[윈도우 보안] 서비스 관리 - IIS 웹 프로세스 권한 제한

[윈도우 보안] 서비스 관리 - IIS 웹 프로세스 권한 제한

■ 대상 OS

    - Windows NT, 2000, 2003, 2008

■ 취약점 개요

    - 웹 프로세스에서 권한을 제한하지 않는다면, 웹 사이트 방문자가 웹 서비스의 취약점을 이용하여 시스템 권한을 획득할 수 있음.

      웹 취약점을 통해 접속 권한을 획득한 경우에는 관리자 권한을 획득할 수 있고 서버에 접속하여 해당 정보를 해킹하거나 변경 손실할 우려가 있음.

■ 보안대책

    - 양호 : 웹 프로세스가 웹 서비스 운영에 필요한 최소한 권한으로 설정되어 있는 경우

    - 취약 : 웹 프로세스가 관리자 권한이 부여된 계정으로 구동되고 있는 경우

■ 보안설정 방법

    ◆ Windows NT, 2000, 2003, 2008

        1. 시작 -> 제어판 -> 관리 도구 -> 컴퓨터 관리 -> 로컬 사용자 및 그룹 -> 사용자 선택

        2. nobody 계정 추가 (nobody 계정의 소속 그룹에 정해진 User 가 있으면 제거)

        3. 시작 -> 제어판 -> 관리 도구 -> 로컬 보안 정책 -> 로컬 정책 -> 사용자 권한 할당 선택, "서비스 로그온"에 "nobody" 계정 추가

        4. 시작 -> 실행 -> SERVICES.MSC -> IISADMIN -> 속성 -> [로그온] 탭의 계정 지정에 nobody 계정 및 패스워드 입력

        5. 시작 -> 프로그램 -> 윈도우 탐색기 -> IIS가 설치된 폴더 속성 [보안] 탭에 들어간 후 nobody 계정을 추가하고, 모든 권한 체크

■ 조치 시 영향

    - 일반적으로 영향 없음

※ 문의 사항은 메일 : jyuhm@sntkor.com 이나 070-8611-4853

문의 사항 남기기