Windows Server 진단 - 관리자 계정명/RID 진단
진단 시나리오
대상 시스템: Windows Server 2019
목표: 기본 관리자 계정(Administrator)의 RID(Relative ID)를 확인하고, 계정 강화 여부를 진단합니다.
점검 결과 - SAM 계정 분석
| 계정명 |
RID |
설명 |
활성화 |
상태 |
| Administrator |
500 |
기본 관리자 계정 (변경되지 않음) |
Yes |
위험 |
| Guest |
501 |
기본 Guest 계정 |
No |
양호 |
| DefaultAccount |
503 |
기본 계정 |
No |
양호 |
| admin_prod01 |
1003 |
사용자 정의 관리자 계정 |
Yes |
양호 |
SAM 레지스트리 덤프 분석
Key: HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users
Names:
000001F4 (Administrator - RID:500)
000001F5 (Guest - RID:501)
000003EB (admin_prod01 - RID:1003)
Administrator (RID:500) 분석:
- 활성화 여부: 활성화됨
- 마지막 로그인: 2024-06-15 14:23:45
- 암호 변경: 2024-01-10
- 실패 로그인: 5회
PowerShell 진단 명령
# 로컬 사용자 및 RID 확인
Get-LocalUser | Select-Object Name, SID, Enabled
# SID에서 RID 추출
$user = Get-LocalUser -Name "Administrator"
$sid = $user.SID.Value
$rid = [int]$sid.Substring($sid.LastIndexOf('-')+1)
Write-Host "Administrator RID: $rid"
# 관리자 그룹 멤버 확인
Get-LocalGroupMember -Group "Administrators"
# 비활성화된 기본 계정 확인
Get-LocalUser | Where-Object {$_.Enabled -eq $false}
조치 가이드
- 기본 Administrator 계정 비활성화:
- Disable-LocalUser -Name "Administrator"
- 또는 컴퓨터 관리(compmgmt.msc)에서 비활성화
- 대체 관리자 계정 생성:
- RID 500 기본 계정 대신 사용자 정의 관리자 계정 운영
- New-LocalUser -Name "admin_prod01" -NoPassword
- Add-LocalGroupMember -Group "Administrators" -Member "admin_prod01"
- 계정명 난독화: 기본 RID 500 계정이 활성화되어 있다면 공격자의 타겟이 됨
- 알려진 RID 500 계정 비활성화 강력 권장
- 원격 액세스 제한: 관리자 계정 RDP/SSH 접근 제한
- 감사 정책: RID 500 계정 접근 시도 모니터링