취약점 개요
점검내용
- 웹 프로세스 권한 제한 설정 여부 점검
점검목적
- 웹 프로세스가 웹 서비스 운영에 필요한 최소한의 권한만을 갖도록 제한하여 웹사이트 방문자가 웹 서비스의 취약점을 이용해 시스템에 대한 어떤 권한도 획득할 수 없도록 하기 위함
보안위협
- 웹 프로세스 권한을 제한하지 않은 경우 웹 사이트 방문자가 웹 서비스의 취약점을 이용하여 시스템 권한을 획득할 수 있으며 웹 취약점을 통해 접속 권한을 획득한 경우에느느 관리자 권한을 획득하여 서버에 접속 후 정보의 변경, 훼손 및 유출 할 우려가 있음
참고
- 참고로 최소 권한의 계정으로 IIS를 구동 시키는 것 이외에 '웹 사이트 등록정보' > '홈 디렉토리' > 응용프로그램 보호(IIS 프로세스 권한 설정)에서도 프로세스 권한을 설정할 수 있음(점검 및 조치 사례 하단 참조)
점검대상 및 판단기준
대상
- Windows NT, 2000, 2003, 2008, 2012
판단기준
- 양호 : 웹 프로세스가 웹 서비스 운영에 필요한 최소한 권한으로 설정되어 있는 경우
- 취약 : 웹 프로세스가 관리자 권한이 부여된 계정으로 구동되고 있는 경우
조치방법
- 시작 > 제어판 > 관리 도구 > 로컬 보안 정책에서 nobody 계정 설정
점검 및 조치 사례
- Windows NT, 2000, 2003, 2012
Step 1) 시작 > 제어판 > 관리도구 > 컴퓨터 관리 > 로컬 사용자 및 그룹 > 사용자 선택
Step 2) nobody 계정 추가(nobody 계정의 소속 그룹에 정해진 User가 있으면 제거)
Step 3) 시작 > 제어판 > 관리도구 > 로컬 보안 정책 > 사용자 권한 할당 선택, "서비스 로그온"에 "nobody" 계정 추가
Step 4) 시작 > 실행 > SERVICES.MSC > IIS Admin Service > 속성 > [로그온] 탭의 계정 지정에 nobody 계정 및 패스워드 입력
Step 5) 시작 > 프로그램 > 윈도우 탐색기 > IIS 가 설치된 폴더 속성 > [보안] 탭에서 nobody 계정을 추가하고 모든 권한 체크
* '웹 사이트 등록정보' > '홈 디렉토리' > 응용프로그램 보호(IIS 프로세스 권한 설정)
- 낮음(IIS 프로세스) : IIS 프로세스는 시스템 권한을 가짐
- 보통(풀링됨) : IIS 프로세스를 실행과 동시에 일반 권한의 계정으로 권한 강하(falling)
- 높읖(격리됨) : IIS 프로세스를 Guest 권한에 준하는 권한으로 실행시킴
세 가지 권한 중 '낮음'으로 되어 있는 경우, IIS 프로세스는 시스템 권한을 가지게 되므로 해커가 IIS 프로세스의 권한을 획득하면 관리자에 준하는 권한을 가질 수 있으므로 주의 해야 함
조치 시 영향
- 일반적인 경우 영향 없음
'개발 > 한국인터넷진흥원 취약점 분석 평가' 카테고리의 다른 글
| W-17(상) 2. 서비스 관리 > 2.11 IIS 파일 업로드 및 다운로드 제한 (0) | 2020.02.21 |
|---|---|
| 2. 서비스 관리 > 2.10 IIS 링크 사용금지 (0) | 2020.02.21 |
| 2. 서비스 관리 > 2.8 IIS 불필요한 파일 제거 (0) | 2020.02.19 |
| 2. 서비스 관리 > 2.7 IIS 상위 디렉토리 접근 금지 (0) | 2020.02.19 |
| 2. 서비스 관리 > 2.6 IIS CGI 실행 제한 (0) | 2020.02.19 |
댓글