SRV-018 (Windows) 불필요한 하드디스크 기본 공유 활성화

SRV-018 (Windows) 불필요한 하드디스크 기본 공유 활성화

【 상세설명 】
Windows는 프로그램 및 서비스를 네트워크나 컴퓨터 환경에서 관리하기 위해 시스템 기본 공유 항목을 자동으로 생성하며, 이러한 공유 기능을 이용하여 비인가자가 불법적으로 모든 시스템 자원에 접근할 수 있는 위협이 있으므로 해당 서비스가 업무에 관계없이 활성화 되어 있는지 점검

【 판단기준 】
- 양호 : Windows 2003 이상이면 양호, Windows 2003 미만은 기본 공유가 존재하지 않으면서 서버의 경우 AutoShareServer 키 값이 0일 경우, NT의 경우 AutoShareWks 값이 0일 경우 양호
- 취약 : Windows 2003 미만이면서 아래의 조건 중 해당사항이 있는 경우
      1. 기본 공유가 존재함
      2. 서버의 경우 AutoShareServer 키 값이 없거나 0이 아닐 경우, NT의 경우 AutoShareWks 값이 없거나 0이 아닐 경우

      취약 항목 1, 2번 중 하나라도 해당할 시 취약

【 판단방법 】
  1. Windows 2003 이상인지 확인(Windows 2003 이상인 경우 "양호")
  2. 하드디스크 "기본 공유" 폴더(C$, D$ 등) 존재 유무 확인
  3. AutoShareServer(NT : AutoShareWks 값) 값 확인("0" 이 아니거나 없을 경우 "취약")
      ※ <registry_path> : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

  ■ Windows 2003
      ① 시작 > 실행 > fsmgmt.msc > 공유 폴더(로컬) > 공유
      ② "기본 공유" 폴더(C$, D$ 등) 존재 여부 확인
      ③ cmd > reg query  <registry_path> | find /i "AutoShareServer"

  ■ Windows 2008, 2008 R2, 2012, 2012 R2, 2016, 2019, 2022 : 해당 사항 없음

【 조치방법 】
  1. 하드디스크 "기본 공유" 폴더(C$, D$ 등) "공유 중지" 설정
      ※ Active Directory, Clustered System 운영 환경에서는 서비스에 영향을 주므로 확인 후 조치
          - Active Directory: 중앙 집중화된 자원 관리를 위한 계층적 디렉터리 서비스 
          - Clustered System: 여러 개의 시스템을 결합하여 사용하는 시스템
  2. AutoShareServer 값(NT : AutoShareWks 값) "0" 설정

  2024-01-13 : (조치과정 삭제)