KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr ■ Windows NT, 2000 1) 시작> 설정> 제어판> 관리 도구> 텔넷 서버 설정 2) NTLM 인증 방식만 사용 ■ Windows 2003, 2008, 2012 1) 시작> 실행> cmd> tlntadmn config 2) tlntadmn config sec = +NTLM -passwd (passwd 인증 방식을 제외하고 NTLM 인증 방식만 사용) 2.1) Telnet 접속 시도 시, 접속 불가 3) 불필요 시 해당 서비스 제거 시작> 실행> SERVICES.MSC> Telnet> 속성 [일반] 탭에서 "시작 유형"을 "사용 안 함 "으로 설정한 후 Telnet 서비스 중지

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr ■ HTTP [ Server 헤더 제거 ] 1) Microsoft 다운로드 센터에서 URL Rewrite 다운로드 후 설치 https://www.iis.net/downloads/microsoft/url-rewrite 2) 제어판> 관리도구> IIS(인터넷 정보 서비스) 관리자> 해당 웹 사이트> [URL 재작성] 3) 작업 탭> [서버 값 관리 – 서버 변수 보기...] 4) 작업 탭> [추가...]> 서버 변수 추가 - 서버 변수 이름: RESPONSE_SERVER 5) [URL 재작성]> 작업 탭> [규칙 추가...]> 아웃바운드 규칙> 빈 규칙 6) 이름, 검색 범위, 변수 이름, 패턴 설정> 적용 -..

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr ■ Windows 2000, 2003, 2008, 2012, 2016, 2019 1) 시작> 실행> DNSMGMT.MSC> 각 조회 영역> 해당 영역> 속성> 일반 2) 동적 업데이트 → 없음(또는, 아니오) 선택 3) 불필요 시 해당 서비스 제거 시작> 실행> SERVICES.MSC> DNS 서버> 속성 [일반] 탭에서 "시작 유형"을 "사용 안 함"으로 설정한 후, DNS 서비스 중지

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr ■ Windows 2000, 2003, 2008, 2012, 2016, 2019 1) 시작> 실행> SERVICES.MSC> SNMP Service(또는, SNMP 서비스)> 속성> 보안 2) “인증 트랩 보내기” 및 “다음 호스트로부터 SNMP 패킷 받아들이기” 선택 3) SNMP 호스트 등록

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr ■ Windows NT 1) 바탕화면> 네트워크 환경> 등록 정보> 서비스/SNMP Service> 등록 정보> 보안 ■ Windows 2000, 2003, 2008, 2012, 2016, 2019 1) 시작> 실행> SERVICES.MSC> SNMP Service > 속성> 보안> [인증 트랩 보내기] 아래 [추가] 버튼 2) [SNMP 서비스 구성]> 쓰기 권한이 필요하지 않다면 커뮤니티 이름을 읽기 전용으로 Public/Private이 아닌 이름을 추가(NT의 경우 시작> 제어판> 서비스에서 설정) 3) 불필요 시 해당 서비스 제거 시작> 실행> SERVICES.MSC> SNMP Service> 속성 ..

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr ■ Windows 2000, 2003, 2008, 2012, 2016, 2019 1) 불필요 시 해당 서비스 제거 시작> 실행> SERVICES.MSC> SNMP Service(또는, SNMP 서비스)> 속성에서 “시작 유형”을 “사용 안 함”으로 설정한 후, SNMP 서비스를 중지함

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr ■ Windows NT, 2000, 2003 1) 인터넷 정보 서비스(IIS) 관리> 속성> [사용자 지정 오류] 탭에서 400, 401, 403, 404, 500 등 웹 서비스 에러에 대해 별도의 페이지를 지정 - Error Page가 저장된 폴더 ■ Windows 2008, 2012, 2016, 2019 1) 오류 페이지 설정 편집 제어판> 관리도구> IIS(인터넷 정보 서비스) 관리자> 해당 웹 사이트> [오류 페이지] > [작업] 탭에서 [기능 설정 편집]> “서버오류 발생 시 다음 반환“ 항목을 ”사용자 지정 오류 페이지“로 설정

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr ■ Windows NT 1) 시작> 실행> regedit 2) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp \MinEncryptionLevel 값을 2(중간) 이상으로 설정 ■ Windows 2000 1) 시작> 실행> TSCC.MSC> “해당 서비스” 선택> 속성 2) 암호화 수준 → 중간(Windows 2000) 이상으로 설정 ■ Windows 2003 1) Windows 2003: 시작> 실행> TSCC.MSC> “해당 서비스” 선택> 속성 2) [일반] 탭에서 암호화 수준 설정 → 클라이언트 호환 가능 암호화 수준..

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr ■ Windows 2003 1) 제어판> 사용자 계정> 관리자 계정 이외의 계정 생성한 후 2) 제어판> 시스템> [원격] 탭> [원격] 탭 메뉴에서 "사용자가 이 컴퓨터에 원격으로 연결할 수 있음"에 체크> "원격 사용자 선택"에서 원격 사용자 지정 후 확인 ■ Windows 2008 1) 제어판> 사용자 계정> 관리자 계정 이외의 계정 생성한 후 2) 제어판> 시스템> 원격 설정> [원격] 탭> [원격 데스크톱] 메뉴> "모든 버전의 원격 데스크톱을 실행 중인 컴퓨터에서 연결 허용(보안 수준 낮음)" 또는 "네트워크 수준 인증을 사용하여 원격 데스크톱을 실행하는 컴퓨터에서만 연결 허용(보안 수준 높음)"..

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr ■ Windows 2003, 2008, 2012, 2016, 2019 1) 시작> 실행> SECPOL.MSC> 로컬 정책> 보안 옵션 2) "계정: 콘솔 로그온 시 로컬 계정에서 빈 암호 사용 제한" 정책을 "사용"으로 설정

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr ■ Windows NT 1) 시작> 프로그램> 관리도구> 도메인 사용자 관리자> 정책> 계정 2) "암호 유일성"에서 "기억"을 "4개"로 설정 ■ Windows 2000, 2003, 2008, 2012, 2016, 2019 1) 시작> 실행> SECPOL.MSC> 계정정책> 암호 정책 2) "최근 암호 기억"을 "4개 암호 기억됨"으로 설정

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr ■ Windows 2003, 2008, 2012, 2016, 2019 1) 시작> 실행> SECPOL.MSC> 로컬 정책> 보안 옵션 2) "네트워크 액세스: 익명 SID/이름 변환 허용" 정책이 "사용 안 함"으로 설정 ※ Windows Server 2000 이하 버전 해당 사항 없음

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr ■ Windows NT, 2000, 2003, 2008, 2012, 2016, 2019 1) 시작> 실행> SECPOL.MSC> 로컬 정책> 사용자 권한 할당 2) "로컬 로그온 허용(또는, 로컬 로그온)" 정책에 "Adminstrators", "IUSR_" 외 다른 계정 및 그룹 제거 * 로컬 로그온 거부에 계정을 추가 후, 접속하면 접속이 거부되는 것을 확인할 수 있었다.

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr ■ Windows NT 1) 시작> 프로그램> 관리도구> 시스템 정책 편집기> 파일> 레지스트리 열기> 로컬 컴 퓨터> 편집> 등록 정보> Windows NT 시스템> 로그온> "마지막으로 로그온한 사용 자 이름 표시 안함"을 설정한 후 저장 ■ Windows 2000 1) 시작> 실행> SECPOL.MSC> 로컬 정책> 보안 옵션 2) "로그온 스크린에 마지막 사용자 이름 표시 안함"을 "사용"으로 설정 ■ Windows 2003, 2008, 2012, 2016, 2019 1) 시작> 실행> SECPOL.MSC> 로컬 정책> 보안 옵션 2) "대화형 로그온: 마지막 사용자 이름 표시 안 함"을 "사용"으로..

KISA 한국인터넷진흥원 21-03-31 기준 KISA 한국인터넷진흥원 www.kisa.or.kr ■ Windows NT 1) 시작> 프로그램> 관리도구> 도메인 사용자 관리자> 정책> 계정 2) "최소 암호 사용 기간"에서 "사용 기간"을 "1일"로 설정 ■ Windows 2000, 2003, 2008, 2012, 2016, 2019 1) 시작> 실행> SECPOL.MSC> 계정정책> 암호 정책 2) "최소 암호 사용 기간"을 "1일"로 설정