[윈도우 보안] 서비스 관리 - IIS 데이터 파일 ACL 적용

[윈도우 보안] 서비스 관리 - IIS 데이터 파일 ACL 적용

■ 취약점 개요

    - 웹 데이터 파일에 *ACL을 부여함으로써 권한 없는 사용자로부터의 실행 및 읽기 제한을 설정할 수 있음.

    - 향후 필요에 의해 IIS를 설치하여 운용한다면 웹 데이터 파일에 대한 ACL을 부여하는 것이 바람직하며 ACL을 설정할 때에는 다음과 같은 사항을 참고하여 설정하여야 함.

    1. 가능한 파일의 종류끼리 분류하여 폴더에 저장하는 것이 좋음.

    2. 홈 디렉토리 (기본 : C:\inetpub\wwwroot)내에 적절한 ACL 권한을 부여함.

    *ACL(Access Control List) : 접근이 허가된 주체들과 허가받은 접근 종류들이 기록된 목록.

■ 보안대책

    - 양호 : 홈 디렉토리 내에 있는 하위 파일들에 대해 Everyone 권한이 존재하지 않는 경우

               (정적 콘텐츠 파일은 Read 권한만)

    - 취약 : 홈 디렉토리 내에 있는 하위 파일들에 대해 Everyone 권한이 존재하는 경우

               (정적 콘텐츠 파일은 Read 권한 제외)

      ※ 조치 시 마스터 속성과 모든 사이트에 적용함

■ 조치방법

    - IIS 서비스를 사용하지 않는 경우 IIS 서비스 중지, 사용할 경우 홈 디렉토리에 Administrators, System 권한만 설정 후 하위 디렉토리에 존재하는 모든 Everyone 권한 제거

      (정적 콘텐츠 파일에 경우 Read 권한 허용)

■ 보안설정 방법

    ◆ IIS 5.0, 6.0

        1. 시작 -> 실행 -> INETMGR -> 웹 사이트 -> 해당 웹 사이트 -> 속성 -> 홈 디렉토리

        2. 탐색기를 이용하여 홈 디렉토리의 등록 정보 -> [보안] 탭에서 권한 확인

        3. 아래와 같은 파일들에 대한 불필요한 Everyone 권한 제어

파일 형식	액세스 제어 목록
CGI (.exe, .dll, .cmd, .pl)	모든 사람(X), 관리자/시스템(전체제어)
스크립트 파일(.asp)	모든 사람(X), 관리자/시스템(전체제어)
포함 파일(.inc, .shtm, .shtml)	모든 사람(X), 관리자/시스템(전체제어)
정적 콘텐츠(.txt, .gif, .jpg, .html)	모든 사람(X), 관리자/시스템(전체제어)

◆ IIS 7.0

          1. 시작 -> 실행 -> INETMGR -> 사이트 -> 해당 웹 사이트 -> 기본 설정 -> 실제 경로 확인

          2. 탐색기를 이용하여 홈 디렉토리의 등록 정보 -> [보안] 탭에서 권한 확인

          3. 아래와 같은 파일들에 대한 불필요한 Everyone 권한 제어

파일 형식	액세스 제어 목록
CGI (.exe, .dll, .cmd, .pl)	모든 사람(X), 관리자/시스템(전체 제어)
스크립트 파일 (.asp)	모든 사람(X), 관리자/시스템(전체 제어)

■ 조치 시 영향

    - IIS에서 홈 디렉토리 내에 있는 데이터 파일 권한 조치에 따른 검증 필요

※ 문의 사항은 메일 : jyuhm@sntkor.com 이나 070-8611-4853

문의 사항 남기기