로컬 관리자가 아닌 원격 호출자가 서비스를 시작/중지하지 못하도록 차단

요약

이 문서에서는 Windows 10 버전 1709 및 Windows Server 2016 버전 1709부터 시작되는 보안 정책의 변경 내용에 대해 설명합니다. 새 정책에 따라, 원격 컴퓨터의 로컬 관리자에 해당하는 사용자만이 해당 컴퓨터에서 서비스를 시작하거나 중지할 수 있습니다 .

이 문서에서는 이 새 정책에서 개별 서비스를 옵트아웃하는 방법도 소개합니다.

추가 정보

일반적으로 저지르는 한 가지 보안 관련 실수는 과도한 권한의 보안 설명자(서비스 보안 및 액세스 권한)를 사용하도록 서비스를 구성함에 따라 본의 아니게 액세스 권한을 의도한 수준보다 많은 원격 호출자에게 부여하는 것입니다. 예를 들어 인증된 사용자에게 SERVICE_START 또는 SERVICE_STOP 권한을 부여하는 서비스를 어렵지 않게 볼 수 있습니다. 원래 의도는 대개 이러한 권한을 로컬 관리자 사용자에게만 부여하는 것이지만 인증된 사용자에는 Active Directory 포리스트의 모든 사용자 또는 컴퓨터 계정도 포함되며, 이는 해당 계정이 원격 또는 로컬 컴퓨터의 Administrators 그룹에 속해 있는지 여부와 관계가 없습니다. 이처럼 과도하게 할당된 권한은 잘못 사용되는 것은 물론, 네트워크 전체에 혼란을 일으킬 수 있습니다.

이 문제의 보편성 및 잠재적인 심각도와 충분히 큰 규모의 도메인에는 보안이 침해된 컴퓨터가 포함되어 있다고 가정하는 오늘날의 보안 관행을 감안하여, 컴퓨터에서 로컬 관리자이기도 한 원격 호출자는 다음 서비스 권한을 요청할 수 있도록 지정하는 새로운 시스템 보안 설정이 도입되었습니다.

SERVICE_CHANGE_CONFIG
SERVICE_START
SERVICE_STOP
SERVICE_PAUSE_CONTINUE
DELETE
WRITE_DAC
WRITE_OWNER

새로운 보안 설정에서는 로컬 관리자인 원격 호출자가 다음과 같은 서비스 제어 관리자 권한도 요청할 수 있도록 규정하고 있습니다.

SC_MANAGER_CREATE_SERVICE

참고 이 로컬 관리자 검사는 서비스 또는 서비스 컨트롤러 보안 설명자에 대한 액세스 검사 외에 부가적으로 수행하는 것입니다. 이 설정은 Windows 10 버전 1709 및 Windows Server 2016 버전 1709부터 도입되었습니다. 이 설정은 기본적으로 설정됩니다.

관리자가 아닌 사용자가 서비스를 원격으로 시작 또는 중지할 수 있도록 하는 기능을 활용하는 서비스가 있는 일부 고객의 경우 이 새로운 검사로 인해 문제가 발생할 수도 있습니다. 필요한 경우 다음 레지스트리 위치에서 서비스 이름을RemoteAccessCheckExemptionList REG_MULTI_SZ 레지스트리 값에 추가하여 이 정책에서 개별 서비스를 옵트아웃할 수 있습니다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM

이렇게 하려면 다음 단계를 수행하세요.

1. 시작, 실행을 차례로 선택하고 열기 상자에 regedit을 입력한 후 확인을 클릭합니다.

2. 레지스트리에서 다음 하위 키를 찾아 선택합니다.
   
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM
   
   참고 하위 키가 없으면 다음과 같이 만들어야 합니다. 편집 메뉴에서 새로 만들기, 키를 차례로 선택합니다. 새 하위 키의 이름을 입력한 후 Enter 키를 누릅니다.

3. 편집 메뉴에서 새로 만들기를 가리킨 다음 REG_MULTI_SZ 값을 선택합니다.

4. REG_MULTI_SZ 값의 이름으로 RemoteAccessCheckExemptionList를 입력한 다음 Enter 키를 누릅니다.

5. RemoteAccessCheckExemptionList 값을 두 번 클릭하고 새 정책 적용을 면제할 서비스 이름을 입력한 후 확인을 클릭합니다.

6. 레지스트리 편집기를 종료한 다음 컴퓨터를 다시 시작합니다.

이 새로운 검사를 전역에 걸쳐 사용하지 않도록 설정하고 보안 수준이 낮은 이전 동작을 복원하려는 관리자는 다음 레지스트리 위치에서 RemoteAccessExemption REG_DWORD 레지스트리 값을 영이 아닌 값으로 설정하면 됩니다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

참고 이 값을 임시로 설정하면 이 새로운 사용 권한 모델로 인해 응용 프로그램 호환성 문제가 발생할지 여부를 신속하게 확인할 수 있습니다.

이렇게 하려면 다음 단계를 수행하세요.

1. 시작, 실행을 차례로 선택하고 열기 상자에 regedit을 입력한 후 확인을 클릭합니다.

2. 레지스트리에서 다음 하위 키를 찾아 클릭합니다.
   
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

3. 편집 메뉴에서 새로 만들기를 가리킨 후 REG_DWORD (32비트) 값을 클릭합니다.

4. REG_DWORD 값의 이름으로 RemoteAccessExemption을 입력한 다음 Enter 키를 누릅니다.

5. RemoteAccessExemption 값을 두 번 클릭하고 값 데이터 필드에 1을 입력한 다음 확인을 클릭합니다.

6. 레지스트리 편집기를 종료한 다음 컴퓨터를 다시 시작합니다.