주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다.
주요정보통신기반시설 취약점 Windows 서버 점검 항목
■ 취약점 개요
○ 점검개요 : 웹 프로세스 권한 제한 설정 여부 점검
○ 점검목적 : 웹 프로세스가 웹 서비스 운영에 필요한 최소한의 권한만을 갖도록 제한하여 웹사이트 방문자가 웹 서비스의 취약점을 이용해 시스템에 대한 어떤 권한도 획득할 수 없도록 하기 위함
○ 보안위협 : 웹 프로세스 권한을 제한하지 않은 경우 웹 사이트 방문자가 웹 서비스의 취약점을 이용하여 시스템 권한을 획득할 수 있으며, 웹 취약점을 통해 접속 권한을 획득한 경우에는 관리자 권한을 획득하여 서버에 접속 후 정보의 변경, 훼손 및 유출 할 우려가 있음
○ 점검대상 : Windows NT, 2000, 2003, 2008, 2012, 2016 등
○ 판단기준
- 양호 : 웹 프로세스가 웹 서비스 운영에 필요한 최소한 권한으로 설정되어 있는 경우
- 취약 : 웹 프로세스가 관리자 권한이 부여된 계정으로 구동되고 있는 경우
■ 점검방법
○ Window NT, 2000, 2003, 2008, 2012, 2016 등
|
Step 1 |
아래 경로를 참고하여 설정 확인 시작> 제어판> 관리도구> 컴퓨터 관리> 로컬 사용자 및 그룹 |
■ 조치방안
○ Window 2000(IIS 5.0), 2003(IIS 6.0)
|
Step 1 |
아래 경로를 참고하여 설정 확인 시작> 제어판> 관리도구> 컴퓨터 관리> 로컬 사용자 및 그룹 |
|
Step 2 |
nobody 계정 추가 |
|
Step 3 |
아래 경로를 참고하여 설정 수정 시작> 제어판> 관리도구> 로컬 보안 정책> 로컬 정책 |
|
Step 4 |
아래 경로를 참고하여 설정 수정 시작> 실행> SERVICES.MSO IIS Admin Service〉속성 |
|
Step 5 |
아래 경로를 참고하여 설정 수정 시작> 프로그램> 윈도우 탐색기> IIS 가 설치된 폴더 속성 |
■ '웹 사이트 등록정보' > '홈 디렉토리 > 응용프로그램 보호(IIS 프로세스 권한 설정)
○ 낮음(IIS 프로세스) : IIS 프로세스는 시스템 권한을 가짐
○ 보통(풀링됨): HS 프로세스를 실행과 동시에 일반 권한의 계정으로 권한 강하(falling)
○ 높음(격리됨): HS 프로세스를 Guest 권한에 준하는 권한으로 실행시킴
세 가지 권한 중 '낮음'으로 되어 있는 경우, IIS 프로세스는 시스템 권한을 가지게 되므로 해커가
IIS 프로세스의 권한을 획득하면 관리자에 준하는 권한을 가질 수 있으므로 주의해야 함
■ 조치 시 영향
일반적인 경우 무관
■ 참고로 최소 권한의 계정으로 IIS를 구동 시키는 것 이외에 '웹 사이트 등록정보' > '홈 디렉토리' > 응용프로그램 보호(IIS 프로세스 권한 설정)에서도 프로세스 권한을 설정할 수 있음 (점검 및 조치 사례 하단 참조)
'취약점 진단 가이드 > WINDOWS 서버 진단 가이드' 카테고리의 다른 글
| W-29(상) IIS 파일 업로드 및 다운로드 제한 (0) | 2021.03.05 |
|---|---|
| W-28(상) IIS 링크 사용금지 (0) | 2021.03.05 |
| W-26(상) IIS 불필요한 파일 제거 (0) | 2021.03.04 |
| W-25(상) IIS 상위 디렉토리 접근 금지 (0) | 2021.03.03 |
| W-24(상) IIS CGI 실행 제한 (0) | 2021.03.03 |