본문 바로가기

Infra/윈도우 서버

[윈도우 보안] 서비스 관리 - IIS 디렉토리 리스팅 제거

[윈도우 보안] 서비스 관리 - IIS 디렉토리 리스팅 제거



■ 대상 OS : Windows NT, 2000, 2003, 2008


■ 취약점 개요

    - 디렉토리 검색은 디렉토리에 대한 요청 시 기본 페이지가 호출되어 사용자에게 전송 하지만, 기본 페이지가 존재하지 않는 경우 디렉토리 내에 존재하는 모든 파일의 목록을 보여줌.

    - 따라서 디렉토리 검색이 허용될 경우 외부에서 디렉토리 내의 모든 파일에 대한 접근이 가능하므로 중요한 파일들이 노출될 수 있음.


■ 보안대책

    - 양호 : "디렉토리 검색"이 체크되어 있지 않은 경우

    - 취약 : "디렉토리 검색"이 체크외더 있는 경우


■ 조치방법

    - 사용하지 않는 경우 IIS 서비스 중지, 사용할 경우 디렉토리 검색 체크 해제


■ 보안설정 방법

운영체제

IIS 버전

Windows 2000

IIS 5.0

Windows 2003

IIS 6.0

Windows 2008

IIS 7.0


■ IIS 5.0, 6.0

    1. 시작 -> 실행 -> INETMGR -> 웹 사이트 -> 속성 -> 홈 디렉토리

    2. "디렉토리 검색" 체크 해제


■ IIS 7.0

    1. 인터넷 정보 서비스(IIS) 관리 -> 해당 웹 사이트 -> IIS -> "디렉토리 검색" 선택 후 "사용 안 함" 선택





※ 문의 사항은 메일 : jyuhm@sntkor.com 이나 070-8611-4853


문의 사항 남기기