[윈도우 보안] 서비스 관리 - IIS 웹 서비스 정보 숨김
■ 대상 OS
- Windows NT, 2000, 2003, 2008
■ 취약점 개요
- 에러 페이지, 웹 서버 종류, 사용 OS, 사용자 계정이름 등 웹 서버와 관련된 불필요한 정보가 노출되지 않도록 하여야 함.
- 이러한 정보가 노출된다면 공격에 필요한 정보를 수집하는데 도움이 될 수 있음.
■ 보안대책
- 양호 : 웹 서비스 에러 페이지가 별도로 지정되어 있는 경우
- 취약 : 웹 서비스 에러 페이지가 별도록 지정되지 않아 에러 발생 시 중요 정보가 노출되는 경우
■ 조치방법
- 발생 가능한 각 에러에 대한 별도의 웹 서비스 에러 페이지를 지정함
■ 보안설정방법
◆ Windows 2000, 2003
- 인터넷 정보 시비스(IIS) 관리 -> 속성 -> [사용자 지정 오류] 탭에서 400, 401, 403, 404, 500 등 웹 서비스 에러에 대해 별도의 페이지를 지정
◆ Windows 2008
1. 에러 메시지 설정
- 인터넷 정보 서비스(IIS) 관리자 -> 해당 웹 사이트 -> [오류 페이지]에서 400, 401, 403, 404, 500 등 웹서비스 에러에 대해 별도의 페이지를 지정
2. 오류 페이지 설정 편집
- 인터넷 정보 서비스(IIS) 관리자 -> 해당 웹 사이트 -> 오류 페이지 -> [기능 설정 편집] 에서 "서버오류 발생 시 다음 반환" 항목을 "사용자 지정 오류 페이지"로 설정
■ 조치 시 영향
- 일반적으로 영향 없음
※ 문의 사항은 메일 : jyuhm@sntkor.com 이나 070-8611-4853
'Infra > 윈도우 서버' 카테고리의 다른 글
| [윈도우 보안] 서비스 관리 - SNMP 서비스 커뮤니티스트링의 복잡성 설정 (0) | 2018.05.18 |
|---|---|
| [윈도우 보안] 서비스 관리 - SNMP 서비스 구동 점검 (0) | 2018.05.17 |
| [윈도우 보안] 서비스 관리 - 터미멀 서비스 암호화 수준 설정 (1) | 2018.05.14 |
| [윈도우 보안] 서비스 관리 - 최신 서비스팩 적용 (0) | 2018.05.14 |
| [윈도우 보안] 서비스 관리 - RDS(Remote Data Services) 제거 (0) | 2018.05.09 |
