[W-42] SAM 계정과 공유의 익명 열거 허용 안 함

진단기준

SAM 계정과 공유의 익명 열거 허용 안 함
>> SAM 계정(윈도우 계정목록) & 네트워크 공유이름(공유 폴더이름, 프린터목록 등등) 둘다 열거하지않는 설정.

보안위협
1. SAM 계정은 윈도우에 등록된 계정목록인데 계정 목록이 다 나오면 암호추측이나 APT 공격 가능. 
2. 네트워크 공유이름은 리소스에 접근하는건아니고 목록을 보는거긴한데, 사회공학기법으로 공격가능.

 

REF : https://learn.microsoft.com/ko-kr/windows/security/threat-protection/security-policy-settings/network-access-do-not-allow-anonymous-enumeration-of-sam-accounts-and-shares

Network access Do not allow anonymous enumeration - Windows 10

 

 

CMD에서 익명 사용자로 계정 및 공유 조회하는 방법

SAM 계정과 공유 익명 열거가 허용된 경우, NetBIOS나 RPC, SMB 등을 이용해 정보를 가져올 수 있어.

① 네트워크에 공유된 폴더 목록 확인 (net view)

cmd

복사편집

net view \\[IP 또는 컴퓨터이름]

예시:

cmd

복사편집

net view \\192.168.1.10

📌 결과 (익명 열거 허용 시)

markdown

복사편집

공유 이름 유형 설명 ---------------------------------------------------- SHARE1 디스크 공유 폴더 1 SHARE2 디스크 공유 폴더 2

📌 결과 (익명 열거 차단 시)

pgsql

복사편집

System error 5 has occurred. Access is denied.

(즉, 접근 권한이 없다고 나옴)

---

② 원격 컴퓨터의 사용자 계정 조회 (rpcclient)

SAM 계정이 익명으로 열거 가능하면 원격 PC의 사용자 계정을 확인할 수 있어.
Windows 자체 CMD에서는 지원하지 않지만, **rpcclient (Linux)**를 사용하면 가능해.

📌 Linux에서 실행 (Windows 대상)

bash

복사편집

rpcclient -U "" [IP]

이후에 다음 명령어를 입력하면 사용자 계정을 조회 가능:

bash

복사편집

enumdomusers

📌 익명 열거 허용 시 결과 예시

sql

복사편집

User RID 500: Administrator User RID 501: Guest User RID 1001: testuser

📌 익명 열거 차단 시

nginx

복사편집

NT_STATUS_ACCESS_DENIED

(즉, 권한이 없다고 나옴)