관리 공유 제거 하는 방법

2009/06/22 18:56
2 Comments


 모든 윈도우 PC와 서버엔 관리공유가 기본적으로 설정되어 있죠...  이 관리공유가   웜 바이러스의 공격수단으로 사용되는 경우가 많아지고 있습니다.  해커 입장에선  모든 윈도우에 다 올려져있는 공유다 보니  좋은 공격 타겟이 될수밖에 없죠... 꼭 필요하지 않다면  제거하는 것이  좋은 방법이라고 할수 있습니다.

  리공유는  풀어 말하면 '관리목적 공유폴더'라고 할 수있는데요..   다른 공유폴더 처럼  사람이 만들어 주는 것이 아니라  윈도우를 설치하면 기본으로 만들어지는 공유폴더라고 할수있습니다.  커맨드창에 Net share라고 치면  C$, D$, admin$등이 나오는 것을 볼수있는데 바로 이것들이 관리공유이지요..  윈도우98까지는 없고  윈도우2000이상부터 보실 수있습니다.  관리자 권한이 있다면  (혹은 취득하게 된다면..)  각 드라이브의 모든 자료, 또는 윈도우즈 폴더의 모든 자료들을 삭제하거나  변경이 가능하므로  위험성을 많이 내포하고 있다고 할 수있습니다.  정말 관리목적으로 사용할 계획이 없다면  삭제하는 것이 좋습니다.

  의 중요한 전파 경로중에 하나가 바로 이 관리공유라고 할 수 있습니다. 요즘 최고의 위협중의 하나인  Confiker 웜바이러스도 그 예라고 할수있습니다.   로컬에 유저가 존재하고  쉬운 패스워드 혹은  연상가능한 패스워드를 사용할 경우    웜은  해당시스템의 관리자 자격을 취득하여  감염을 시킬 수 있게 되고  또 다른 시스템들을 다시 공격하게 되는 것이죠..  혹 해당시스템이  관리자 시스템일 경우엔  또 다른 수많은 컴퓨터를 손쉽게 감염시키게 될 수도 있습니다.  하지만  관리공유를 제거해둔다면   이런 급속한 웜 전파를 상당수 막을 수도 있습니다.  
  
  리공유를 삭제하는 것은 약간의 작업이 필요합니다.  내 컴퓨터 관리에서도 삭제는 가능하지만...    삭제해도  시스템이 리부팅되면서  다시 활성화되어 올라오기때문에..  다음의 레지스트리 작업이 필요하게 됩니다.


레지스트리 항목: 
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters
  - 서버일 경우:  Key 추가(DWORD) : AutoShareServer   =   0
  - 클라이언트의 경우 : Key 추가(DWORD) : AutoShareWks   =   0


아래 내역을 메모장에 복사하여    admin_share_remove.reg 로 저장하여  더블클릭하면  적용이 되면 리부팅을 실시하면   관리공유가 없어진 것을 확인하실 수 있습니다.  혹시나 하여  서비스에 문제가 없는지  확인중인데요...
원격관리도 가능하고   MBSA를 이용한 원격취약점 체크도 가능하더군요..

<< admin_share_remove_for_server.reg>>
===========================================================================================
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareServer"=dword:00000000
===========================================================================================

<< admin_share_remove_for_PC.reg>>
===========================================================================================
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareWks"=dword:00000000
===========================================================================================

크리에이티브 커먼즈 라이센스
Creative Commons License

우키 분류없음

2009/06/22 18:56 2009/06/22 18:56
Trackback Address:http://wsecurity.cafe24.com/trackback/109
  1. Blog Icon
    술이
    2009/08/12 18:12
    Reply | Edit

    윈도우 자체 방화벽을 이용하거나 IPSec 필터 기능을 이용하면 바이러스나 보안에 대한 걱정은 줄어들텐데 왜 안하는거죠? 넷바이오스 사용해야될 PC나 서버만 허용해주면 그나마 많이 안전한데 왜 안하는지...
    MS의 보안권고사항만 잘 지켜도 바이러스나 해킹은 구경도 못하는데 말이죠.

  2. Blog Icon
    우키
    2009/08/18 19:46
    Reply | Edit

    IPsec은 적용하기에 신경쓰이는 부분이 많은데... 혹시 하고계시나요? 궁금해서.. ^^ 서버들에 대해선 보안권고사항이라하더라도 서버운영자나 서비스운영자들은 적용하는것을 겁을 내죠.. 일단 서비스에 조금이라도 지장을 주면 안되니까 라고 하면서.. 회사에서 평가받는 지표인 가용도에 조금이라도 영향이 갈 수 있다면 아무리 권고사항이라 하더라도 적용하기 힘들죠.. 검증을 해달라고하면서 시일이 자꾸가면서... 미뤄지기 일쑤죠.. ^^