윈도우 기본 공유폴더 제거 및 사용자 인증 적용하기

윈도우는 원격관리 등의 목적으로 몇 개의 공유폴더를 기본으로 사용해왔습니다. Admin$, IPC$, C$ 가 대표적입니다. 그러나 많은 사람들은 이러한 사실을 인지하지 못한채 윈도우 운영체제를 사용하고 있었고 이로 인해 보안에 취약하게 되는 것도 사실이였습니다. 

이 글에서는 윈도우 설치와 동시에 자동으로 공유된 폴더를 사용하지 않도록 설정하는 방법을 소개하려고 합니다. 물론 net share /delete 명령어를 사용하여 공유를 해지 하는 방법도 있지만, 이 방법은 시스템이 재부팅되면 적용되지 않기 때문에 이 글에서 소개시켜드리는 방법을 권유 드립니다. 무엇보다 이러한 작업을 하기전에 사용자의 비밀번호를 생성하여 사용하셔야 합니다. 비밀번호를 사용하는 것 만으로도 상당히 보안성이 상승하는 효과를 얻을 수 있기 때문이지요.

윈도우 기본 공유폴더 사용 비활성화

레지스트리 편집기를 실행하여 다음과 같은 경로를 찾아갑니다. (※팁을 참고하시면 보다 편리하게 레지스트리 경로를 찾아가실 수 있습니다.)

HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters

위와 같은 경로에 DROWD 형태의 새로운 값을 하나 생성합니다. 새로 생성하는 값의 이름은 현재 운영체제가 Professional 인지 Server 인지에 따라서 구분되며 데이터는 0 로 설정 합니다.

• Professional 일 결우 : AutoShareWks
• Server 일 경우 : AutoShareServer

이와 같이 설정이 끝났다면 시스템 재부팅을 해야 설정한 값들을 적용 시킬 수 있습니다. 

시스템을 재부팅 한 후 관리자 권한으로 cmd.exe 를 실행 한 후 아래와 같이 net share 명령을 통해 현재 공유되고 있는 폴더들을 확인할 수 있습니다.

Admin$와 C$ 는 없어졌지만 위 그림에서 볼 수 있는 것과 같이 IPC$는 계속해서 공유되고 있습니다.

익명 사용자 인증을 통한 IPC$ 접근 제어

IPC$는 익명 사용자 접속이 가능하여 익명 로그인을 통해 모든 사용자 목록을 획득하게 되고 얻어넨 사용자 목록을 통해 비밀번호 전수조사(brute-force) 공격 방법을 사용할 수 있게 됩니다.

널세션을 생성하는 명령어는 다음과 같습니다.

net use \\192.168.20.3\IPC$ "" /u:""

위 net use 명령의 결과로 공유된 자원 확인하기 위해서는 net view 명령을 사용할 수 있습니다.

net view \\192.168.20.3

이 밖에도 컴퓨터 관리(compmgmt.msc) 를 실행 후 "다른 컴퓨터에 연결" 기능을 이용하면 보다 많은 작업을 할 수 있습니다. 또한 인터넷에서 어렵지 않게 구할 수 있는 enum.exe 를 통해서 사용자 목록을 얻어내는 것을 확인해 보았습니다. (※ 아래 그림 참고)

IPC$ 폴더는 앞서 설명한 것과 같은 방법으로 공유를 해지할 수 없기 때문에 IPC$ 폴더 접근 시 익명의 사용자 접근을 제한하도록 설정하는 것을 권장합니다.

HKLM\System\CurrentControlSet\Control\LSA

Value name : RestrictAnonymous

Data Type : DWORD

Value : 1 (기본값 0)

이와 같이 설정하게 되면 위에서 확인해본 enum.exe 명령과 동일한 옵션으로 수행하였을 때 이전과는 다르게 정상적으로 동작하지 못하는 것을 확인할 수 있습니다.

그럼 안전하게 윈도우 운영체제를 사용하세요~ ^^

팁.

레지스트리 편집기를 열어 위에서 언급한 것과 같은 경로를 일일이 찾아 들어가는 것이 여간 귀찮은 것이 아닐 수 없습니다. 필자와 같이 이러한 것이 귀찮다고 느껴지신다면 live.sysinternals.com 에서 regjump.exe 를 다운로드 받아 PATH 로 지정되 폴더에 넣어놓고 사용한다면, 단순히 윈도우 실행 창에서 경로를 붙여 넣기 함으로써 보다 쉽게 찾아갈 수 있습니다.