[윈도우 보안] 서비스 관리 - IIS 불필요한 파일 제거
■ 대상 OS
- Windows NT, 2000, 2003, 2008
■ 취약점 개요
- 샘플 애플리케이션은 IIS 서비스 설치 시 디폴트로 설치되는 예제 스크립트로 제거하는 것이 안전함. IIS를 설치하면 기본적으로 예제와 설명서 등이 같이 설치되는데 이러한 폴더들은 공격 대상으로 이용되거나 백도어가 심어질 위험이 있으므로 제거해 주어야 함.
■ 보안대책
- 양호 : 해당 웹 사이트에 IIS Samples, IIS Help 가상 디렉토리가 존재하지 않는 경우
- 취약 : 해당 웹 사이트에 IIS Samples, IIS Help 가상 디렉토리가 존재하는 경우
※ 조치 시 마스터 속성과 모든 사이트에 적용함
■ 조치 방법
- 사용하지 않는 경우 IIS 서비스 중지, 사용할 경우 가상 디렉토리 삭제
■ 보안설정 방법
◆ IIS 5.0, 6.0
1. Sample 디렉토리 확인
- 아래의 Sample 디렉토리를 확인함
C:\inetpub\iissamples C:\winnt\help\iishelp (IIS 설명서) C:\program files\common files\system\msadc\sample (데이터 액세스) %SystemRoot%\System32\Inetsrv\IISADMPWD |
2. Sample 디렉토리 확인 후 삭제
※ IIS 7.0 이상 버전 해당 사항 없음
■ 조치 시 영향
- 애플리케이션에서 "../" 와 같이 상대경로를 사용하도록 코딩되어 있을 경우 영향 있음
※ 문의 사항은 메일 : jyuhm@sntkor.com 이나 070-8611-4853
'Infra > 윈도우 서버' 카테고리의 다른 글
| [윈도우 보안] 서비스 관리 - IIS 링크 사용금지 (0) | 2018.01.10 |
|---|---|
| [윈도우 보안] 서비스 관리 - IIS 웹 프로세스 권한 제한 (0) | 2018.01.09 |
| [윈도우 보안] 서비스 관리 - IIS 상위 디렉토리 접근 금지 (0) | 2018.01.08 |
| [윈도우 보안] 서비스 관리 - IIS CGI 실행 제한 (0) | 2018.01.08 |
| [윈도우 보안] 서비스 관리 - IIS 디렉토리 리스팅 제거 (2) | 2017.07.12 |