SRV-027 (Windows) 서비스 접근 IP 및 포트 제한 미비

SRV-027 (Windows) 서비스 접근 IP 및 포트 제한 미비

【 상세설명 】
서비스로의 접근이 통제되지 않을 경우 악의적인 사용자의 공격 목표가 될 수 있기 때문에 보안상 접근통제가 필요함. 방화벽, 3rd-party 제품 또는 tcpwrapper를 활용하여 서비스에 대한 IP 및 포트 접근제어를 수행하고 있는지 점검

【 판단기준 】
- 양호 : 방화벽 제품 또는 Windows 방화벽을 사용한 접근통제를 수행하는 경우
- 취약 : 방화벽 제품 또는 Windows 방화벽을 사용한 접근통제를 수행하지 않는 경우

【 판단방법 】
  1. 윈도우즈 운영체제의 자체 방화벽 또는 3rd-Party 방화벽 제품을 사용 중인지 확인
      ※ 윈도우즈 운영체제의 자체 방화벽은 개인 네크워트와 공용 네트워크 프로파일이 따로 존재
      ※ <StandardProfile_registry_path> : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
      ※ <PublicProfile_registry_path> : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
      ※ 레지스트리 값이 "1" 이면 "3rd-Party 방화벽 제품" 사용 여부 확인 필요

  ■ Windows 2008, 2008 R2, 2012, 2012 R2, 2016
      ① 시작 > 제어판 > 시스템 및 보안 > Windows 방화벽
      ② Windows 방화벽 활성화 상태 확인("초록색" 인 경우 활성화 상태로 "양호")
  또는
      3rd-Party 방화벽 제품 사용 여부 확인
  또는
      cmd > reg query <StandardProfile_registry_path> /v EnableFirewall
          HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
              EnableFirewall    REG_DWORD    0x1
      cmd > reg query <PublicProfile_registry_path> /v EnableFirewall
          HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile
              EnableFirewall    REG_DWORD    0x1
      cmd > netsh firewall show state
          Firewall status:(방화벽 상태:)
          -------------------------------------------------------------------
          Profile(프로필)                           = Standard(표준)
          Operational mode(작동 모드)                  = Enable(사용)
          Exception mode(예외 모드)                    = Enable(사용)
          Multicast/broadcast response mode(멀티캐스트/브로드캐스트 응답 모드) = Enable(사용)
          Notification mode(알림 모드)                 = Enable(사용)
          Group policy version(그룹 정책 버전)              = Windows Firewall(Windows 방화벽)
          Remote admin mode(원격 관리 모드)                 = Disable(사용 안 함)

          Ports currently open on all network interfaces:(현재 모든 네트워크 인터페이스에 열린 포트:)
          Port   Protocol  Version  Program
          -------------------------------------------------------------------
          No ports are currently open on all network interfaces.(현재 모든 네트워크 인터페이스에 열린 포트가 없습니다.)

  ■ Windows 2019, 2022
      ① 시작 > 제어판 > 시스템 및 보안 > Windows Defender 방화벽
      ② Windows Defender 방화벽 활성화 상태 확인("초록색" 인 경우 활성화 상태로 "양호")
  또는
      3rd-Party 방화벽 제품 사용 여부 확인
  또는
      cmd > reg query <StandardProfile_registry_path> /v EnableFirewall
          HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
              EnableFirewall    REG_DWORD    0x1
      cmd > reg query <PublicProfile_registry_path> /v EnableFirewall
          HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile
              EnableFirewall    REG_DWORD    0x1
      cmd > netsh firewall show state
          Firewall status:(방화벽 상태:)
          -------------------------------------------------------------------
          Profile(프로필)                           = Standard(표준)
          Operational mode(작동 모드)                  = Enable(사용)
          Exception mode(예외 모드)                    = Enable(사용)
          Multicast/broadcast response mode(멀티캐스트/브로드캐스트 응답 모드) = Enable(사용)
          Notification mode(알림 모드)                 = Enable(사용)
          Group policy version(그룹 정책 버전)              = Windows Defender Firewall(Windows Defender 방화벽)
          Remote admin mode(원격 관리 모드)                 = Disable(사용 안 함)

          Ports currently open on all network interfaces:(현재 모든 네트워크 인터페이스에 열린 포트:)
          Port   Protocol  Version  Program
          -------------------------------------------------------------------
          433    TCP        Any        <Null>
          …

【 조치방법 】
  1. 윈도우즈 운영체제의 자체 방화벽 또는 3rd-Party 방화벽 제품 사용 설정

  2024-01-13 : (조치과정 삭제)