2008년 10월 27일 월요일

Limited Account 사용자가 시스템 루트 (ex. C:)를 사용할 수 없도록 하기

일반적으로 Windows 플랫폼에서 제한된 계정 사용자는 시스템 루트에 임의로 하위 폴더를 생성하고 그곳에 파일을 얼마든지 생성할 수 있다. 이는 일부 트로잔 프로그램이 자신을 숨길 수 있는 여지를 남긴다. 예를 들어, USB로 전파되는 트로잔 프로그램이 자신을 숨기는데 주로 애용하는 디렉토리가 C:\RESTORE 이다. 따라서 제한된 계정 사용자 그룹 (BUILTIN\Users)에 대해 시스템 루트에 폴더를 만들거나 기존에 생성된 하위 폴더에 임의로 파일을 추가할 수 없게끔 미리 부여된 ACE(add_subdir, add_file)를 제거하는 것이 좋다.

다만 이렇게 하면, 새로 생성되는 계정은 C:\RECYCLER에 해당 계정용으로 휴지통 폴더를 생성할 수 없기 때문에 파일 삭제시 휴지통으로 이동되지 않고 바로 삭제된다. 이 경우, C:\RECYCLER에 사용자 권한을 잠시 부여해서 계정용 휴지통을 생성(임의 파일을 휴지통으로 이동)한 다음, C:\RECYCLER에 부여한 사용자 권한을 제거하고 생성된 휴지통 폴더를 함부로 삭제할 수 없도록 삭제 거부 (DELETE-Deny) ACE를 부여해놓는다. (이 방법은 시스템이 휴지통 폴더를 제대로 제어할 수 없도록 만듦으로서 로그오프 후 다시 로그인하거나 시스템을 다시 시작한 후, 휴지통을 손상된 것으로 인식하게만드는 것으로 확인됐다.)

위의 문제는 C:\RECYCLER 에 ACE(add_subdir, add_file)를 Grant 해놓으면 문제가 해결된다. 그러나 제한된 권한 계정을 사용하는 컴퓨터는 주로 공용 컴퓨터 임을 가정하면, 굳이 Users에 대해 권한을 부여하지 않는게 오히려 이롭다. 왜냐하면 휴지통 기능을 사용하지 않도록 설정하는 것이 보안상 유리하기 때문이다.

첨부:
제한된 계정 사용자가 시스템 루트를 사용할 수 없도록 하는 ACL 자동 편집 스크립트

댓글 없음: