Windows 서버 2. 서비스 관리(3)

주요정보통신기반시설_Windows 서버

2. 서비스 관리

 

2.5 디렉토리 리스팅 제거

 

양호 : “디렉토리 검색” 체크하지 않음

취약 : “디렉토리 검색” 체크함

※ 조치 시 마스터 속성과 모든 사이트에 적용함

 

 

제어판> 관리도구>

 

인터넷 정보 서비스(IIS) 관리> 해당 웹 사이트> IIS> "디렉토리 검색" 선택 후 "사용 안 함" 선택

 

 

 

 

 

 

2.6 IIS CGI 실행 제한

 

양호 : 해당 디렉토리 Everyone에 모든 권한, 수정 권한, 쓰기 권한이 부여되지 않은 경우

취약 : 해당 디렉토리 Everyone에 모든 권한, 수정 권한, 쓰기 권한이 부여되어 있는 경우

※ 조치 시 마스터 속성과 모든 사이트에 적용함

 

**참고**

CGI(Common Gateway Interface): 사용자가 서버로 보낸 데이터를 서버에서 작동중인 데이터처리프로그램에 전달하고, 여기에서 처리된 데이터를 다시 서버로 되돌려 보내는 등의 일을 하는 프로그램

 

가이드에 나온 것은 다음과 같았습니다.

Step 1) 탐색기> 해당 디렉토리> 속성> 보안 (기본 CGI 디렉토리 위치 C:\inetpub\scripts)

Step 2) Everyone 의 모든 권한, 수정 권한, 쓰기 권한 제거

 

하지만 IIS 초기 구축시에는 scripts 폴더가 생성되지 않을 수 있다고 나와있습니다.

저도 폴더가 없어서 실습 불가

 

 

 

 

2.7 IIS 상위 디렉토리 접근 금지

 

 

양호 : 상위 디렉토리 접근 기능을 제거한 경우

취약 : 상위 디렉토리 접근 기능을 제거하지 않은 경우

※ 조치 시 마스터 속성과 모든 사이트에 적용함

 

 

제어판 - 시스템 및 보안 - 관리도구

 

인터넷 정보 서비스(IIS) 관리자 - 해당 웹사이트

 

IIS - ASP 선택....해야 하는데 없었습니다.

 

그래서 다시 트리를 살펴보니 체크해주지 않았던 것을 확인했습니다.

 

다시 체크 후 확인 후 변경사항 적용 하는 과정을 거쳤습니다.

그럼 다음과 같이 ASP가 생긴 것을 확인할 수 있습니다.

그리고 다시 IIS - ASP "부모 경로 사용" 항목 "False" 설정 확인

 

 

이용자가 상위경로로 이동하는 것이 가능할 경우 하위경로에서 상위로 접근 하며 정보 탐색이 가능하여 중요 정보가 노출될 가능성을 제거해줄 수 있게 됩니다.

 

 

 

 

 

2.8 IIS 불필요한 파일 제거

 

양호 : 해당 웹 사이트에 IISSamples, IISHelp 가상 디렉토리가 존재하지 않는 경우

취약 : 해당 웹 사이트에 IISSamples, IISHelp 가상 디렉토리가 존재하는 경우

 

IIS 서비스 설치 시 기본적으로 제공 되는 파일 및 디렉토리를 제거하지 않을 경우, 해당 파일들로 인해 공격 대상으로 이용되거나 백도어가 심어질 위험이 존재합니다.

 

**추가공부**

백도어 : 인증되지 않은 사용자에 의해 컴퓨터의 기능이 무단으로 사용될 수 있도록 컴퓨터에 몰래 설치된 통신 연결 기능

 

Sample 디렉토리 확인 후 삭제해주기

c:\inetpub\iissamples

c:\winnt\help\iishelp (IIS 설명서)

c:\program files\common files\system\msadc\sample (데이터 액세스) %SystemRoot%\System32\Inetsrv\IISADMPWD

 

 

 

 

2.9 웹 프로세스 권한 제한

 

양호 : 웹 프로세스가 웹 서비스 운영에 필요한 최소한 권한으로 설정되어 있는 경우

취약 : 웹 프로세스가 관리자 권한이 부여된 계정으로 구동되고 있는 경우

 

 

웹 프로세스가 웹 서비스 운영에 필요한 최소한의 권한만을 갖도록 제한하여 웹사이트 방문자가 웹 서비스의 취약점을 이용해 시스템에 대한 어떤 권한도 획득할 수 없도록 하기 위함입니다.

 

 

단계1. 제어판> 관리도구> 인터넷 정보 서비스(IIS) 관리자> 해당 웹사이트> 고급 설정> ’응 용프로그램 풀 이름(DefaultAppPool)‘ 확인

 

단계2. 제어판> 관리도구> 인터넷 정보 서비스(IIS) 관리자> 응용 프로그램 풀> ’용용 프로그 램 풀 이름(DefaultAppPool)’ 선택> 고급 설정> ID> ApplicationPoolIdentity 선택

 

 

 

 

 

2.10 IIS 링크 사용금지

 

 

양호 : 심볼릭 링크, aliases, 바로가기 등의 사용을 허용하지 않는 경우

취약 : 심볼릭 링크, aliases, 바로가기 등의 사용을 허용하는 경우

 

웹 컨텐츠 디렉토리에서 다른 디렉토리나 파일들에 접근할 수 있는 심볼릭 링크, 별칭(aliases), 바로가기 등을 제거하여 허용하지 않은 경로의 접근을 차단하기 위함입니다.

 

 

단계1. 제어판> 관리도구> 인터넷 정보 서비스(IIS) 관리자> 해당 웹사이트> 기본 설정> "실 제 경로"에서 홈 디렉토리 위치 확인

 

단계2. 실제 경로에 입력된 홈 디렉토리로 이동하여 바로가기 파일 삭제