Windows Server 진단 - 불필요 서비스 비활성화 점검
진단 시나리오
대상 시스템: Windows Server 2019 (도메인 가입)
목표: 불필요한 시스템 서비스의 비활성화 상태를 점검하고, 취약한 서비스를 식별합니다.
점검 결과
| 서비스명 |
표시명 |
상태 |
시작 유형 |
위험도 |
| Telnet |
TlntSvr |
실행 중 |
자동 시작 |
높음 |
| NetBios 전송 |
NetBT |
실행 중 |
자동 시작 |
높음 |
| Remote Registry |
RemoteRegistry |
중지 |
비활성화 |
안전 |
| Terminal Services |
TermService |
실행 중 |
자동 시작 |
중간 |
| SNMP Service |
SNMP |
중지 |
비활성화 |
안전 |
| Simple Mail Transfer Protocol |
SMTPSVC |
실행 중 |
자동 시작 |
높음 |
| Windows 방화벽 |
MpsSvc |
실행 중 |
자동 시작 |
안전 |
PowerShell 진단 명령
# 실행 중인 모든 서비스 확인
Get-Service | Where-Object {$_.Status -eq "Running"} | Select-Object Name, DisplayName, StartType
# Telnet 서비스 비활성화
Set-Service -Name TlntSvr -StartupType Disabled
Stop-Service -Name TlntSvr
# NetBT(NetBios) 비활성화 (레지스트리)
Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\NetBT\Parameters' -Name NetbiosOptions -Value 2
가상 디바이스의 네트 스탫 출력
Proto Local Address Foreign Address State PID Program name
TCP 0.0.0.0:23 0.0.0.0:0 LISTENING 1248 telnet.exe
TCP 0.0.0.0:25 0.0.0.0:0 LISTENING 3456 smtpsvc.exe
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 892 System
TCP 0.0.0.0:3389 0.0.0.0:0 LISTENING 2044 svchost.exe
UDP 0.0.0.0:137 *:* LISTENING 4520 svchost.exe
UDP 0.0.0.0:138 *:* LISTENING 4520 svchost.exe
UDP 0.0.0.0:161 *:* LISTENING 2108 snmp.exe
조치 가이드
- Telnet 서비스 비활성화: Telnet은 암호화되지 않은 원격 접속으로 자격증명 탈취 위험이 높습니다.
- Windows 기능에서 "Telnet 클라이언트" 제거
- 서비스 관리(services.msc)에서 TlntSvr 비활성화
- NetBios 비활성화: NetBios는 LLMNR과 함께 공격자의 중간자 공격(MITM) 대상이 됩니다.
- 고급 TCP/IP 설정에서 NetBios 비활성화
- HKLM:\System\CurrentControlSet\Services\NetBT\Parameters의 NetbiosOptions = 2 설정
- 불필요한 서비스 정리: SMTP, Telnet, SNMP 등 실제 필요하지 않은 서비스는 모두 비활성화
- 정기적 감사: 월 1회 이상 실행 중인 서비스를 감시하고 미인가 서비스 시작 방지
- RDP 접근 제한: RDP를 사용하는 경우 VPN을 통해서만 접속 허용