 대한 관리자 승인 모드 규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-93431 STIG WS2016 V-73707 CIS WS2019 2.3.17.1 CIS WS2022 2.3.17.1 |
= 1 (레지스트리) |
위험 |
사용자 계정 컨트롤: UIAccess 응용 프로그램이 보안된 데스크톱을 사용하지 않고 권한 상승 메시지를 표시하도록 허용 (CCE-36863-9) |
설명: 이 정책 설정은 사용자 인터페이스 접근성(UIAccess 또는 UIA) 프로그램이 표준 사용자가 사용하는 권한 상승 프롬프트에 대해 보안 데스크톱을 자동으로 사용하지 않도록 설정할 수 있는지 여부를 제어합니다. 이 설정의 권장 상태는 Disabled 입니다.키 경로: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableUIADesktopToggle OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: 컴퓨터 구성\Windows 설정\보안 설정\로컬 정책\보안 옵션\사용자 계정 컨트롤: 보안 데스크톱을 사용하지 않고 UIAccess 애플리케이션에서 권한 상승을 요청하도록 허용 규정 준수 표준 매핑: |
= 0 (레지스트리) |
위험 |
사용자 계정 컨트롤: 관리자 승인 모드에서 관리자에 대한 권한 상승 확인 방법 (CCE-37029-6) |
설명: 이 정책 설정은 관리자에 대한 권한 상승 프롬프트의 동작을 제어합니다. 이 설정의 권장 상태는 Prompt for consent on the secure desktop 입니다.키 경로: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Prompt for consent on the secure desktop 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\보안 옵션\사용자 계정 컨트롤: 관리자 승인 모드의 관리자 권한 상승 프롬프트 동작 규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-93523 STIG WS2016 V-73711 CIS WS2019 2.3.17.2 CIS WS2022 2.3.17.2 |
= 2 (레지스트리) |
위험 |
사용자 계정 컨트롤: 표준 사용자에 대한 권한 상승 확인 방법 (CCE-36864-7) |
설명: 이 정책 설정은 표준 사용자의 권한 상승 프롬프트 동작을 제어합니다. 이 설정의 권장 상태는 Automatically deny elevation requests 입니다.키 경로: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorUser OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 로 설정합니다. Automatically deny elevation requests: 컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\보안 옵션\사용자 계정 컨트롤: 표준 사용자에 대한 권한 상승 프롬프트의 동작 규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-93433 STIG WS2016 V-73713 CIS WS2019 2.3.17.3 CIS WS2022 2.3.17.3 |
= 0 (레지스트리) |
위험 |
사용자 계정 컨트롤: 응용 프로그램 설치 검색 및 권한 상승 확인 (CCE-36533-8) |
설명: 이 정책 설정은 컴퓨터의 애플리케이션 설치 검색 동작을 제어합니다. 이 설정의 권장 상태는 Enabled 입니다.키 경로: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableInstallerDetection OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Enabled 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\보안 옵션\사용자 계정 컨트롤: 애플리케이션 설치 검색 및 권한 상승 요청 규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-93525 STIG WS2016 V-73715 CIS WS2019 2.3.17.4 CIS WS2022 2.3.17.4 |
= 1 (레지스트리) |
위험 |
사용자 계정 컨트롤: 보안 위치에 설치된 UIAccess 응용 프로그램만 권한 상승 (CCE-37057-7) |
설명: 이 정책 설정은 UIAccess(사용자 인터페이스 접근성) 무결성 수준으로 실행하도록 요청하는 애플리케이션이 파일 시스템의 안전한 위치에 있어야 하는지 여부를 제어합니다. 안전한 위치는 보안 위치는 …\Program Files\ (하위 폴더 포함) 및 …\Windows\system32\ - …\Program Files (x86)\ (Windows 64비트 버전의 하위 폴더 포함)로 제한됩니다. 참고: Windows는 이 보안 설정의 상태에 관계 없이 UIAccess 무결성 수준으로 실행할 것을 요청하는 모든 대화형 애플리케이션에 PKI(공개 키 인프라) 서명 확인을 적용합니다. 이 설정의 권장 상태는 Enabled 입니다.키 경로: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableSecureUIAPaths OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Enabled 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\보안 옵션\사용자 계정 컨트롤: 보안 위치에 설치된 UIAccess 애플리케이션만 상승 규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-93527 STIG WS2016 V-73717 CIS WS2019 2.3.17.5 CIS WS2022 2.3.17.5 |
= 1 (레지스트리) |
위험 |
사용자 계정 컨트롤: 관리자 승인 모드에서 모든 관리자 실행 (CCE-36869-6) |
설명: 이 정책 설정은 컴퓨터에 대한 모든 UAC(사용자 계정 컨트롤) 정책 설정의 동작을 제어합니다. 이 정책 설정을 변경하면 컴퓨터를 다시 시작해야 합니다. 이 설정의 권장 상태는 Enabled 입니다. 참고: 이 정책 설정을 사용하지 않도록 설정하면 Security Center에서 운영 체제의 전반적인 보안이 축소되었음을 알 수 있습니다.키 경로: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Enabled 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\보안 옵션\사용자 계정 컨트롤: 관리자 승인 모드에서 모든 관리자 실행 규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-93435 STIG WS2016 V-73719 CIS WS2019 2.3.17.6 CIS WS2022 2.3.17.6 |
= 1 (레지스트리) |
위험 |
사용자 계정 컨트롤: 권한 상승 요청 시 보안된 데스크톱으로 전환 (CCE-36866-2) |
설명: 이 정책 설정은 권한 상승 요청 프롬프트가 대화형 사용자의 데스크톱 또는 보안 데스크톱에 표시되는지 여부를 제어합니다. 이 설정의 권장 상태는 Enabled 입니다.키 경로: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\PromptOnSecureDesktop OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Enabled 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\보안 옵션\사용자 계정 컨트롤: 권한 상승을 묻는 메시지가 표시되면 보안 데스크톱으로 전환 규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-93521 STIG WS2016 V-73709 CIS WS2019 2.3.17.7 CIS WS2022 2.3.17.7 |
= 1 (레지스트리) |
위험 |
사용자 계정 컨트롤: 사용자별 위치로 파일 및 레지스트리 쓰기 오류 가상화 (CCE-37064-3) |
설명: 이 정책 설정은 애플리케이션 쓰기 오류가 정의된 레지스트리 및 파일 시스템 위치로 리디렉션되는지 여부를 제어합니다. 이 정책 설정은 관리자 권한으로 실행되는 애플리케이션을 완화하고 런타임 애플리케이션 데이터를 다음과 %ProgramFiles% %Windir% %Windir%\system32 HKEY_LOCAL_MACHINE\Software 같이 작성합니다. 이 설정의 권장 상태는 Enabled 입니다.키 경로: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableVirtualization OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Enabled 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\보안 옵션\사용자 계정 컨트롤: 사용자별 위치에 파일 및 레지스트리 쓰기 실패 가상화 규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-93529 STIG WS2016 V-73721 CIS WS2019 2.3.17.8 CIS WS2022 2.3.17.8 |
= 1 (레지스트리) |
위험 |
보안 옵션 - 계정 정책
속성 (ID) |
세부 정보 | 예상 값 (형식) |
심각도 |
---|---|---|---|
계정 잠금 임계값 (AZ-WIN-73311) |
설명: 이 정책 설정은 계정이 잠기기 전에 실패한 로그온 시도 횟수를 결정합니다. 이 정책을 0 으로 설정하면 계정 잠금 임계값이 사용하지 않도록 설정되므로 벤치마크가 준수되지 않습니다. 이 설정의 권장 상태는 5 or fewer invalid logon attempt(s), but not 0 입니다. 참고: 암호 정책 설정(섹션 1.1) 및 계정 잠금 정책 설정(섹션 1.2)은 기본 동작으로 도메인 사용자 계정에 전체적으로 적용하기 위해 기본 도메인 정책 GPO를 통해 적용해야 합니다. 이 설정이 다른 GPO에서 구성된 경우에는 GPO를 수신하는 컴퓨터의 로컬 사용자 계정에만 영향을 줍니다. 그러나 특정 도메인 사용자 및/또는 그룹의 기본 암호 정책 및 계정 잠금 정책 규칙에 대한 사용자 지정 예외는 그룹 정책에서 완전히 분리되는 PSO(Password Settings Object)를 사용하여 정의하고 Active Directory 관리 센터를 사용하여 가장 쉽게 구성할 수 있습니다.키 경로: [시스템 액세스]LockoutBadCount OS: WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: 컴퓨터 구성\정책\Windows 설정\보안 설정\계정 정책\계정 잠금 정책\계정 잠금 임계값 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 1.2.2 CIS WS2019 1.2.2 |
1~3 (정책) |
Important |
최근 암호 기억 (CCE-37166-6) |
설명: 이 정책 설정은 이전 암호를 다시 사용하려면 사용자 계정과 연결해야 하는 갱신된 고유 암호의 수를 결정합니다. 이 정책 설정의 값은 0~24개 사이의 암호여야 합니다. Windows Vista의 기본값은 0이지만 도메인의 기본 설정은 암호 24개입니다. 이 정책 설정을 지속적으로 적용하려면 최소 암호 사용 기간 설정을 사용하여 사용자가 암호를 반복해서 변경하지 못하도록 해야 합니다. 이 설정의 권장 상태는 '24개 이상의 암호'입니다. 키 경로: [시스템 액세스]PasswordHistorySize OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 24 or more password(s) 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\계정 정책\암호 정책\암호 기록 적용 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 1.1.1 |
>= 24 (정책) |
위험 |
최대 암호 사용 기간 (CCE-37167-4) |
설명: 이 정책 설정은 만료되기 전에 사용자가 암호를 사용할 수 있는 기간을 정의합니다. 이 정책 설정의 값은 0~999일입니다. 값을 0으로 설정하면 암호가 만료되지 않습니다. 공격자가 암호를 해독할 수 있기 때문에 암호를 자주 변경할수록 공격자가 금이 간 암호를 사용할 기회가 줄어듭니다. 그러나 이 값을 낮게 설정하면 사용자가 암호를 변경해야 하거나 현재 암호가 기억 나지 않아 지원 센터에 지원을 요청할 가능성이 높아집니다. 이 설정에 권장되는 상태는 다음과 같습니다 60 or fewer days, but not 0 .키 경로: [시스템 액세스]MaximumPasswordAge OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 365 or fewer days, but not 0 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\계정 정책\암호 정책\최대 암호 사용 기간 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 1.1.2 |
1-70 (정책) |
위험 |
최소 암호 사용 기간 (CCE-37073-4) |
설명: 이 정책 설정은 암호를 변경할 수 있게 될 때까지 암호를 사용해야 하는 일 수를 결정합니다. 이 정책 설정의 값 범위는 1일에서 999일 사이입니다. (암호를 즉시 변경할 수 있도록 이 값을 0으로 설정할 수도 있습니다.) 이 설정의 기본값은 0일입니다. 이 설정의 권장 상태는 1 or more day(s) 입니다.키 경로: [System Access]MinimumPasswordAge OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 1 or more day(s) 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\계정 정책\암호 정책\최소 암호 사용 기간 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 1.1.3 |
>= 1 (정책) |
위험 |
최소 암호 길이 (CCE-36534-6) |
설명: 이 정책 설정은 사용자 계정의 암호를 구성하는 최소 문자 수를 결정합니다. 조직에 가장 적합한 암호 길이를 결정하는 방법에 대한 여러 가지 이론이 있지만, "암호"보다는 "전달 구"가 더 적합한 용어인 것 같습니다. Microsoft Windows 2000 이상에서는 매우 긴 전달 구를 사용할 수 있으며 공백을 포함할 수 있습니다. 따라서 "I want to drink a $5 milkshake" 같은 문구도 올바른 암호문이며, 임의의 숫자와 문자로 구성된 8자 또는 10자 암호보다 훨씬 강력하면서도 기억하기 쉽습니다. 적절한 암호의 선택과 유지 관리에 대해, 특히 암호 길이에 대해 사용자를 교육해야 합니다. 엔터프라이즈 환경에서 최소 암호 길이 설정에 이상적인 값은 14자이지만 조직의 비즈니스 요구 사항에 맞게 이 값을 조정해야 합니다. 이 설정의 권장 상태는 14 or more character(s) 입니다.키 경로: [시스템 액세스]MinimumPasswordLength OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 14 or more character(s) 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\계정 정책\암호 정책\최소 암호 길이 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 1.1.4 |
>= 14 (정책) |
위험 |
암호는 복잡성 조건을 만족해야 함 (CCE-37063-5) |
설명: 이 정책 설정은 모든 새 암호를 검사하여 강력한 암호에 대한 기본 요구 사항을 충족하는지 확인합니다. 이 정책을 사용하도록 설정하면 암호는 다음 최소 요구 사항을 충족해야 합니다. - 두 개의 연속 문자를 초과하는 사용자 계정 이름 또는 사용자 전체 이름의 일부를 포함하지 않음 - 길이가 6자 이상이어야 합니다. - 영어 대문자(A~Z) - 영어 소문자(a-z) - Base 10자리(0~9) - 알파벳이 아닌 문자(예: 영문자) !, $, #, %) - 이전 4개 범주에 속하지 않는 유니코드 문자의 catch-all 범주입니다. 이 다섯 번째 범주는 지역별로 지정할 수 있습니다. 암호의 각 추가 문자는 복잡성을 기하급수적으로 증가합니다. 예를 들어 7자로 된 모든 소문자 알파벳 암호에는 267개(약 8 x 109 또는 80억)의 가능한 조합이 있습니다. 초당 1,000,000회 시도(여러 암호 해독 유틸리티의 성능)로 불과 133분이면 해독할 수 있습니다. 대/소문자 구분이 있는 7자 알파벳 암호에는 527개의 조합이 있습니다. 문장 부호가 없는 7자 대/소문자 구분 영숫자 암호에는 627개의 조합이 있습니다. 8자 암호는 268개(또는 2 x 1011) 조합이 가능합니다. 이는 많은 수로 보일 수 있지만 초당 1,000,000번의 시도에서 가능한 모든 암호를 시도하는 데 59시간밖에 걸리지 않습니다. 이러한 시간은 ALT 문자 및 기타 특수 키보드 문자(예: "!" 또는 "@")를 사용하는 암호의 경우 크게 증가합니다. 암호 설정을 적절하게 사용하면 무차별 암호 대입 공격을 탑재하기가 어려울 수 있습니다. 이 설정의 권장 상태는 Enabled 입니다.키 경로: [시스템 액세스]PasswordComplexity OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Enabled 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\계정 정책\암호 정책\암호는 복잡성 요구 사항을 충족해야 합니다. 규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-93459 STIG WS2016 V-73323 CIS WS2019 1.1.5 CIS WS2022 1.1.5 |
= 1 (정책) |
위험 |
다음 시간 후 계정 잠금 수를 원래대로 설정 (AZ-WIN-73309) |
설명: 이 정책 설정은 계정 잠금 임계값이 0으로 다시 설정되기 전까지 소요되는 시간 길이를 결정합니다. 이 정책 설정의 기본값은 정의되지 않음입니다. 계정 잠금 임계값이 정의된 경우 이 재설정 시간은 계정 잠금 기간 설정 값보다 작거나 같아야 합니다. 이 정책 설정을 기본값으로 유지하거나 너무 긴 간격으로 값을 구성하면 환경이 DoS 공격에 취약할 수 있습니다. 공격자는 조직의 모든 사용자에 대해 악의적으로 실패한 로그온 시도를 여러 번 수행하여 계정을 잠글 수 있습니다. 계정 잠금을 다시 설정하도록 결정하는 정책이 없으면 관리자가 수동으로 작업을 수행해야 합니다. 반대로, 이 정책 설정에 대해 적절한 시간 값이 구성된 경우 사용자는 모든 계정이 자동으로 잠금 해제될 때까지 설정된 기간 동안 잠깁니다. 이 설정의 권장 상태는 15 or more minute(s) 입니다. 참고: 암호 정책 설정(섹션 1.1) 및 계정 잠금 정책 설정(섹션 1.2)은 기본 동작으로 도메인 사용자 계정에 전체적으로 적용하기 위해 기본 도메인 정책 GPO를 통해 적용해야 합니다. 이 설정이 다른 GPO에서 구성된 경우에는 GPO를 수신하는 컴퓨터의 로컬 사용자 계정에만 영향을 줍니다. 그러나 특정 도메인 사용자 및/또는 그룹의 기본 암호 정책 및 계정 잠금 정책 규칙에 대한 사용자 지정 예외는 그룹 정책에서 완전히 분리되는 PSO(Password Settings Object)를 사용하여 정의하고 Active Directory 관리 센터를 사용하여 가장 쉽게 구성할 수 있습니다.키 경로: [시스템 액세스]ResetLockoutCount OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원 그룹 정책 경로: Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Account Lockout Policy\Reset account lockout counter after 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 1.2.3 CIS WS2019 1.2.3 |
>= 15 (정책) |
Important |
해독 가능한 암호화를 사용하여 암호 저장 (CCE-36286-3) |
설명: 이 정책 설정은 운영 체제에서 암호를 되돌릴 수 있는 암호화를 사용하는 방식으로 저장하는지 여부를 결정하며, 이를 통해 인증을 위해 사용자의 암호에 대한 지식이 필요한 애플리케이션 프로토콜을 지원합니다. 해독 가능한 암호화를 사용하여 저장되는 암호는 기본적으로 암호의 일반 텍스트 버전과 동일합니다. 이 설정의 권장 상태는 Disabled 입니다.키 경로: [시스템 액세스]ClearTextPassword OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Disabled 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\계정 정책\암호 정책\되돌릴 수 있는 암호화를 사용하여 암호 저장 규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-93465 STIG WS2016 V-73325 CIS WS2019 1.1.7 CIS WS2022 1.1.7 |
= 0 (정책) |
위험 |
보안 설정 - Windows 방화벽
속성 (ID) |
세부 정보 | 예상 값 (형식) |
심각도 |
---|---|---|---|
Windows 방화벽: 도메인: 유니캐스트 응답 허용 (AZ-WIN-00088) |
설명: 이 옵션은 이 컴퓨터가 보내는 멀티캐스트 또는 브로드캐스트 메시지에 대한 유니캐스트 응답을 받는지 여부를 제어해야 하는 경우에 유용합니다. 프라이빗 및 도메인 프로필의 경우 이 설정을 '예'로 설정하는 것이 좋습니다. 이렇게 하면 레지스트리 값이 0으로 설정됩니다. 키 경로: Software\Policies\Microsoft\WindowsFirewall\DomainProfile\DisableUnicastResponsesToMulticastBroadcast OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원 그룹 정책 경로: 고급 보안\Windows 방화벽 속성이 있는 고급 보안\Windows 방화벽이 있는 컴퓨터 구성\Windows 설정\보안 설정\Windows 방화벽에 대한 정책 값 구성(이 링크는 오른쪽 창에 있음)\도메인 프로필 탭\설정(사용자 지정 선택)\유니캐스트 응답, 유니캐스트 응답 허용 규정 준수 표준 매핑: |
= 0 (레지스트리) |
Warning |
Windows 방화벽: 도메인: 방화벽 상태 (CCE-36062-8) |
설명: 고급 보안이 포함된 Windows 방화벽에서 이 프로필의 설정을 사용하여 네트워크 트래픽을 필터링하도록 하려면 켜기(권장)를 선택합니다. 끄기를 선택하면 고급 보안이 있는 Windows 방화벽은 이 프로필에 대한 방화벽 규칙 또는 연결 보안 규칙을 사용하지 않습니다. 키 경로: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\EnableFirewall OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 On (recommended) 설정합니다.Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Domain Profile\Firewall state 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 9.1.1 |
= 1 (레지스트리) |
위험 |
Windows 방화벽: 도메인: 인바운드 연결 (AZ-WIN-202252) |
설명: 이 설정은 인바운드 방화벽 규칙과 일치하지 않는 인바운드 연결 동작을 결정합니다. 이 설정의 권장 상태는 Block (default) 입니다.키 경로: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DefaultInboundAction OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원 그룹 정책 경로: 컴퓨터 구성\정책\Windows 설정\보안 설정\고급 보안이 있는 Windows 방화벽\고급 보안\Windows 방화벽 속성\도메인 프로필\인바운드 연결 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 9.1.2 CIS WS2019 9.1.2 |
= 1 (레지스트리) |
위험 |
Windows 방화벽: 도메인: 로깅: 손실된 패킷 로그에 기록 (AZ-WIN-202226) |
설명: 고급 보안을 사용하는 Windows 방화벽이 어떤 이유로든 인바운드 패킷을 삭제할 때 로그하려면 이 옵션을 사용합니다. 로그는 패킷이 삭제된 이유와 시기를 기록합니다. 로그의 작업 열에 DROP 단어가 있는 항목을 찾습니다. 이 설정의 권장 상태는 Yes 입니다.키 경로: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogDroppedPackets OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: 컴퓨터 구성\정책\Windows 설정\보안 설정\고급 보안이 있는 Windows 방화벽\고급 보안\Windows 방화벽 속성\도메인 프로필\로깅 사용자 지정\로그 삭제된 패킷 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 9.1.7 CIS WS2019 9.1.7 |
= 1 (레지스트리) |
정보 제공 |
Windows 방화벽: 도메인: 로깅: 성공적인 연결 로그에 기록 (AZ-WIN-202227) |
설명: 고급 보안을 사용하는 Windows 방화벽이 인바운드 연결을 허용할 때 로그하려면 이 옵션을 사용합니다. 로그는 연결이 구성된 이유와 시기를 기록합니다. 로그의 작업 열에 ALLOW 단어가 있는 항목을 찾습니다. 이 설정의 권장 상태는 Yes 입니다.키 경로: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogSuccessfulConnections OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원 그룹 정책 경로: 컴퓨터 구성\정책\Windows 설정\보안 설정\고급 보안이 있는 Windows 방화벽\고급 보안\Windows 방화벽 속성\도메인 프로필\로깅 사용자 지정\로그 성공 연결 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 9.1.8 CIS WS2019 9.1.8 |
= 1 (레지스트리) |
Warning |
Windows 방화벽: 도메인: 로깅: 이름 (AZ-WIN-202224) |
설명: 이 옵션을 사용하여 Windows 방화벽이 로그 정보를 쓸 파일의 경로와 이름을 지정합니다. 이 설정의 권장 상태는 %SystemRoot%\System32\logfiles\firewall\domainfw.log 입니다.키 경로: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogFilePath OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원 그룹 정책 경로: 컴퓨터 구성\정책\Windows 설정\보안 설정\고급 보안이 있는 Windows 방화벽\고급 보안\Windows 방화벽 속성\도메인 프로필\로깅 사용자 지정\이름 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 9.1.5 CIS WS2019 9.1.5 |
= %SystemRoot%\System32\logfiles\firewall\domainfw.log (레지스트리) |
정보 제공 |
Windows 방화벽: 도메인: 로깅: 크기 제한(KB) (AZ-WIN-202225) |
설명: 이 옵션을 사용하여 Windows 방화벽이 로그 정보를 쓸 파일의 크기 한도를 지정합니다. 이 설정의 권장 상태는 16,384 KB or greater 입니다.키 경로: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogFileSize OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원 그룹 정책 경로: 컴퓨터 구성\정책\Windows 설정\보안 설정\고급 보안이 있는 Windows 방화벽\고급 보안\Windows 방화벽 속성\도메인 프로필\로깅 사용자 지정\크기 제한(KB) 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 9.1.6 CIS WS2019 9.1.6 |
>= 16384 (레지스트리) |
Warning |
Windows 방화벽: 도메인: 아웃바운드 연결 (CCE-36146-9) |
설명: 이 설정은 아웃바운드 방화벽 규칙과 일치하지 않는 아웃바운드 연결 동작을 결정합니다. Windows Vista에서는 연결을 차단하는 방화벽 규칙이 없는 한 연결을 허용하는 것이 기본 동작입니다. 키 경로: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DefaultOutboundAction OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Allow (default) 설정합니다.Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Domain Profile\Outbound connections 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 9.1.3 |
= 0 (레지스트리) |
위험 |
Windows 방화벽: 도메인: 설정: 로컬 연결 보안 규칙 적용 (CCE-38040-2) |
설명: 이 설정은 로컬 관리자가 그룹 정책에 구성된 방화벽 규칙과 함께 적용되는 로컬 연결 규칙을 만들 수 있는지 여부를 지정합니다. 이 설정에 권장되는 상태는 '예'이며 레지스트리 값을 1로 설정합니다. 키 경로: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\AllowLocalIPsecPolicyMerge OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원 그룹 정책 경로: 고급 보안\Windows 방화벽 속성을 사용하여 컴퓨터 구성\Windows 설정\보안 설정\Windows 방화벽에 대한 정책 값 구성\고급 보안\Windows 방화벽 속성(이 링크는 오른쪽 창에 있음)\도메인 프로필 탭\설정(사용자 지정 선택)\규칙 병합, 로컬 연결 보안 규칙 적용 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 9.3.6 |
= 1 (레지스트리) |
위험 |
Windows 방화벽: 도메인: 설정: 로컬 방화벽 규칙 적용 (CCE-37860-4) |
설명: 이 설정은 로컬 관리자가 그룹 정책에 의해 구성된 방화벽 규칙과 함께 적용되는 로컬 방화벽 규칙을 만들 수 있는지 여부를 제어합니다. 이 설정에 권장되는 상태는 예입니다. 그러면 레지스트리 값이 1로 설정됩니다. 키 경로: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\AllowLocalPolicyMerge OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원 그룹 정책 경로: 컴퓨터 구성\Windows 설정\보안 설정\고급 보안이 있는 Windows 방화벽\고급 보안\Windows 방화벽 속성이 있는 Windows 방화벽(이 링크는 오른쪽 창에 있음)\도메인 프로필 탭\설정(사용자 지정 선택)\규칙 병합, 로컬 방화벽 규칙 적용 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 9.3.5 |
없거나 = 1 (레지스트리) |
위험 |
Windows 방화벽: 도메인: 설정: 알림 표시 (CCE-38041-0) |
설명: 이 옵션을 선택하면 프로그램이 인바운드 연결을 받지 못하게 차단될 때 사용자에게 알림이 표시되지 않습니다. 사용자가 로그인하지 않는 서버 환경에서는 팝업이 유용하지 않으므로 필요 없으며 관리자에게 혼동을 줄 수 있습니다. 이 정책 설정을 '아니요'로 구성하면 레지스트리 값이 1로 설정됩니다. 프로그램이 인바운드 연결을 받지 못하게 차단될 때 Windows 방화벽이 알림을 표시하지 않습니다. 키 경로: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DisableNotifications OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 No 설정합니다.Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Domain Profile\Settings Customize\Display a notification 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 9.1.4 |
= 1 (레지스트리) |
Warning |
Windows 방화벽: 프라이빗: 유니캐스트 응답 허용 (AZ-WIN-00089) |
설명: 이 옵션은 이 컴퓨터가 보내는 멀티캐스트 또는 브로드캐스트 메시지에 대한 유니캐스트 응답을 받는지 여부를 제어해야 하는 경우에 유용합니다. 프라이빗 및 도메인 프로필의 경우 이 설정을 '예'로 설정하는 것이 좋습니다. 이렇게 하면 레지스트리 값이 0으로 설정됩니다. 키 경로: Software\Policies\Microsoft\WindowsFirewall\PrivateProfile\DisableUnicastResponsesToMulticastBroadcast OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: 컴퓨터 구성\Windows 설정\보안 설정\고급 보안이 있는 Windows 방화벽\고급 보안\Windows 방화벽 속성이 있는 Windows 방화벽(이 링크는 오른쪽 창에 있음)\개인 프로필 탭\설정(사용자 지정 선택)\유니캐스트 응답, 유니캐스트 응답 허용 규정 준수 표준 매핑: |
= 0 (레지스트리) |
Warning |
Windows 방화벽: 프라이빗: 방화벽 상태 (CCE-38239-0) |
설명: 고급 보안이 포함된 Windows 방화벽에서 이 프로필의 설정을 사용하여 네트워크 트래픽을 필터링하도록 하려면 켜기(권장)를 선택합니다. 끄기를 선택하면 고급 보안이 있는 Windows 방화벽은 이 프로필에 대한 방화벽 규칙 또는 연결 보안 규칙을 사용하지 않습니다. 키 경로: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\EnableFirewall OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 On (recommended) 설정합니다.Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Private Profile\Firewall state 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 9.2.1 |
= 1 (레지스트리) |
위험 |
Windows 방화벽: 프라이빗: 인바운드 연결 (AZ-WIN-202228) |
설명: 이 설정은 인바운드 방화벽 규칙과 일치하지 않는 인바운드 연결 동작을 결정합니다. 이 설정의 권장 상태는 Block (default) 입니다.키 경로: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DefaultInboundAction OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원 그룹 정책 경로: 컴퓨터 구성\정책\Windows 설정\보안 설정\고급 보안이 있는 Windows 방화벽\고급 보안\Windows 방화벽 속성\개인 프로필\인바운드 연결 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 9.2.2 CIS WS2019 9.2.2 |
= 1 (레지스트리) |
위험 |
Windows 방화벽: 프라이빗: 로깅: 손실된 패킷 로그에 기록 (AZ-WIN-202231) |
설명: 고급 보안을 사용하는 Windows 방화벽이 어떤 이유로든 인바운드 패킷을 삭제할 때 로그하려면 이 옵션을 사용합니다. 로그는 패킷이 삭제된 이유와 시기를 기록합니다. 로그의 작업 열에 DROP 단어가 있는 항목을 찾습니다. 이 설정의 권장 상태는 Yes 입니다.키 경로: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogDroppedPackets OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원 그룹 정책 경로: 컴퓨터 구성\정책\Windows 설정\보안 설정\고급 보안이 있는 Windows 방화벽\고급 보안\Windows 방화벽 속성\개인 프로필\로깅 사용자 지정\로그 삭제된 패킷 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 9.2.7 CIS WS2019 9.2.7 |
= 1 (레지스트리) |
정보 제공 |
Windows 방화벽: 프라이빗: 로깅: 성공적인 연결 로그에 기록 (AZ-WIN-202232) |
설명: 고급 보안을 사용하는 Windows 방화벽이 인바운드 연결을 허용할 때 로그하려면 이 옵션을 사용합니다. 로그는 연결이 구성된 이유와 시기를 기록합니다. 로그의 작업 열에 ALLOW 단어가 있는 항목을 찾습니다. 이 설정의 권장 상태는 Yes 입니다.키 경로: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogSuccessfulConnections OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원 그룹 정책 경로: 컴퓨터 구성\정책\Windows 설정\보안 설정\고급 보안이 있는 Windows 방화벽\고급 보안\Windows 방화벽 속성\개인 프로필\로깅 사용자 지정\로그 성공 연결 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 9.2.8 CIS WS2019 9.2.8 |
= 1 (레지스트리) |
Warning |
Windows 방화벽: 프라이빗: 로깅: 이름 (AZ-WIN-202229) |
설명: 이 옵션을 사용하여 Windows 방화벽이 로그 정보를 쓸 파일의 경로와 이름을 지정합니다. 이 설정의 권장 상태는 %SystemRoot%\System32\logfiles\firewall\privatefw.log 입니다.키 경로: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogFilePath OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원 그룹 정책 경로: 컴퓨터 구성\정책\Windows 설정\보안 설정\고급 보안이 있는 Windows 방화벽\고급 보안\Windows 방화벽 속성\개인 프로필\로깅 사용자 지정\이름 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 9.2.5 CIS WS2019 9.2.5 |
= %SystemRoot%\System32\logfiles\firewall\privatefw.log (레지스트리) |
정보 제공 |
Windows 방화벽: 프라이빗: 로깅: 크기 제한(KB) (AZ-WIN-202230) |
설명: 이 옵션을 사용하여 Windows 방화벽이 로그 정보를 쓸 파일의 크기 한도를 지정합니다. 이 설정의 권장 상태는 16,384 KB or greater 입니다.키 경로: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogFileSize OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원 그룹 정책 경로: 컴퓨터 구성\정책\Windows 설정\보안 설정\고급 보안이 있는 Windows 방화벽\고급 보안\Windows 방화벽 속성\개인 프로필\로깅 사용자 지정\크기 제한(KB) 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 9.2.6 CIS WS2019 9.2.6 |
>= 16384 (레지스트리) |
Warning |
Windows 방화벽: 프라이빗: 아웃바운드 연결 (CCE-38332-3) |
설명: 이 설정은 아웃바운드 방화벽 규칙과 일치하지 않는 아웃바운드 연결 동작을 결정합니다. 기본 동작은 연결을 차단하는 방화벽 규칙이 없는 한 연결을 허용하는 것입니다. 중요: 아웃바운드 연결을 차단하도록 설정하고 GPO를 사용하여 방화벽 정책을 배포하는 경우 그룹 정책을 작동하는 아웃바운드 규칙을 만들고 배포하지 않으면 GPO 설정을 수신하는 컴퓨터에서 후속 그룹 정책 업데이트를 받을 수 없습니다. 핵심 네트워킹에 대한 미리 정의된 규칙에는 그룹 정책이 작동할 수 있도록 하는 아웃바운드 규칙이 포함됩니다. 이러한 아웃바운드 규칙이 활성화되어 있는지 확인하고, 배포 전에 방화벽 프로필을 철저히 테스트해야 합니다. 키 경로: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DefaultOutboundAction OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Allow (default) 설정합니다.Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Private Profile\Outbound connections 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 9.2.3 |
= 0 (레지스트리) |
위험 |
Windows 방화벽: 프라이빗: 설정: 로컬 연결 보안 규칙 적용 (CCE-36063-6) |
설명: 이 설정은 로컬 관리자가 그룹 정책에 구성된 방화벽 규칙과 함께 적용되는 로컬 연결 규칙을 만들 수 있는지 여부를 지정합니다. 이 설정에 권장되는 상태는 '예'이며 레지스트리 값을 1로 설정합니다. 키 경로: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\AllowLocalIPsecPolicyMerge OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: 컴퓨터 구성\Windows 설정\보안 설정\고급 보안이 있는 Windows 방화벽\고급 보안\Windows 방화벽 속성이 있는 Windows 방화벽(이 링크는 오른쪽 창에 있음)\개인 프로필 탭\설정(사용자 지정 선택)\규칙 병합, 로컬 연결 보안 규칙 적용 규정 준수 표준 매핑: |
= 1 (레지스트리) |
위험 |
Windows 방화벽: 프라이빗: 설정: 로컬 방화벽 규칙 적용 (CCE-37438-9) |
설명: 이 설정은 로컬 관리자가 그룹 정책에 의해 구성된 방화벽 규칙과 함께 적용되는 로컬 방화벽 규칙을 만들 수 있는지 여부를 제어합니다. 이 설정에 권장되는 상태는 예입니다. 그러면 레지스트리 값이 1로 설정됩니다. 키 경로: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\AllowLocalPolicyMerge OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: 고급 보안\Windows 방화벽 속성을 사용하여 컴퓨터 구성\Windows 설정\보안 설정\Windows 방화벽에 대한 정책 값 구성\고급 보안\Windows 방화벽 속성(이 링크는 오른쪽 창에 있음)\개인 프로필 탭\설정(사용자 지정 선택)\규칙 병합, 로컬 방화벽 규칙 적용 규정 준수 표준 매핑: |
없거나 = 1 (레지스트리) |
위험 |
Windows 방화벽: 프라이빗: 설정: 알림 표시 (CCE-37621-0) |
설명: 이 옵션을 선택하면 프로그램이 인바운드 연결을 받지 못하게 차단될 때 사용자에게 알림이 표시되지 않습니다. 사용자가 로그인하지 않는 서버 환경에서는 팝업이 유용하지 않으므로 필요 없으며 관리자에게 혼동을 줄 수 있습니다. 이 정책 설정을 '아니요'로 구성하면 레지스트리 값이 1로 설정됩니다. 프로그램이 인바운드 연결을 받지 못하게 차단될 때 Windows 방화벽이 알림을 표시하지 않습니다. 키 경로: SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DisableNotifications OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 No 설정합니다.Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Private Profile\Settings Customize\Display a notification 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 9.2.4 |
= 1 (레지스트리) |
Warning |
Windows 방화벽: 공용: 유니캐스트 응답 허용 (AZ-WIN-00090) |
설명: 이 옵션은 이 컴퓨터가 보내는 멀티캐스트 또는 브로드캐스트 메시지에 대한 유니캐스트 응답을 받는지 여부를 제어해야 하는 경우에 유용합니다. 이 설정의 상태를 '아니요'로 변경하여 이 작업을 수행할 수 있습니다. 그러면 레지스트리 값이 1로 설정됩니다. 키 경로: Software\Policies\Microsoft\WindowsFirewall\PublicProfile\DisableUnicastResponsesToMulticastBroadcast OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: 고급 보안\Windows 방화벽 속성을 사용하여 컴퓨터 구성\Windows 설정\보안 설정\Windows 방화벽에 대한 정책 값 구성\고급 보안\Windows 방화벽 속성(이 링크는 오른쪽 창에 있음)\공개 프로필 탭\설정(사용자 지정 선택)\유니캐스트 응답, 유니캐스트 응답 허용 규정 준수 표준 매핑: |
= 1 (레지스트리) |
Warning |
Windows 방화벽: 공용: 방화벽 상태 (CCE-37862-0) |
설명: 고급 보안이 포함된 Windows 방화벽에서 이 프로필의 설정을 사용하여 네트워크 트래픽을 필터링하도록 하려면 켜기(권장)를 선택합니다. 끄기를 선택하면 고급 보안이 있는 Windows 방화벽은 이 프로필에 대한 방화벽 규칙 또는 연결 보안 규칙을 사용하지 않습니다. 키 경로: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\EnableFirewall OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 On (recommended) 설정합니다.Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Public Profile\Firewall state 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 9.3.1 |
= 1 (레지스트리) |
위험 |
Windows 방화벽: 퍼블릭: 인바운드 연결 (AZ-WIN-202234) |
설명: 이 설정은 인바운드 방화벽 규칙과 일치하지 않는 인바운드 연결 동작을 결정합니다. 이 설정의 권장 상태는 Block (default) 입니다.키 경로: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DefaultInboundAction OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원 그룹 정책 경로: 컴퓨터 구성\정책\Windows 설정\보안 설정\고급 보안이 있는 Windows 방화벽\고급 보안\Windows 방화벽 속성\공용 프로필\인바운드 연결 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 9.3.2 CIS WS2019 9.3.2 |
= 1 (레지스트리) |
위험 |
Windows 방화벽: 퍼블릭: 로깅: 손실된 패킷 로그에 기록 (AZ-WIN-202237) |
설명: 고급 보안을 사용하는 Windows 방화벽이 어떤 이유로든 인바운드 패킷을 삭제할 때 로그하려면 이 옵션을 사용합니다. 로그는 패킷이 삭제된 이유와 시기를 기록합니다. 로그의 작업 열에 DROP 단어가 있는 항목을 찾습니다. 이 설정의 권장 상태는 Yes 입니다.키 경로: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogDroppedPackets OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원 그룹 정책 경로: 컴퓨터 구성\정책\Windows 설정\보안 설정\고급 보안이 있는 Windows 방화벽\고급 보안\Windows 방화벽 속성\공용 프로필\로깅 사용자 지정\로그 삭제된 패킷 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 9.3.9 CIS WS2019 9.3.9 |
= 1 (레지스트리) |
정보 제공 |
Windows 방화벽: 퍼블릭: 로깅: 성공적인 연결 로그에 기록 (AZ-WIN-202233) |
설명: 고급 보안을 사용하는 Windows 방화벽이 인바운드 연결을 허용할 때 로그하려면 이 옵션을 사용합니다. 로그는 연결이 구성된 이유와 시기를 기록합니다. 로그의 작업 열에 ALLOW 단어가 있는 항목을 찾습니다. 이 설정의 권장 상태는 Yes 입니다.키 경로: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogSuccessfulConnections OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: 컴퓨터 구성\정책\Windows 설정\보안 설정\고급 보안이 있는 Windows 방화벽\고급 보안\Windows 방화벽 속성\공개 프로필\로깅 사용자 지정\로그 성공 연결 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 9.3.10 CIS WS2019 9.3.10 |
= 1 (레지스트리) |
Warning |
Windows 방화벽: 퍼블릭: 로깅: 이름 (AZ-WIN-202235) |
설명: 이 옵션을 사용하여 Windows 방화벽이 로그 정보를 쓸 파일의 경로와 이름을 지정합니다. 이 설정의 권장 상태는 %SystemRoot%\System32\logfiles\firewall\publicfw.log 입니다.키 경로: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogFilePath OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원 그룹 정책 경로: 컴퓨터 구성\정책\Windows 설정\보안 설정\고급 보안이 있는 Windows 방화벽\고급 보안\Windows 방화벽 속성\공용 프로필\로깅 사용자 지정\이름 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 9.3.7 CIS WS2019 9.3.7 |
= %SystemRoot%\System32\logfiles\firewall\publicfw.log (레지스트리) |
정보 제공 |
Windows 방화벽: 퍼블릭: 로깅: 크기 제한(KB) (AZ-WIN-202236) |
설명: 이 옵션을 사용하여 Windows 방화벽이 로그 정보를 쓸 파일의 크기 한도를 지정합니다. 이 설정의 권장 상태는 16,384 KB or greater 입니다.키 경로: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogFileSize OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: 컴퓨터 구성\정책\Windows 설정\보안 설정\고급 보안이 있는 Windows 방화벽\고급 보안\Windows 방화벽 속성\공용 프로필\로깅 사용자 지정\크기 제한(KB) 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 9.3.8 CIS WS2019 9.3.8 |
>= 16384 (레지스트리) |
정보 제공 |
Windows 방화벽: 퍼블릭: 아웃바운드 연결 (CCE-37434-8) |
설명: 이 설정은 아웃바운드 방화벽 규칙과 일치하지 않는 아웃바운드 연결 동작을 결정합니다. 기본 동작은 연결을 차단하는 방화벽 규칙이 없는 한 연결을 허용하는 것입니다. 중요: 아웃바운드 연결을 차단하도록 설정하고 GPO를 사용하여 방화벽 정책을 배포하는 경우 그룹 정책을 작동하는 아웃바운드 규칙을 만들고 배포하지 않으면 GPO 설정을 수신하는 컴퓨터에서 후속 그룹 정책 업데이트를 받을 수 없습니다. 핵심 네트워킹에 대한 미리 정의된 규칙에는 그룹 정책이 작동할 수 있도록 하는 아웃바운드 규칙이 포함됩니다. 이러한 아웃바운드 규칙이 활성화되어 있는지 확인하고, 배포 전에 방화벽 프로필을 철저히 테스트해야 합니다. 키 경로: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DefaultOutboundAction OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Allow (default) 설정합니다.Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Public Profile\Outbound connections 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 9.3.3 |
= 0 (레지스트리) |
위험 |
Windows 방화벽: 퍼블릭: 설정: 로컬 연결 보안 규칙 적용 (CCE-36268-1) |
설명: 이 설정은 로컬 관리자가 그룹 정책에 구성된 방화벽 규칙과 함께 적용되는 로컬 연결 규칙을 만들 수 있는지 여부를 지정합니다. 이 설정에 권장되는 상태는 '예'이며 레지스트리 값을 1로 설정합니다. 키 경로: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\AllowLocalIPsecPolicyMerge OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 No 설정합니다.Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Public Profile\Settings Customize\Apply local connection security rules 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 9.3.6 |
= 1 (레지스트리) |
위험 |
Windows 방화벽: 퍼블릭: 설정: 로컬 방화벽 규칙 적용 (CCE-37861-2) |
설명: 이 설정은 로컬 관리자가 그룹 정책에 의해 구성된 방화벽 규칙과 함께 적용되는 로컬 방화벽 규칙을 만들 수 있는지 여부를 제어합니다. 이 설정에 권장되는 상태는 예입니다. 그러면 레지스트리 값이 1로 설정됩니다. 키 경로: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\AllowLocalPolicyMerge OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 No 설정합니다.Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Public Profile\Settings Customize\Apply local Firewall rules 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 9.3.5 |
없거나 = 1 (레지스트리) |
위험 |
Windows 방화벽: 공용: 설정: 알림 표시 (CCE-38043-6) |
설명: 이 옵션을 선택하면 프로그램이 인바운드 연결을 받지 못하게 차단될 때 사용자에게 알림이 표시되지 않습니다. 사용자가 로그인하지 않는 서버 환경에서는 팝업이 유용하지 않으므로 필요 없으며 관리자에게 혼동을 줄 수 있습니다. 이 정책 설정을 '아니요'로 구성하면 레지스트리 값이 1로 설정됩니다. 프로그램이 인바운드 연결을 받지 못하게 차단될 때 Windows 방화벽이 알림을 표시하지 않습니다. 키 경로: SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DisableNotifications OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 No 설정합니다.Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security\Windows Firewall Properties\Public Profile\Settings Customize\Display a notification 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 9.3.4 |
= 1 (레지스트리) |
Warning |
시스템 감사 정책 - 계정 로그온
속성 (ID) |
세부 정보 | 예상 값 (형식) |
심각도 |
---|---|---|---|
자격 증명 유효성 감사 (CCE-37741-6) |
설명: 이 하위 범주에 대 한 사용자 계정 로그온 요청을 제출 하는 자격 증명 유효성 검사 테스트의 결과 보고 합니다. 이러한 이벤트는 자격 증명에 대한 권한이 있는 컴퓨터에서 발생합니다. 반면 로컬 계정의 경우 로컬 컴퓨터는 신뢰할 수 있는 도메인 계정에 대 한 도메인 컨트롤러가 신뢰할 수입니다. 도메인 환경에서 대부분의 계정 로그온 이벤트는 도메인 계정에 대한 권한이 있는 도메인 컨트롤러의 보안 로그에서 발생합니다. 그러나 이러한 이벤트는 로컬 계정을 사용 하 여 로그온 할 때 조직에서 다른 컴퓨터에서 발생할 수 있습니다. 이 하위 범주에 대한 이벤트는 다음과 같습니다. - 4774: 로그온할 계정이 매핑되지 않았습니다. - 4775: 로그온할 계정을 매핑할 수 없습니다. - 4776: 도메인 컨트롤러에서 계정 자격 증명의 유효성 검사를 시도했습니다. - 4777: 도메인 컨트롤러가 계정 자격 증명의 유효성을 검사하지 못했습니다. 이 설정의 권장 상태는 'Success and Failure'입니다. 키 경로: {0CCE923F-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Success and Failure 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\고급 감사 정책 구성\감사 정책\계정 로그온\감사 자격 증명 유효성 검사 규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-93153 STIG WS2016 V-73413 CIS WS2019 17.1.1 CIS WS2022 17.1.1 |
= Success and Failure (감사) |
위험 |
Kerberos 인증 서비스 감사 (AZ-WIN-00004) |
설명: 이 하위 범주는 Kerberos 인증 TGT 요청 후에 생성된 이벤트의 결과를 보고합니다. Kerberos는 사용자를 대신하여 실행되는 클라이언트가 네트워크를 통해 데이터를 전송하지 않고도 서버에 ID를 증명할 수 있도록 하는 분산 인증 서비스입니다. 이 기능은 공격자 또는 서버가 사용자를 가장하지 못하도록 완화하는 데 도움이 됩니다. - 4768: Kerberos 인증 티켓(TGT)이 요청되었습니다. - 4771: Kerberos 사전 인증에 실패했습니다. - 4772: Kerberos 인증 티켓 요청이 실패했습니다. 이 설정의 권장 상태는 Success and Failure 입니다.키 경로: {0CCE9242-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러 그룹 정책 경로: 컴퓨터 구성\정책\Windows 설정\보안 설정\고급 감사 정책 구성\감사 정책\계정 로그온\Kerberos 인증 서비스 감사 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 17.1.2 CIS WS2019 17.1.2 |
>= 성공 및 실패 (감사) |
위험 |
시스템 감사 정책 - 계정 관리
속성 (ID) |
세부 정보 | 예상 값 (형식) |
심각도 |
---|---|---|---|
메일 그룹 관리 감사 (CCE-36265-7) |
설명: 이 하위 범주는 배포 그룹 생성, 변경, 삭제 또는 배포 그룹에 멤버 추가 또는 제거와 같은 배포 그룹 관리의 각 이벤트를 보고합니다. 이 감사 정책 설정을 사용하도록 설정하면 관리자는 이벤트를 추적하여 악의적인/실수로 인한/권한 있는 그룹 계정 생성을 검색할 수 있습니다. 이 하위 범주에 대한 이벤트는 다음과 같습니다. - 4744: 보안 미지원 로컬 그룹이 생성되었습니다. - 4745: 보안 미지원 로컬 그룹이 변경되었습니다. - 4746: 멤버가 보안 미지원 로컬 그룹에 추가되었습니다. - 4747: 멤버가 보안 미지원 로컬 그룹에서 제거되었습니다. - 4748: 보안 미지원 로컬 그룹이 삭제되었습니다. - 4749: 보안 미지원 전역 그룹이 생성되었습니다. - 4750: 보안 미지원 전역 그룹이 변경되었습니다. - 4751: 멤버가 보안 미지원 전역 그룹에 추가되었습니다. - 4752: 멤버가 보안 미지원 전역 그룹에서 제거되었습니다. - 4753: 보안 미지원 전역 그룹이 삭제되었습니다. - 4759: 보안 미지원 유니버설 그룹이 생성되었습니다. - 4760: 보안 미지원 유니버설 그룹이 변경되었습니다. - 4761: 멤버가 보안 미지원 유니버설 그룹에 추가되었습니다. - 4762: 멤버가 보안 미지원 유니버설 그룹에서 제거되었습니다. - 4763: 보안 미지원 유니버설 그룹이 삭제되었습니다. 이 설정의 권장 상태는 Success 입니다.키 경로: {0CCE9238-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러 그룹 정책 경로: 컴퓨터 구성\정책\Windows 설정\보안 설정\고급 감사 정책 구성\감사 정책\계정 관리\감사 메일 그룹 관리 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 17.2.3 CIS WS2019 17.2.3 |
>= Success (감사) |
위험 |
다른 계정 관리 이벤트 감사 (CCE-37855-4) |
설명: 이 하위 범주는 다른 계정 관리 이벤트를 보고합니다. 이 하위 범주에 대한 이벤트는 다음과 같습니다. - 4782: 계정이 액세스한 암호 해시입니다. — 4793: 암호 정책 검사 API가 호출되었습니다. 이 설정에 대한 최신 정보는 Microsoft 기술 자료 문서 "Windows Vista 및 Windows Server 2008의 보안 이벤트 설명(https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd)"을 참조하세요. 키 경로: {0CCE923A-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 설정하여 다음을 포함합니다 Success .컴퓨터 구성\정책\Windows 설정\보안 설정\고급 감사 정책 구성\감사 정책\계정 관리\다른 계정 관리 이벤트 감사 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 17.2.4 |
>= Success (감사) |
위험 |
보안 그룹 관리 감사 (CCE-38034-5) |
설명: 이 하위 범주는 보안 그룹을 만들거나 변경하거나 삭제하거나 멤버를 보안 그룹에 추가하거나 보안 그룹에서 제거할 때와 같은 보안 그룹 관리의 각 이벤트를 보고합니다. 이 감사 정책 설정을 사용하면 관리자는 이벤트를 추적하여 악의적인/실수로 인한/권한 있는 보안 그룹 계정 생성을 검색할 수 있습니다. 이 하위 범주에 대한 이벤트는 다음과 같습니다. - 4727: 보안된 글로벌 그룹을 만들었습니다. - 4728: 멤버가 보안 지원 전역 그룹에 추가되었습니다. - 4729: 보안 사용 글로벌 그룹에서 멤버가 제거되었습니다. - 4730: 보안된 글로벌 그룹을 삭제했습니다. - 4731: 보안된 로컬 그룹을 만들었습니다. - 4732: 구성원을 보안된 로컬 그룹에 추가했습니다. - 4733: 보안 사용 로컬 그룹에서 멤버가 제거되었습니다. - 4734: 보안된 로컬 그룹을 삭제했습니다. - 4735: 보안 사용 로컬 그룹이 변경되었습니다. - 4737: 보안 지원 글로벌 그룹이 변경되었습니다. - 4754: 보안된 유니버설 그룹을 만들었습니다. - 4755: 보안 사용 유니버설 그룹이 변경되었습니다. - 4756: 멤버가 보안 사용 유니버설 그룹에 추가되었습니다. - 4757: 보안 사용 유니버설 그룹에서 멤버가 제거되었습니다. - 4758: 보안 사용 유니버설 그룹이 삭제되었습니다. - 4764: 그룹 형식을 변경했습니다. 이 설정의 권장 상태는 Success and Failure 입니다.키 경로: {0CCE9237-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 설정하여 다음을 포함합니다 Success .컴퓨터 구성\정책\Windows 설정\보안 설정\고급 감사 정책 구성\감사 정책\계정 관리\보안 그룹 관리 감사 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 17.2.5 |
>= Success (감사) |
위험 |
사용자 계정 관리 감사 (CCE-37856-2) |
설명: 이 하위 범주는 사용자 계정을 만들거나, 변경하거나, 삭제하거나, 사용자 계정의 이름을 바꾸거나, 사용하지 않도록 설정하거나, 암호를 설정하거나 변경하는 경우와 같은 사용자 계정 관리의 각 이벤트를 보고합니다. 이 감사 정책 설정을 사용하면 관리자는 이벤트를 추적하여 악의적인/실수로 인한/권한 있는 사용자 계정 생성을 검색할 수 있습니다. 이 하위 범주에 대한 이벤트는 다음과 같습니다. - 4720: 사용자 계정이 생성되었습니다. - 4722: 사용자 계정을 사용할 수 있습니다. - 4723: 계정의 암호를 변경하려고 했습니다. - 4724: 계정의 암호를 재설정하려고 했습니다. - 4725: 사용자 계정을 사용할 수 없습니다. - 4726: 사용자 계정이 삭제되었습니다. - 4738: 사용자 계정이 변경되었습니다. - 4740: 사용자 계정을 잠갔습니다. - 4765: SID 기록을 계정에 추가했습니다. - 4766: 계정에 SID 기록을 추가하지 못했습니다. - 4767: 사용자 계정이 잠금 해제되었습니다. - 4780: ACL이 관리자 그룹의 구성원인 계정에 설정되었습니다. - 4781: 계정 이름이 변경되었습니다. - 4794: 디렉터리 서비스 복원 모드를 설정하려고 했습니다. - 5376: 자격 증명 관리자 자격 증명을 백업했습니다. - 5377: 자격 증명 관리자 자격 증명이 백업에서 복원되었습니다. 이 설정의 권장 상태는 Success and Failure 입니다.키 경로: {0CCE9235-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Success and Failure 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\고급 감사 정책 구성\감사 정책\계정 관리\사용자 계정 관리 감사 규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-92981 STIG WS2016 V-73427 CIS WS2019 17.2.6 CIS WS2022 17.2.6 |
= Success and Failure (감사) |
위험 |
시스템 감사 정책 - 자세한 추적
속성 (ID) |
세부 정보 | 예상 값 (형식) |
심각도 |
---|---|---|---|
PNP 활동 감사 (AZ-WIN-00182) |
설명: 이 정책 설정을 사용하면 플러그 앤 플레이에서 외부 디바이스를 검색할 때 감사할 수 있습니다. 이 설정의 권장 상태는 Success 입니다. 참고: 그룹 정책에서 이 값에 액세스하고 설정하려면 Windows 10, Server 2016 이상의 OS가 필요합니다.키 경로: {0CCE9248-69AE-11D9-BED3-505054503030} OS: WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Enabled 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\보안 옵션\감사: 감사 정책 하위 범주 설정(Windows Vista 이상)을 강제로 감사 정책 범주 설정을 재정의합니다. 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 17.3.1 CIS WS2022 17.3.1 |
>= Success (감사) |
위험 |
프로세스 만들기 감사 (CCE-36059-4) |
설명: 이 하위 범주는 프로세스의 생성과 프로세스를 만든 프로그램 또는 사용자의 이름을 보고합니다. 이 하위 범주에 대한 이벤트는 다음과 같습니다. - 4688: 새 프로세스가 만들어졌습니다. - 4696: 주 토큰을 프로세스에 할당했습니다. 이 설정에 대한 최신 정보는 Microsoft 기술 자료 문서 947226 참조하세요. 이 설정의 권장 상태는 Success 입니다.키 경로: {0CCE922B-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 설정하여 다음을 포함합니다 Success .컴퓨터 구성\정책\Windows 설정\보안 설정\고급 감사 정책 구성\감사 정책\자세한 추적\감사 프로세스 만들기 규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-93173 STIG WS2016 V-73433 CIS WS2019 17.3.2 CIS WS2022 17.3.2 |
>= Success (감사) |
위험 |
시스템 감사 정책 - DS 액세스
속성 (ID) |
세부 정보 | 예상 값 (형식) |
심각도 |
---|---|---|---|
디렉터리 서비스 액세스 감사 (CCE-37433-0) |
설명: 이 하위 범주는 AD DS 개체에 액세스할 때 보고합니다. SACL을 사용하는 개체만 감사 이벤트를 생성하고 해당 SACL과 일치하는 방식으로 개체에 액세스할 때만 생성할 수 있습니다. 이 이벤트는 이전 버전 Windows Server의 디렉터리 서비스 액세스 이벤트와 유사합니다. 이 하위 범주는 도메인 컨트롤러에만 적용됩니다. 이 하위 범주에 대한 이벤트는 다음과 같습니다. - 4662: 작업이 개체에서 수행되었습니다. 이 설정의 권장 상태는 Failure 입니다.키 경로: {0CCE923B-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러 그룹 정책 경로: 컴퓨터 구성\정책\Windows 설정\보안 설정\고급 감사 정책 구성\감사 정책\DS 액세스\디렉터리 서비스 액세스 감사 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 17.4.1 CIS WS2019 17.4.1 |
>= 실패 (감사) |
위험 |
디렉터리 서비스 변경 감사 (CCE-37616-0) |
설명: 이 하위 범주는 AD DS(Active Directory Domain Services)의 개체에 대한 변경 내용을 보고합니다. 보고 되는 변경 유형에 만들기, 수정, 이동 및 개체에 대해 수행 되는 작업이 삭제 취소 DS 변경 감사는 해당하는 경우 변경된 개체의 변경된 속성에 대한 이전 값과 새 값을 나타냅니다. SACL을 사용하는 개체만 감사 이벤트를 생성하고 해당 SACL과 일치하는 방식으로 개체에 액세스할 때만 생성할 수 있습니다. 일부 개체 및 속성 스키마의 개체 클래스에 대 한 설정으로 인해 생성 되는 감사 이벤트를 발생 하지 않습니다. 이 하위 범주는 도메인 컨트롤러에만 적용됩니다. 이 하위 범주에 대한 이벤트는 다음과 같습니다. - 5136: 디렉터리 서비스 개체가 수정되었습니다. - 5137: 디렉터리 서비스 개체가 생성되었습니다. - 5138: 디렉터리 서비스 개체가 삭제 취소되었습니다. - 5139: 디렉터리 서비스 개체가 이동되었습니다. 이 설정의 권장 상태는 Success 입니다.키 경로: {0CCE923C-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러 그룹 정책 경로: 컴퓨터 구성\정책\Windows 설정\보안 설정\고급 감사 정책 구성\감사 정책\DS 액세스\디렉터리 서비스 변경 내용 감사 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 17.4.2 CIS WS2019 17.4.2 |
>= Success (감사) |
위험 |
디렉터리 서비스 복제 감사 (AZ-WIN-00093) |
설명: 이 하위 범주는 두 도메인 컨트롤러 간의 복제가 시작 및 종료될 때 보고합니다. 이 하위 범주에 대한 이벤트는 다음과 같습니다. - 4932: Active Directory 명명 컨텍스트의 복제본 동기화가 시작되었습니다. – 4933: Active Directory 명명 컨텍스트의 복제본 동기화가 종료되었습니다. 이 설정에 대한 최신 정보는 Microsoft 기술 자료 문서 "Windows Vista 및 Windows Server 2008의 보안 이벤트 설명"을 참조하세요. http:--support.microsoft.com-default.aspx-kb-947226 키 경로: {0CCE923D-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러 그룹 정책 경로: 컴퓨터 구성\정책\Windows 설정\보안 설정\고급 감사 정책 구성\감사 정책\DS 액세스\디렉터리 서비스 복제 감사 규정 준수 표준 매핑: |
>= 감사 없음 (감사) |
위험 |
시스템 감사 정책 - 로그온 로그오프
속성 (ID) |
세부 정보 | 예상 값 (형식) |
심각도 |
---|---|---|---|
계정 잠금 감사 (CCE-37133-6) |
설명: 이 하위 범주는 너무 많은 로그온 시도 실패로 인해 사용자의 계정이 잠겨 있는 경우 보고합니다. 이 하위 범주에 대한 이벤트는 다음과 같습니다. - 4625: 계정을 로그온하지 못했습니다. 이 설정에 대한 최신 정보는 Microsoft 기술 자료 문서 'Windows Vista 및 Windows Server 2008의 보안 이벤트 설명(https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd)'을 참조하세요. 키 경로: {0CCE9217-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 설정하여 다음을 포함합니다 Failure .컴퓨터 구성\정책\Windows 설정\보안 설정\고급 감사 정책 구성\감사 정책\로그온/로그오프\감사 계정 잠금 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 17.5.1 |
>= 실패 (감사) |
위험 |
그룹 멤버 자격 감사 (AZ-WIN-00026) |
설명: 감사 그룹 멤버 자격을 사용하면 클라이언트 컴퓨터에서 그룹 멤버 자격을 열거할 때 감사할 수 있습니다. 이 정책을 사용하면 사용자의 로그온 토큰에서 그룹 멤버 자격 정보를 감사할 수 있습니다. 이 하위 범주의 이벤트는 로그온 세션이 만들어지는 컴퓨터에서 생성됩니다. 대화형 로그온의 경우 사용자가 로그온한 컴퓨터에서 보안 감사 이벤트가 생성됩니다. 네트워크의 공유 폴더 액세스와 같은 네트워크 로그온의 경우 리소스를 호스팅하는 컴퓨터에서 보안 감사 이벤트가 생성됩니다. 또한 로그온 감사 하위 범주를 사용하도록 설정해야 합니다. 그룹 멤버 자격 정보가 단일 보안 감사 이벤트에 맞지 않는 경우 여러 이벤트가 생성됩니다. 감사되는 이벤트는 다음과 같습니다. - 4627(S): 그룹 멤버 자격 정보. 키 경로: {0CCE9249-69AE-11D9-BED3-505054503030} OS: WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 설정하여 다음을 포함합니다 Success .Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Logon/Logoff\Audit Group Membership 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 17.5.2 |
>= Success (감사) |
위험 |
로그오프 감사 (CCE-38237-4) |
설명: 이 하위 시스템은 사용자가 시스템에서 로그오프할 때 보고합니다. 액세스 되는 컴퓨터에서 이러한 이벤트가 발생 합니다. 대화형 로그온에 대 한 이러한 이벤트의 생성에 로그온 하는 컴퓨터에서 발생 합니다. 공유에 액세스 하는 네트워크 로그온 완료 되 면 하는 경우 이러한 이벤트 액세스 되는 리소스를 호스팅하는 컴퓨터를 생성 합니다. 이 설정을 감사 안 함으로 구성하면 조직 컴퓨터에 액세스한 또는 액세스하려고 시도한 사용자를 확인하기 어렵거나 확인할 수 없습니다. 이 하위 범주에 대한 이벤트는 다음과 같습니다. - 4634: 계정이 로그오프되었습니다. - 4647: 사용자가 로그오프를 시작했습니다. 이 설정의 권장 상태는 'Success'입니다. 키 경로: {0CCE9216-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 설정하여 다음을 포함합니다 Success .컴퓨터 구성\정책\Windows 설정\보안 설정\고급 감사 정책 구성\감사 정책\로그온/로그오프\감사 로그오프 규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-93171 STIG WS2016 V-73449 CIS WS2019 17.5.3 CIS WS2022 17.5.3 |
>= Success (감사) |
위험 |
로그온 감사 (CCE-38036-0) |
설명: 이 하위 시스템에 로그온 하는 사용자가 시도 보고 합니다. 액세스 되는 컴퓨터에서 이러한 이벤트가 발생 합니다. 대화형 로그온에 대 한 이러한 이벤트의 생성에 로그온 하는 컴퓨터에서 발생 합니다. 공유에 액세스 하는 네트워크 로그온 완료 되 면 하는 경우 이러한 이벤트 액세스 되는 리소스를 호스팅하는 컴퓨터를 생성 합니다. 이 설정을 감사 안 함으로 구성하면 조직 컴퓨터에 액세스한 또는 액세스하려고 시도한 사용자를 확인하기 어렵거나 확인할 수 없습니다. 이 하위 범주에 대한 이벤트는 다음과 같습니다. - 4624: 계정이 성공적으로 로그온되었습니다. - 4625: 계정을 로그온하지 못했습니다. - 4648: 명시적 로그온을 사용하여 로그온이 시도되었습니다. - 4675: SID를 필터링했습니다. 이 설정의 권장 상태는 'Success and Failure'입니다. 키 경로: {0CCE9215-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Success and Failure 설정합니다.Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Logon/Logoff\Audit Logon 규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-92967 STIG WS2016 V-73451 CIS WS2019 17.5.4 CIS WS2022 17.5.4 |
= Success and Failure (감사) |
위험 |
기타 로그온/로그오프 이벤트 감사 (CCE-36322-6) |
설명: 이 하위 범주는 기타 로그온/로그오프 관련 이벤트(예: 터미널 서비스 세션의 연결이 끊어졌다가 다시 연결, RunAs를 사용하여 다른 계정으로 프로세스 실행, 워크스테이션 잠금 및 잠금 해제)를 보고합니다. 이 하위 범주에 대한 이벤트는 다음과 같습니다. - 4649: 재생 공격을 감지했습니다. - 4778: 세션이 윈도우 스테이션에 다시 연결되었습니다. — 4779: 창 스테이션에서 세션 연결이 끊어졌습니다. — 4800: 워크스테이션이 잠겼습니다. — 4801: 워크스테이션이 잠금 해제되었습니다. - 4802: 화면 보호기를 호출했습니다. — 4803: 화면 보호기가 해제되었습니다. — 5378: 요청된 자격 증명 위임이 정책에 의해 허용되지 않습니다. — 5632: 무선 네트워크에 인증을 요청했습니다. - 5633: 유선 네트워크 인증을 요청했습니다. 이 설정에 대한 최신 정보는 Microsoft 기술 자료 문서 "Windows Vista 및 Windows Server 2008의 보안 이벤트 설명(https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd)"을 참조하세요. 키 경로: {0CCE921C-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Success and Failure 설정합니다.Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Logon/Logoff\Audit Other Logon/Logoff Events 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 17.5.5 |
= Success and Failure (감사) |
위험 |
특수 로그온 감사 (CCE-36266-5) |
설명: 이 하위 범주는 특수 로그온이 사용되는 경우를 보고합니다. 특수 로그온은 관리자와 동등한 권한을 가지며 프로세스를 더 높은 수준으로 상승시키는 데 사용할 수 있는 로그온입니다. 이 하위 범주에 대한 이벤트는 다음과 같습니다. - 4964: 특수 그룹이 새 로그온에 할당되었습니다. 이 설정의 권장 상태는 Success 입니다.키 경로: {0CCE921B-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 설정하여 다음을 포함합니다 Success .Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Logon/Logoff\Audit Special Logon 규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-93161 STIG WS2016 V-73455 CIS WS2019 17.5.6 CIS WS2022 17.5.6 |
>= Success (감사) |
위험 |
시스템 감사 정책 - 개체 액세스
속성 (ID) |
세부 정보 | 예상 값 (형식) |
심각도 |
---|---|---|---|
세부 파일 공유 감사 (AZ-WIN-00100) |
설명: 이 하위 범주를 사용하여 공유 폴더의 파일 및 폴더에 대한 액세스 시도를 감사할 수 있습니다. 이 하위 범주에 대한 이벤트는 다음과 같습니다. - 5145: 네트워크 공유 개체에서 클라이언트에 원하는 액세스 권한을 부여할 수 있는지 여부가 확인되었습니다. 이 설정의 권장 상태는 Failure 를 포함하는 것입니다.키 경로: {0CCE9244-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: 컴퓨터 구성\정책\Windows 설정\보안 설정\고급 감사 정책 구성\감사 정책\개체 액세스\자세한 파일 공유 감사 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 17.6.1 CIS WS2019 17.6.1 |
>= 실패 (감사) |
위험 |
파일 공유 감사 (AZ-WIN-00102) |
설명: 이 정책 설정을 사용하여 공유 폴더에 대한 액세스 시도를 감사할 수 있습니다. 이 설정의 권장 상태는 Success and Failure 입니다. 참고: 공유 폴더에 대한 SACL(시스템 액세스 제어 목록)이 없습니다. 이 정책 설정을 사용하도록 설정하면 시스템의 모든 공유 폴더에 대한 액세스가 감사됩니다.키 경로: {0CCE9224-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: 컴퓨터 구성\정책\Windows 설정\보안 설정\고급 감사 정책 구성\감사 정책\개체 액세스\감사 파일 공유 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 17.6.2 CIS WS2019 17.6.2 |
= Success and Failure (감사) |
위험 |
기타 개체 액세스 이벤트 감사 (AZ-WIN-00113) |
설명: 이 하위 범주는 기타 개체 액세스 관련 이벤트(예: 작업 스케줄러 작업 및 COM+ 개체)를 보고합니다. 이 하위 범주에 대한 이벤트는 다음과 같습니다. - 4671: 애플리케이션이 TBS를 통해 차단된 오디널에 액세스하려고 했습니다. — 4691: 개체에 대한 간접 액세스가 요청되었습니다. — 4698: 예약된 작업이 생성되었습니다. \- 4699: 예약된 작업을 삭제했습니다. — 4700: 예약된 작업을 사용하도록 설정했습니다. — 4701: 예약된 작업을 사용할 수 없습니다. — 4702: 예약된 작업이 업데이트되었습니다. — 5888: COM+ 카탈로그의 개체가 수정되었습니다. — 5889: COM+ 카탈로그에서 개체가 삭제되었습니다. — 5890: COM+ 카탈로그에 개체가 추가되었습니다. 이 설정에 대한 최신 정보는 Microsoft 기술 자료 문서 "Windows Vista 및 Windows Server 2008의 보안 이벤트 설명(https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd)"을 참조하세요. 키 경로: {0CCE9227-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Success and Failure 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\고급 감사 정책 구성\감사 정책\개체 액세스\다른 개체 액세스 이벤트 감사 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 17.6.3 |
= Success and Failure (감사) |
위험 |
이동식 저장소 감사 (CCE-37617-8) |
설명: 이 정책 설정을 사용하면 이동식 스토리지 디바이스의 파일 시스템 개체에 액세스하려는 사용자의 시도를 감사할 수 있습니다. 보안 감사 이벤트는 요청된 모든 유형의 액세스에 대한 모든 개체에 대해서만 생성됩니다. 이 정책 설정을 구성하면 계정이 이동식 스토리지의 파일 시스템 개체에 액세스할 때마다 감사 이벤트가 생성됩니다. 성공 감사는 성공한 시도를 기록하고 실패 감사는 실패한 시도를 기록합니다. 이 정책 설정을 구성하지 않으면 계정이 이동식 스토리지의 파일 시스템 개체에 액세스할 때 감사 이벤트가 생성되지 않습니다. 이 설정의 권장 상태는 Success and Failure 입니다. 참고: 그룹 정책에서 이 값에 액세스하고 설정하려면 Windows 8, Server 2012(R2 이외) 이상의 OS가 필요합니다.키 경로: {0CCE9245-69AE-11D9-BED3-505054503030} OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Success and Failure 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\고급 감사 정책 구성\감사 정책\개체 액세스\이동식 스토리지 감사 규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-93167 STIG WS2016 V-73457 CIS WS2019 17.6.4 CIS WS2022 17.6.4 |
= Success and Failure (감사) |
위험 |
시스템 감사 정책 - 정책 변경
속성 (ID) |
세부 정보 | 예상 값 (형식) |
심각도 |
---|---|---|---|
인증 정책 변경 감사 (CCE-38327-3) |
설명: 이 하위 범주는 인증 정책의 변경 내용을 보고합니다. 이 하위 범주에 대한 이벤트는 다음과 같습니다. - 4706: 도메인에 새 트러스트를 만들었습니다. — 4707: 도메인에 대한 트러스트가 제거되었습니다. — 4713: Kerberos 정책이 변경되었습니다. — 4716: 신뢰할 수 있는 도메인 정보가 수정되었습니다. — 4717: 계정에 시스템 보안 액세스 권한이 부여되었습니다. — 4718: 계정에서 시스템 보안 액세스가 제거되었습니다. - 4739: 도메인 정책을 변경했습니다. — 4864: 네임스페이스 충돌이 감지되었습니다. — 4865: 신뢰할 수 있는 포리스트 정보 항목이 추가되었습니다. — 4866: 신뢰할 수 있는 포리스트 정보 항목이 제거되었습니다. — 4867: 신뢰할 수 있는 포리스트 정보 항목이 수정되었습니다. 이 설정에 대한 최신 정보는 Microsoft 기술 자료 문서 "Windows Vista 및 Windows Server 2008의 보안 이벤트 설명(https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd)"을 참조하세요. 키 경로: {0CCE9230-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 설정하여 다음을 포함합니다 Success .컴퓨터 구성\정책\Windows 설정\보안 설정\고급 감사 정책 구성\감사 정책\정책 변경\인증 정책 변경 감사 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 17.7.2 |
>= Success (감사) |
위험 |
권한 부여 정책 변경 감사 (CCE-36320-0) |
설명: 이 하위 범주는 인증 정책의 변경 내용을 보고합니다. 이 하위 범주에 대한 이벤트는 다음과 같습니다. - 4704: 사용자 권한이 할당되었습니다. - 4705: 사용자 권한이 제거되었습니다. - 4706: 도메인에 대한 새 트러스트가 생성되었습니다. - 4707: 도메인에 대한 트러스트가 제거되었습니다. - 4714: 암호화된 데이터 복구 정책이 변경되었습니다. 이 설정의 권장 상태는 Success 입니다.키 경로: {0CCE9231-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: 컴퓨터 구성\정책\Windows 설정\보안 설정\고급 감사 정책 구성\감사 정책\정책 변경\감사 권한 부여 정책 변경 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 17.7.3 CIS WS2019 17.7.3 |
>= Success (감사) |
위험 |
MPSSVC 규칙 수준 정책 변경 감사 (AZ-WIN-00111) |
설명: 이 하위 범주는 Microsoft 보호 서비스 사용하는 정책 규칙의 변경 내용을 보고합니다(MPSSVC.exe). 이 서비스는 Windows 방화벽 및 Microsoft OneCare에서 사용됩니다. 이 하위 범주에 대한 이벤트는 다음과 같습니다. - 4944: Windows 방화벽이 시작되었을 때 활성 상태였던 정책은 다음과 같습니다. — 4945: Windows 방화벽이 시작될 때 규칙이 나열되었습니다. — 4946: Windows 방화벽 예외 목록이 변경되었습니다. 규칙이 추가되었습니다. — 4947: Windows 방화벽 예외 목록이 변경되었습니다. 규칙이 수정되었습니다. — 4948: Windows 방화벽 예외 목록이 변경되었습니다. 규칙이 삭제되었습니다. — 4949: Windows 방화벽 설정이 기본값으로 복원되었습니다. — 4950: Windows 방화벽 설정이 변경되었습니다. — 4951: 주요 버전 번호가 Windows 방화벽에서 인식되지 않았기 때문에 규칙이 무시되었습니다. — 4952: Windows 방화벽에서 부 버전 번호를 인식할 수 없으므로 규칙의 일부가 무시되었습니다. 이 규칙의 다른 부분은 적용됩니다. — 4953: 규칙을 구문 분석할 수 없으므로 Windows 방화벽에서 규칙이 무시되었습니다. - 4954: Windows 방화벽 그룹 정책 설정이 변경되었습니다. 새 설정이 적용되었습니다. — 4956: Windows 방화벽이 활성 프로필을 변경했습니다. - 4957: Windows 방화벽에서 적용하지 않은 규칙은 다음과 같습니다. - 4958: 규칙이 이 컴퓨터에 구성되어 있지 않은 항목을 참조했으므로 Windows 방화벽에서 다음 규칙을 적용하지 않았습니다. 이 설정에 대한 최신 정보는 Microsoft 기술 자료 문서 "Windows Vista 및 Windows Server 2008의 보안 이벤트 설명(https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd)"을 참조하세요. 키 경로: {0CCE9232-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Success and Failure 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\고급 감사 정책 구성\감사 정책\정책 변경\MPSSVC 규칙 수준 정책 변경 감사 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 17.7.4 |
= Success and Failure (감사) |
위험 |
기타 정책 변경 이벤트 감사 (AZ-WIN-00114) |
설명: 이 하위 범주에는 EFS 데이터 복구 에이전트 정책 변경 내용, Windows 필터링 플랫폼 필터의 변경 내용, 로컬 그룹 정책 설정에 대한 보안 정책 설정 업데이트 상태, 중앙 액세스 정책 변경 내용 및 CNG(Cryptographic Next Generation) 작업에 대한 자세한 문제 해결 이벤트에 관한 이벤트가 포함됩니다. - 5063: 암호화 공급자 작업이 시도되었습니다. - 5064: 암호화 컨텍스트 작업이 시도되었습니다. - 5065: 암호화 컨텍스트 수정이 시도되었습니다. - 5066: 암호화 함수 작업이 시도되었습니다. - 5067: 암호화 함수 수정이 시도되었습니다. - 5068: 암호화 함수 공급자 작업이 시도되었습니다. - 5069: 암호화 함수 속성 작업이 시도되었습니다. - 5070: 암호화 함수 속성 수정이 시도되었습니다. - 6145: 그룹 정책 개체에서 보안 정책을 처리하는 동안 하나 이상의 오류가 발생했습니다. 이 설정의 권장 상태는 Failure 입니다.키 경로: {0CCE9234-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: 컴퓨터 구성\정책\Windows 설정\보안 설정\고급 감사 정책 구성\감사 정책\정책 변경\기타 정책 변경 이벤트 감사 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 17.7.5 CIS WS2019 17.7.5 |
>= 실패 (감사) |
위험 |
정책 변경 감사 (CCE-38028-7) |
설명: 이 하위 범주는 SACL 변경 내용을 포함하여 감사 정책의 변경 내용을 보고합니다. 이 하위 범주에 대한 이벤트는 다음과 같습니다. - 4715: 개체에 대한 감사 정책(SACL)을 변경했습니다. — 4719: 시스템 감사 정책이 변경되었습니다. - 4902: 사용자별 감사 정책 테이블을 만들었습니다. — 4904: 보안 이벤트 원본을 등록하려고 했습니다. - 4905: 보안 이벤트 원본 등록을 해제하려고 했습니다. — 4906: CrashOnAuditFail 값이 변경되었습니다. — 4907: 개체에 대한 감사 설정이 변경되었습니다. — 4908: 특수 그룹 로그온 테이블이 수정되었습니다. - 4912: 사용자별 감사 정책을 변경했습니다. 이 설정에 대한 최신 정보는 Microsoft 기술 자료 문서 "Windows Vista 및 Windows Server 2008의 보안 이벤트 설명(https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd)"을 참조하세요. 키 경로: {0CCE922F-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: 컴퓨터 구성\정책\Windows 설정\보안 설정\고급 감사 정책 구성\감사 정책\정책 변경\감사 감사 정책 변경 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 17.7.1 |
>= Success (감사) |
위험 |
시스템 감사 정책 - 권한 사용
속성 (ID) |
세부 정보 | 예상 값 (형식) |
심각도 |
---|---|---|---|
중요한 권한 사용 감사 (CCE-36267-3) |
설명: 이 하위 범주는 사용자 계정 또는 서비스에서 중요한 권한을 사용하면 보고합니다. 중요한 권한에는 다음과 같은 사용자 권한이 포함됩니다. 운영 체제의 일부로 작동, 파일 및 디렉터리 백업, 토큰 개체 만들기, 프로그램 디버그, 컴퓨터 및 사용자 계정을 위임용으로 신뢰할 수 있도록 설정, 보안 감사 생성, 인증 후 클라이언트 가장, 디바이스 드라이버 로드 및 언로드, 감사 및 보안 로그 관리, 펌웨어 환경 값 수정, 프로세스 수준 토큰 바꾸기, 파일 및 디렉터리 복원, 파일 또는 다른 개체의 소유권 획득. 이 하위 감사 이벤트의 대용량을 만들어집니다. 이 하위 범주에 대한 이벤트는 다음과 같습니다. - 4672: 특수 권한을 새 로그온에 할당했습니다. - 4673: 권한 있는 서비스를 호출했습니다. — 4674: 권한 있는 개체에 대한 작업이 시도되었습니다. 이 설정에 대한 최신 정보는 Microsoft 기술 자료 문서 'Windows Vista 및 Windows Server 2008의 보안 이벤트 설명(https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd)'을 참조하세요. 키 경로: {0CCE9228-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Success and Failure 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\고급 감사 정책 구성\감사 정책\권한 사용\중요한 권한 사용 감사 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 17.8.1 |
= Success and Failure (감사) |
위험 |
시스템 감사 정책 - 시스템
속성 (ID) |
세부 정보 | 예상 값 (형식) |
심각도 |
---|---|---|---|
IPsec 드라이버 감사 (CCE-37853-9) |
설명: 이 하위 범주는 인터넷 프로토콜 보안 (IPsec) 드라이버의 작업을 보고합니다. 이 하위 범주에 대한 이벤트는 다음과 같습니다. - 4960: IPsec이 무결성 검사에 실패한 인바운드 패킷을 삭제했습니다. 이 문제가 지속되면 네트워크 문제가 발생하거나 패킷이 이 컴퓨터로 전송 중 수정되고 있음을 나타낼 수 있습니다. 원격 컴퓨터에서 보낸 패킷이 이 컴퓨터가 받은 패킷과 동일한지 확인합니다. 이 오류는 다른 IPsec 구현과의 상호 운용성 문제를 나타낼 수도 있습니다. - 4961: IPsec이 재생 확인에 실패한 인바운드 패킷을 삭제했습니다. 이 문제가 지속되면 이 컴퓨터에 대한 재생 공격을 나타낼 수 있습니다. - 4962: IPsec이 재생 확인에 실패한 인바운드 패킷을 삭제했습니다. 인바운드 패킷의 시퀀스 번호가 너무 낮아서 재생이 아닌지 확인할 수 없습니다. - 4963: IPsec이 보호되어야 하는 인바운드 일반 텍스트 패킷을 삭제했습니다. 이는 일반적으로 원격 컴퓨터가 이 컴퓨터에 알리지 않고 IPsec 정책을 변경하기 때문입니다. 이는 스푸핑 공격 시도일 수도 있습니다. - 4965: IPsec이 원격 컴퓨터에서 잘못된 SPI(Security Parameter Index)가 포함된 패킷을 받았습니다. 이는 일반적으로 패킷이 손상된 하드웨어의 오작동으로 인해 발생합니다. 이 오류가 지속되면 원격 컴퓨터에서 보낸 패킷이 이 컴퓨터가 받은 패킷과 동일한지 확인합니다. 이 오류는 다른 IPsec 구현과의 상호 운용성 문제를 나타낼 수도 있습니다. 이 경우 연결이 방해되지 않으면 이 이벤트를 무시할 수 있습니다. - 5478: IPsec 서비스가 성공적으로 시작되었습니다. - 5479: IPsec 서비스가 성공적으로 종료되었습니다. IPsec 서비스를 종료하면 컴퓨터가 더 큰 네트워크 공격 위험에 처하거나 잠재적인 보안 위험에 노출될 수 있습니다. - 5480: IPsec 서비스가 컴퓨터에서 네트워크 인터페이스의 전체 목록을 가져오지 못했습니다. 일부 네트워크 인터페이스가 적용된 IPsec 필터에서 제공하는 보호를 받지 못할 수 있으므로 이로 인해 보안 위험이 발생할 수 있습니다. IP 보안 모니터 스냅인을 사용하여 문제를 진단합니다. - 5483: IPsec 서비스가 RPC 서버를 초기화하지 못했습니다. IPsec 서비스를 시작할 수 없습니다. - 5484: IPsec 서비스에서 심각한 오류가 발생했고 서비스가 종료되었습니다. IPsec 서비스를 종료하면 컴퓨터가 더 큰 네트워크 공격 위험에 처하거나 잠재적인 보안 위험에 노출될 수 있습니다. - 5485: IPsec 서비스가 네트워크 인터페이스에 대한 플러그 앤 플레이 이벤트에서 일부 IPsec 필터를 처리하지 못했습니다. 일부 네트워크 인터페이스가 적용된 IPsec 필터에서 제공하는 보호를 받지 못할 수 있으므로 이로 인해 보안 위험이 발생할 수 있습니다. IP 보안 모니터 스냅인을 사용하여 문제를 진단합니다. 이 설정의 권장 상태는 Success and Failure 입니다.키 경로: {0CCE9213-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: 컴퓨터 구성\정책\Windows 설정\보안 설정\고급 감사 정책 구성\감사 정책\시스템\감사 IPsec 드라이버 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 17.9.1 CIS WS2019 17.9.1 |
>= 성공 및 실패 (감사) |
위험 |
기타 시스템 이벤트 감사 (CCE-38030-3) |
설명: 이 하위 범주는 기타 시스템 이벤트를 보고합니다. 이 하위 범주에 대한 이벤트는 다음과 같습니다. - 5024: Windows 방화벽 서비스가 성공적으로 시작되었습니다. - 5025: Windows 방화벽 서비스가 중지되었습니다. - 5027: Windows 방화벽 서비스가 로컬 스토리지에서 보안 정책을 검색할 수 없습니다. 서비스가 현재 정책을 계속 적용합니다. - 5028: Windows 방화벽 서비스가 새 보안 정책을 구문 분석할 수 없습니다. 서비스는 현재 적용되어 있는 정책을 유지합니다. - 5029: Windows 방화벽 서비스가 드라이버를 초기화하지 못했습니다. 서비스가 현재 정책을 계속 적용합니다. - 5030: Windows 방화벽 서비스를 시작하지 못했습니다. - 5032: Windows 방화벽이 사용자에게 애플리케이션이 네트워크에서 들어오는 연결을 수락하지 못하도록 차단했음을 알릴 수 없습니다. - 5033: Windows 방화벽 드라이버가 성공적으로 시작되었습니다. - 5034: Windows 방화벽 드라이버가 중지되었습니다. - 5035: Windows 방화벽 드라이버를 시작하지 못했습니다. - 5037: Windows 방화벽 드라이버가 심각한 런타임 오류를 탐지했습니다. 종료됩니다. - 5058: 키 파일 작업입니다. - 5059: 키 마이그레이션 작업입니다. 이 설정의 권장 상태는 Success and Failure 입니다.키 경로: {0CCE9214-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: 컴퓨터 구성\정책\Windows 설정\보안 설정\고급 감사 정책 구성\감사 정책\시스템\다른 시스템 이벤트 감사 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 17.9.2 CIS WS2019 17.9.2 |
= Success and Failure (감사) |
위험 |
보안 상태 변경 감사 (CCE-38114-5) |
설명: 이 하위 범주는 보안 하위 시스템이 시작 및 중지되는 경우와 같이 시스템의 보안 상태 변경을 보고합니다. 이 하위 범주에 대한 이벤트는 다음과 같습니다. - 4608: Windows를 시작하고 있습니다. - 4609: Windows를 종료하고 있습니다. — 4616: 시스템 시간이 변경되었습니다. — 4621: 관리자가 CrashOnAuditFail에서 시스템을 복구했습니다. 이제 관리자 이외의 사용자가 로그온할 수 있습니다. 감사 가능한 일부 작업이 기록되지 않았을 수도 있습니다. 이 설정에 대한 최신 정보는 Microsoft 기술 자료 문서 'Windows Vista 및 Windows Server 2008의 보안 이벤트 설명(https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd)'을 참조하세요. 키 경로: {0CCE9210-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 설정하여 다음을 포함합니다 Success .컴퓨터 구성\정책\Windows 설정\보안 설정\고급 감사 정책 구성\감사 정책\시스템\감사 보안 상태 변경 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 17.9.3 |
>= Success (감사) |
위험 |
보안 시스템 익스텐션 감사 (CCE-36144-4) |
설명: 이 하위 범주는 보안 하위 시스템의 인증 패키지와 같은 확장 코드의 로드를 보고합니다. 이 하위 범주에 대한 이벤트는 다음과 같습니다. - 4610: Local Security Authority(로컬 보안 기관)가 인증 패키지를 로드했습니다. — 4611: 신뢰할 수 있는 로그온 프로세스가 로컬 보안 기관에 등록되었습니다. — 4614: 보안 계정 관리자가 알림 패키지를 로드했습니다. — 4622: 로컬 보안 기관에서 보안 패키지를 로드했습니다. - 4697: 시스템에 서비스가 설치되었습니다. 이 설정에 대한 최신 정보는 Microsoft 기술 자료 문서 "Windows Vista 및 Windows Server 2008의 보안 이벤트 설명(https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd)"을 참조하세요. 키 경로: {0CCE9211-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 설정하여 다음을 포함합니다 Success .컴퓨터 구성\정책\Windows 설정\보안 설정\고급 감사 정책 구성\감사 정책\시스템\감사 보안 시스템 확장 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 17.9.4 |
>= Success (감사) |
위험 |
시스템 무결성 감사 (CCE-37132-8) |
설명: 이 하위 범주는 보안 하위 시스템의 무결성 위반을 보고합니다. 이 하위 범주에 대한 이벤트는 다음과 같습니다. - 4612: 감사 메시지 큐에 할당된 내부 리소스가 없으므로 일부 감사 메시지가 손실됩니다. \- 4615: LPC 포트를 잘못 사용했습니다. — 4618: 모니터링되는 보안 이벤트 패턴이 발생했습니다. - 4816: RPC에서 들어오는 메시지의 암호를 해독하는 동안 무결성 위반을 감지했습니다. — 5038: 코드 무결성에 따라 파일의 이미지 해시가 유효하지 않은 것으로 확인되었습니다. 무단 수정으로 인해 파일이 손상되거나 잘못된 해시가 디스크 디바이스 오류를 나타낼 수 있습니다. — 5056: 암호화 자체 테스트가 수행되었습니다. — 5057: 암호화 기본 작업이 실패했습니다. — 5060: 확인 작업이 실패했습니다. — 5061: 암호화 작업. — 5062: 커널 모드 암호화 자체 테스트가 수행되었습니다. 이 설정에 대한 최신 정보는 Microsoft 기술 자료 문서 'Windows Vista 및 Windows Server 2008의 보안 이벤트 설명(https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd)'을 참조하세요. 키 경로: {0CCE9212-69AE-11D9-BED3-505054503030} OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장 구성을 설정하려면 다음 UI 경로를 '성공 및 실패'로 설정합니다. 컴퓨터 구성\정책\Windows 설정\보안 설정\고급 감사 정책 구성\감사 정책\시스템\감사 시스템 무결성 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 17.9.5 |
= Success and Failure (감사) |
위험 |
사용자 권한 할당
속성 (ID) |
세부 정보 | 예상 값 (형식) |
심각도 |
---|---|---|---|
신뢰할 수 있는 호출자로 액세스 자격 증명 관리자 (CCE-37056-9) |
설명: 이 보안 설정은 백업 및 복원 중에 자격 증명 관리자에서 사용됩니다. Winlogon에만 할당되므로 계정에 이 사용자 권한이 없어야 합니다. 이 사용자 권한이 다른 엔터티에 할당된 경우 사용자의 저장된 자격 증명이 손상될 수 있습니다. 이 설정의 권장 상태는 No One 입니다.키 경로: [권한]SeTrustedCredManAccessPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 No One 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\사용자 권한 할당\신뢰할 수 있는 호출자로 자격 증명 관리자 액세스 규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-93049 STIG WS2016 V-73729 CIS WS2019 2.2.1 CIS WS2022 2.2.1 |
= No One (정책) |
Warning |
네트워크에서 이 컴퓨터 액세스 (CCE-35818-4) |
설명: 이 정책 설정을 통해 네트워크의 다른 사용자가 컴퓨터에 연결하도록 허용할 수 있으며 SMB(서버 메시지 블록) 기반 프로토콜, NetBIOS, CIFS(Common Internet File System) 및 COM+(구성 요소 개체 모델 플러스)를 포함한 다양한 네트워크 프로토콜에 필요합니다. - 수준 1 - 도메인 컨트롤러. 이 설정의 권장 상태는 'Administrators, Authenticated Users, ENTERPRISE DOMAIN CONTROLLERS'입니다. - 수준 1 - 구성원 서버. 이 설정의 권장 상태는 'Administrators, Authenticated Users'입니다. 키 경로: [권한]SeNetworkLogonRight OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 구성합니다. 컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\사용자 권한 할당\네트워크에서 이 컴퓨터에 액세스 규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-92995 STIG WS2016 V-73731 CIS WS2019 2.2.3 CIS WS2022 2.2.3 |
<= 관리자, 인증된 사용자 (정책) |
위험 |
운영 체제의 일부로 작동 (CCE-36876-1) |
설명: 이 정책 설정을 사용하면 프로세스에서 사용자의 ID를 가정하여 사용자가 액세스할 수 있는 권한이 있는 리소스에 액세스할 수 있습니다. 이 설정의 권장 상태는 No One 입니다.키 경로: [권한]SeTcbPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 No One 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\사용자 권한 할당\운영 체제의 일부로 작동 규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-93051 STIG WS2016 V-73735 CIS WS2019 2.2.4 CIS WS2022 2.2.4 |
= No One (정책) |
위험 |
로컬 로그온 허용 (CCE-37659-0) |
설명: 이 정책 설정은 사용자 환경의 컴퓨터에 대화형으로 로그온할 수 있는 사용자를 결정합니다. 클라이언트 컴퓨터 키보드에서 CTRL+ALT+DEL 키 시퀀스를 눌러 시작된 로그온에는 이 사용자 권한이 필요합니다. 터미널 서비스 또는 IIS를 통해 로그온을 시도하는 사용자도 이 사용자 권한이 필요합니다. 게스트 계정에는 기본적으로 이 사용자에게 할당됩니다. 이 계정은 기본적으로 사용되지 않지만, 그룹 정책을 통해 이 설정을 사용하도록 설정하는 것이 좋습니다. 그러나 이 사용자 권한은 일반적으로 관리자 및 사용자 그룹으로 제한되어야 합니다. 조직에서 이 기능을 요구하는 경우 Backup Operators 그룹에 이 사용자 권한을 할당합니다. SCM에서 사용자 권한을 구성하는 경우 쉼표로 구분된 계정 목록을 입력합니다. 계정은 로컬이거나 Active Directory에 있을 수 있으며 그룹, 사용자 또는 컴퓨터일 수 있습니다. 키 경로: [Privilege Rights]SeInteractiveLogonRight OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 구성합니다. 컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\사용자 권한 할당\로컬 로그온 허용 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 2.2.7 |
= Administrators (정책) |
위험 |
원격 데스크톱 서비스를 통한 로그온 허용 (CCE-37072-6) |
설명: 이 정책 설정은 어떤 사용자 또는 그룹이 터미널 서비스 클라이언트로 로그온할 수 있는 권한을 가지고 있는지를 결정합니다. 원격 데스크톱 사용자에게는 이 사용자 권한이 필요합니다. 조직에서 지원 센터 전략의 일부로 원격 지원을 사용하는 경우, 그룹을 만들고 그룹 정책을 통해 이 사용자 권한을 그룹에 할당해야 합니다. 조직의 지원 센터에서 원격 지원을 사용하지 않는 경우 이 사용자 권한을 관리자 그룹에만 할당하거나, 사용자 계정이 원격 데스크톱 사용자 그룹에 포함되지 않도록 제한된 그룹 기능을 사용합니다. 원치 않는 사용자가 원격 지원 기능을 통해 네트워크의 컴퓨터에 액세스하지 못하도록 이 사용자 권한을 관리자 그룹, 그리고 가능하다면 원격 데스크톱 사용자 그룹으로 제한합니다. - 수준 1 - 도메인 컨트롤러. 이 설정의 권장 상태는 'Administrators'입니다. - 수준 1 - 구성원 서버. 이 설정의 권장 상태는 'Administrators, Remote Desktop Users'입니다. 참고: 원격 데스크톱 연결 브로커 역할 서비스를 통해 원격 데스크톱 서비스 역할을 보유한 구성원 서버에는 'Authenticated Users' 그룹에 이 사용자 권한을 부여할 수 있도록 해당 권장 사항에 대한 특별한 예외가 필요합니다. 참고 2: 위 목록은 허용 목록으로 취급되며, 이는 위에 나열된 보안 주체 없이도 이 권장 사항 평가를 통과할 수 있다는 뜻입니다. 키 경로: [Privilege Rights]SeRemoteInteractiveLogonRight OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 구성합니다. 컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\사용자 권한 할당\원격 데스크톱 서비스를 통해 로그온 허용 규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-92997 STIG WS2016 V-73741 CIS WS2019 2.2.8 CIS WS2022 2.2.8 CIS WS2019 2.2.9 CIS WS2022 2.2.9 |
<= 관리자, 원격 데스크톱 사용자 (정책) |
위험 |
파일 및 디렉터리 백업 (CCE-35912-5) |
설명: 이 정책 설정을 통해 사용자는 파일 및 디렉터리 권한을 우회하여 시스템을 백업할 수 있습니다. 이 사용자 권한은 애플리케이션(예: NTBACKUP)이 NTFS 파일 시스템 백업 API(애플리케이션 프로그래밍 인터페이스)를 통해 파일 또는 디렉터리에 액세스하려고 시도하는 경우에만 사용하도록 설정됩니다. 그 외에는 할당된 파일 및 디렉터리 권한이 적용됩니다. 이 설정의 권장 상태는 Administrators 입니다.키 경로: [권한]SeBackupPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 Administrators 으로 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\사용자 권한 할당\파일 및 디렉터리 백업 규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-93053 STIG WS2016 V-73743 CIS WS2019 2.2.10 CIS WS2022 2.2.10 |
<= 관리자, 백업 연산자, 서버 연산자 (정책) |
위험 |
트래버스 검사 무시 (AZ-WIN-00184) |
설명: 이 정책 설정을 사용하면 NTFS 파일 시스템 또는 레지스트리에서 개체 경로를 찾아볼 때 트래버스 폴더 액세스 권한이 없는 사용자가 폴더를 통과할 수 있습니다. 이 사용자 권한은 사용자가 폴더의 내용을 나열하는 것을 허용하지 않습니다. SCM에서 사용자 권한을 구성하는 경우 쉼표로 구분된 계정 목록을 입력합니다. 계정은 로컬이거나 Active Directory에 있을 수 있으며 그룹, 사용자 또는 컴퓨터일 수 있습니다. 키 경로: [권한]SeChangeNotifyPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: 다음 계정 또는 그룹만 포함하도록 컴퓨터 구성\Windows 설정\보안 설정\로컬 정책\사용자 권한 할당\바이패스 트래버스 검사에 대한 정책 값을 구성합니다. Administrators, Authenticated Users, Backup Operators, Local Service, Network Service 규정 준수 표준 매핑: |
<= 관리자, 인증된 사용자, 백업 운영자, 로컬 서비스, 네트워크 서비스 (정책) |
위험 |
시스템 시간 변경 (CCE-37452-0) |
설명: 이 정책 설정은 사용자 환경의 컴퓨터 내부 클록에서 시간과 날짜를 변경할 수 있는 사용자 및 그룹을 결정합니다. 이 사용자 권한이 할당된 사용자는 이벤트 로그의 모양에 영향을 줄 수 있습니다. 컴퓨터의 시간 설정이 변경되면 기록된 이벤트는 이벤트가 발생한 실제 시간이 아니라 새 시간을 반영합니다. SCM에서 사용자 권한을 구성하는 경우 쉼표로 구분된 계정 목록을 입력합니다. 계정은 로컬이거나 Active Directory에 있을 수 있으며 그룹, 사용자 또는 컴퓨터일 수 있습니다. 참고: 로컬 컴퓨터와 사용자 환경의 도메인 컨트롤러에 대한 시간 간의 불일치로 인해 Kerberos 인증 프로토콜에 문제가 발생할 수 있으므로 사용자가 로그온한 후 도메인에 로그온하거나 도메인 리소스에 액세스할 수 있는 권한 부여를 받을 수 없게 될 수 있습니다. 또한 시스템 시간이 도메인 컨트롤러와 동기화되지 않은 경우 클라이언트 컴퓨터에 그룹 정책을 적용할 때 문제가 발생합니다. 이 설정의 권장 상태는 Administrators, LOCAL SERVICE 입니다.키 경로: [Privilege Rights]SeSystemtimePrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Administrators, LOCAL SERVICE 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\사용자 권한 할당\시스템 시간 변경 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 2.2.11 CIS WS2022 2.2.11 |
<= 관리자, 서버 운영자, LOCAL SERVICE (정책) |
위험 |
시간대 변경 (CCE-37700-2) |
설명: 이 설정은 컴퓨터의 표준 시간대를 변경할 수 있는 사용자를 결정합니다. 이 기능은 컴퓨터에 큰 위험을 주지 않으며 모바일 작업자에게 유용할 수 있습니다. 이 설정의 권장 상태는 Administrators, LOCAL SERVICE 입니다.키 경로: [Privilege Rights]SeTimeZonePrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Administrators, LOCAL SERVICE 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\사용자 권한 할당\표준 시간대 변경 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 2.2.12 CIS WS2022 2.2.12 |
<= 관리자, 로컬 서비스 (정책) |
위험 |
페이지 파일 만들기 (CCE-35821-8) |
설명: 이 정책 설정을 사용하면 사용자가 페이지 파일의 크기를 변경할 수 있습니다. 페이지 파일을 너무 크게 만들거나 너무 작게 만들면 공격자가 손상된 컴퓨터의 성능에 쉽게 영향을 줄 수 있습니다. 이 설정의 권장 상태는 Administrators 입니다.키 경로: [권한]SeCreatePagefilePrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Administrators 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\사용자 권한 할당\페이지 파일 만들기 규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-93055 STIG WS2016 V-73745 CIS WS2019 2.2.13 CIS WS2022 2.2.13 |
= Administrators (정책) |
위험 |
토큰 개체 만들기 (CCE-36861-3) |
설명: 이 정책 설정을 사용하면 프로세스에서 액세스 토큰을 만들 수 있으며, 이를 통해 중요한 데이터에 액세스하는 승격된 권한을 제공할 수 있습니다. 이 설정의 권장 상태는 No One 입니다.키 경로: [권한]SeCreateTokenPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 No One 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\사용자 권한 할당\토큰 개체 만들기 규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-93057 STIG WS2016 V-73747 CIS WS2019 2.2.14 CIS WS2022 2.2.14 |
= No One (정책) |
Warning |
전역 개체 만들기 (CCE-37453-8) |
설명: 이 정책 설정은 사용자가 모든 세션에서 사용할 수 있는 전역 개체를 만들 수 있는지 여부를 결정합니다. 사용자는 이 사용자 권한이 없어도 여전히 자체 세션과 관련된 개체를 만들 수 있습니다. 전역 개체를 만들 수 있는 사용자는 다른 사용자의 세션에서 실행되는 프로세스에 영향을 줄 수 있습니다. 이 기능 때문에 애플리케이션 오류 또는 데이터 손상과 같은 다양한 문제가 발생할 수 있습니다. 이 설정의 권장 상태는 Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE 입니다. 참고: Microsoft SQL Server 및 선택적 "Integration Services" 구성 요소가 설치된 멤버 서버에는 이 사용자에게 권한을 부여하기 위해 추가 SQL 생성 항목에 대한 이 권장 사항에 특별한 예외가 필요합니다.키 경로: [권한]SeCreateGlobalPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\사용자 권한 할당\전역 개체 만들기 규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-93059 STIG WS2016 V-73749 CIS WS2019 2.2.15 CIS WS2022 2.2.15 |
<= 관리자, 서비스, 로컬 서비스, 네트워크 서비스 (정책) |
Warning |
영구 공유 개체 만들기 (CCE-36532-0) |
설명: 이 사용자 권한은 개체 네임스페이스를 확장하는 커널 모드 구성 요소에 유용합니다. 그러나 커널 모드에서 실행되는 구성 요소에는 기본적으로 이 사용자가 있습니다. 따라서 일반적으로 이 사용자 권한을 구체적으로 할당할 필요는 없습니다. 이 설정의 권장 상태는 No One 입니다.키 경로: [권한]SeCreatePermanentPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 No One 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\사용자 권한 할당\영구 공유 개체 만들기 규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-93061 STIG WS2016 V-73751 CIS WS2019 2.2.16 CIS WS2022 2.2.16 |
= No One (정책) |
Warning |
기호 링크 만들기 (CCE-35823-4) |
설명: 이 정책 설정은 기호화된 링크를 만들 수 있는 사용자를 결정합니다. Windows Vista에서는 기호화된 링크라는 새로운 종류의 파일 시스템 개체를 참조하여 파일 및 폴더와 같은 기존 NTFS 파일 시스템 개체에 액세스할 수 있습니다. 기호화된 링크는 다른 파일 시스템 개체에 대한 포인터(바로 가기 또는 .lnk 파일과 매우 유사)이며 파일, 폴더, 바로 가기 또는 또 다른 기호화된 링크일 수 있습니다. 바로 가기와 기호화된 링크의 차이점으로 바로 가기는 Windows 셸 내에서만 작동합니다. 다른 프로그램 및 애플리케이션에 대한 바로 가기는 또 다른 파일인 반면, 기호화된 링크를 사용하는 바로 가기는 NTFS 파일 시스템의 기능으로 구현됩니다. 기호화된 링크는 기호화된 링크를 사용하도록 설계되지 않은 애플리케이션에서 보안 취약성을 노출할 가능성이 있습니다. 따라서 기호화된 링크를 만드는 권한은 신뢰할 수 있는 사용자에게만 할당해야 합니다. 기본적으로 관리자만이 기호화된 링크를 만들 수 있습니다. - 수준 1 - 도메인 컨트롤러. 이 설정의 권장 상태는 'Administrators'입니다. - 수준 1 - 구성원 서버. 이 설정의 권장 상태는 'Administrators' 및 (Hyper-V 역할이 설치된 경우) 'NT VIRTUAL MACHINE\Virtual Machines'입니다 키 경로: [권한]SeCreateSymbolicLinkPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: 권장 구성 상태를 구현하려면 다음 UI 경로를 구성합니다. 컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\사용자 권한 할당\바로 가기 링크 만들기 규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-93063 STIG WS2016 V-73753 CIS WS2019 2.2.17 CIS WS2022 2.2.17 CIS WS2019 2.2.18 CIS WS2022 2.2.18 |
<= 관리자, NT VIRTUAL MACHINE\Virtual Machines (정책) |
위험 |
프로그램 디버그 (AZ-WIN-73755) |
설명: 이 정책 설정은 중요한 운영 체제 구성 요소에 대한 완전한 액세스를 제공하는 임의 프로세스 또는 커널에 디버거를 연결할 권한을 포함할 사용자 계정을 결정합니다. 고유한 애플리케이션을 디버그하는 개발자에게는 이 사용자 권한을 할당할 필요가 없습니다. 그러나 새 시스템 구성 요소를 디버그하는 개발자는 이 권한이 필요합니다. 이 설정의 권장 상태는 Administrators 입니다. 참고: 이 사용자 권한은 감사 목적으로 “중요한 권한”으로 간주됩니다.키 경로: [권한]SeDebugPrivilege OS: WS2016, WS2019 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: 컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\사용자 권한 할당\디버그 프로그램 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 2.2.19 CIS WS2019 2.2.19 |
= Administrators (정책) |
위험 |
네트워크에서 이 컴퓨터 액세스 거부 (CCE-37954-5) |
설명: 이 정책 설정은 사용자가 네트워크를 통해 컴퓨터에 연결하지 못하게 금지하므로, 사용자는 원격으로 데이터에 액세스하여 수정할 수 있습니다. 보안 수준이 높은 환경에서는 원격 사용자가 컴퓨터의 데이터에 액세스할 필요가 없습니다. 대신 네트워크 서버를 사용하여 파일을 공유해야 합니다. - 수준 1 - 도메인 컨트롤러. 이 설정의 권장 상태는 'Guests, Local account'를 포함하는 것입니다. - 수준 1 - 구성원 서버. 이 설정의 권장 상태는 'Guests, Local account and member of Administrators group'을 포함하는 것입니다. 주의: 위에서 설명한 대로 독립 실행형(도메인에 가입되지 않은) 서버를 구성하면 서버를 원격으로 관리할 수 없게 될 수 있습니다. 참고: 위에 설명된 대로 구성원 서버 또는 독립 실행형 서버를 구성하면 로컬 서비스 계정을 만들어서 Administrators 그룹에 저장하는 애플리케이션에 부정적인 영향을 줄 수 있습니다. 이 경우 도메인 호스팅 서비스 계정을 사용하도록 애플리케이션을 변환하거나 이 사용자 권한 할당에서 Administrators 그룹의 구성원을 제거해야 합니다. 되도록이면 이 규칙의 예외를 만드는 것보다 도메인 호스팅 서비스 계정을 사용하는 것이 좋습니다. 키 경로: [Privilege Rights]SeDenyNetworkLogonRight OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 구성합니다. 컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\사용자 권한 할당\네트워크에서 이 컴퓨터에 대한 액세스 거부 규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-92999 STIG WS2016 V-73757 CIS WS2019 2.2.20 CIS WS2022 2.2.20 CIS WS2019 2.2.21 CIS WS2022 2.2.21 |
>= Guests (정책) |
위험 |
일괄 작업으로 로그온 거부 (CCE-36923-1) |
설명: 이 정책 설정은 컴퓨터에 일괄 작업으로 로그온할 수 없는 계정을 결정합니다. 일괄 처리 작업은 일괄 처리(.bat) 파일이 아니라 일괄 처리 큐 기능입니다. 작업 스케줄러를 사용하여 작업을 예약하는 계정에는 이 사용자 권한이 필요합니다. 일괄 처리 작업 사용자 권한으로 로그온 거부는 계정이 과도한 시스템 리소스를 사용하는 작업을 예약할 수 있도록 허용하는 데 사용할 수 있는 일괄 작업 사용자 권한으로 로그온을 재정의합니다. 이러한 경우 DoS 조건이 발생할 수 있습니다. 이 사용자를 권장 계정에 할당하지 못하면 보안 위험이 발생할 수 있습니다. 이 설정의 권장 상태는 Guests 입니다.키 경로: [권한]SeDenyBatchLogonRight OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 설정하여 다음을 포함합니다 Guests .컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\사용자 권한 할당\일괄 작업으로 로그온 거부 규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-93001 STIG WS2016 V-73761 CIS WS2019 2.2.22 CIS WS2022 2.2.22 |
>= Guests (정책) |
위험 |
서비스로 로그온 거부 (CCE-36877-9) |
설명: 이 보안 설정은 프로세스를 서비스로 등록할 수 없는 서비스 계정을 결정합니다. 이 정책 설정은 계정에 두 정책의 적용을 받는 경우 서비스 정책 설정으로 로그온을 대체합니다. 이 설정의 권장 상태는 Guests 입니다. 참고: 이 보안 설정은 시스템, 로컬 서비스 또는 네트워크 서비스 계정에 적용되지 않습니다.키 경로: [권한]SeDenyServiceLogonRight OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 설정하여 다음을 포함합니다 Guests .컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\사용자 권한 할당\서비스로 로그온 거부 규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-93003 STIG WS2016 V-73765 CIS WS2019 2.2.23 CIS WS2022 2.2.23 |
>= Guests (정책) |
위험 |
로컬 로그온 거부 (CCE-37146-8) |
설명: 이 보안 설정은 컴퓨터에서 로그온할 수 없는 사용자를 결정합니다. 이 정책 설정은 계정에 두 정책이 모두 적용되는 경우 로컬 로 로그온 허용 정책 설정을 대체합니다. 중요: 모든 사용자 그룹에 이 보안 정책을 적용하면 아무도 로컬로 로그온할 수 없습니다. 이 설정의 권장 상태는 Guests 입니다.키 경로: [Privilege Rights]SeDenyInteractiveLogonRight OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 설정하여 다음을 포함합니다 Guests .컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\사용자 권한 할당\로컬 로그온 거부 규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-93017 STIG WS2016 V-73739 CIS WS2019 2.2.24 CIS WS2022 2.2.24 |
>= Guests (정책) |
위험 |
원격 데스크톱 서비스를 통한 로그온 거부 (CCE-36867-0) |
설명: 이 정책 설정은 사용자가 터미널 서비스 클라이언트로 로그온할 수 있는지 여부를 결정합니다. 기준 멤버 서버가 도메인 환경에 조인된 후에는 로컬 계정을 사용하여 네트워크에서 서버에 액세스할 필요가 없습니다. 도메인 계정은 관리 및 최종 사용자 처리를 위해 서버에 액세스할 수 있습니다. 이 설정의 권장 상태는 Guests, Local account 입니다. 주의: 위에서 설명한 대로 독립 실행형(도메인에 가입되지 않은) 서버를 구성하면 서버를 원격으로 관리할 수 없게 될 수 있습니다.키 경로: [Privilege Rights]SeDenyRemoteInteractiveLogonRight OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 작업 그룹 멤버 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 구성합니다. 컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\사용자 권한 할당\원격 데스크톱 서비스를 통한 로그온 거부 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 2.2.26 |
>= Guests (정책) |
위험 |
컴퓨터 및 사용자 계정을 위임용으로 신뢰할 수 (CCE-36860-5) |
설명: 이 정책 설정을 사용하면 사용자가 Active Directory의 컴퓨터 개체에 대한 [위임용으로 트러스트됨] 설정을 변경할 수 있습니다. 이 권한을 남용하면 권한 없는 사용자가 네트워크에서 다른 사용자를 가장할 수 있게 됩니다. - 수준 1 - 도메인 컨트롤러. 이 설정의 권장 상태는 'Administrators'입니다. - 수준 1 - 구성원 서버. 이 설정의 권장 상태는 'No One'입니다. 키 경로: [Privilege Rights]SeEnableDelegationPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 구성합니다. 컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\사용자 권한 할당\위임을 위해 컴퓨터 및 사용자 계정을 신뢰할 수 있도록 설정 규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-93041 STIG WS2016 V-73777 CIS WS2019 2.2.28 CIS WS2022 2.2.28 |
= No One (정책) |
위험 |
원격 시스템에서 강제 종료 (CCE-37877-8) |
설명: 이 정책 설정을 사용하면 사용자가 네트워크의 원격 위치에서 Windows Vista 기반 컴퓨터를 종료할 수 있습니다. 이 사용자 권한이 할당된 모든 사용자는 서비스 거부(DoS) 조건을 발생시킬 수 있으며, 이로 인해 사용자 요청을 서비스할 수 없게 됩니다. 따라서 신뢰할 수 있는 관리자만 이 사용자에게 권한을 할당하는 것이 좋습니다. 이 설정의 권장 상태는 Administrators 입니다.키 경로: [권한]SeRemoteShutdownPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Administrators 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\사용자 권한 할당\원격 시스템에서 강제 종료 규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-93067 STIG WS2016 V-73781 CIS WS2019 2.2.29 CIS WS2022 2.2.29 |
= Administrators (정책) |
위험 |
보안 감사 생성 (CCE-37639-2) |
설명: 이 정책 설정은 보안 로그에서 감사 레코드를 생성할 수 있는 사용자 또는 프로세스를 결정합니다. 이 설정의 권장 상태는 LOCAL SERVICE, NETWORK SERVICE 입니다. 참고: 웹 서버 역할 서비스를 통해 웹 서버(IIS) 역할을 보유한 구성원 서버는 IIS 애플리케이션 풀에 이 사용자 권한을 부여할 수 있도록 이 권장 사항에 대한 특별한 예외가 필요합니다. 참고 #2: Active Directory Federation Services 역할을 보유하는 멤버 서버에는 이 권장 사항에 대한 특별한 예외가 필요하며, 연결된 Active Directory Federation Services 서비스 계정뿐만 아니라 연결된 Active Directory Federation Services 서비스 계정도 이 사용자에게 권한을 부여할 수 있도록 NT SERVICE\ADFSSrv NT SERVICE\DRS 허용합니다.키 경로: [권한]SeAuditPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 LOCAL SERVICE, NETWORK SERVICE 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\사용자 권한 할당\보안 감사 생성 규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-93069 STIG WS2016 V-73783 CIS WS2019 2.2.30 CIS WS2022 2.2.30 |
<= 로컬 서비스, 네트워크 서비스, IIS APPPOOL\DefaultAppPool (정책) |
위험 |
프로세스 작업 집합 향상 (AZ-WIN-00185) |
설명: 이 권한은 프로세스의 작업 집합 크기를 늘리거나 줄일 수 있는 사용자 계정을 결정합니다. 프로세스의 작업 집합은 현재 실제 RAM 메모리의 프로세스에 표시되는 메모리 페이지 집합입니다. 이러한 페이지는 상주 하며 페이지 오류를 일으키지 않고 애플리케이션에 사용할 수 있습니다. 최소 및 최대 작업 집합 크기는 프로세스의 가상 메모리 페이징 동작에 영향을 줍니다. SCM에서 사용자 권한을 구성하는 경우 쉼표로 구분된 계정 목록을 입력합니다. 계정은 로컬이거나 Active Directory에 있을 수 있으며 그룹, 사용자 또는 컴퓨터일 수 있습니다. 키 경로: [Privilege Rights]SeIncreaseWorkingSetPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: 컴퓨터 구성\Windows 설정\보안 설정\로컬 정책\사용자 권한 할당\프로세스 작업 집합 늘리기 규정 준수 표준 매핑: |
<= 관리자, 로컬 서비스 (정책) |
Warning |
예약 우선 순위 증가 (CCE-38326-5) |
설명: 이 정책 설정은 사용자가 프로세스의 기본 우선 순위 클래스를 높일 수 있는지 여부를 결정합니다. (우선 순위 클래스 내에서 상대적 우선 순위를 높이는 것은 권한 있는 작업이 아닙니다.) 이 사용자 권한은 운영 체제에서 제공하는 관리 도구에는 필요 없지만 소프트웨어 개발 도구에 필요할 수 있습니다. 이 설정의 권장 상태는 Administrators 입니다.키 경로: [권한]SeIncreaseBasePriorityPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Administrators, Window Manager\Window Manager Group 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\사용자 권한 할당\일정 우선 순위 늘리기 규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-93073 STIG WS2016 V-73787 CIS WS2019 2.2.33 CIS WS2022 2.2.33 |
= Administrators (정책) |
Warning |
디바이스 드라이버 로드 및 언로드 (CCE-36318-4) |
설명: 이 정책 설정을 사용하면 시스템에서 새 디바이스 드라이버를 동적으로 로드할 수 있습니다. 공격자가 이 기능을 사용하여 디바이스 드라이버로 보이는 악성 코드를 설치할 수 있습니다. 사용자가 Windows Vista에서 로컬 프린터 또는 프린터 드라이버를 추가하려면 이 사용자 권한이 필요합니다. 이 설정의 권장 상태는 Administrators 입니다.키 경로: [권한]SeLoadDriverPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Administrators 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\사용자 권한 할당\디바이스 드라이버 로드 및 언로드 규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-93075 STIG WS2016 V-73789 CIS WS2019 2.2.34 CIS WS2022 2.2.34 |
<= 관리자, 인쇄 연산자 (정책) |
Warning |
메모리 내 페이지 잠금 (CCE-36495-0) |
설명: 이 정책 설정을 사용하면 프로세스가 데이터를 실제 메모리에 유지할 수 있으므로 시스템이 디스크의 가상 메모리에 데이터를 페이징하지 못하게 합니다. 이 사용자 권한이 할당되면 시스템 성능이 크게 저하될 수 있습니다. 이 설정의 권장 상태는 No One 입니다.키 경로: [Privilege Rights]SeLockMemoryPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 No One 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\사용자 권한 할당\메모리의 페이지 잠금 규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-93077 STIG WS2016 V-73791 CIS WS2019 2.2.35 CIS WS2022 2.2.35 |
= No One (정책) |
Warning |
감사 및 보안 로그 관리 (CCE-35906-7) |
설명: 이 정책 설정은 파일 및 디렉터리의 감사 옵션을 변경하고 보안 로그를 지울 수 있는 사용자를 결정합니다. Microsoft Exchange Server를 실행하는 환경의 경우 'Exchange Servers' 그룹이 도메인 컨트롤러에 대해 이 권한을 갖고 있어야만 제대로 작동합니다. 따라서 'Exchange Servers' 그룹에 이 권한을 부여하는 DC는 이 벤치마크에 부합합니다. 환경에서 Microsoft Exchange Server를 사용하지 않는 경우 이 권한은 DC의 'Administrators'로 제한되어야 합니다. - 수준 1 - 도메인 컨트롤러. 이 설정의 권장 상태는 'Administrators 및 (환경에서 Exchange를 실행 중인 경우) 'Exchange Servers'입니다. - 수준 1 - 구성원 서버. 이 설정의 권장 상태는 'Administrators'입니다. 키 경로: [권한]SeSecurityPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 구성합니다. 컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\사용자 권한 할당\감사 및 보안 로그 관리 규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-93197 STIG WS2016 V-73793 CIS WS2019 2.2.37 CIS WS2022 2.2.37 CIS WS2019 2.2.38 CIS WS2022 2.2.38 |
= Administrators (정책) |
위험 |
개체 레이블 수정 (CCE-36054-5) |
설명: 이 권한은 파일, 레지스트리 키 또는 다른 사용자가 소유한 프로세스와 같은 개체의 무결성 레이블을 수정할 수 있는 사용자 계정을 결정합니다. 사용자 계정에서 실행되는 프로세스는 이 권한 없이 해당 사용자가 소유한 개체의 레이블을 더 낮은 수준으로 수정할 수 있습니다. 이 설정의 권장 상태는 No One 입니다.키 경로: [권한]SeRelabelPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 No One 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\사용자 권한 할당\개체 레이블 수정 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 2.2.39 CIS WS2022 2.2.39 |
= No One (정책) |
Warning |
펌웨어 환경 값 수정 (CCE-38113-7) |
설명: 이 정책 설정을 사용하면 사용자는 하드웨어 구성에 영향을 주는 시스템 수준의 환경 변수를 구성할 수 있습니다. 이 정보는 일반적으로 마지막으로 알려진 정상 구성에 저장됩니다. 이러한 값을 수정하면 서비스 거부 공격 조건으로 이어지는 하드웨어 오류가 발생할 수 있습니다. 이 설정의 권장 상태는 Administrators 입니다.키 경로: [Privilege Rights]SeSystemEnvironmentPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Administrators 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\사용자 권한 할당\펌웨어 환경 값 수정 규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-93079 STIG WS2016 V-73795 CIS WS2019 2.2.40 CIS WS2022 2.2.40 |
= Administrators (정책) |
Warning |
볼륨 유지 관리 작업 수행 (CCE-36143-6) |
설명: 이 정책 설정을 사용하면 사용자가 시스템의 볼륨 또는 디스크 구성을 관리할 수 있으므로 사용자가 볼륨을 삭제하고 데이터 손실과 서비스 거부 조건을 발생시킬 수 있습니다. 이 설정의 권장 상태는 Administrators 입니다.키 경로: [Privilege Rights]SeManageVolumePrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Administrators 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\사용자 권한 할당\볼륨 유지 관리 작업 수행 규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-93081 STIG WS2016 V-73797 CIS WS2019 2.2.41 CIS WS2022 2.2.41 |
= Administrators (정책) |
Warning |
단일 프로세스 프로필 (CCE-37131-0) |
설명: 이 정책 설정은 도구를 사용하여 비 시스템 프로세스의 성능을 모니터링할 수 있는 사용자를 결정합니다. 일반적으로 MMC(Microsoft Management Console) 성능 스냅인을 사용하도록 이 사용자 권한을 구성할 필요가 없습니다. 그러나 시스템 모니터가 WMI(Windows Management Instrumentation)를 사용하여 데이터를 수집하도록 구성된 경우 이 사용자 권한이 필요합니다. 프로필 단일 프로세스 사용자 권한을 제한하면 침입자가 시스템에 대한 공격을 탑재하는 데 사용할 수 있는 추가 정보를 얻을 수 없게 됩니다. 이 설정의 권장 상태는 Administrators 입니다.키 경로: [Privilege Rights]SeProfileSingleProcessPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Administrators 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\사용자 권한 할당\프로필 단일 프로세스 규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-93083 STIG WS2016 V-73799 CIS WS2019 2.2.42 CIS WS2022 2.2.42 |
= Administrators (정책) |
Warning |
시스템 성능 프로필 (CCE-36052-9) |
설명: 이 정책 설정을 사용하면 사용자가 도구를 사용하여 다양한 시스템 프로세스의 성능을 볼 수 있으며, 공격자가 시스템의 활성 프로세스를 확인하고 컴퓨터의 잠재적 공격 표면에 대한 인사이트를 제공할 수 있도록 악용될 수 있습니다. 이 설정의 권장 상태는 Administrators, NT SERVICE\WdiServiceHost 입니다.키 경로: [권한 권한]SeSystemProfilePrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Administrators, NT SERVICE\WdiServiceHost 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\사용자 권한 할당\프로필 시스템 성능 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 2.2.43 CIS WS2022 2.2.43 |
<= Administrators, NT SERVICE\WdiServiceHost (정책) |
Warning |
프로세스 수준 토큰 바꾸기 (CCE-37430-6) |
설명: 이 정책 설정을 사용하면 한 프로세스 또는 서비스가 다른 보안 액세스 토큰을 사용하여 다른 서비스 또는 프로세스를 시작할 수 있습니다. 이 토큰을 사용하여 해당 하위 프로세스의 보안 액세스 토큰을 수정하고 권한을 에스컬레이션할 수 있습니다. 이 설정의 권장 상태는 LOCAL SERVICE, NETWORK SERVICE 입니다. 참고: 웹 서버 역할 서비스를 통해 웹 서버(IIS) 역할을 보유한 구성원 서버는 IIS 애플리케이션 풀에 이 사용자 권한을 부여할 수 있도록 이 권장 사항에 대한 특별한 예외가 필요합니다. 참고 #2: Microsoft SQL Server가 설치된 멤버 서버에는 이 사용자에게 권한을 부여하기 위해 추가 SQL 생성 항목에 대한 이 권장 사항에 특별한 예외가 필요합니다.키 경로: [권한 권한]SeAssignPrimaryTokenPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 LOCAL SERVICE, NETWORK SERVICE 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\사용자 권한 할당\프로세스 수준 토큰 바꾸기 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 2.2.44 CIS WS2022 2.2.44 |
<= 로컬 서비스, 네트워크 서비스 (정책) |
Warning |
파일 및 디렉터리 복원 (CCE-37613-7) |
설명: 이 정책 설정은 사용자 환경에서 Windows Vista를 실행하는 컴퓨터에서 백업된 파일 및 디렉터리를 복원할 때 파일, 디렉터리, 레지스트리 및 기타 영구 개체 권한을 무시할 수 있는 사용자를 결정합니다. 또한 이 사용자 권한은 유효한 보안 주체를 개체 소유자로 설정할 수 있는 사용자를 결정하는데, 이는 백업 파일 및 디렉터리 사용자 권한과 유사합니다. 이 설정의 권장 상태는 Administrators 입니다.키 경로: [권한]SeRestorePrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Administrators 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\사용자 권한 할당\파일 및 디렉터리 복원 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 2.2.45 |
<= 관리자, 백업 연산자 (정책) |
Warning |
시스템 종료 (CCE-38328-1) |
설명: 이 정책 설정은 사용자 환경의 컴퓨터에 로컬로 로그온한 사용자가 종료 명령을 사용하여 운영 체제를 종료할 수 있는 사용자를 결정합니다. 이 사용자 권한을 잘못 사용하면 서비스 거부 조건이 발생할 수 있습니다. 이 설정의 권장 상태는 Administrators 입니다.키 경로: [권한]SeShutdownPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Administrators 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\사용자 권한 할당\시스템 종료 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 2.2.46 CIS WS2022 2.2.46 |
<= 관리자, 백업 연산자 (정책) |
Warning |
파일 또는 기타 개체의 소유권 가져오기 (CCE-38325-7) |
설명: 이 정책 설정을 통해 사용자는 파일, 폴더, 레지스트리 키, 프로세스 또는 스레드의 소유권을 가져올 수 있습니다. 이 사용자 권한은 지정된 사용자에게 소유권을 부여하기 위해 개체를 보호하기 위해 마련된 모든 권한을 무시합니다. 이 설정의 권장 상태는 Administrators 입니다.키 경로: [권한]SeTakeOwnershipPrivilege OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Administrators 설정합니다.컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\사용자 권한 할당\파일 또는 기타 개체의 소유권 가져오기 규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-93087 STIG WS2016 V-73803 CIS WS2019 2.2.48 CIS WS2022 2.2.48 |
= Administrators (정책) |
위험 |
인증 사용자 권한 후 클라이언트 가장은 관리자, 서비스, 로컬 서비스 및 네트워크 서비스에만 할당해야 함 (AZ-WIN-73785) |
설명: 이 정책 설정을 사용하면 사용자를 대신하여 실행되는 프로그램이 사용자를 대신하여 작동할 수 있도록 해당 사용자(또는 지정된 다른 계정)를 가장할 수 있습니다. 이러한 종류의 가장에 이 사용자 권한이 필요한 경우 권한 없는 사용자는 RPC(원격 프로시저 호출) 또는 해당 클라이언트를 가장하기 위해 만든 서비스에 명명된 파이프를 사용하여 클라이언트에 연결하도록 설득할 수 없습니다. 이렇게 하면 권한이 없는 사용자의 권한을 관리자 또는 시스템 수준으로 높일 수 있습니다. Service 제어 관리자에서 시작되는 서비스의 액세스 토큰에는 기본적으로 기본 제공 서비스 그룹이 추가되어 있습니다. COM 인프라에서 시작되고 특정 계정으로 실행되도록 구성된 COM 서버의 액세스 토큰에는 서비스 그룹도 추가되어 있습니다. 따라서 이 프로세스는 시작될 때 해당 사용자 권한이 할당됩니다. 또한 사용자는 다음 조건이 있는 경우 액세스 토큰을 가장할 수 있습니다. - 가장 중인 액세스 토큰이 이 사용자와 관련됩니다. - 사용자가 이 로그온 세션에서 명시적 자격 증명을 사용하여 네트워크에 로그온하여 액세스 토큰을 만들었습니다. - 요청된 수준이 익명 또는 확인과 같은 가장보다 낮습니다. 인증 후 클라이언트 가장 사용자 권한을 사용하는 공격자는 서비스를 만들고, 클라이언트를 속여 서비스에 연결하게 만든 다음, 해당 클라이언트를 가장하여 공격자의 액세스 수준을 클라이언트의 액세스 수준으로 높일 수 있습니다. 이 설정의 권장 상태는 Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE 입니다. 참고: 이 사용자 권한은 감사 목적으로 “중요한 권한”으로 간주됩니다. 참고 #2: Microsoft SQL Server 및 선택적 "Integration Services" 구성 요소가 설치된 멤버 서버에는 이 사용자에게 권한을 부여하기 위해 추가 SQL 생성 항목에 대한 이 권장 사항에 특별한 예외가 필요합니다.키 경로: [권한]SeImpersonatePrivilege OS: WS2016, WS2019 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: 컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\사용자 권한 할당\인증 후 클라이언트 가장 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 2.2.31 CIS WS2019 2.2.31 |
<= 관리자, 서비스, 로컬 서비스, 네트워크 서비스 (정책) |
Important |
Windows 구성 요소
속성 (ID) |
세부 정보 | 예상 값 (형식) |
심각도 |
---|---|---|---|
기본 인증 허용 (CCE-36254-1) |
설명: 이 정책 설정을 사용하면 WinRM(Windows 원격 관리) 서비스가 원격 클라이언트에서 기본 인증을 허용하는지 여부를 관리할 수 있습니다. 이 설정의 권장 상태는 Disabled 입니다.키 경로: SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowBasic OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Disabled 설정합니다.Computer Configuration\Policies\Administrative Templates\Windows Components\Windows Remote Management (WinRM)\WinRM Service\Allow Basic authentication 참고: 이 그룹 정책 경로는 모든 버전의 Microsoft Windows 관리 템플릿 WindowsRemoteManagement.admx/adml 에 포함된 그룹 정책 템플릿에서 제공됩니다.규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-93507 STIG WS2016 V-73599 CIS WS2019 18.9.102.1.1 CIS WS2022 18.9.102.2.1 |
없거나 = 0 (레지스트리) |
위험 |
진단 데이터 허용 (AZ-WIN-00169) |
설명: 이 정책 설정은 Microsoft에 보고된 진단 및 사용량 데이터의 양을 결정합니다. 값이 0이면 최소 데이터가 Microsoft로 전송됩니다. 이 데이터에는 MSRT(악성 소프트웨어 제거 도구) 및 Windows Defender 데이터(사용하도록 설정된 경우) 및 원격 분석 클라이언트 설정이 포함됩니다. 값을 0으로 설정하면 엔터프라이즈, EDU, IoT 및 서버 디바이스에만 적용됩니다. 다른 디바이스의 값을 0으로 설정하는 것은 1을 선택하는 것과 같습니다. 값 1은 기본적인 진단 및 사용량 데이터만 보냅니다. 값을 0 또는 1로 설정하면 디바이스의 특정 환경이 저하됩니다. 값이 2이면 향상된 진단 및 사용량 현황 데이터가 전송됩니다. 값 3은 2 값과 동일한 데이터와 문제를 일으킬 수 있는 파일 및 콘텐츠를 포함한 추가 진단 데이터를 보냅니다. Windows 10 원격 분석 설정은 Windows 운영 체제 및 일부 자사 앱에 적용됩니다. 이 설정은 Windows 10에서 실행되는 타사 앱에는 적용되지 않습니다. 이 설정의 권장 상태는 Enabled: 0 - Security [Enterprise Only] 입니다. 참고: "원격 분석 허용" 설정이 "0 - 보안 [엔터프라이즈 전용]"으로 구성된 경우 업그레이드 및 업데이트를 지연하는 Windows 업데이트 옵션이 적용되지 않습니다.키 경로: SOFTWARE\Policies\Microsoft\Windows\DataCollection\AllowTelemetry OS: WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 설정하거나 Enabled: Send required diagnostic data 다음 UI 경로를 Enabled: Diagnostic data off (not recommended) 설정합니다.컴퓨터 구성\정책\관리 템플릿\Windows 구성 요소\데이터 수집 및 미리 보기 빌드\진단 데이터 허용 참고: 이 그룹 정책 경로는 기본적으로 존재하지 않을 수 있습니다. Microsoft Windows 11 릴리스 21H2 관리 템플릿(이상)에 포함된 그룹 정책 템플릿 'DataCollection.admx/adml'에서 제공됩니다. 참고 #2: 이전 Microsoft Windows 관리 템플릿에서 이 설정은 처음에 원격 분석 허용으로 이름이 지정되었지만 Windows 11 릴리스 21H2 관리 템플릿부터 진단 데이터 허용으로 이름이 바뀌었습니다. 규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-93257 STIG WS2016 V-73551 CIS WS2019 18.9.17.1 CIS WS2022 18.9.17.1 |
>= 1 (레지스트리) |
Warning |
암호화된 파일의 인덱싱 허용 (CCE-38277-0) |
설명: 이 정책 설정은 암호화된 항목을 인덱싱할 수 있는지 여부를 제어합니다. 이 설정이 변경되면 인덱스가 완전히 다시 작성됩니다. 암호화된 파일에 대한 보안을 유지하려면 인덱스의 위치에 전체 볼륨 암호화(예: BitLocker 드라이브 암호화 또는 비 Microsoft 솔루션)를 사용해야 합니다. 이 설정의 권장 상태는 Disabled 입니다.키 경로: SOFTWARE\Policies\Microsoft\Windows\Windows Search\AllowIndexingEncryptedStoresOrItems OS: WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Disabled 설정합니다.컴퓨터 구성\정책\관리 템플릿\Windows 구성 요소\검색\암호화된 파일의 인덱싱 허용 참고: 이 그룹 정책 경로는 모든 버전의 Microsoft Windows 관리 템플릿 Search.admx/adml 에 포함된 그룹 정책 템플릿에서 제공됩니다.규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-93415 STIG WS2016 V-73581 CIS WS2019 18.9.67.3 CIS WS2022 18.9.67.3 |
없거나 = 0 (레지스트리) |
Warning |
Microsoft 계정이 선택 사항이 되도록 허용 (CCE-38354-7) |
설명: 이 정책 설정을 사용하면 Microsoft 계정이 로그인해야 하는 Windows 스토어 앱의 선택 사항인지 여부를 제어할 수 있습니다. 이 정책은 해당 정책을 지원하는 Windows 스토어 앱에만 영향을 줍니다. 이 정책 설정을 사용하면 일반적으로 Microsoft 계정이 로그인해야 하는 Windows 스토어 앱에서 사용자가 대신 엔터프라이즈 계정 로그인할 수 있습니다. 이 정책 설정을 사용하지 않거나 구성하지 않으면 사용자는 Microsoft 계정으로 로그인해야 합니다. 키 경로: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\MSAOptional OS: WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Enabled 설정합니다.Computer Configuration\Policies\Administrative Templates\Windows Components\App Runtime\Allow Microsoft accounts to be optional 참고: 이 그룹 정책 경로는 기본적으로 존재하지 않을 수 있습니다. Microsoft Windows 8.1 및 Server 2012 R2 관리 템플릿(이상)에 포함된 그룹 정책 템플릿 'AppXRuntime.admx/adml'에서 제공됩니다. 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 18.9.6.1 |
= 1 (레지스트리) |
Warning |
암호화되지 않은 트래픽 허용 (CCE-38223-4) |
설명: 이 정책 설정을 사용하면 WinRM(Windows 원격 관리) 서비스가 네트워크를 통해 암호화되지 않은 메시지를 보내고 받는지 여부를 관리할 수 있습니다. 이 설정의 권장 상태는 Disabled 입니다.키 경로: SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowUnencryptedTraffic OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Disabled 설정합니다.Computer Configuration\Policies\Administrative Templates\Windows Components\Windows Remote Management (WinRM)\WinRM Service\Allow unencrypted traffic 참고: 이 그룹 정책 경로는 모든 버전의 Microsoft Windows 관리 템플릿 WindowsRemoteManagement.admx/adml 에 포함된 그룹 정책 템플릿에서 제공됩니다.규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-93499 STIG WS2016 V-73601 CIS WS2019 18.9.102.1.2 CIS WS2022 18.9.102.1.2 CIS WS2019 18.9.102.2.3 CIS WS2022 18.9.102.2.3 |
없거나 = 0 (레지스트리) |
위험 |
사용자가 설치를 제어할 수 있도록 허용 (CCE-36400-0) |
설명: 일반적으로 시스템 관리자만 사용할 수 있는 설치 옵션을 사용자가 변경할 수 있도록 허용합니다. Windows Installer의 보안 기능을 통해 사용자는 일반적으로 시스템 관리자용으로 예약된 설치 옵션(예: 파일이 설치된 디렉터리 지정)을 변경할 수 없습니다. Windows Installer가 설치 패키지에서 사용자가 보호된 옵션을 변경할 수 있도록 허용한 것을 감지하면 설치를 중지하고 메시지를 표시합니다. 이러한 보안 기능은 설치 프로그램이 사용자에게 거부된 디렉터리에 대한 액세스 권한이 있는 권한 있는 보안 컨텍스트에서 실행되는 경우에만 작동합니다. 이 설정의 권장 상태는 Disabled 입니다.키 경로: SOFTWARE\Policies\Microsoft\Windows\Installer\EnableUserControl OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Disabled 설정합니다.Computer Configuration\Policies\Administrative Templates\Windows Components\Windows Installer\Allow user control over installs 참고: 이 그룹 정책 경로는 모든 버전의 Microsoft Windows 관리 템플릿 MSI.admx/adml 에 포함된 그룹 정책 템플릿에서 제공됩니다. 참고 #2: 이전 Microsoft Windows 관리 템플릿에서 이 설정은 설치에 대한 사용자 제어 사용이라는 이름이 지정되었지만 Windows 8.0 및 Server 2012(비 R2) 관리 템플릿부터 이름이 바뀌었습니다.규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-93199 STIG WS2016 V-73583 CIS WS2019 18.9.90.1 CIS WS2022 18.9.90.1 |
없거나 = 0 (레지스트리) |
위험 |
항상 관리자 권한으로 설치 (CCE-37490-0) |
설명: 이 설정은 Windows Installer가 시스템에 프로그램을 설치할 때 시스템 권한을 사용해야 하는지 여부를 제어합니다. 참고: 이 설정은 컴퓨터 구성 및 사용자 구성 폴더에 모두 표시됩니다. 이 설정을 적용하려면 두 폴더에서 모두 이 설정을 사용하도록 설정해야 합니다. 주의: 이 설정을 사용하면 숙련된 사용자는 이 설정이 부여하는 권한을 활용하여 자신의 권한을 변경하고 제한된 파일 및 폴더에 대한 영구적인 액세스 권한을 얻을 수 있습니다. 이 설정의 사용자 구성 버전이 안전하다고 보장할 수 없습니다. 이 설정의 권장 상태는 Disabled 입니다.키 경로: SOFTWARE\Policies\Microsoft\Windows\Installer\AlwaysInstallElevated OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Disabled 설정합니다.User Configuration\Policies\Administrative Templates\Windows Components\Windows Installer\Always install with elevated privileges 참고: 이 그룹 정책 경로는 모든 버전의 Microsoft Windows 관리 템플릿 MSI.admx/adml 에 포함된 그룹 정책 템플릿에서 제공됩니다.규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-93201 STIG WS2016 V-73585 CIS WS2019 18.9.90.2 CIS WS2022 18.9.90.2 |
없거나 = 0 (레지스트리) |
Warning |
연결 시 항상 암호 확인 (CCE-37929-7) |
설명: 이 정책 설정은 터미널 서비스에서 연결 시 항상 클라이언트 컴퓨터에 암호를 묻는 메시지를 표시할지 여부를 지정합니다. 이 정책 설정을 사용하여 원격 데스크톱 연결 클라이언트에서 이미 암호를 제공한 경우에도 터미널 서비스에 로그온하는 사용자에게 암호 프롬프트를 적용할 수 있습니다. 기본적으로 터미널 서비스는 사용자가 원격 데스크톱 연결 클라이언트에 암호를 입력하면 자동으로 로그온되도록 허용합니다. 참고: 이 정책 설정을 구성하지 않으면 로컬 컴퓨터 관리자는 터미널 서비스 구성 도구를 사용하여 암호가 자동으로 전송되는 것을 허용하거나 차단할 수 있습니다. 키 경로: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fPromptForPassword OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Enabled 설정합니다.Computer Configuration\Policies\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Security\Always prompt for password upon connection 참고: 이 그룹 정책 경로는 모든 버전의 Microsoft Windows 관리 템플릿에 포함된 그룹 정책 템플릿 'TerminalServer.admx/adml'에서 제공됩니다. 참고 #2: Microsoft Windows Vista 관리 템플릿에서 이 설정은 연결 시 Always prompt 클라이언트로 이름이 지정되었지만 Windows Server 2008(비 R2) 관리 템플릿부터 이름이 바뀌었습니다. 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 18.9.65.3.9.1 |
= 1 (레지스트리) |
위험 |
애플리케이션: 로그 파일이 최대 크기에 도달할 때 이벤트 로그 동작 제어 (CCE-37775-4) |
설명: 이 정책 설정은 로그 파일이 최대 크기에 도달할 때 이벤트 로그 동작을 제어합니다. 이 정책 설정을 사용하도록 설정하고 로그 파일이 최대 크기에 도달하면 새 이벤트가 로그에 기록되지 않고 손실됩니다. 이 정책 설정을 사용하지 않거나 구성하지 않고 로그 파일이 최대 크기에 도달하면 새 이벤트가 이전 이벤트를 덮어씁니다. 참고: 기존 이벤트는 “꽉 차면 자동으로 로그 백업” 정책 설정에 따라 보존 여부가 결정됩니다. 키 경로: SOFTWARE\Policies\Microsoft\Windows\EventLog\Application\Retention OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Disabled 설정합니다.로그 파일이 최대 크기에 도달하면 Computer Configuration\Policies\Administrative Templates\Windows Components\Event Log Service\Application\Control 이벤트 로그 동작 참고: 이 그룹 정책 경로는 모든 버전의 Microsoft Windows 관리 템플릿에 포함된 그룹 정책 템플릿 'EventLog.admx/adml'에서 제공됩니다. 참고 #2: 이전 Microsoft Windows 관리 템플릿에서 이 설정은 처음에 이전 이벤트 보존이라고 명명되었지만 Windows 8.0 및 Server 2012(비 R2) 관리 템플릿부터 이름이 바뀌었습니다. 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 18.9.27.1.1 |
없거나 = 0 (레지스트리) |
위험 |
애플리케이션: 최대 로그 파일 크기 지정(KB) (CCE-37948-7) |
설명: 이 정책 설정은 로그 파일의 최대 크기(KB)를 지정합니다. 이 정책 설정을 사용하면 최대 로그 파일 크기를 1MB(1024킬로바이트)에서 2테라바이트(2147483647 킬로바이트) 사이로 구성할 수 있습니다. 이 정책 설정을 사용하지 않거나 구성하지 않으면 로그 파일의 최대 크기가 로컬로 구성된 값으로 설정됩니다. 이 값은 로그 속성 대화 상자를 사용하여 로컬 관리자가 변경할 수 있으며 기본값은 20MB입니다. 키 경로: SOFTWARE\Policies\Microsoft\Windows\EventLog\Application\MaxSize OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Enabled: 32,768 or greater 설정합니다.Computer Configuration\Policies\Administrative Templates\Windows Components\Event Log Service\Application\Specify the maximum log file size (KB) 참고: 이 그룹 정책 경로는 모든 버전의 Microsoft Windows 관리 템플릿에 포함된 그룹 정책 템플릿 'EventLog.admx/adml'에서 제공됩니다. 참고 #2: 이전 Microsoft Windows 관리 템플릿에서 이 설정의 이름은 처음에 KB(최대 로그 크기)로 지정되었지만 Windows 8.0 및 Server 2012(R2가 아닌) 관리 템플릿부터 이름이 바뀌었습니다. 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 18.9.27.1.2 |
>= 32768 (레지스트리) |
위험 |
모든 소비자 Microsoft 계정 사용자 인증 차단 (AZ-WIN-20198) |
설명: 이 설정은 디바이스의 애플리케이션 및 서비스가 Windows OnlineID 및 WebAccountManager API를 통해 새 소비자 Microsoft 계정 인증을 활용할 수 있는지 여부를 결정합니다. 이 설정의 권장 상태는 Enabled 입니다.키 경로: SOFTWARE\Policies\Microsoft\MicrosoftAccount\DisableUserAuth OS: WS2016, WS2019 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: 컴퓨터 구성\정책\관리 템플릿\Windows 구성 요소\Microsoft 계정\모든 소비자 Microsoft 계정 사용자 인증 차단 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 18.9.46.1 CIS WS2019 18.9.46.1 |
= 1 (레지스트리) |
위험 |
Microsoft MAPS에 보고하기 위한 로컬 설정 재정의 구성 (AZ-WIN-00173) |
설명: 이 정책 설정은 Microsoft MAPS에 가입하도록 구성에 대한 로컬 재정의를 구성합니다. 이 설정은 그룹 정책에서만 설정할 수 있습니다. 이 설정을 사용하도록 설정하면 로컬 기본 설정이 그룹 정책보다 우선적으로 적용됩니다. 이 설정을 사용하지 않도록 설정하거나 구성하지 않으면 그룹 정책이 로컬 기본 설정보다 우선적으로 적용됩니다. 키 경로: SOFTWARE\Policies\Microsoft\Windows Defender\SpyNet\LocalSettingOverrideSpynetReporting OS: WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Disabled 설정합니다.컴퓨터 구성\정책\관리 템플릿\Windows 구성 요소\Windows Defender 바이러스 백신\MAPS\Microsoft MAPS에 보고하기 위한 로컬 설정 재정의 구성 참고: 이 그룹 정책 경로는 기본적으로 존재하지 않을 수 있습니다. Microsoft Windows 8.1 및 Server 2012 R2 관리 템플릿 WindowsDefender.admx/adml (이상)에 포함된 그룹 정책 템플릿에서 제공됩니다.규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 18.9.47.4.1 CIS WS2022 18.9.47.4.1 |
없거나 = 0 (레지스트리) |
Warning |
Windows SmartScreen 구성 (CCE-35859-8) |
설명: 이 정책 설정을 사용하면 Windows SmartScreen의 동작을 관리할 수 있습니다. Windows SmartScreen을 사용하면 인터넷에서 다운로드한 인식할 수 없는 프로그램을 실행하기 전에 사용자에게 경고하여 PC를 더 안전하게 유지할 수 있습니다. 이 기능을 사용하는 PC에서 실행되는 파일 및 프로그램에 대한 일부 정보가 Microsoft에 전송됩니다. 이 정책 설정을 사용하면 다음 옵션 중 하나를 설정하여 Windows SmartScreen 동작을 제어할 수 있습니다. * 다운로드한 알 수 없는 소프트웨어를 실행하기 전에 사용자에게 경고 표시 * 이 정책 설정을 사용하지 않거나 구성하지 않으면 Windows SmartScreen 동작은 보안 및 유지 관리에서 Windows SmartScreen 설정을 사용하여 PC의 관리자가 관리합니다. 옵션: * 다운로드한 알 수 없는 소프트웨어를 실행하기 전에 사용자에게 경고 표시 * SmartScreen 끄기 키 경로: SOFTWARE\Policies\Microsoft\Windows\System\EnableSmartScreen OS: WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 Enabled 다음으로 설정합니다. 경고 및 무시 방지: 컴퓨터 구성\정책\관리 템플릿\Windows 구성 요소\Windows Defender SmartScreen\Explorer\Windows Defender SmartScreen 구성 참고: 이 그룹 정책 경로는 기본적으로 존재하지 않을 수 있습니다. Microsoft Windows 8.0 및 Server 2012(비 R2) 관리 템플릿(또는 그 이상)에 포함된 그룹 정책 템플릿 WindowsExplorer.admx/adml에서 제공됩니다. 참고 #2: 이전 Microsoft Windows 관리 템플릿에서 이 설정은 처음에 Windows SmartScreen 구성이라는 이름이 지정되었지만 Windows 10 릴리스 1703 관리 템플릿부터 이름이 바뀌었습니다.규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 18.9.85.1.1 |
= 1 (레지스트리) |
Warning |
기본 RDP 포트의 변경 감지 (AZ-WIN-00156) |
설명: 이 설정은 원격 데스크톱 연결을 수신 대기하는 네트워크 포트가 기본 3389에서 변경되었는지 여부를 결정합니다. 키 경로: System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: 해당 없음 규정 준수 표준 매핑: |
= 3389 (레지스트리) |
위험 |
Windows Search 서비스 사용 안 함 (AZ-WIN-00176) |
설명: 이 레지스트리 설정은 Windows Search 서비스를 사용하지 않도록 설정합니다. 키 경로: System\CurrentControlSet\Services\Wsearch\Start OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: 해당 없음 규정 준수 표준 매핑: |
없거나 = 4 (레지스트리) |
위험 |
볼륨이 아닌 디바이스에 대한 자동 실행 허용 (CCE-37636-8) |
설명: 이 정책 설정은 카메라 또는 휴대폰과 같은 MTP 디바이스에 대한 자동 실행을 허용하지 않습니다. 이 정책 설정을 사용하면 카메라 또는 휴대폰과 같은 MTP 디바이스에 대해 자동 실행이 허용되지 않습니다. 이 정책 설정을 사용하지 않거나 구성하지 않으면 볼륨이 아닌 디바이스에 대해 자동 실행이 활성화됩니다. 키 경로: SOFTWARE\Policies\Microsoft\Windows\Explorer\NoAutoplayfornonVolume OS: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Enabled 설정합니다.Computer Configuration\Policies\Administrative Templates\Windows Components\AutoPlay Policies\Disallow Autoplay for non-volume devices 참고: 이 그룹 정책 경로는 기본적으로 존재하지 않을 수 있습니다. Microsoft Windows 8.0 및 Server 2012(비 R2) 관리 템플릿(또는 그 이상)에 포함된 그룹 정책 템플릿 'AutoPlay.admx/adml'에서 제공됩니다. 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 18.9.8.1 |
= 1 (레지스트리) |
위험 |
다이제스트 인증 허용 불가 (CCE-38318-2) |
설명: 이 정책 설정을 사용하여 WinRM(Windows 원격 관리) 클라이언트의 다이제스트 인증 사용 여부를 관리할 수 있습니다. 이 설정의 권장 상태는 Enabled 입니다.키 경로: SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowDigest OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Enabled 설정합니다.Computer Configuration\Policies\Administrative Templates\Windows Components\Windows Remote Management (WinRM)\WinRM Client\Disallow Digest authentication 참고: 이 그룹 정책 경로는 모든 버전의 Microsoft Windows 관리 템플릿 WindowsRemoteManagement.admx/adml 에 포함된 그룹 정책 템플릿에서 제공됩니다.규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-93505 STIG WS2016 V-73597 CIS WS2019 18.9.102.1.3 CIS WS2022 18.9.102.1.3 |
= 0 (레지스트리) |
위험 |
WinRM이 RunAs 자격 증명을 저장하지 못하도록 허용 (CCE-36000-8) |
설명: 이 정책 설정을 사용하여 WinRM(Windows Remote Management) 서비스가 플러그 인에 대해 RunAs 자격 증명이 저장되도록 허용하지 않을 것인지 여부를 관리할 수 있습니다. 이 정책 설정을 사용하면 WinRM 서비스는 플러그 인에 대해 RunAsUser 또는 RunAsPassword 구성 값이 설정되도록 허용하지 않습니다. 플러그 인의 RunAsUser 및 RunAsPassword 구성 값이 이미 설정되어 있으면 RunAsPassword 구성 값은 이 컴퓨터의 자격 증명 저장소에서 지워집니다. 이 정책 설정을 사용하지 않거나 구성하지 않으면 WinRM 서비스에서 플러그 인에 대해 RunAsUser 및 RunAsPassword 구성 값을 설정할 수 있으며 RunAsPassword 값은 안전하게 저장됩니다. 이 정책 설정을 사용하도록 설정한 다음 사용하지 않도록 설정하면 이전에 RunAsPassword에 대해 구성한 값을 다시 설정해야 합니다. 키 경로: SOFTWARE\Policies\Microsoft\Windows\WinRM\Service\DisableRunAs OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Enabled 설정합니다.Computer Configuration\Policies\Administrative Templates\Windows Components\Windows Remote Management (WinRM)\WinRM Service\Disallow WinRM from storing RunAs credentials 참고: 이 그룹 정책 경로는 기본적으로 존재하지 않을 수 있습니다. Microsoft Windows 8.0 및 Server 2012(비 R2) 관리 템플릿(이상)에 포함된 그룹 정책 템플릿 'WindowsRemoteManagement.admx/adml'에서 제공됩니다. 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 18.9.102.2.4 |
= 1 (레지스트리) |
위험 |
암호 저장 허용 안 함 (CCE-36223-6) |
설명: 이 정책 설정은 터미널 서비스 클라이언트가 컴퓨터에서 암호를 저장하지 못하도록 하는 데 도움이 됩니다. 참고: 이전에 이 정책 설정을 [사용 안 함] 또는 [구성되지 않음]으로 구성한 경우 터미널 서비스 클라이언트가 처음으로 서버 연결을 끊을 때 이전에 저장한 암호가 삭제됩니다. 키 경로: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\DisablePasswordSaving OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Enabled 설정합니다.컴퓨터 구성\정책\관리 템플릿\Windows 구성 요소\원격 데스크톱 서비스\원격 데스크톱 연결 클라이언트\암호를 저장할 수 없습니다. 참고: 이 그룹 정책 경로는 모든 버전의 Microsoft Windows 관리 템플릿에 포함된 그룹 정책 템플릿 'TerminalServer.admx/adml'에서 제공됩니다. 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 18.9.65.2.2 |
= 1 (레지스트리) |
위험 |
종료 시 임시 폴더를 삭제하지 않음 (CCE-37946-1) |
설명: 이 정책 설정은 원격 데스크톱 서비스가 로그오프 시 사용자의 세션별 임시 폴더를 유지할지 여부를 지정합니다. 이 설정의 권장 상태는 Disabled 입니다.키 경로: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\DeleteTempDirsOnExit OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Disabled 설정합니다.컴퓨터 구성\정책\관리 템플릿\Windows 구성 요소\원격 데스크톱 서비스\원격 데스크톱 세션 호스트\임시 폴더\종료 시 임시 폴더 삭제 안 함 참고: 이 그룹 정책 경로는 모든 버전의 Microsoft Windows 관리 템플릿에 포함된 그룹 정책 템플릿 'TerminalServer.admx/adml'에서 제공됩니다. 참고 #2: 이전 Microsoft Windows 관리 템플릿에서 이 설정은 종료 시 임시 폴더 삭제 안 함이라는 이름이 지정되었지만 Windows 8.0 및 Server 2012(비 R2) 관리 템플릿부터 이름이 바뀌었습니다. 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 18.9.65.3.11.1 |
없거나 = 1 (레지스트리) |
Warning |
암호 표시 단추 표시 안 함 (CCE-37534-5) |
설명: 이 정책 설정을 사용하면 암호 입력 사용자 환경에서 암호 표시 단추의 표시를 구성할 수 있습니다. 이 설정의 권장 상태는 Enabled 입니다.키 경로: SOFTWARE\Policies\Microsoft\Windows\CredUI\DisablePasswordReveal OS: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Enabled 설정합니다.컴퓨터 구성\정책\관리 템플릿\Windows 구성 요소\자격 증명 사용자 인터페이스\암호 표시 단추 표시 안 함 참고: 이 그룹 정책 경로는 기본적으로 존재하지 않을 수 있습니다. Microsoft Windows 8.0 및 Server 2012(비 R2) 관리 템플릿(이상)에 포함된 그룹 정책 템플릿 'CredUI.admx/adml'에서 제공됩니다. 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 18.9.16.1 |
= 1 (레지스트리) |
Warning |
피드백 알림 표시 안 함 (AZ-WIN-00140) |
설명: 이 정책 설정을 통해 조직은 디바이스에서 Microsoft의 피드백 질문을 표시하지 못하도록 할 수 있습니다. 이 정책 설정을 사용하면 Windows 피드백 앱을 통해 더 이상 피드백 알림이 사용자에게 표시되지 않습니다. 이 정책 설정을 사용하지 않거나 구성하지 않으면 사용자에게 피드백을 요청하는 Windows 피드백 앱을 통해 알림이 표시 될 수 있습니다. 참고: 이 정책 설정을 사용 또는 구성하지 않으면 사용자가 피드백 질문을 받는 빈도를 제어할 수 있습니다. 키 경로: SOFTWARE\Policies\Microsoft\Windows\DataCollection\DoNotShowFeedbackNotifications OS: WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Enabled 설정합니다.컴퓨터 구성\정책\관리 템플릿\Windows 구성 요소\데이터 수집 및 미리 보기 빌드\피드백 알림 표시 안 함 참고: 이 그룹 정책 경로는 기본적으로 존재하지 않을 수 있습니다. Microsoft Windows 10 릴리스 1511 관리 템플릿(이상)에 포함된 그룹 정책 템플릿 'FeedbackNotifications.admx/adml'에서 제공됩니다. 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 18.9.17.4 |
= 1 (레지스트리) |
위험 |
세션당 임시 폴더 사용 안 함 (CCE-38180-6) |
설명: 기본적으로 원격 데스크톱 서비스는 사용자가 RD 세션 호스트 서버에서 유지 관리하는 각 활성 세션에 대해 RD 세션 호스트 서버에 별도의 임시 폴더를 만듭니다. 임시 폴더는 사용자 프로필 폴더의 Temp 폴더에 있는 RD 세션 호스트 서버에 만들어지고 "sessionid"라는 이름이 지정됩니다. 이 임시 폴더는 개별 임시 파일을 저장하는 데 사용됩니다. 디스크 공간을 회수하기 위해 사용자가 세션에서 로그오프할 때 임시 폴더가 삭제됩니다. 이 설정의 권장 상태는 Disabled 입니다.키 경로: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\PerSessionTempDir OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Disabled 설정합니다.컴퓨터 구성\정책\관리 템플릿\Windows 구성 요소\원격 데스크톱 서비스\원격 데스크톱 세션 호스트\임시 폴더\세션당 임시 폴더 사용 안 함 참고: 이 그룹 정책 경로는 모든 버전의 Microsoft Windows 관리 템플릿에 포함된 그룹 정책 템플릿 'TerminalServer.admx/adml'에서 제공됩니다. 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 18.9.65.3.11.2 |
없거나 = 1 (레지스트리) |
위험 |
권한 상승 시 관리자 계정 열거 (CCE-36512-2) |
설명: 이 정책 설정은 사용자가 실행 중인 애플리케이션을 승격하려고 할 때 관리자 계정이 표시되는지 여부를 제어합니다. 이 설정의 권장 상태는 Disabled 입니다.키 경로: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\CredUI\EnumerateAdministrators OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Disabled 설정합니다.Computer Configuration\Policies\Administrative Templates\Windows Components\Credential User Interface\Enumerate administrator accounts on elevation 참고: 이 그룹 정책 경로는 모든 버전의 Microsoft Windows 관리 템플릿 CredUI.admx/adml 에 포함된 그룹 정책 템플릿에서 제공됩니다.규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-93517 STIG WS2016 V-73487 CIS WS2019 18.9.16.2 CIS WS2022 18.9.16.2 |
없거나 = 0 (레지스트리) |
Warning |
엔클로저 다운로드 방지 (CCE-37126-0) |
설명: 이 정책 설정은 사용자가 피드에서 사용자의 컴퓨터로 엔클로저(파일 첨부 파일)를 다운로드할 수 없도록 합니다. 이 설정의 권장 상태는 Enabled 입니다.키 경로: SOFTWARE\Policies\Microsoft\Internet Explorer\Feeds\DisableEnclosureDownload OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Enabled 설정합니다.컴퓨터 구성\정책\관리 템플릿\Windows 구성 요소\RSS 피드\엔클로저 다운로드 방지 참고: 이 그룹 정책 경로는 모든 버전의 Microsoft Windows 관리 템플릿에 포함된 그룹 정책 템플릿 'InetRes.admx/adml'에서 제공됩니다. 참고 #2: 이전 Microsoft Windows 관리 템플릿에서 이 설정은 엔클로저 다운로드 끄기라고 명명되었지만 Windows 8.0 및 Server 2012(비 R2) 관리 템플릿부터 이름이 바뀌었습니다. 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 18.9.66.1 |
= 1 (레지스트리) |
Warning |
안전한 RPC 통신 필요 (CCE-37567-5) |
설명: 원격 데스크톱 세션 호스트 서버에서 모든 클라이언트와 보안 RPC 통신이 필요한지 또는 보안되지 않는 통신을 허용하는지 여부를 지정합니다. 이 설정을 사용하여 인증된 요청과 암호화된 요청만 허용하여 클라이언트와의 RPC 통신 보안을 강화할 수 있습니다. 상태가 Enabled로 설정된 경우 원격 데스크톱 서비스는 보안 요청을 지원하는 RPC 클라이언트의 요청을 수락하고 신뢰할 수 없는 클라이언트와의 보안되지 않은 통신을 허용하지 않습니다. 상태가 사용 안 함으로 설정된 경우 원격 데스크톱 서비스는 항상 모든 RPC 트래픽에 대한 보안을 요청합니다. 그러나 요청에 응답하지 않는 RPC 클라이언트에는 보안되지 않은 통신이 허용됩니다. 상태가 구성되지 않음으로 설정된 경우 보안되지 않은 통신이 허용됩니다. 참고: RPC 인터페이스는 원격 데스크톱 서비스를 관리하고 구성하는 데 사용됩니다. 키 경로: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fEncryptRPCTraffic OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Enabled 설정합니다.컴퓨터 구성\정책\관리 템플릿\Windows 구성 요소\원격 데스크톱 서비스\원격 데스크톱 세션 호스트\보안\보안 RPC 통신 필요 참고: 이 그룹 정책 경로는 모든 버전의 Microsoft Windows 관리 템플릿에 포함된 그룹 정책 템플릿 'TerminalServer.admx/adml'에서 제공됩니다. 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 18.9.65.3.9.2 |
= 1 (레지스트리) |
위험 |
네트워크 수준 인증을 사용하여 원격 연결에 대한 사용자 인증 필요 (AZ-WIN-00149) |
설명: 네트워크 수준 인증을 사용하여 원격 연결에 대한 사용자 인증 필요 키 경로: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\UserAuthentication OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Enabled 설정합니다.컴퓨터 구성\정책\관리 템플릿\Windows 구성 요소\원격 데스크톱 서비스\원격 데스크톱 세션 호스트\보안\네트워크 수준 인증을 사용하여 원격 연결에 대한 사용자 인증 필요 참고: 이 그룹 정책 경로는 모든 버전의 Microsoft Windows 관리 템플릿에 포함된 그룹 정책 템플릿 'TerminalServer.admx/adml'에서 제공됩니다. 참고 #2: Microsoft Windows Vista 관리 템플릿에서 이 설정은 처음에 원격 연결에 RDP 6.0을 사용하여 사용자 인증 필요로 명명되었지만 Windows Server 2008(R2가 아닌) 관리 템플릿부터 이름이 바뀌었습니다. 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 18.9.65.3.9.4 |
없거나 = 1 (레지스트리) |
위험 |
이동식 드라이브 검색 (AZ-WIN-00177) |
설명: 이 정책 설정을 사용하면 전체 검사를 실행할 때 USB 플래시 드라이브와 같은 이동식 드라이브의 콘텐츠에서 악성 소프트웨어 및 원치 않는 소프트웨어를 검색할지 여부를 관리할 수 있습니다. 이 설정을 사용하면 모든 유형의 검사 중에 이동식 드라이브가 검색됩니다. 이 설정을 사용하지 않거나 구성하지 않으면 전체 검사 도중에 이동식 드라이브가 검사되지 않습니다. 이동식 드라이브는 빠른 검색 및 사용자 지정 검사 중에 계속 검사될 수 있습니다. 키 경로: SOFTWARE\Policies\Microsoft\Windows Defender\Scan\DisableRemovableDriveScanning OS: WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Enabled 설정합니다.Computer Configuration\Policies\Administrative Templates\Windows Components\Windows Defender Antivirus\Scan\Scan 이동식 드라이브 참고: 이 그룹 정책 경로는 기본적으로 존재하지 않을 수 있습니다. Microsoft Windows 8.1 및 Server 2012 R2 관리 템플릿 WindowsDefender.admx/adml (이상)에 포함된 그룹 정책 템플릿에서 제공됩니다.규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 18.9.47.12.1 CIS WS2022 18.9.47.12.1 |
= 0 (레지스트리) |
위험 |
보안: 로그 파일이 최대 크기에 도달할 때 이벤트 로그 동작 제어 (CCE-37145-0) |
설명: 이 정책 설정은 로그 파일이 최대 크기에 도달할 때 이벤트 로그 동작을 제어합니다. 이 정책 설정을 사용하도록 설정하고 로그 파일이 최대 크기에 도달하면 새 이벤트가 로그에 기록되지 않고 손실됩니다. 이 정책 설정을 사용하지 않거나 구성하지 않고 로그 파일이 최대 크기에 도달하면 새 이벤트가 이전 이벤트를 덮어씁니다. 참고: 기존 이벤트는 “꽉 차면 자동으로 로그 백업” 정책 설정에 따라 보존 여부가 결정됩니다. 키 경로: SOFTWARE\Policies\Microsoft\Windows\EventLog\Security\Retention OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Disabled 설정합니다.로그 파일이 최대 크기에 도달하면 Computer Configuration\Policies\Administrative Templates\Windows Components\Event Log Service\Security\Control 이벤트 로그 동작 참고: 이 그룹 정책 경로는 모든 버전의 Microsoft Windows 관리 템플릿에 포함된 그룹 정책 템플릿 'EventLog.admx/adml'에서 제공됩니다. 참고 #2: 이전 Microsoft Windows 관리 템플릿에서 이 설정은 처음에 이전 이벤트 보존이라고 명명되었지만 Windows 8.0 및 Server 2012(비 R2) 관리 템플릿부터 이름이 바뀌었습니다. 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 18.9.27.2.1 |
없거나 = 0 (레지스트리) |
위험 |
보안: 최대 로그 파일 크기 지정(KB) (CCE-37695-4) |
설명: 이 정책 설정은 로그 파일의 최대 크기(KB)를 지정합니다. 이 정책 설정을 사용하면 최대 로그 파일 크기를 1메가바이트(1024킬로바이트)에서 2테라바이트(2,147,483,647킬로바이트) 사이로 구성할 수 있습니다. 이 정책 설정을 사용하지 않거나 구성하지 않으면 로그 파일의 최대 크기가 로컬로 구성된 값으로 설정됩니다. 이 값은 로그 속성 대화 상자를 사용하여 로컬 관리자가 변경할 수 있으며 기본값은 20MB입니다. 키 경로: SOFTWARE\Policies\Microsoft\Windows\EventLog\Security\MaxSize OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Enabled: 196,608 or greater 설정합니다.컴퓨터 구성\정책\관리 템플릿\Windows 구성 요소\이벤트 로그 서비스\보안\최대 로그 파일 크기 지정(KB) 참고: 이 그룹 정책 경로는 모든 버전의 Microsoft Windows 관리 템플릿에 포함된 그룹 정책 템플릿 'EventLog.admx/adml'에서 제공됩니다. 참고 #2: 이전 Microsoft Windows 관리 템플릿에서 이 설정의 이름은 처음에 KB(최대 로그 크기)로 지정되었지만 Windows 8.0 및 Server 2012(R2가 아닌) 관리 템플릿부터 이름이 바뀌었습니다. 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 18.9.27.2.2 |
>= 196608 (레지스트리) |
위험 |
추가 분석이 필요할 때 파일 샘플 전송 (AZ-WIN-00126) |
설명: 이 정책 설정은 MAPS 원격 분석에 대한 옵트인을 설정할 때 샘플 제출의 동작을 구성합니다. 가능한 옵션은 다음과 같습니다. (0x0) 항상 확인 (0x1) 자동으로 안전한 샘플 보내기 (0x2) 보내지 않음 (0x3) 자동으로 모든 샘플 보내기 키 경로: SOFTWARE\Policies\Microsoft\Windows Defender\SpyNet\SubmitSamplesConsent OS: WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: 컴퓨터 구성\관리 템플릿\Windows 구성 요소\Microsoft Defender 바이러스 백신\MAPS\추가 분석이 필요한 경우 파일 샘플 보내기 규정 준수 표준 매핑: |
= 1 (레지스트리) |
Warning |
클라이언트 연결 암호화 수준 설정 (CCE-36627-8) |
설명: 이 정책 설정은 원격 연결을 곧 호스트하는 컴퓨터가 원격 세션의 클라이언트 컴퓨터와 주고 받는 모든 데이터에 암호화 수준을 적용할지 여부를 지정합니다. 키 경로: SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\MinEncryptionLevel OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Enabled: High Level 설정합니다.컴퓨터 구성\정책\관리 템플릿\Windows 구성 요소\원격 데스크톱 서비스\원격 데스크톱 세션 호스트\보안\클라이언트 연결 암호화 수준 설정 참고: 이 그룹 정책 경로는 모든 버전의 Microsoft Windows 관리 템플릿에 포함된 그룹 정책 템플릿 'TerminalServer.admx/adml'에서 제공됩니다. 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 18.9.65.3.9.5 |
없거나 = 3 (레지스트리) |
위험 |
자동 실행의 기본 동작 설정 (CCE-38217-6) |
설명: 이 정책 설정은 자동 실행 명령의 기본 동작을 설정합니다. 자동 실행 명령은 일반적으로 autorun.inf 파일에 저장됩니다. 종종 설치 프로그램 또는 기타 루틴을 시작합니다. Windows Vista 이전에는 자동 실행 명령이 포함된 미디어가 삽입되면 시스템에서 사용자 개입 없이 프로그램을 자동으로 실행합니다. 이 경우 사용자 모르게 코드가 실행될 수 있으므로 중요한 보안 문제가 발생합니다. Windows Vista부터는 기본적으로 자동 실행 명령을 실행할지 묻는 메시지가 표시됩니다. 자동 실행 명령은 자동 실행 대화 상자에서 처리기로 표시됩니다. 이 정책 설정을 사용하면 관리자는 Windows Vista 이상의 자동 실행에 대한 기본 동작을 다음과 같이 변경할 수 있습니다. a) 자동 실행 명령을 완전히 사용 안 함 b) 자동 실행 명령을 자동으로 실행하는 Windows Vista 이전 동작으로 되돌리기 이 정책 설정을 사용하지 않거나 구성하지 않으면 Windows Vista 이상이 사용자에게 자동 실행 명령을 실행할지 여부를 묻는 메시지를 표시합니다. 키 경로: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoAutorun OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Enabled: Do not execute any autorun commands 설정합니다.Computer Configuration\Policies\Administrative Templates\Windows Components\AutoPlay Policies\Set the default behavior for AutoRun 참고: 이 그룹 정책 경로는 기본적으로 존재하지 않을 수 있습니다. Microsoft Windows 8.0 및 Server 2012(비 R2) 관리 템플릿(또는 그 이상)에 포함된 그룹 정책 템플릿 'AutoPlay.admx/adml'에서 제공됩니다. 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 18.9.8.2 |
= 1 (레지스트리) |
위험 |
설치: 로그 파일이 최대 크기에 도달할 때 이벤트 로그 동작 제어 (CCE-38276-2) |
설명: 이 정책 설정은 로그 파일이 최대 크기에 도달할 때 이벤트 로그 동작을 제어합니다. 이 정책 설정을 사용하도록 설정하고 로그 파일이 최대 크기에 도달하면 새 이벤트가 로그에 기록되지 않고 손실됩니다. 이 정책 설정을 사용하지 않거나 구성하지 않고 로그 파일이 최대 크기에 도달하면 새 이벤트가 이전 이벤트를 덮어씁니다. 참고: 기존 이벤트는 “꽉 차면 자동으로 로그 백업” 정책 설정에 따라 보존 여부가 결정됩니다. 키 경로: SOFTWARE\Policies\Microsoft\Windows\EventLog\Setup\Retention OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Disabled 설정합니다.로그 파일이 최대 크기에 도달하면 Computer Configuration\Policies\Administrative Templates\Windows Components\Event Log Service\Setup\Control 이벤트 로그 동작 참고: 이 그룹 정책 경로는 모든 버전의 Microsoft Windows 관리 템플릿에 포함된 그룹 정책 템플릿 'EventLog.admx/adml'에서 제공됩니다. 참고 #2: 이전 Microsoft Windows 관리 템플릿에서 이 설정은 처음에 이전 이벤트 보존이라고 명명되었지만 Windows 8.0 및 Server 2012(비 R2) 관리 템플릿부터 이름이 바뀌었습니다. 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 18.9.27.3.1 |
없거나 = 0 (레지스트리) |
위험 |
설정: 최대 로그 파일 크기(KB) 지정 (CCE-37526-1) |
설명: 이 정책 설정은 로그 파일의 최대 크기(KB)를 지정합니다. 이 정책 설정을 사용하면 최대 로그 파일 크기를 1메가바이트(1024킬로바이트)에서 2테라바이트(2,147,483,647킬로바이트) 사이로 구성할 수 있습니다. 이 정책 설정을 사용하지 않거나 구성하지 않으면 로그 파일의 최대 크기가 로컬로 구성된 값으로 설정됩니다. 이 값은 로그 속성 대화 상자를 사용하여 로컬 관리자가 변경할 수 있으며 기본값은 20MB입니다. 키 경로: SOFTWARE\Policies\Microsoft\Windows\EventLog\Setup\MaxSize OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Enabled: 32,768 or greater 설정합니다.Computer Configuration\Policies\Administrative Templates\Windows Components\Event Log Service\Setup\Specify the maximum log file size (KB) 참고: 이 그룹 정책 경로는 모든 버전의 Microsoft Windows 관리 템플릿에 포함된 그룹 정책 템플릿 'EventLog.admx/adml'에서 제공됩니다. 참고 #2: 이전 Microsoft Windows 관리 템플릿에서 이 설정의 이름은 처음에 KB(최대 로그 크기)로 지정되었지만 Windows 8.0 및 Server 2012(R2가 아닌) 관리 템플릿부터 이름이 바뀌었습니다. 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 18.9.27.3.2 |
>= 32768 (레지스트리) |
위험 |
시스템에서 시작된 재시작 후 최종 대화형 사용자로 자동 로그인 (CCE-36977-7) |
설명: 이 정책 설정은 Windows 업데이트 시스템을 다시 시작한 후 디바이스가 마지막 대화형 사용자에게 자동으로 로그인할지 여부를 제어합니다. 이 설정의 권장 상태는 Disabled 입니다.키 경로: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableAutomaticRestartSignOn OS: WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 로 설정합니다. Disabled: 컴퓨터 구성\정책\관리 템플릿\Windows 구성 요소\Windows 로그온 옵션\시스템 시작 다시 시작 후 자동으로 마지막 대화형 사용자 로그인 참고: 이 그룹 정책 경로는 기본적으로 존재하지 않을 수 있습니다. Microsoft Windows 8.1 및 Server 2012 R2 관리 템플릿 WinLogon.admx/adml (이상)에 포함된 그룹 정책 템플릿에서 제공됩니다.규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-93269 STIG WS2016 V-73589 CIS WS2019 18.9.86.1 CIS WS2022 18.9.86.1 |
= 1 (레지스트리) |
위험 |
정의 업데이트를 확인하는 간격 지정 (AZ-WIN-00152) |
설명: 이 정책 설정을 사용하면 정의 업데이트를 확인할 간격을 지정할 수 있습니다. 시간 값은 업데이트 검사 사이의 시간 수로 표시됩니다. 유효한 값의 범위는 1(매시간)에서 24(하루에 한 번)까지입니다. 이 설정을 사용하면 지정된 간격으로 정의 업데이트를 확인합니다. 이 설정을 사용하지 않거나 구성하지 않으면 기본 간격으로 정의 업데이트 확인이 수행됩니다. 키 경로: SOFTWARE\Microsoft\Microsoft Antimalware\Signature Updates\SignatureUpdateInterval OS: WS2008, WS2008R2, WS2012, WS2012R2 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: 컴퓨터 구성\관리 템플릿\Windows 구성 요소\Microsoft Defender 바이러스 백신\보안 인텔리전스 업데이트\보안 인텔리전스 업데이트를 확인할 간격 지정 규정 준수 표준 매핑: |
= 8 (레지스트리) |
위험 |
시스템: 로그 파일이 최대 크기에 도달할 때 이벤트 로그 동작 제어 (CCE-36160-0) |
설명: 이 정책 설정은 로그 파일이 최대 크기에 도달할 때 이벤트 로그 동작을 제어합니다. 이 정책 설정을 사용하도록 설정하고 로그 파일이 최대 크기에 도달하면 새 이벤트가 로그에 기록되지 않고 손실됩니다. 이 정책 설정을 사용하지 않거나 구성하지 않고 로그 파일이 최대 크기에 도달하면 새 이벤트가 이전 이벤트를 덮어씁니다. 참고: 기존 이벤트는 “꽉 차면 자동으로 로그 백업” 정책 설정에 따라 보존 여부가 결정됩니다. 키 경로: SOFTWARE\Policies\Microsoft\Windows\EventLog\System\Retention OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Disabled 설정합니다.로그 파일이 최대 크기에 도달하면 Computer Configuration\Policies\Administrative Templates\Windows Components\Event Log Service\System\Control 이벤트 로그 동작 참고: 이 그룹 정책 경로는 모든 버전의 Microsoft Windows 관리 템플릿에 포함된 그룹 정책 템플릿 'EventLog.admx/adml'에서 제공됩니다. 참고 #2: 이전 Microsoft Windows 관리 템플릿에서 이 설정은 처음에 이전 이벤트 보존이라고 명명되었지만 Windows 8.0 및 Server 2012(비 R2) 관리 템플릿부터 이름이 바뀌었습니다. 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 18.9.27.4.1 |
없거나 = 0 (레지스트리) |
위험 |
시스템: 최대 로그 파일 크기 지정(KB) (CCE-36092-5) |
설명: 이 정책 설정은 로그 파일의 최대 크기(KB)를 지정합니다. 이 정책 설정을 사용하면 최대 로그 파일 크기를 1메가바이트(1024킬로바이트)에서 2테라바이트(2,147,483,647킬로바이트) 사이로 구성할 수 있습니다. 이 정책 설정을 사용하지 않거나 구성하지 않으면 로그 파일의 최대 크기가 로컬로 구성된 값으로 설정됩니다. 이 값은 로그 속성 대화 상자를 사용하여 로컬 관리자가 변경할 수 있으며 기본값은 20MB입니다. 키 경로: SOFTWARE\Policies\Microsoft\Windows\EventLog\System\MaxSize OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Enabled: 32,768 or greater 설정합니다.Computer Configuration\Policies\Administrative Templates\Windows Components\Event Log Service\System\Specify the maximum log file size (KB) 참고: 이 그룹 정책 경로는 모든 버전의 Microsoft Windows 관리 템플릿에 포함된 그룹 정책 템플릿 'EventLog.admx/adml'에서 제공됩니다. 참고 #2: 이전 Microsoft Windows 관리 템플릿에서 이 설정의 이름은 처음에 KB(최대 로그 크기)로 지정되었지만 Windows 8.0 및 Server 2012(R2가 아닌) 관리 템플릿부터 이름이 바뀌었습니다. 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 18.9.27.4.2 |
>= 32768 (레지스트리) |
위험 |
애플리케이션 호환성 프로그램 인벤토리는 데이터를 수집하고 Microsoft에 정보를 보내지 않도록 방지해야 함 (AZ-WIN-73543) |
설명: 일부 기능은 공급업체와 통신하여 시스템 정보를 보내거나 기능에 대한 데이터 또는 구성 요소를 다운로드할 수 있습니다. 이 기능을 끄면 잠재적으로 중요한 정보가 엔터프라이즈 외부로 전송되는 것이 방지되고 시스템에 대한 제어되지 않는 업데이트가 방지됩니다. 이 설정은 프로그램 인벤토리가 시스템에 대한 데이터를 수집하고 Microsoft에 정보를 보내는 것을 방지합니다. 키 경로: SOFTWARE\Policies\Microsoft\Windows\AppCompat\DisableInventory OS: WS2016, WS2019, WS2022 서버 유형: 도메인 구성원 그룹 정책 경로: 컴퓨터 구성\관리 템플릿\Windows 구성 요소\응용 프로그램 호환성\인벤토리 수집기 끄기 규정 준수 표준 매핑: |
= 1 (레지스트리) |
정보 제공 |
자동 실행 끄기 (CCE-36875-3) |
설명: 자동 실행은 드라이브에 미디어를 삽입하는 즉시 드라이브에서 읽기 시작하므로 프로그램 또는 오디오 미디어의 설치 파일이 즉시 시작됩니다. 공격자가 이 기능을 사용하여 컴퓨터 또는 컴퓨터의 데이터를 손상시키는 프로그램을 실행할 수 있습니다. 자동 실행 끄기 설정을 사용하여 자동 실행 기능을 해제할 수 있습니다. 자동 실행은 플로피 디스크 및 네트워크 드라이브와 같은 일부 이동식 드라이브 유형에서는 기본적으로 사용하지 않도록 설정되지만 CD-ROM 드라이브에서는 사용하지 않습니다. 참고: 플로피 디스크나 네트워크 드라이브처럼 기본적으로 자동 실행이 사용되지 않는 컴퓨터 드라이브에서는 이 정책 설정을 사용하여 자동 실행을 활성화할 수 없습니다. 키 경로: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Enabled: All drives 설정합니다.컴퓨터 구성\정책\관리 템플릿\Windows 구성 요소\자동 실행 정책\자동 실행 해제 참고: 이 그룹 정책 경로는 모든 버전의 Microsoft Windows 관리 템플릿에 포함된 그룹 정책 템플릿 'AutoPlay.admx/adml'에서 제공됩니다. 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 18.9.8.3 |
= 255 (레지스트리) |
위험 |
탐색기에 대한 데이터 실행 방지 끄기 (CCE-37809-1) |
설명: 데이터 실행 방지를 사용하지 않도록 설정하면 탐색기를 종료하지 않고 특정 레거시 플러그 인 애플리케이션이 작동할 수 있습니다. 이 설정의 권장 상태는 Disabled 입니다. 참고: 일부 레거시 플러그 인 애플리케이션 및 기타 소프트웨어는 데이터 실행 방지에서 작동하지 않을 수 있으며 해당 특정 플러그 인/소프트웨어에 대해 예외를 정의해야 합니다.키 경로: SOFTWARE\Policies\Microsoft\Windows\Explorer\NoDataExecutionPrevention OS: WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Disabled 설정합니다.Computer Configuration\Policies\Administrative Templates\Windows Components\파일 탐색기\Turn off Data Execution Prevention for Explorer 참고: 이 그룹 정책 경로는 기본적으로 존재하지 않을 수 있습니다. Microsoft Windows 7 및 Server 2008 R2 관리 템플릿 Explorer.admx/adml (이상)에 포함된 그룹 정책 템플릿에서 제공됩니다.규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-93563 STIG WS2016 V-73561 CIS WS2019 18.9.31.2 CIS WS2022 18.9.31.2 |
없거나 = 0 (레지스트리) |
위험 |
손상에 대한 힙 종료 끄기 (CCE-36660-9) |
설명: 손상 시 힙 종료가 없으면 파일 탐색기 세션이 손상되었을 때 레거시 플러그 인 애플리케이션이 계속 작동할 수 있습니다. 손상에 대한 힙 종료가 활성 상태인지 확인하면 이를 방지할 수 있습니다. 이 설정의 권장 상태는 Disabled 입니다.키 경로: SOFTWARE\Policies\Microsoft\Windows\Explorer\NoHeapTerminationOnCorruption OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Disabled 설정합니다.컴퓨터 구성\정책\관리 템플릿\Windows 구성 요소\파일 탐색기\손상에 대한 힙 종료 해제 참고: 이 그룹 정책 경로는 모든 버전의 Microsoft Windows 관리 템플릿 Explorer.admx/adml 에 포함된 그룹 정책 템플릿에서 제공됩니다.규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-93261 STIG WS2016 V-73563 CIS WS2019 18.9.31.3 CIS WS2022 18.9.31.3 |
없거나 = 0 (레지스트리) |
위험 |
Microsoft 소비자 환경 해제 (AZ-WIN-00144) |
설명: 이 정책 설정은 소비자가 디바이스 및 Microsoft 계정을 최대한 활용하는 데 도움이 되는 환경을 해제합니다. 이 정책 설정을 사용하도록 설정하면 Microsoft의 맞춤형 추천 사항 및 해당 Microsoft 계정에 대한 알림이 더 이상 사용자에게 표시되지 않습니다. 이 정책 설정을 사용하지 않거나 구성하지 않으면 Microsoft의 제안 사항 및 Microsoft 계정에 대한 알림이 사용자에게 표시됩니다. 참고: 이 설정은 Enterprise 및 Education SKU에만 적용됩니다. 키 경로: SOFTWARE\Policies\Microsoft\Windows\CloudContent\DisableWindowsConsumerFeatures OS: WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Enabled 설정합니다.컴퓨터 구성\정책\관리 템플릿\Windows 구성 요소\클라우드 콘텐츠\Microsoft 소비자 환경 끄기 참고: 이 그룹 정책 경로는 기본적으로 존재하지 않을 수 있습니다. Microsoft Windows 10 릴리스 1511 관리 템플릿(이상)에 포함된 그룹 정책 템플릿 'CloudContent.admx/adml'에서 제공됩니다. 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 18.9.14.2 |
없거나 = 1 (레지스트리) |
Warning |
셸 프로토콜 보호 모드 켜기 안 함 (CCE-36809-2) |
설명: 이 정책 설정으로 셸 프로토콜이 가질 수 있는 기능을 구성할 수 있습니다. 이 프로토콜 애플리케이션의 전체 기능을 사용하는 경우 폴더를 열고 파일을 시작할 수 있습니다. 보호 모드는 애플리케이션이 제한된 폴더 집합만 열 수 있도록 하는 이 프로토콜의 기능을 줄입니다. 애플리케이션이 보호 모드인 경우 이 프로토콜을 사용하여 파일을 열 수 없습니다. Windows의 보안을 강화하려면 이 프로토콜을 보호 모드로 두는 것이 좋습니다. 이 설정의 권장 상태는 Disabled 입니다.키 경로: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\PreXPSP2ShellProtocolBehavior OS: WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Disabled 설정합니다.컴퓨터 구성\정책\관리 템플릿\Windows 구성 요소\파일 탐색기\셸 프로토콜 보호 모드 해제 참고: 이 그룹 정책 경로는 모든 버전의 Microsoft Windows 관리 템플릿 WindowsExplorer.admx/adml 에 포함된 그룹 정책 템플릿에서 제공됩니다.규정 준수 표준 매핑: 이름플랫폼ID STIG WS2019 V-93263 STIG WS2016 V-73565 CIS WS2019 18.9.31.4 CIS WS2022 18.9.31.4 |
없거나 = 0 (레지스트리) |
Warning |
동작 모니터링 켜기 (AZ-WIN-00178) |
설명: 이 정책 설정을 사용하면 동작 모니터링을 구성할 수 있습니다. 이 설정 동작 모니터링을 사용하거나 구성하지 않으면 이 설정 모니터링이 사용하도록 설정됩니다. 이 설정을 사용하지 않도록 설정하면 동작 모니터링이 비활성화됩니다. 키 경로: SOFTWARE\Policies\Microsoft\Windows Defender\실시간 보호\DisableBehaviorMonitoring OS: WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: GP를 통해 권장되는 구성을 설정하려면 다음 UI 경로를 다음으로 Enabled 설정합니다.컴퓨터 구성\정책\관리 템플릿\Windows 구성 요소\Windows Defender 바이러스 백신\실시간 보호\동작 모니터링 켜기 참고: 이 그룹 정책 경로는 기본적으로 존재하지 않을 수 있습니다. Microsoft Windows 8.1 및 Server 2012 R2 관리 템플릿 WindowsDefender.admx/adml (이상)에 포함된 그룹 정책 템플릿에서 제공됩니다.규정 준수 표준 매핑: 이름플랫폼ID CIS WS2019 18.9.47.9.3 CIS WS2022 18.9.47.9.3 |
없거나 = 0 (레지스트리) |
Warning |
PowerShell 스크립트 블록 로깅 켜기 (AZ-WIN-73591) |
설명: 이 정책 설정을 사용하여 모든 PowerShell 스크립트 입력을 Applications and Services Logs\Microsoft\Windows\PowerShell\Operational 이벤트 채널에 로그할 수 있습니다. 이 설정의 권장 상태는 Enabled 입니다. 참고: 스크립트 블록 호출 시작/중지 이벤트 로깅을 사용하도록 설정한 경우(옵션 상자 선택) 명령, 스크립트 블록, 함수 또는 스크립트 호출이 시작되거나 중지될 때 PowerShell은 추가 이벤트를 기록합니다. 이 옵션을 사용하도록 설정하면 많은 양의 이벤트 로그가 생성됩니다. CIS는 대량의 이벤트를 생성하므로 이 옵션에 대한 권장 사항을 만들지 않도록 의도적으로 선택했습니다. 조직이 선택적 설정을 사용하도록 선택하는 경우(선택됨)에도 벤치마크를 준수합니다.키 경로: SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging\EnableScriptBlockLogging OS: WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원, 작업 그룹 구성원 그룹 정책 경로: 컴퓨터 구성\정책\관리 템플릿\Windows 구성 요소\Windows PowerShell\PowerShell 스크립트 블록 로깅 켜기 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 18.9.100.1 CIS WS2019 18.9.100.1 |
= 1 (레지스트리) |
Important |
Windows 설정 - 보안 설정
속성 (ID) |
세부 정보 | 예상 값 (형식) |
심각도 |
---|---|---|---|
프로세스에 대한 메모리 할당량 조정 (CCE-10849-8) |
설명: 이 정책 설정을 사용하면 사용자가 프로세스에 사용할 수 있는 최대 메모리 양을 조정할 수 있습니다. 메모리 할당량을 조정하는 기능은 시스템 튜닝에 유용하지만 남용될 수 있습니다. 악용되는 경우 DoS(서비스 거부) 공격을 시작하는 데 사용될 수 있습니다. 이 설정의 권장 상태는 Administrators, LOCAL SERVICE, NETWORK SERVICE 입니다. 참고: 웹 서버 역할 서비스를 통해 웹 서버(IIS) 역할을 보유한 구성원 서버는 IIS 애플리케이션 풀에 이 사용자 권한을 부여할 수 있도록 이 권장 사항에 대한 특별한 예외가 필요합니다. 참고 #2: Microsoft SQL Server가 설치된 멤버 서버에는 이 사용자에게 권한을 부여하기 위해 추가 SQL 생성 항목에 대한 이 권장 사항에 특별한 예외가 필요합니다.키 경로: [권한]SeIncreaseQuotaPrivilege OS: WS2012, WS2012R2, WS2016, WS2019, WS2022 서버 유형: 도메인 컨트롤러, 도메인 구성원 그룹 정책 경로: 컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책\사용자 권한 할당\프로세스에 대한 메모리 할당량 조정 규정 준수 표준 매핑: 이름플랫폼ID CIS WS2022 2.2.6 CIS WS2019 2.2.6 |
<= 관리자, 로컬 서비스, 네트워크 서비스 (정책) |
Warning |
참고 항목
특정 Azure Policy 게스트 구성 설정의 가용성은 Azure Government 및 기타 국가별 클라우드에서 다를 수 있습니다.
다음 단계
Azure Policy 및 게스트 구성에 대한 추가 문서:
- Azure Policy 게스트 구성.
- 규정 준수 개요
- Azure Policy 샘플의 다른 예제를 검토합니다.
- 정책 효과 이해를 검토합니다.
- 규정 비준수 리소스를 수정하는 방법을 알아봅니다.