[윈도우 보안] 서비스 관리 - DNS Zone Transfer 설정
■ 대상 OS
- Windows NT, 2000, 2003, 2008
■ 취약점 개요
- DNS 서버에 저장되어 있는 도메인 정보를 승인된 DNS 서버가 아닌 다른 외부로 유출하는 것은 보안상 바람직하지 않으므로 적절한 보안 설정을 통하여 도메인 정보 전송을 제한하여야 함.
- 만약, DNS 도메인 정보가 외부로 노출될 경우 악의적인 사용자가 해당 정보를 이용하여 홈페이지 및 하위 URL 정보를 입수하여 웹 애플리케이션 구조를 예측할 수 있음.
■ 보안대책
- 양호 : 아래 기준에 해당될 경우
1. DNS 서비스를 사용 않는 경우
2. 영역 전송 허용을 하지 않는 경우
3. 특정 서버로만 설정이 되어 있는 경우
- 취약 : 위 3개 기준 중 하나라도 해당 되지 않는 경우
■ 조치방법
- 불필요 시 서비스 중지/사용 안함.
- 사용하는 경우 영역 전송을 특정 서버로 제한하거나 "영역 전송 허용"에 체크 해제
■ 보안설정방법
◆ Windows NT
1. 시작 -> 프로그램 -> 관리 도구 -> DNS 관리자 -> 각 조회 영역 -> 등록 정보 -> 알림
2. "알림 목록에 있는 보조 영역에서만 액세스 허용" 선택 후 서버 IP 추가
◆ Windows 2000, 2003, 2008
1. 시작 -> 실행 -> DNSMGMT.MSC -> 각 조회 영역 -> 해당 영역 -> 속성 -> 영역 전송
2. "다음 서버로만" 선택 후 전송할 서버 IP 추가
3. 불필요 시 해당 서비스 제거
- 시작 -> 실행 -> SERVICES.MSC -> DNS 서버 -> 속성 [일반] 탭에서 "시작 유형"을 "사용 안 함"으로 설정한 후, DNS 서비스 중지.
■ 조치 시 영향
- 영역 전송할 경우 서버를 지정해 주면 영향 없음
※ 문의 사항은 메일 : jyuhm@sntkor.com 이나 070-8611-4853
'Infra > 윈도우 서버' 카테고리의 다른 글
| [윈도우 보안] 서비스 관리 - 최신 서비스팩 적용 (0) | 2018.05.14 |
|---|---|
| [윈도우 보안] 서비스 관리 - RDS(Remote Data Services) 제거 (0) | 2018.05.09 |
| [윈도우 보안] 서비스 관리 - FTP 접근 제어 설정 (0) | 2018.05.08 |
| [윈도우 보안] 서비스 관리 - Anonymous FTP 금지 (2) | 2018.01.29 |
| [윈도우 보안] 서비스 관리 - FTP 디렉토리 접근권한 설정 (0) | 2018.01.22 |
