English
◀◁ 뒤로
취약점ID 28342
위험도 40
포트 139,445
프로토콜 TCP
분류 SMB
상세설명 해당 Windows 시스템에는 시스템상의 모든 사용자들에게 CD-ROM 사용이 가능하도록 설정되어 있다. 보안 정책상 필요하다면 CD-ROM은 콘솔에서 로그온 한 사용자에 한해서만 사용할 수 있게 하여야 한다.
CD-ROM 드라이브는 하나의 볼륨이기 때문에 디폴트로 네트워크 상에서 관리자 권한의 공유로써 공유된다. 이 엔트리의 값이 1이면 CD-ROM 드라이브는 쌍방향(interactive) 로그온 프로세스의 부분으로써 사용자에게 할당된다. 그래서 현재 로그온 사용자만이 이를 액세스할 수 있다. 이는 관리자를 포함한 원격지의 사용자들 (그리고 다른 워크스테이션에 있는 동일한 사용자 조차도)이 현재 사용자가 로그온되어 있는 동안에는 드라이브를 액세스하지 못하게 한다. 드라이브는 현재 사용자가 로그 오프할 때 다시 공유된다.

* 알림: 이 점검항목은 점검하기 위한 원격지 호스트의 레지스트리를 액세스할 수 있는 Guest 혹은 그 이상의 권한을 가진 계정을 필요로 한다. 이러한 조건이 안되면 점검을 수행할 수 없으며 모든 취약한 호스트들에 대해서 거짓 음성반응(False Negative)을 보일 수 있다.



* 영향을 받는 플랫폼:
Windows NT, 2000, 2003, XP, 7, 8, 2012, 10, 2016, 2019 Any version
해결책 로컬로 로그온한 사용자만이 CD ROM을 액세스할 수 있도록 시스템을 구성하여야 한다. 윈도우즈 NT에서 이렇게 하기 위해서는 레지스트리를 편집하면 된다. 윈도우즈 2000에서는 "로컬로 로그온한 사용자만이 CD ROM을 액세스 가능" 옵션을 변경하여야 한다. 각 시스템에 대해 아래 단계를 따른다.

윈도우즈 NT의 경우:
1. 레지스트리 편집기를 연다. (윈도우즈 NT 시작 메뉴에서 "실행" 선택, regedt32를 타이프하고 "확인"을 클릭한다.)
2. 레지스트리 키 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon 로 이동한다.
3. AllocateCDRoms 엔트리의 값을 1로 변경한다. (REG_SZ)
4. 이 설정이 효과를 발휘하기 위해서는 시스템을 재시작하여야 한다.

윈도우즈 2000 도메인의 경우:
1. Microsoft 관리 콘솔(Management Console)을 시작한다. (DOS 프롬프트에서 "mmc"를 타이프한다.)
2. 그룹정책 스냅인을 추가한다.
3. 그룹정책 오브젝트들을 찾는다.
4. 필요한 도메인 정책을 선택한다.
5. 다음 경로를 따라 찾아간다:
컴퓨터 구성, Windows 설정, 보안 설정, 로컬 정책, 보안 옵션.
6. "로컬로 로그온한 사용자만이 CD ROM을 액세스 가능" 옵션을 원하는 설정으로 설정한다.

단독 운영방식(stand-alone) 윈도우즈 2000 컴퓨터의 경우:
1. DOS 프롬프트에서 "gpedit.msc"를 시작한다. 디폴트로 로컬 컴퓨터에 한정된다.
2. 다음 경로를 따라 찾아간다:
컴퓨터 구성, Windows 설정, 보안 설정, 로컬 정책, 보안 옵션.
3. "로컬로 로그온한 사용자만이 CD ROM을 액세스 가능" 옵션을 원하는 설정으로 설정한다.

Windows XP, 2003, 7, 2008, 8, 2012, 10, 2016, 2019 컴퓨터의 경우:

1. DOS 프롬프트에서 "gpedit.msc"를 시작한다. 디폴트로 로컬 컴퓨터에 한정된다.
2. 다음 경로를 따라 찾아간다:
컴퓨터 구성, Windows 설정, 보안 설정, 로컬 정책, 보안 옵션.
3. "로컬로 로그온한 사용자만이 CD ROM을 액세스 가능" 옵션을 원하는 설정으로 설정한다.
관련 URL CVE-1999-0594 (CVE)
관련 URL (SecurityFocus)
관련 URL 1294 (ISS)