보안 채널 데이터 디지털 암호화 또는 서명

보안 채널 데이터 디지털 암호화 또는 서명

 

(평가항목)

보안 채널 데이터 디지털 암호화 또는 서명

---

(취약점 ID)

SRV-104

---

(평가목적)

보안 채널 데이터 디지털 암호화 또는, 서명 설정을 통해 도메인 구성원이 시작한 모든 보안 채널 트래픽이 최소 보안 요구 사항을 충족해야 하는 지를 설정하며, 특히 도메인 구성원에 의해 시작된 모든 보안 채널 트래픽의 서명과 암호화 여부를 설정함. 인증 트래픽 끼어들기 공격, 반복 공격 및 기타 유형의 네트워크 공격으로부터 보호하기 위해 Windows 기반에서는 NetLogon을 통해 보안 채널이라는 통신 채널을 만들어 컴퓨터 및 사용자 계정에 대한 인증을 함. 이 정책을 사용하면 모든 보안 채널의 서명 또는, 암호화가 협상되지 않는 한 보안채널이 확립되지 않으며, 사용하지 않을 경우 모든 보안 채널 트래픽의 암호화 및 서명이 도메인 컨트롤러와 협상되고 서명 및 암호화 수준은 도메인 컨트롤러의 버전 및 다음 두 정책의 설정에 따라 좌우됨에 따라 적절한 보안 설정이 되어 있는지 점검

 

---

(판단기준)

아래 정책이“사용 안 함”으로 되어 있는 경우“취약”으로 판단 ◦ 도메인 구성원: 보안 채널 데이터를 디지털 암호화 또는, 서명(항상)

 

---

(판단방법)

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ Netlogon\Parameters\RequireSignOrSeal

 

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ Netlogon\Parameters\SealSecureChannel

 

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ Netlogon\Parameters\SignSecureChannel (1이면 양호, 0이면 취약)