English

◀◁ 뒤로 취약점ID 24031 위험도 30 포트 139,445 프로토콜 TCP 분류 SMB 상세설명 HKLM\SOFTWARE\Microsoft\Windows NT\WinLogon\SFCDisable 레지스트리 키가 0xffffff9d으로 셋되어 있다. 이것은 아마도 해당 호스트가 침입당했음을 의미한다. 특별한 키 값인 0xffffff9d은 Windows File Protection (WFP)을 작동중지 시킨다. WFP는 윈도우즈 2000의 새로운 기능으로 어떤 중요한 시스템 파일들이 삭제되거나 수정되지 않도록 해 준다. 중요한 시스템 파일들이 수정되는 것을 방지함으로써 파일 버전 불일치를 피할 수 있고 시스템 무결성을 보다 좋은 상태로 유지할 수 있다. 시스템 파일들을 보호하는 것은 보안상의 공격들을 방지하고 나아가서 잠재적인 공격을 방지하는데 있어 중요하다. * 참고 사이트: http://www.iss.net/security_center/static/4138.php http://support.microsoft.com/support/kb/articles/Q222/4/73.ASP http://oliver.efri.hr/~crv/security/bugs/NT/reg3.html * 알림: 이 점검항목은 점검하기 위한 원격지 호스트의 레지스트리를 액세스할 수 있는 Guest 혹은 그 이상의 권한을 가진 계정을 필요로 한다. 이러한 조건이 안되면 점검을 수행할 수 없으며 모든 취약한 호스트들에 대해서 거짓 음성반응(False Negative)을 보일 수 있다. 해결책 왼도우즈 레지스트리에서 시스템 파일 체킹을 Enable 해야 한다. 시스템 파일 체킹을 Enable 하기 위해서는: 1. regedit를 사용하여 \HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon 레지스트리 키를 찾는다. 2. SFCDisable라는 이름의 레지스트리 항목을 찾는다. 3. Windows 시스템이 시스템 파일 체킹을 항상 수행되도록 하기 위해 "0"으로 값을 변경한다. 관련 URL (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)