Windows 서버 2. 서비스 관리(5)

주요정보통신기반시설_Windows 서버

2. 서비스 관리

2.16 IIS Exec 명령어 쉘 호출 진단

 

 

양호 : IIS 5.0 버전에서 해당 레지스트리 값이 0이거나, IIS 6.0 버전 이상인 경우

취약 : IIS 5.0 버전에서 해당 레지스트리 값이 1인 경우

 

웹 서버에서 # exec 명령어를 통한 명령어 실행이 차단되지 않은 경우, 웹 서버에서 임의의 시스템 명령이 호출 가능하여 허가되지 않은 파일의 실행 위험을 제거하기 위함입니다.

 

 

※ IIS 6.0 이상 버전(windows 2003 이상) 해당 사항 없음

 

 

 

 

2.17 IIS WebDAV 비활성화

 

 

양호 : 다음 중 한 가지라도 해당하는 경우

 1. IIS 서비스를 사용하지 않는 경우

 2. DisableWebDAV 값이 1로 설정되어 있는 경우

 3. Windows NT, 2000은 서비스팩 4 이상이 설치되어 있는 경우

 4. Windows 2003 이상은 WebDAV가 금지 되어 있는 경우

 

취약 : 양호 기준에 한 가지라도 해당하지 않는 경우(2003, 2008은 1,4번만)

 

 

 

***참고***

WebDAV(Web Distributed Authoring and Versioning): 사용자가 원격 World Wide Web 서버를 이용하여 파일을 수정하거나 처리할 수 있도록 하는 HTTP의 확장 서비스.

 

 

WebDAV가 활성화 되어 있는 경우

IIS에 악의적으로 작성된 HTTP 요청을 이용하여 인증을 우회함으로써 패스워드로 보호된 WebDAV의 자원에 접근 (디렉토리 열람, 파일 다운로드 등)이 가능할 수 있습니다.

그래서 WebDAV를 비활성화시켜 인증 우회 취약점을 제거시킵니다.

 

 

 

단계1. 인터넷 정보 서비스(IIS) 관리자> 서버 선택> IIS> "ISAPI 및 CGI 제한" 선택, WebDAV 사용여부 확인 --> 허용됨일 경우 취약한 것입니다.

 

 

단계2.  WebDAV 항목 선택> [작업]에서 제거하거나, 편집> "확장 경로 실행 허용(A)" 체크 해제

 

 

 

 

 

 

 

2.18 NetBIOS 바인딩 서비스 구동 점검

 

 

양호 : TCP/IP와 NetBIOS 간의 바인딩이 제거 되어 있는 경우

취약 : TCP/IP와 NetBIOS 간의 바인딩이 제거 되어있지 않은 경우

 

 

***참고***

NetBIOS(Network Basic Input/Output System)

별개의 컴퓨터상에 있는 애플리케이션들이 근거리통신망 내에서 서로 통신 할 수 있게 해주는 프로그램.

IBM pc를 위한 네트워크 인터페이스 체계로 네임, 세션, 데이터그램의 세가지 서비스를 제공.

NetBIOS를 통해 파일 공유와 프린터 공유 등을 서비스로 이용.

 

 

 

인터넷에 직접 연결되어 있는 윈도우 시스템에서 NetBIOS TCP/IP 바인딩이 활성화 되어 있을 경우 공격자가 네트워크 공유자원을 사용할 우려가 있기 때문에 제거해야합니다.

 

 

 

시작> 실행> ncpa.cpl> 로컬 영역 연결> 속성> TCP/IP> [일반] 탭에서 [고급] 클릭> [WINS] 탭에서 TCP/IP에서 “NetBIOS 사용 안 함” 또는, “NetBIOS over TCP/IP 사용 안 함” 선택

 

 

 

 

 

 

2.19 FTP 서비스 구동 점검

 

 

양호 : FTP 서비스를 사용하지 않는 경우 또는 secure FTP 서비스를 사용하는 경우

취약 : FTP 서비스를 사용하는 경우

 

인증 정보가 기본적으로 평문전송되는 취약한 프로토콜인 FTP의 사용을 제한하여 네트워크 보안성을 높이기위함입니다.

 

 

단계1. 시작> 실행> SERVICES.MSC

 

단계2. FTP Publishing Service(Windows 2012 이상 : Microsoft FTP Service)> 속성> [일반] 탭에서 "시작 유형"을 “사용 안 함”으로 설정한 후, FTP 서비스 중지

 

 

 

 

 

2.20 FTP 디렉토리 접근권한 설정

 

 

양호 : FTP 홈 디렉토리에 Everyone 권한이 없는 경우

취약 : FTP 홈 디렉토리에 Everyone 권한이 있는 경우

 

 

FTP 서비스 디렉토리의 접근 권한을 적절하게 설정하여 의도치 않은 정보유출 등의 보안 사고를 방지하기 위해서입니다.

 

단계1. 제어판> 관리도구> 인터넷 정보 서비스(IIS) 관리> 사이트 > 해당 FTP 사이트> FTP 권한 부여 규칙 선택

단계2. 허용 권한 부여 규칙에서 [지정한 사용자] 지정

 

시행착오. 19번 실습하면서 FTP 사용 중지를 해놨기 때문에 FTP 권한 부여 규칙 선택 못 찾음

--> 다시 작동시키고 와서 따라함.