윈도우, 10 업그레이드 차단, 공유폴더 제거, SMB 포트차단, 특정 서비스 중지, 스크립트로 편하게 작업




양**수**부 산하기관의 네트워크 보안관련 업무 협조 요청사항


현재, 망분리 진행중이고


1. 사용하는 Windows 7 Pro ― 윈도우 10 업그레이드 차단,

2. 윈도우 자체의 C$ , D$ , E$ , Admin$ , Print$ , IPC$ , 공유 설정 모두 제거, 

3. RDS (Remote Desktop Services /Configuration /Registry /Management) 관련 사용안함 , 

4. Ransomeware (SMB, Server Message Block 137-139, 445 포트) 차단.


위의 내용을 간단하게 설정하는 방법이 필요.



윈10 업그레이드 차단, 공유폴더 제거, SMB 포트차단, 특정 서비스 중지, 스크립트로 편하게 작업

방법을 공유합니다. 

이유는 배치파일로 사용자가 쉽게 설치 혹은 V3 배포서버를 통한 일괄 배포/설치 진행이 용이하도록 하기 위함.




1. 사용하는 Windows 7 Pro ― 윈도우 10 업그레이드 차단.


Windows10 Update 차단하기 전, 이전 업데이트 되어있는 파일인

KB3035583 , KB3021917 , KB2952664 , KB3150513 , KB3123862 를 반드시 제거해야 한다.


@echo off


wusa /uninstall /kb:3035583 /quiet /norestart

wusa /uninstall /kb:3021917 /quiet /norestart

wusa /uninstall /kb:2952664 /quiet /norestart

wusa /uninstall /kb:3150513 /quiet /norestart

wusa /uninstall /kb:3123862 /quiet /norestart


set WindowsUpdate=HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

reg add "%WindowsUpdate%" /v DisableOSUpgrade /t REG_DWORD /d 0x00000001 /f


set Gwx=HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Gwx

reg add "%Gwx%" /v DisableGwx /t REG_DWORD /d 0x00000001 /f


pause


_Windows Update 제거방법 (관리자권한 실행).cmd




2. 윈도우 자체의 C$ , D$ , E$ , Admin$ , Print$ , IPC$ , 공유 설정 모두 제거.


@echo off


net share Admin$ /delete

net share C$ /delete

net share D$ /delete

net share E$ /delete

net share Print$ /delete

net share IPC$ /delete

net share Users /delete


pause


_Net Share 수동제거 (관리자권한 실행).cmd




3. RDS (Remote Desktop Services /Configuration /Registry /Management) 관련 사용중지.


@echo off


net stop TermService    (설명: Remote Desktop Services - 중지)

net stop SessionEnv    (설명: Remote Desktop Configuration - 중지)

net stop RemoteRegistry    (설명: Remote Registry - 중지)

net stop WinRM    (설명: Windows Remote Management - 중지)


pause


_Services.msc 중지하기 (관리자권한 실행).cmd




4. Ransomeware (SMB, Server Message Block 137-139, 445 포트) 차단.


1) 윈도우 로고 + R -> wf.msc 입력 -> 확인

2) 인바운드 규칙 -> 새 규칙(클릭) -> 포트(선택) -> 다음

3) 특정 로컬 포트(선택) -> 137-139, 445 또는 139, 445 입력 -> 다음

4) 연결 차단(선택) -> 다음 -> 도메인(D) , 개인(P), 공용(U) -> 다음

5) 이름 -> SMB 차단 , 입력 --> 다음


보통은 위와 같이 수동으로 하지만...,  귀찮아 레지스트리로 한번에 등록


Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

   "{8806A8BD-AE35-482F-BB76-     5761371D777F}"="v2.10|Action=Block|Active=TRUE|Dir=In|Protocol=6|LPort2_10=137-139|LPort=445|Name=SMB 차단|Desc=2017년 5월 발생한 SMB 취약점을 이용한 랜섬웨어를 차단하는 방화벽의 설정.|"


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanServer\Parameters]

"SMB1"=dword:00000000

"SMB2"=dword:00000000


- 관련글 -

SMB 차단, 인바운드 규칙 - 137-139, 445 포트 차단 방법

프린터, 네트워크 공유에 필요한 조건

윈도우, 긴급보안패치 & 통합패치 비공식 (17.05.15)



묘한오빠

남자의 호칭 중에 "오빠"처럼 묘한 것도 없었다

이미지 맵

도움/운영체제 다른 글

이 글에 담긴 의견 4

*

*

LiveRe. 이동

    • 감사합니다.. 잘 쓰겠습니다~ ^^

    • 넵, 그러시죠 ^^
      아직도 8/16비트로 돌아가는 것들 때문에 윈도우 7를 버리지 못하는 기관들이 한번씩 이렇게 황당하게 요청하는 일들이 있어 피곤할때가 있지만, 제가 직접하는 경우는 없고 해당 사이트의 유지보수 엔지니어분들이 고생이 많죠

    • ㅠㅠ 저희 회사도 이래요ㅠ 집 노트북은 생각없이 윈10업뎃을 했더니 vpn 접속이 안되고ㅠㅠ 근데 그게 업뎃때문인지 아님 제가 뭔가 실수해선지조차 모르겠는 컴맹 ㅠ

    • 윈도우 10은 업데이트하시고 나면 설정들이 초기화되는 경우가 많습니다. ssl-vpn으로 그룹웨어 접속을 하시는 것 같은데..., ssl-vpn으로 접속하신다면 맞는 버전이나 설정을 변경하시면 될듯한데 아마도 기관이시면 안될 확율이 높습니다.

      비용이 문제가 아니고 보안문제에 관심없는 담당분들이 많아 나중에 딴소리들을 많이 하시드라구요
      혹시 모르니 vpn프로그램 삭제하셨다 해당 사외망에서 vpn 접속 사이트에 접속하시면 클라이언트 프로그램 업데이트나 재설치 안내가 뜨지 않을까싶네요

이전 글

다음 글