주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다.
주요정보통신기반시설 취약점 Windows 서버 점검 항목
■ 취약점 개요
○ 점검개요 : IIS 설치 시 기본적으로 제공되는 불필요한 파일 제거 여부 점검
○ 점검목적 : IIS 서비스 설치 시 기본으로 설치되는 예제 스크립트, 설명서, 샘플 애플리케이션, 디렉토리 등 서비스에 불필요한 IIS 모듈을 제거하여 불필요한 공격 대상으로 이용되는 것을 방지하기 위함
○ 보안위협 : IIS 서비스 설치 시 기본적으로 제공 되는 파일 및 디렉토리를 제거하지 않을 경우, 해당 파일들로 인해 공격 대상으로 이용되거나 백도어가 심어질 위험이 존재함
○ 점검대상 : Windows 2000, 2003, 2008, 2012, 2016 등
○ 판단기준
- 양호 : 해당 웹 사이트에 IlSSamples, IISHelp 가상 디렉토리가 존재하지 않는 경우
- 취약 : 해당 웹 사이트에 USSamples, IISHelp 가상 디렉토리가 존재하는 경우
※ 조치 시 마스터 속성과 모든 사이트에 적용함
■ 점검방법
○ Window 2000(IIS 5.0), 2003(IIS 6.0)
|
Step 1 |
Sample 디렉토리 확인 인터넷 정보 서비스(IIS) 관리> 해당 웹사이트> 속성 |
○ Window 2008(IIS 7.0) 이상 버전 해당 사항 없음
■ 조치방안
○ Window 2000(IIS 5.0), 2003(IIS 6.0)
|
Step 1 |
Sample 디렉토리 확인 인터넷 정보 서비스(IIS) 관리> 해당 웹사이트> 속성 |
|
Step 2 |
Sample 디렉토리 확인 후 삭제함 c:\inetpub\iissamples c:\winnt\help\iishelp (IIS 설명서) c:\program files\common files\system\msadc\sample (데이터 액세스) %SystemRoot%\System32\Inetsrv\IISADMPWD |
■ 조치 시 영향
일반적인 경우 무관
'취약점 진단 가이드 > WINDOWS 서버 진단 가이드' 카테고리의 다른 글
| W-28(상) IIS 링크 사용금지 (0) | 2021.03.05 |
|---|---|
| W-27(상) 웹 프로세스 권한 제한 (0) | 2021.03.04 |
| W-25(상) IIS 상위 디렉토리 접근 금지 (0) | 2021.03.03 |
| W-24(상) IIS CGI 실행 제한 (0) | 2021.03.03 |
| W-23(상) 디렉토리 리스팅 제거 (0) | 2021.03.02 |