Windows에서 인증: 모범 사례

Windows 자산 스캔 시, 가장 정확한 진단을 위해 도메인 또는 로컬 관리자 계정을 이용하는 것이 좋습니다. 관리자 계정은 레지스트리 권한, 파일 시스템 권한, CIFS(Common Internet File System) 또는 WMI(Windows Management Instrumentation) 읽기 권한으로 원격 접속할 수 있는 기능을 포함해 적절한 수준의 액세스 권한을 가집니다. 일반적으로, 스캔에 사용하는 계정에 대한 권한의 수준이 높을수록, 더욱 세부적인 결과를 얻을 수 있습니다. 액세스 권한이 없거나, 애플리케이션 내에서 도메인 또는 로컬 관리자 계정 이용을 제한하기를 원하는 경우, 다음의 권한을 가진 계정을 이용할 수 있습니다.

• 계정은 원격 로그인이 가능해야 하며 게스트 액세스로 제한되지 않아야 합니다.
• 계정은 설치된 소프트웨어 및 운영 체제 정보와 관련된 레지스트리 및 파일 정보를 읽을 수 있어야 합니다.

注意: 관리자 권한을 이용하지 않는 경우, 관리자 공유에 대한 액세스가 부여되지 않으며 이러한 공유를 위한 파일 시스템에 읽기 액세스하기 위해서는 비관리자 공유를 생성해야 합니다.

Nexpose 및 네트워크 환경도 다음과 같은 방식으로 구성해야 합니다.

• 도메인 컨트롤러 스캔 시, 도메인 관리자 계정을 이용해야 하는 데 이는 로컬 관리자가 도메인 컨트롤러에 존재하지 않기 때문입니다.
• 방화벽이 Nexpose 스캔 엔진에서 포트 135, 139 또는 445(참고 참조), Windows 엔드포인트의 WMI에 대한 랜덤 하이 포트로의 트래픽을 차단하지 않도록 합니다. WMI GPO(그룹 정책 개체) 설정을 통해 WMI에 대한 랜덤 하이 포트 범위를 설정할 수 있습니다.

注意: 보다 효율적이고, Windows 네트워크에 이름 충돌이 있을 때 계속 작동이 가능한 포트 445가 권장됩니다.

• 스캔을 위해 도메인 관리자 계정을 이용하는 경우, 해당 도메인 관리자가 로컬 관리자 그룹에도 속하는지 확인합니다. 그렇지 않으면, 도메인 관리자는 관리자가 아닌 사용자로 취급됩니다. 도메인 관리자가 로컬 관리자에 속하지 않는 경우, 액세스 권한이 없거나 제한될 뿐만 아니라, 다음 조치를 취하지 않는 한 UAC(사용자 계정 제어)에 의해 액세스가 차단됩니다.
• UAC 권한이 있는 로컬 관리자를 이용하는 경우, DWORD 레지스트리 키 값 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system\LocalAccountTokenFilterPolicy를 추가하고 이 값을 1로 설정해야 합니다. 이 값이 문자열이 아닌 DWORD인지 확인해야 합니다.
• 바이러스 백신 툴을 스캔 엔진 호스트에서 실행하는 경우, 해당 바이러스 백신이 이 애플리케이션과 애플리케이션을 통해 네트워크에서 전송 및 수신되는 모든 트래픽을 화이트리스트에 추가하도록 합니다. 바이러스 백신을 통해 트래픽을 검사하면 성능 문제 및 잠재적인 오탐이 발생할 수 있습니다.
• 사용되는 계정이 이 애플리케이션의 자격 증명 테스트 기능을 통해 진단되는 하나 이상의 자산에 로그온할 수 있는지 확인합니다.
• CIFS를 사용하는 경우, 스캔 대상 자산에 원격 레지스트리 서비스가 설정되었는지 확인합니다. WMI를 사용하는 경우, 원격 레지스트리 서비스는 필요하지 않습니다.

조직의 정책이 여기에 나열된 구성 방식을 제한하거나 허용하지 않거나, 사용자가 기대하는 결과를 얻지 못하는 경우, 기술 지원에 문의하십시오.