W-68 예약된 작업에 의심스러운 명령이 등록되어 있는지 점검
■ 점검영역 : 서비스 관리
■ 항목 중요도 : 중
■ 점검내용
예약된 작업에 의심스러운 명령의 등록 여부 점검
■ 점검목적
외부 무단 침입 시 설정될 수 있는 불필요한 예약 작업의 등록 여부를 확인하기 위함
■ 보안위협
일정 시간마다 미리 설정해둔 프로그램을 실행할 수 있는 예약된 작업은 시작프로그램과 더불어서 해킹과 트로이 목마, 백도어를 설치하여 공격하기 좋은 루트로 사용될 수 있음
■ 참고
-
점검대상 및 판단기준(윈도우 서버, window)
■ 대상 : Windows NT, 2000, 2003, 2008, 2012, 2016, 2019
양호
불필요한 명령어나 파일 등 주기적인 예약 작업의 존재 여부를 주기적으로 점검하고 제거한 경우
취약
불필요한 명령어나 파일 등 주기적인 예약 작업의 존재 여부를 주기적으로 점검하지 않거나, 해당 작업을 제거하지 않은 경우
■ 조치방법
예약 작업에 대한 주기적인 확인
점검 및 조치 방법
■ Windows 2000, 2003, 2008, 2012, 2016, 2019
< GUI 확인 방법 >
Step 1) 시작> 설정> 제어판> 예약된 작업 확인
※ 2008, 2012, 2016, 2019 는 제어판> 관리도구> 작업 스케줄러 에서 확인
Step 2) 등록된 예약 작업을 선택하여 상세내역 확인
Step 3) 불필요한 파일 존재 시 삭제
< CLI 확인 방법 >
Step 1) 시작> 실행> cmd 입력
Step 2) cmd 창에서 C:\>at 명령어를 실행하여 확인
※ 2012, 2016, 2019 는 schtasks 명령어로 확인
■ 조치 시 영향 : 예약작업을 잘못 삭제하는 경우 관련된 작업이 실행되지 않을 수 있음