내보내기(0) 인쇄
모두 확장

Windows Server 2003 보안 가이드

9장: 웹 서버 역할

업데이트 날짜: 2005년 12월 27일

이 페이지에서

개요
익명 액세스 및 SSLF 설정
감사 정책 설정
사용자 권한 할당
보안 옵션
이벤트 로그 설정
추가 보안 설정
SCW를 사용하여 정책 만들기
요약

개요

이 장에서는 작업 환경에서 Microsoft Windows Server2003 SP1이 실행되는 웹 서버의 보안을 강화하는 데 도움이 되는 지침을 제공합니다. 조직의 인트라넷에 있는 웹 서버 및 응용 프로그램에 대해 포괄적인 보안을 제공하려면 각 Microsoft IIS(인터넷정보서비스) 서버와 이러한 서버에서 실행되는 각 응용 프로그램과 웹 사이트 각각을 연결 가능한 클라이언트 컴퓨터로부터 보호하는 것이 중요합니다. 또한 조직의 인트라넷에 있는 다른 IIS 서버에서 실행되는 응용 프로그램 및 웹 사이트로부터 이러한 웹 사이트와 응용 프로그램을 보호해야 합니다.

악의적인 사용자 및 공격자로부터 보호하기 위해 Windows Server 2003 제품군 구성원의 기본 구성은 IIS를 설치하지 않도록 지정되어 있습니다. IIS가 설치되면 강력한 보안의 "잠금" 모드로 구성됩니다. 예를 들어 기본 상태에서 IIS는 정적 콘텐츠만 제공합니다. ASP(Active Server Pages), ASP.NET, SSI(Server Side Includes), WebDAV(Web Distributed Authoring and Versioning) 게시 및 Microsoft FrontPage Server Extensions는 관리자가 활성화하기 전에는 작동하지 않습니다. IIS 관리자(인터넷 정보 서비스 관리자)의 웹 서비스 확장 노드를 통해 이러한 기능과 서비스를 사용하도록 설정할 수 있습니다. IIS 관리자는 IIS를 쉽게 관리할 수 있도록 설계된 GUI(그래픽 사용자 인터페이스)입니다. 또한 보안성, 효율성 및 안정성을 갖추고 있을 뿐 아니라 파일 관리, 디렉터리 관리 리소스와 응용 프로그램 풀 구성을 제공합니다.

이 장의 다른 섹션에 설명된 대로 설정을 구현하여 조직의 인트라넷에서 HTML 콘텐츠를 호스팅하는 IIS 웹 서버의 보안을 강화해야 합니다. 서버 보안을 위해서는 새로운 위협을 감시하기 위한 보안 모니터링, 감지 및 응답 절차도 구현해야 합니다.

이 장의 대부분의 설정은 그룹 정책을 통해 구성 및 적용됩니다. MSBP를 보완하는 점진적 GPO는 해당 OU에 연결되며 웹 서버에 추가적인 보안을 제공합니다. 이 장은 작업의 편의를 위해 MSBP와 다른 정책 설정만 설명합니다.

가능한 경우 이러한 설정은 Web Servers OU에 적용되는 점진적인 그룹 정책 템플릿에 수집됩니다. 이 장에 나오는 일부 설정은 그룹 정책을 통해 적용할 수 없습니다. 이러한 설정을 수동으로 구성하는 방법에 대한 자세한 내용이 제공됩니다.

다음 표에서는 이 가이드에 정의된 세 가지 환경에 대한 웹 서버 보안 템플릿의 이름이 표시됩니다. 이러한 웹 서버 보안 템플릿은 점진적 웹 서버 템플릿의 정책 설정을 제공합니다. 이 템플릿을 사용하여 해당 환경의 Web Servers OU에 연결되는 새 GPO를 만들 수 있습니다. 2장 "WindowsServer2003 보안 강화 메커니즘"에서는 OU 및 그룹 정책을 만든 후 해당 보안 템플릿을 각 GPO로 가져오는 작업에 대한 단계별 지침을 제공합니다.

표 9.1 IIS 서버 보안 템플릿

레거시 클라이언트

엔터프라이즈 클라이언트

특수 보안 – 기능 제한

LC-Web Server.inf

EC-Web Server.inf

SSLF-Web Server.inf


모든 기본 정책 설정에 대한 자세한 내용은 관련 가이드인 위협 및 대책 - Windows Server 2003 및 Windows XP용 보안 설정을 참조하십시오. 이 가이드는 http://www.microsoft.com/korea/technet/security/topics/serversecurity/tcg/tcgch00.mspx 사이트에서 다운로드할 수 있습니다.

이 가이드에서는 최소의 기능을 설치 및 활성화하여 IIS의 보안을 설정하는 방법을 보여 줍니다. IIS의 추가 기능을 사용하려면 일부 보안 설정을 조정해야 할 수 있습니다. SMTP, FTP 또는 NNTP와 같은 추가 서비스를 설치할 경우 제공된 템플릿 및 정책을 조정해야 합니다.

온라인 문서 "IIS 및 기본 제공 계정(IIS 6.0) (영문)"(www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/
3648346f-e4f5-474b-86c7-5a86e85fa1ff.mspx)에서는 IIS의 여러 다른 기능이 사용하는 계정과 각각에 필요한 권한에 대해 설명합니다. 복잡한 응용 프로그램을 호스팅하는 웹 서버에서 보다 안전한 설정을 구현하려는 경우 전체 IIS 6.0 설명서 (영문)(http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/
Library/IIS/848968f3-baa0-46f9-b1e6-ef81dd09b015.mspx)를 통해 유용한 정보를 얻을 수 있습니다.

익명 액세스 및 SSLF 설정

MSBP의 SSLF 시나리오에 명시적으로 정의된 네 가지 사용자 권한은 IIS 웹 사이트에 대한 익명 액세스를 차단하도록 디자인되었습니다. 그러나 SSLF 환경에서 익명 액세스가 필요한 경우 이 가이드의 2, 3, 4장에 정의되어 있는 OU 구조 및 GPO를 약간 변경해야 합니다. Member Servers OU 아래에 속하지 않는 새 OU를 만들어야 합니다. 이 OU는 도메인 루트에 직접 연결되거나 다른 OU 계층 구조의 자식 OU가 될 수 있습니다. 그러나 이 새 OU에 포함될 IIS 서버에 영향을 줄 수 있는 GPO에는 사용자 권한을 할당하면 안 됩니다. IIS 서버를 새 OU로 이동하고, 새 GPO를 만들고, MSBP 설정을 적용한 후 사용자 권한 할당을 재구성하여 도메인 기반 GPO가 아닌 로컬 정책에 의해 제어되도록 할 수 있습니다. 즉, 이 새 GPO에서 다음 사용자 권한 설정을 정의되지 않음으로 구성해야 합니다.

  • 네트워크에서 이 컴퓨터 액세스

  • 로컬로 로그온 허용

  • 트래버스 확인 통과

  • 일괄 작업으로 로그온

활성화해야 하는 IIS 기능에 따라 다른 사용자 권한 할당 설정도 정의되지 않음으로 다시 구성해야 할 지가 결정됩니다.

감사 정책 설정

본 가이드에 정의된 세 가지 환경에서의 IIS 서버에 대한 감사 정책 설정은 MSBP를 통해 구성됩니다. MSBP에 대한 자세한 내용은 4장 "구성원 서버 기준 정책"을 참조하십시오. MSBP 설정은 관련된 모든 보안 감사 정보가 모든 IIS 서버에 기록되도록 합니다.

사용자 권한 할당

본 가이드에 정의된 세 가지 환경에서의 IIS 서버에 대한 사용자 권한 할당 설정은 MSBP를 통해 구성됩니다. MSBP에 대한 자세한 내용은 4장 "구성원 서버 기준 정책"을 참조하십시오. MSBP 설정은 관련된 모든 보안 감사 정보가 모든 IIS 서버에 기록되도록 합니다.

보안 옵션

본 가이드에 정의된 세 가지 환경에서의 IIS 서버에 대한 보안 옵션 설정은 MSBP를 통해 구성됩니다. MSBP에 대한 자세한 내용은 4장 "구성원 서버 기준 정책"을 참조하십시오. MSBP 설정은 연관된 모든 보안 옵션이 IIS 서버 전체에서 일관되게 구성되도록 합니다.

이벤트 로그 설정

본 가이드에 정의된 세 가지 환경에서의 IIS 서버에 대한 이벤트 로그 설정은 MSBP를 통해 구성됩니다. MSBP에 대한 자세한 내용은 4장 "구성원 서버 기준 정책"을 참조하십시오. MSBP 설정은 해당 이벤트 로그 설정이 조직의 모든 IIS 서버에서 일관되게 구성되도록 합니다.

추가 보안 설정

IIS가 WindowsServer2003 SP1 실행 컴퓨터에 설치될 때 IIS의 기본 설정은 정적 웹 콘텐츠의 전송만 허용합니다. 웹 사이트와 응용 프로그램에 동적 콘텐츠가 포함되어 있거나 하나 이상의 추가 IIS 구성 요소를 요구한 경우에는 각각의 추가 IIS 기능을 사용하도록 개별적으로 설정해야 합니다. 그러나 작업 환경에 있는 모든 IIS 서버의 공격 노출 영역을 최소화해야 합니다. 사용자 조직의 웹 사이트가 정적 콘텐츠로 구성되어 있고 다른 IIS 구성 요소를 요구하지 않는다면 기본 IIS 구성만으로도 IIS 서버의 공격 노출 영역을 최소화하는 데 충분합니다.

MSBP를 통해 적용된 보안 설정은 IIS 서버에 대한 보안을 상당히 향상시켜 줍니다. 그러나 몇 가지 추가 설정을 고려해야 합니다. 다음 섹션의 설정은 그룹 정책을 통해 구현할 수 없으며 모든 IIS 서버에서 수동으로 수행해야 합니다.

필요 시에만 IIS 구성 요소 설치

IIS 6.0에는 World Wide Web 게시 서비스 이외에 FTP, NNTP 및 SMTP를 지원하는 데 필요한 서비스와 같은 기타 구성 요소와 서비스가 포함됩니다. IIS 구성 요소 및 서비스는 Windows 구성 요소 마법사 응용 프로그램 서버를 사용하여 설치하고 사용하도록 설정하는데 이 프로그램은 제어판의 프로그램 추가/제거를 통해 시작할 수 있습니다. IIS를 설치한 후에 사용자의 웹 사이트 및 응용 프로그램에 필요한 모든 IIS 구성 요소와 서비스를 활성화해야 합니다.

IIS(인터넷 정보 서비스) 6.0을 설치하려면

  1. 제어판에서 프로그램 추가/제거를 두 번 클릭합니다.

  2. Windows 구성 요소 추가/제거 단추를 클릭하여 Windows 구성 요소 마법사를 시작합니다.

  3. 구성 요소 목록에서 응용 프로그램 서버를 클릭한 후 자세히를 클릭합니다.

  4. 응용 프로그램 서버 대화 상자의 응용 프로그램 서버의 하위 구성 요소에서 인터넷 정보 서비스(IIS)를 클릭한 다음 자세히를 클릭합니다.

  5. 인터넷 정보 서비스(IIS) 대화 상자의 인터넷 정보 서비스(IIS)의 하위 구성 요소 목록에서 다음을 수행합니다.

    • 선택적 구성 요소를 추가하려면 설치할 구성 요소 옆에 있는 확인란을 선택합니다.

    • 선택적 구성 요소를 제거하려면 제거할 구성 요소 옆에 있는 확인란의 선택을 취소합니다.

  6. Windows구성 요소 마법사로 돌아갈 때까지 확인을 클릭합니다.

  7. 다음을 클릭한 다음 마침을 클릭합니다.

웹 사이트 및 응용 프로그램에 반드시 필요한 IIS 구성 요소 및 서비스만 활성화해야 합니다. 불필요한 구성 요소 및 서비스를 활성화하면 IIS 서버의 공격 노출 영역이 증가합니다. 다음 그림과 표는 IIS 구성 요소의 위치 및 제안 설정을 보여 줍니다.

응용 프로그램 서버 대화 상자의 하위 구성 요소는 다음 그림에 나와 있습니다.

그림 9.1 응용 프로그램 서버 대화 상자와 하위 구성 요소 목록

그림 9.1 응용 프로그램 서버 대화 상자와 하위 구성 요소 목록

다음 표는 응용 프로그램 서버 하위 구성 요소에 대해 설명하고 이러한 구성 요소를 사용하면 좋은 경우를 설명합니다.

표 9.2 응용 프로그램 서버 하위 구성 요소 권장 설정

UI의 구성 요소 이름

설정

설정 논리

응용 프로그램 서버 콘솔

사용 안 함

모든 웹 응용 프로그램 서버 구성 요소를 관리하는 데 사용할 수 있는 MMC(Microsoft Management Console) 스냅인을 제공합니다. IIS 서버 관리자를 사용할 수 있으므로 전용 IIS 서버에는 이 구성 요소가 필요하지 않습니다.

ASP.NET

사용 안 함

ASP.NET 응용 프로그램을 지원합니다. IIS 서버에서 ASP.NET 응용 프로그램이 실행될 경우 이 구성 요소를 활성화하십시오.

네트워크 COM+ 액세스 사용

사용

IIS 서버에서 분산 응용 프로그램을 위한 COM+ 구성 요소를 호스팅할 수 있도록 합니다. 이 구성 요소는 FTP, BITS 서버 확장, World Wide Web 서비스 및 IIS 관리자에 필요합니다.

네트워크 DTC 액세스 사용

사용 안 함

IIS 서버에서 DTC(Distributed Transaction Coordinator)를 통해 네트워크 트랜잭션에 참여하는 응용 프로그램을 호스팅할 수 있도록 합니다. 이 구성 요소가 IIS 서버에서 실행되는 응용 프로그램에 필요하지 않으면 비활성화하십시오.

인터넷 정보 서비스(IIS)

사용

기본 웹 및 FTP 서비스를 제공합니다. 이 구성 요소는 전용 IIS 서버에 필요합니다.

참고: 이 구성 요소를 비활성화하면 하위 구성 요소도 모두 비활성화됩니다.

메시지 큐

사용 안 함

MSMQ(Microsoft Message Queuing)는 엔터프라이즈 웹 응용 프로그램에 대해 메시지 라우팅, 저장소 및 전달 미들웨어 계층을 제공합니다.


인터넷 정보 서비스(IIS) 대화 상자의 하위 구성 요소는 다음 그림에 나와 있습니다.

그림 9.2 IIS 대화 상자와 하위 구성 요소 목록

그림 9.2 IIS 대화 상자와 하위 구성 요소 목록

다음 표는 IIS 하위 구성 요소에 대해 설명하고 이러한 구성 요소를 사용하면 좋은 경우를 설명합니다.

표 9.3 IIS 하위 구성 요소 권장 설정

UI의 구성 요소 이름

설정

설정 논리

BITS(Background Intelligent Transfer Service) 서버 확장

사용 안 함

BITS 서버 확장은 클라이언트의 BITS가 백그라운드에서 이 서버로 파일을 업로드할 수 있도록 합니다. 클라이언트에 BITS를 사용하여 이 서버로 파일을 업로드하는 응용 프로그램이 있으면 BITS 서버 확장을 활성화하여 구성하고 그렇지 않으면 비활성 상태로 둡니다. Windows Update, Microsoft Update, SUS, WSUS 및 자동 업데이트를 사용하기 위해 이 구성 요소를 실행해야 할 필요는 없습니다. 이러한 서비스를 사용하려면 IIS에 속하지 않은 BITS 클라이언트 구성 요소가 필요합니다.

공용 파일

사용

IIS는 이러한 파일을 필요로 하며 IIS 서버에서 이 구성 요소는 항상 활성 상태여야 합니다.

FTP(File Transfer Protocol) 서비스

사용 안 함

IIS 서버에서 FTP 서비스를 제공할 수 있도록 합니다. 이 서비스는 전용 IIS 서버에는 필요하지 않습니다.

FrontPage 2002 Server Extensions

사용 안 함

웹 사이트를 관리 및 게시하기 위한 FrontPage 지원을 제공합니다. 웹 사이트에서 FrontPage Extensions를 사용하지 않을 때는 전용 IIS 서버에서 이 구성 요소를 비활성화하십시오.

인터넷 정보 서비스 관리자

사용

IIS용 관리 인터페이스입니다.

인터넷 인쇄

사용 안 함

웹 기반 프린터 관리를 제공하며 HTTP를 통해 프린터를 공유할 수 있도록 합니다. 이 구성 요소는 전용 IIS 서버에는 필요하지 않습니다.

NNTP 서비스

사용 안 함

인터넷에서 유즈넷 뉴스 기사를 배포, 쿼리, 검색 및 게시합니다. 이 구성 요소는 전용 IIS 서버에는 필요하지 않습니다.

SMTP 서비스

사용 안 함

전자 메일의 전송을 지원합니다. 이 구성 요소는 전용 IIS 서버에는 필요하지 않습니다.

World Wide Web 서비스

사용

클라이언트에 웹 서비스, 정적 및 동적 콘텐츠를 제공합니다. 이 구성 요소는 전용 IIS 서버에 필요합니다.


메시지 큐 대화 상자의 하위 구성 요소는 다음 그림에 나와 있습니다.

그림 9.3 메시지 큐 대화 상자와 하위 구성 요소 목록

그림 9.3 메시지 큐 대화 상자와 하위 구성 요소 목록

다음 표는 메시지 큐 하위 구성 요소에 대해 설명하고 이러한 구성 요소를 사용하면 좋은 경우를 설명합니다.

표 9.4 메시지 큐 하위 구성 요소 권장 설정

UI의 구성 요소 이름

설치 옵션

설정 논리

Active Directory 통합

사용 안 함

IIS 서버가 도메인에 속할 때마다 ActiveDirectory 디렉터리 서비스와 통합되도록 합니다. IIS 서버에서 실행되는 웹 사이트 및 응용 프로그램이 MSMQ(Microsoft Message Queuing)를 사용할 때 이 구성 요소가 필요합니다.

공통

사용 안 함

IIS 서버에서 실행되는 웹 사이트 및 응용 프로그램이 MSMQ를 사용할 때 이 구성 요소가 필요합니다.

하위 클라이언트 지원

사용 안 함

ActiveDirectory에 대한 액세스 및 하위 클라이언트에 대한 사이트 인식을 제공합니다. 이 구성 요소는 IIS 서버의 웹 사이트 및 응용 프로그램이 MSMQ를 사용할 때 필요합니다.

MSMQ HTTP 지원

사용 안 함

HTTP 전송을 통해 메시지를 주고받을 수 있도록 합니다. 이 구성 요소는 IIS 서버의 웹 사이트 및 응용 프로그램이 MSMQ를 사용할 때 필요합니다.

라우팅 지원

사용 안 함

효과적인 라우팅 서비스는 물론 저장 후 전달 메시징을 제공합니다. IIS 서버에서 실행되는 웹 사이트 및 응용 프로그램이 MSMQ를 사용할 때 이 구성 요소가 필요합니다.

트리거

사용 안 함

들어오는 메시지가 큐에 도착할 때 COM 구성 요소 또는 독립 실행형 실행 프로그램의 기능이 실행되도록 합니다.


BITS(Background Intelligent Transfer Service) 서버 확장 대화 상자는 다음 그림에 나와 있습니다.

그림 9.4 BITS 서버 확장과 하위 구성 요소 목록

그림 9.4 BITS 서버 확장과 하위 구성 요소 목록

다음 표는 BITS 서버 확장 하위 구성 요소에 대해 설명하고 이러한 구성 요소를 사용하면 좋은 경우를 설명합니다.

표 9.5 BITS 서버 확장 하위 구성 요소 권장 설정

UI의 구성 요소 이름

설치 옵션

설정 논리

BITS 관리 콘솔 스냅인

사용 안 함

MMC 스냅인을 설치하여 BITS를 관리합니다. ISAPI(Internet Server Application Programming Interface)에 대한 BITS 서버 확장이 활성화되었을 때 이 구성 요소를 활성화합니다.

BITS 서버 확장 ISAPI

사용 안 함

IIS 서버가 BITS를 사용하여 데이터를 전송할 수 있도록 BITS ISAPI를 설치합니다. BITS 서버 확장은 클라이언트의 BITS가 백그라운드에서 이 서버로 파일을 업로드할 수 있도록 합니다. 클라이언트에 BITS를 사용하여 이 서버로 파일을 업로드하는 응용 프로그램이 있으면 BITS 서버 확장을 활성화하여 구성하고 그렇지 않으면 비활성 상태로 둡니다. Windows Update, Microsoft Update, SUS, WSUS 및 자동 업데이트를 사용하기 위해 이 구성 요소를 실행해야 할 필요는 없습니다. 이러한 서비스를 사용하려면 IIS에 속하지 않은 BITS 클라이언트 구성 요소가 필요합니다.


World Wide Web 서비스 대화 상자의 하위 구성 요소는 다음 그림에 나와 있습니다.

그림 9.5 World Wide Web 서비스 대화 상자와 하위 구성 요소 목록

그림 9.5 World Wide Web 서비스 대화 상자와 하위 구성 요소 목록

다음 표는 World Wide Web 서비스 하위 구성 요소에 대해 설명하고 이러한 구성 요소를 사용하면 좋은 경우를 설명합니다.

표 9.6 World Wide Web 서비스 하위 구성 요소 권장 설정

UI의 구성 요소 이름

설치 옵션

설정 논리

Active Server Pages

사용 안 함

ASP를 지원합니다. IIS 서버의 모든 웹 사이트와 응용 프로그램이 ASP를 사용하지 않을 때 이 구성 요소를 비활성화하거나 웹 서비스 확장을 사용하여 비활성화합니다. 자세한 내용은 이 장의 다음에 나오는 “필수 웹 서비스 확장만 활성화” 섹션을 참조하십시오.

인터넷 데이터 커넥터

사용 안 함

확장명이 .idc인 파일을 통해 제공되는 동적 콘텐츠를 지원합니다. IIS 서버의 모든 웹 사이트와 응용 프로그램에 확장명이 .idc인 파일이 들어 있을 때 이 구성 요소를 비활성화하거나 웹 서비스 확장을 사용하여 비활성화합니다. 자세한 내용은 이 장의 다음에 나오는 “필수 웹 서비스 확장만 활성화” 섹션을 참조하십시오.

원격 관리(HTML)

사용 안 함

IIS 관리를 위한 HTML 인터페이스를 제공합니다. IIS 서버를 보다 쉽게 관리하고 공격 허점을 줄이려면 대신 IIS 관리자를 사용하십시오. 이 기능은 전용 IIS 서버에는 필요하지 않습니다.

원격 데스크톱 웹 연결

사용 안 함

터미널 서비스 클라이언트 연결을 호스팅하기 위한 Microsoft ActiveX 컨트롤 및 예제 페이지를 포함합니다. IIS 서버를 보다 쉽게 관리하고 공격 허점을 줄이려면 대신 IIS 관리자를 사용하십시오. 전용 IIS 서버에서는 이 기능이 필요하지 않습니다.

Server – Side Includes

사용 안 함

.shtm, .shtml 및 .stm 파일을 지원합니다. IIS 서버에서 실행되는 모든 웹 사이트와 응용 프로그램에서 이러한 확장명을 갖는 파일을 포함하지 않을 때 이 구성 요소를 비활성화합니다.

WebDAV

사용 안 함

WebDAV는 HTTP/1.1 프로토콜을 확장하여 클라이언트가 웹에서 리소스를 게시, 잠금 및 관리할 수 있도록 합니다. 전용 IIS 서버에서 이 구성 요소를 비활성화하거나 웹 서비스 확장을 사용하여 비활성화합니다. 자세한 내용은 이 장의 다음에 나오는 “필수 웹 서비스 확장만 활성화” 섹션을 참조하십시오.

World Wide Web 서비스

사용

클라이언트에 웹 서비스, 정적 및 동적 콘텐츠를 제공합니다. 이 구성 요소는 전용 IIS 서버에 필요합니다.


필수 웹 서비스 확장만 활성화

IIS 서버에서 실행되는 여러 웹 사이트 및 응용 프로그램에는 동적 콘텐츠 작성 기능을 포함하여 정적 페이지를 능가하는 확장된 기능이 있습니다. IIS 서버가 제공하는 기능을 통해 제공되거나 확장되는 동적 콘텐츠는 웹 서비스 확장을 통해 수행됩니다.

IIS 6.0의 향상된 보안 기능을 사용하면 개별 웹 서비스 확장을 사용하거나 사용하지 않도록 설정할 수 있습니다. 앞서 설명한 것처럼 IIS 서버는 새로 설치한 후에는 정적 콘텐츠만 전송합니다. 동적 콘텐트 기능은 IIS 관리자의 웹 서비스 확장 노드를 통해 사용하도록 설정할 수 있습니다. 이러한 확장에는 ASP.NET, SSI, WebDAV 및 FrontPage Server Extensions가 포함됩니다.

기존 응용 프로그램과의 호환성을 최대한 보장하는 한 가지 방법은 모든 웹 서비스 확장을 활성화하는 것입니다. 그러나 이 방법을 사용하면 IIS의 공격 노출 영역이 늘어나므로 보안 위험이 증가합니다. 따라서 작업 환경의 IIS 서버에서 실행되는 웹 사이트 및 응용 프로그램에 필요한 웹 서비스 확장만 활성화해야 합니다. 이렇게 하면 서버 기능이 최소화되지만 각 IIS 서버의 공격 노출 영역이 줄어듭니다.

IIS 서버의 공격 노출 영역을 줄이려면 본 가이드에 정의된 임의의 세 가지 환경에서의 IIS 서버에 대해 가능한 최대로 필요한 웹 서비스 확장만 사용하도록 설정해야 합니다.

다음 표는 미리 정의된 웹 서비스 확장을 보여 주고 각 확장을 사용해야 하는 경우에 대해 자세히 설명합니다.

표 9.7 웹 서비스 확장 활성화

웹 서비스 확장

확장을 사용하는 경우

Active Server Pages

IIS 서버에서 실행되는 하나 이상의 웹 사이트 및 응용 프로그램에 ASP 콘텐츠가 들어 있는 경우

ASP.NET v1.1.4322

IIS 서버에서 실행되는 하나 이상의 웹 사이트 및 응용 프로그램에 ASP.NET 콘텐츠가 들어 있는 경우

알 수 없는 모든 CGI 확장

IIS 서버에서 실행되는 하나 이상의 웹 사이트 및 응용 프로그램에 알 수 없는 CGI 확장 콘텐츠가 들어 있는 경우

알 수 없는 모든 ISAPI 확장

IIS 서버에서 실행되는 하나 이상의 웹 사이트 및 응용 프로그램에 알 수 없는 ISAPI 확장 콘텐츠가 들어 있는 경우

FrontPage Server Extensions 2002

IIS 서버에서 실행되는 하나 이상의 웹 사이트에서 FrontPage Extensions를 사용하는 경우

IDC(Internet Data Connector)

IIS 서버에서 실행되는 하나 이상의 웹 사이트 및 응용 프로그램에서 IDC를 사용하여 데이터베이스 정보를 표시하는 경우(이 콘텐츠에는 .idc 및 .idx 파일이 포함됨)

SSI(Server Side Includes)

IIS 서버에서 실행되는 하나 이상의 웹 사이트에서 SSI 지시어를 사용하여 재사용이 가능한 콘텐츠(예: 탐색 모음, 페이지 머리글이나 바닥글)를 다른 웹 페이지에 삽입하도록 IIS 서버에 지시하는 경우

WebDav(Web Distributed Authoring and Versioning)

클라이언트가 웹 리소스를 투명하게 게시하고 관리하기 위해서는 IIS 서버에서 WebDAV가 지원되어야 합니다.


전용 디스크 볼륨에 콘텐츠 배치

IIS는 기본 웹 사이트의 파일을 <systemroot> \inetpub\wwwroot 폴더에 저장하는데, 여기서 <systemroot>는 Windows Server 2003 운영 체제가 설치된 드라이브입니다.

이 가이드에 정의된 세 가지 환경에서 웹 사이트와 응용 프로그램을 구성하는 모든 파일과 폴더는 운영 체제가 설치되어 있지 않은 전용 디스크 볼륨에 배치됩니다. 이렇게 하면 공격자가 IIS 서버의 디렉터리 구조 외부에 있는 파일을 요청하는 디렉터리 순회 공격을 방지할 수 있습니다.

예를 들어 Cmd.exe 파일은 <systemroot> \System32 폴더에 있습니다. 공격자는 명령 프롬프트를 호출하여 다음

..\..\Windows\system\cmd.exe

위치로 요청할 수 있습니다.

웹 사이트 콘텐츠가 별도의 디스크 볼륨에 있다면 이런 유형의 디렉터리 순회 공격은 다음과 같은 두 가지 이유로 실패하게 됩니다. 먼저 Cmd.exe 파일에 대한 사용 권한이 WindowsServer2003 SP1의 기본 구축 과정의 일부로 재설정되어 훨씬 더 제한적인 사용자 그룹으로 액세스 권한이 제한됩니다. 둘째로 Cmd.exe 파일은 웹 루트와 같은 디스크 볼륨에 존재하지 않게 되며 현재로서는 이러한 종류의 공격을 사용하여 다른 드라이브의 명령에 액세스할 수 있는 알려진 방법이 없습니다.

웹 사이트 및 응용 프로그램 파일과 폴더가 전용 디스크 볼륨에 배치되면 보안상의 이점 외에도 백업 및 복원과 같은 관리 작업이 쉬워집니다. 또한 별도의 전용 물리 드라이브를 사용하면 시스템 볼륨의 디스크 충돌 현상이 줄어들고 전체적인 디스크 액세스 성능이 향상될 수 있습니다.

NTFS 권한 설정

Windows Server 2003 SP1 실행 컴퓨터는 NTFS 파일 시스템 권한을 조사하여 사용자나 프로세스가 특정 파일 및 폴더에 대해 갖는 사용 권한을 결정합니다. 이 가이드에 정의된 세 가지 환경의 IIS 서버에서는 NTFS 권한을 할당하여 웹 사이트에 대해 특정 사용자에게 사용 권한을 부여하거나 거부해야 합니다.

NTFS 권한의 효력은 웹 사이트 및 응용 프로그램 콘텐츠에 대한 사용 권한이 부여되었거나 거부된 계정에 대해서만 적용됩니다. NTFS 사용 권한은 웹 사용 권한 대신이 아니라 웹 사용 권한과 함께 사용해야 합니다. 웹 사이트 권한은 웹 사이트나 응용 프로그램에 액세스하는 모든 사용자에게 영향을 줍니다. 디렉터리나 파일에 대해 웹 권한과 NTFS 권한에 충돌이 발생하면 더 제한적인 설정이 적용됩니다.

익명 액세스를 허용하지 않으려는 웹 사이트 및 응용 프로그램에서는 익명 계정에 대한 액세스를 명시적으로 거부해야 합니다. 익명 액세스는 인증된 자격 증명이 없는 사용자가 네트워크 리소스를 액세스할 때 발생합니다. 익명 계정에는 기본 제공 Guest 계정, Guests 그룹 및 IIS Anonymous 계정 등이 포함됩니다. 또한 IIS 관리자를 제외한 모든 사용자의 쓰기 액세스 권한을 제거합니다.

다음 표에서는 IIS 서버에 대해 서로 다른 파일 형식에 적용되는 몇 가지 NTFS 권장 권한을 제공합니다. 같은 부류에 속하는 다른 파일 형식들을 별도의 폴더에 그룹으로 모으면 NTFS 권한을 쉽게 적용할 수 있습니다.

표 9.8 NTFS 권한 권장 설정

파일 형식

권장되는 NTFS 권한

CGI 파일(.exe, .dll, .cmd, .pl)

Everyone(실행)

Administrators(모든 권한)

SYSTEM(모든 권한)

스크립트 파일(.asp)

Everyone(실행)

Administrators(모든 권한)

SYSTEM(모든 권한)

포함 파일(.inc, .shtm, .shtml)

Everyone(실행)

Administrators(모든 권한)

SYSTEM(모든 권한)

정적 콘텐츠(.txt, .gif, .jpg, .htm, .html)

Everyone(읽기 전용)

Administrators(모든 권한)

SYSTEM(모든 권한)


IIS 웹 사이트 권한 설정

IIS는 웹 사이트 권한을 조사하여 스크립트 소스 액세스나 디렉터리 검색을 허용하는 등 웹 사이트에서 어떤 작업이 수행되도록 할지 결정합니다. 이 가이드에 정의된 세 가지 환경의 IIS 서버에서 웹 사이트에 대해 추가 보안을 제공하기 위해 웹 사이트 권한을 할당해야 합니다.

웹 사이트 권한은 NTFS 권한과 함께 사용할 수 있으며 특정 사이트, 디렉터리 및 파일에 대해 구성할 수 있습니다. NTFS 권한과 달리 웹 사이트 권한은 IIS 서버에서 실행되는 웹 사이트를 액세스하려고 하는 모든 사용자에게 영향을 줍니다. 웹 사이트 권한은 MMC IIS 관리자 스냅인을 사용하여 적용됩니다.

다음 표에는 IIS 6.0에서 지원하는 웹 사이트 권한을 나열하고 해당 권한이 웹 사이트에 지정된 다음의 상황을 간단히 설명합니다.

표 9.9 IIS 6.0 웹 사이트 권한

웹 사이트 권한

부여되는 권한

읽기

사용자가 디렉터리나 파일의 내용과 특성을 볼 수 있습니다. 이 권한은 기본적으로 선택되어 있습니다.

쓰기

사용자가 디렉터리나 파일의 내용과 특성을 변경할 수 있습니다.

스크립트 소스 액세스

사용자가 소스 파일에 액세스할 수 있습니다. 읽기 권한을 사용하도록 설정한 경우에는 소스를 읽을 수 있으며 쓰기 권한을 사용하도록 설정하면 스크립트 소스 코드를 변경할 수 있습니다. 스크립트 소스 액세스에는 스크립트의 소스 코드가 포함됩니다. 읽기와 쓰기 권한을 모두 사용하도록 설정하지 않으면 이 옵션이 제공되지 않습니다.

중요: 스크립트 소스 액세스를 사용하도록 설정하면 사용자는 사용자 이름과 암호 같은 기밀 정보를 볼 수 있습니다. 또한 IIS 서버에서 실행되는 소스 코드를 변경하여 서버의 보안과 성능에 심각한 영향을 줄 수 있습니다.

디렉터리 검색

사용자는 파일 목록과 집합을 볼 수 있습니다.

방문 기록

웹 사이트를 방문할 때마다 로그 항목이 작성됩니다.

이 리소스 색인화

인덱싱 서비스에서 리소스를 인덱싱하여 리소스를 검색할 수 있도록 합니다.

실행

다음 옵션에 따라 사용자의 스크립트 실행 단계가 결정됩니다.

  • 없음: 스크립트와 실행 파일을 서버에서 실행할 수 없습니다.

  • 스크립트 전용. 스크립트만 서버에서 실행할 수 있습니다.

  • 스크립트 및 실행 파일. 스크립트와 실행 파일을 서버에서 실행할 수 있습니다.


IIS 로깅 구성

이 가이드에 정의된 세 가지 환경의 IIS 서버에서는 IIS 로깅을 활성화하는 것이 좋습니다.

웹 사이트나 응용 프로그램 각각에 대해 별도의 로그가 작성됩니다. IIS는 Windows 운영 체제에서 제공하는 이벤트 로그 및 성능 모니터링 기능보다 더 많은 정보를 기록합니다. IIS 로그에는 사이트 방문자, 방문자가 본 내용 및 정보를 마지막으로 본 시점 등의 정보가 포함됩니다. IIS 로그는 콘텐츠의 인기를 평가하고 정보 병목 현상을 식별하는 데 사용하거나 공격 조사를 위한 리소스로 사용할 수 있습니다.

MMC IIS 관리자 스냅인을 사용하면 로그 파일 형식, 로그 일정 및 로그할 정확한 정보 등을 구성할 수 있습니다. 로그의 크기를 제한하려면 신중한 계획 프로세스를 사용하여 기록할 필드를 결정해야 합니다.

IIS 로깅을 활성화하면 IIS는 IIS 관리자를 통해 웹 사이트용으로 지정된 디렉터리에 매일의 작업 로그를 작성하는 데 W3C 확장형 로그 파일 형식을 사용합니다. 서버 성능을 향상시키려면 로그를 비시스템 스트라이프 또는 스트라이프/미러 디스크 볼륨에 저장해야 합니다.

또한 로그는 완전한 UNC(Universal Naming Convention) 경로를 사용하여 네트워크 상의 원격 공유 파일에 기록됩니다. 원격 로깅을 사용하면 관리자가 중앙식 로그 파일 저장소와 백업을 설정할 수 있습니다. 그러나 로그 파일이 네트워크 상에 기록되면 서버 성능이 저하될 수 있습니다.

다른 ASCII 또는 ODBC(Open Database Connectivity) 로그 파일 형식을 사용하도록 IIS 로깅을 구성할 수 있습니다. ODBC 로그는 SQL 데이터베이스에 활동 정보를 저장할 수 있습니다. 그러나 ODBC 로깅이 활성화되면 IIS는 커널 모드 캐시를 비활성화하므로 전반적인 서버 성능이 저하될 수 있습니다.

수백 개의 사이트를 호스팅하는 IIS 서버는 중앙식 이진 로깅을 활성화하여 로깅 성능을 향상시킬 수 있습니다. 중앙식 이진 로깅을 사용하면 IIS 서버의 모든 웹 사이트 작업 정보를 단일 로그 파일에 기록할 수 있습니다. 이 방법을 사용하면 개별적으로 저장하여 분석해야 하는 로그 수가 줄어 들어 IIS 로깅 프로세스의 관리 기능 및 확장성이 크게 향상됩니다. 중앙식 이진 로깅에 대한 자세한 내용은 IIS 중앙식 이진 로깅 (영문) 페이지(www.microsoft.com/technet/prodtechnol/
WindowsServer2003/Library/IIS/13a4c0b5-686b-4766-8729-a3402da835f1.mspx)를 참조하십시오.

IIS 로그가 IIS 서버에 저장되면 기본적으로 서버 관리자만 로그에 액세스할 수 있는 권한을 갖습니다. 로그 파일 디렉터리나 파일의 소유자가 로컬 관리자 그룹에 속해 있지 않다면 IIS 6.0의 커널 모드 드라이버인 HTTP.sys 파일이 NT 이벤트 로그에 오류를 게시합니다. 이 오류는 로컬 관리자 그룹에 속해 있지 않은 디렉터리나 파일의 소유자를 알려 주며 해당 소유자가 로컬 관리자 그룹에 추가되거나 기존 디렉터리나 로그 파일이 삭제될 때까지 해당 사이트에 대한 로깅이 일시 중단됨을 나타냅니다.

사용자 권한 할당에 수동으로 고유 보안 그룹 추가

이 가이드와 함께 제공되는 보안 템플릿에는 MSBP를 통해 적용된 대부분의 사용자 권한 할당에 대해 적절한 보안 그룹이 지정되어 있습니다. 그러나 일부 계정 및 보안 그룹의 경우에는 해당 SID(보안 식별자)가 개별 Windows 2003 도메인에서 고유하므로 템플릿에 포함할 수 없습니다. 다음 표에서는 수동으로 구성해야 하는 사용자 권한 할당을 보여 줍니다.

경고: 다음 표는 기본 제공 Administrator 계정 값을 포함합니다. Administrator 계정과 기본 제공 Administrators 보안 그룹은 다른 것이니 혼동하지 마십시오. Administrators 보안 그룹을 아래에 있는 임의의 거부 액세스 사용자 권한에 추가하면 오류를 바로 잡기 위해 로컬로 로그온해야 합니다.

또한 4장 "구성원 서버 기준 정책"의 권장 사항에 따라 기본 제공 Administrator 계정의 이름을 바꾸었을 수 있습니다. 임의의 사용자 권한에 Administrator 계정을 추가할 경우 이름을 바꾼 계정이 지정됩니다.

표 9.10 수동으로 추가되는 사용자 권한 할당

구성원 서버 기본값

레거시 클라이언트

엔터프라이즈 클라이언트

특수 보안 – 기능 제한

네트워크에서 이 컴퓨터 액세스 거부

기본 제공 Administrator, SUPPORT_388945a0,

Guest, 모든 비운영 체제 서비스 계정

기본 제공 Administrator, SUPPORT_388945a0,

Guest, 모든 비운영 체제 서비스 계정

기본 제공 Administrator, SUPPORT_388945a0,

Guest, 모든 비운영 체제 서비스 계정


중요: “모든 비운영 체제 서비스 계정”에는 엔터프라이즈 전체에서 특정 응용 프로그램용으로 사용되는 서비스 계정이 포함되지만 LOCAL SYSTEM, LOCAL SERVICE 또는 NETWORK SERVICE 계정(운영 체제에서 사용하는 기본 제공 계정)은 포함되지 않습니다.

잘 알려진 계정의 보안 설정

Windows Server 2003에는 삭제할 수는 없지만 이름을 바꿀 수는 있는 다수의 기본 제공 사용자 계정이 있습니다. Windows Server 2003에서 가장 잘 알려진 두 가지 기본 제공 계정은 Guest 와 Administrator입니다.

Guest 계정은 구성원 서버와 도메인 컨트롤러에서 기본적으로 사용하지 않도록 설정됩니다. 이 구성은 변경하면 안 됩니다. 변형된 대부분의 악성 코드는 서버를 손상시키려는 초기 시도에서 기본 제공 Administrator 계정을 사용합니다. 따라서 공격자가 이러한 잘 알려진 계정을 사용하여 원격 서버를 손상시키지 못하도록 기본 제공 Administrator 계정의 이름을 바꾸고 해당 설명을 변경해야 합니다.

기본 제공 Administrator 계정의 SID(보안 식별자)를 지정하여 해당 계정의 실제 이름을 확인함으로써 서버 침입을 시도하는 공격 도구가 등장한 이후 지난 몇 년 동안 이 구성 변경 값은 감소했습니다. SID는 네트워크의 각 사용자, 그룹, 컴퓨터 계정 및 로그온 세션을 고유하게 식별하는 값입니다. 기본 제공 계정의 SID는 변경할 수 없습니다. 그러나 이 SID를 고유한 이름으로 바꾸면 작업 그룹에서 Administrator 계정에 대해 시도된 공격을 모니터링하기 쉬워집니다.

IIS 서버의 잘 알려진 계정을 보호하려면

  • 모든 도메인 및 서버에 대해 Administrator 및 Guest 계정의 이름을 변경하고 암호를 길고 복잡한 값으로 변경합니다.

  • 각 서버에 서로 다른 이름과 암호를 사용합니다. 모든 도메인 및 서버에 사용된 계정 이름과 암호가 동일하면 하나의 구성원 서버에 액세스한 공격자가 다른 모든 서버에도 액세스할 수 있게 됩니다.

  • 계정을 쉽게 식별할 수 없도록 계정 설명을 기본값이 아닌 다른 값으로 변경합니다.

  • 지정한 변경 내용을 안전한 위치에 기록해 둡니다.

    참고: 그룹 정책을 사용하여 기본 제공 Administrator 계정의 이름을 변경할 수 있습니다. 모든 조직에서는 이 계정의 고유한 이름을 선택해야 하므로 이 가이드에 제공된 보안 템플릿에는 이 설정이 구현되지 않았습니다. 그러나 EC 환경에서 Administrator 계정의 이름을 바꾸도록 계정: Administrator 계정 이름 바꾸기 설정을 구성할 수 있습니다. 이 정책 설정은 GPO의 보안 옵션 설정에 포함됩니다.

서비스 계정 보안 설정

꼭 필요한 경우가 아니면 서비스가 도메인 계정의 보안 컨텍스트에서 실행되도록 구성하지 않습니다. 서버가 물리적으로 손상되면 LSA 기밀 정보를 덤프하여 도메인 계정 암호를 알아낼 수 있습니다. 서비스 계정에 대해 보안을 설정하는 방법에 대한 자세한 내용은 서비스 및 서비스 계정 보안 계획 가이드(www.microsoft.com/korea/technet/security/topics/serversecurity/serviceaccount/default.mspx)를 참조하십시오.

SCW를 사용하여 정책 만들기

필요한 보안 설정을 배포하려면 SCW(보안 구성 마법사 도구)와 이 가이드의 다운로드 가능 버전에 포함되어 있는 보안 템플릿을 사용하여 서버 정책을 만들어야 합니다.

자체의 정책을 만든 경우 "레지스트리 설정" 및 "감사 정책" 섹션을 건너뛰십시오. 이러한 설정은 선택한 환경에 대한 보안 템플릿에서 제공합니다. 이 방법은 템플릿에서 제공한 정책 요소가 SCW에 의해 구성된 정책보다 우선적으로 적용되도록 하는 데 필요합니다.

이전 구성에서 가져온 레거시 설정이나 소프트웨어가 없도록 운영 체제를 새로 설치하여 구성 작업을 시작해야 합니다. 가능한 경우 호환성이 최대한 보장되도록 배포에 사용된 하드웨어와 비슷한 하드웨어를 사용해야 합니다. 새 설치를 참조 시스템이라고 합니다.

IIS 서버 정책을 만들려면

  1. 새 참조 컴퓨터에서 Windows Server 2003 SP1을 새로 설치합니다.

  2. 제어판, 프로그램 추가/제거, Windows 구성 요소 추가/제거를 통해 컴퓨터에 보안 구성 마법사 구성 요소를 설치합니다.

  3. 컴퓨터를 도메인에 가입시킵니다. 그러면 부모 OU의 모든 보안 설정이 적용됩니다.

  4. 이 역할을 공유하는 모든 서버에 반드시 필요한 응용 프로그램만 설치하고 구성합니다. 예제에는 역할별 서비스, 소프트웨어 및 관리 에이전트, 테이프 백업 에이전트 및 바이러스 백신이나 스파이웨어 백신 유틸리티가 포함되어 있습니다.

  5. SCW GUI를 시작하고 새 보안 정책 만들기를 선택한 후 참조 컴퓨터를 가리키도록 지정합니다.

  6. 검색된 서버 역할(예: 응용 프로그램 서버 및 웹 서버 역할)이 작업 환경에 적절한지 확인합니다.

  7. 검색된 클라이언트 기능이 작업 환경에 적절한지 확인합니다.

  8. 검색된 관리 옵션이 작업 환경에 적절한지 확인합니다.

  9. 백업 에이전트나 바이러스 백신 소프트웨어와 같이 기준 정책에 필요한 추가 서비스가 검색되는지 확인합니다.

  10. 작업 환경에 있는 미지정 서비스의 처리 방법을 결정합니다. 보안 강화를 위해 이 정책 설정을 사용 안 함으로 구성할 수도 있습니다. 프로덕션 서버가 참조 컴퓨터와 중복되지 않는 추가 서비스를 실행할 경우 문제가 발생할 수 있으므로 먼저 구성을 철저히 테스트한 후에 프로덕션 네트워크에 배포해야 합니다.

  11. "네트워크 보안" 섹션에서 현재 영역 건너뛰기 확인란의 선택을 취소한 후 다음을 클릭합니다. 앞에서 식별된 특정 포트 및 응용 프로그램이 Windows 방화벽에 대한 예외로 구성됩니다.

  12. "레지스트리 설정" 섹션에서 현재 영역 건너뛰기 확인란을 클릭한 후 다음을 클릭합니다 이러한 정책 설정은 제공된 INF 파일에서 가져옵니다.

  13. "레지스트리 설정" 섹션에서 현재 영역 건너뛰기 확인란을 클릭한 후 다음을 클릭합니다 이러한 정책 설정은 제공된 INF 파일에서 가져옵니다.

  14. 적절한 보안 템플릿(예: EC-IIS Server.inf)을 포함시킵니다.

  15. 적절한 이름(예: IIS Server.xml)을 지정하여 정책을 저장합니다.

    참고: MSBP는 FTP, SMTP 및 NNTP를 비롯한 기타 IIS 관련 서비스 일부를 비활성화합니다. 본 가이드에 정의된 세 가지 환경의 IIS 서버에서 이러한 서비스를 활성화하려는 경우에는 웹 서버 정책을 수정해야 합니다.

SCW를 사용하여 정책 테스트

정책을 만들어 저장한 후에는 반드시 테스트 환경에 배포해 보십시오. 이상적으로는 테스트 서버가 프로덕션 서버와 동일한 하드웨어 및 소프트웨어 구성을 갖는 것이 좋습니다. 이렇게 하면 특정 하드웨어 장치에 필요한 예상치 못한 서비스가 존재하는 경우와 같은 잠재적인 문제를 찾아 해결할 수 있습니다.

정책을 테스트하기 위해서는 두 가지 방법을 사용할 수 있습니다. 바로 네이티브 SCW 배포 기능을 사용하는 방법과 GPO를 통해 정책을 배포하는 것입니다.

정책 감사를 시작할 경우에는 네이티브 SCW 배포 기능을 사용해야 합니다. SCW를 사용하여 한 번에 한 서버에 정책을 밀어 넣거나 Scwcmd를 사용하여 서버 그룹에 정책을 밀어 넣을 수 있습니다. 네이티브 배포 방법을 사용하면 배포된 정책을 SCW 내에서 쉽게 롤백할 수 있습니다. 이 기능은 테스트 프로세스 중에 정책을 많이 변경해야 할 경우에 특히 유용합니다.

정책을 대상 서버에 적용했을 때 중요한 기능이 영향을 받지 않는지 확인하기 위해 정책을 테스트합니다. 구성 변경 내용을 적용한 후에는 컴퓨터의 핵심 기능을 확인해야 합니다. 예를 들어 서버가 CA(인증 기관)로 구성된 경우 클라이언트에서 인증서를 요청하고 얻을 수 있는지, 인증서 해지 목록을 다운로드할 수 있는지 등을 확인해야 합니다.

만든 정책 구성에 문제가 없으면 다음 절차에 표시된 대로 Scwcmd를 사용하여 정책을 GPO로 변환합니다.

SCW 정책을 테스트하는 방법에 대한 자세한 내용은 보안 구성 마법사에 대한 배포 가이드 (영문)(www.microsoft.com/technet/prodtechnol/windowsserver2003/
library/SCWDeploying/5254f8cd-143e-4559-a299-9c723b366946.mspx)및 보안 구성 마법사 설명서 (영문)(http://go.microsoft.com/fwlink/?linkid=43450)를 참조하십시오.

정책 변환 및 배포

정책을 철저히 테스트한 후에는 다음 단계를 완료하여 정책을 GPO로 변환한 후 배포합니다.

  1. 명령 프롬프트에서 다음 명령을 입력합니다.

    scwcmd transform /p:<PathToPolicy.xml> /g:<GPODisplayName>
    

    그런 후 Enter 키를 누릅니다. 예를 들면 다음과 같습니다.

    scwcmd transform /p:"C:\Windows\Security\msscw\Policies\IIS 
    Server.xml" /g:"IIS Policy"
    

    참고: 여기서는 표시상의 문제 때문에 명령 프롬프트에 입력할 정보가 여러 줄로 표시됩니다. 실제로 이 정보는 모두 한 줄로 입력해야 합니다.

  2. 그룹 정책 관리 콘솔을 사용하여 새로 만든 GPO를 해당 OU에 연결합니다.

SCW 보안 정책 파일에 Windows 방화벽 설정이 포함되어 있을 경우 이 절차가 성공적으로 완료되려면 로컬 컴퓨터에서 Windows 방화벽이 활성 상태여야 합니다. Windows 방화벽이 활성 상태인지 확인하려면 제어판을 열고 Windows 방화벽을 두 번 클릭합니다.

이제 최종 테스트를 수행하여 GPO가 원하는 설정을 적용하는지 확인합니다. 이 절차를 완료하려면 적절한 설정이 구성되었으며 기능에 영향을 주지 않는지 확인합니다.

요약

이 장에서는 이 가이드에 정의된 세 가지 환경에서 Windows Server 2003 SP1이 실행되는 IIS 서버의 보안을 강화하는 데 사용할 수 있는 정책 설정에 대해 설명했습니다. 대부분의 설정은 MSBP를 보완하도록 디자인된 GPO(그룹 정책 개체)를 통해 적용됩니다. GPO는 IIS 서버가 들어 있는 해당 OU(조직 구성 단위)에 연결되어 추가적인 보안을 제공할 수 있습니다.

설명된 설정 중 일부는 그룹 정책을 통해 적용할 수 없습니다. 이러한 설정에 대해서는 수동 구성 정보가 제공되었습니다.

추가 정보

다음 링크는 보안 및 Windows Server 2003 SP1이 실행되는 IIS 기반 웹 서버의 보안 강화와 관련된 항목에 대한 추가 정보를 제공합니다.

  • IIS에서 로깅을 활성화하는 방법에 대한 자세한 내용은 Microsoft 기술 자료 문서 "인터넷 정보 서비스(IIS)에서 로깅을 사용 가능하게 설정하는 방법"(http://support.microsoft.com/?kbid=313437)을 참조하십시오.

  • 로깅에 대한 자세한 내용은 로깅 설정(IIS 6.0) (영문) 페이지(www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/
    d29207e8-5274-4f4b-9a00-9433b73252d6.mspx)를 참조하십시오.

  • 사이트 활동을 기록하는 방법에 대한 자세한 내용은 사이트 활동 로깅(IIS 6.0) (영문) 페이지(www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/
    IIS/ab7e4070-e185-4110-b2b1-1bcac4b168e0.mspx)를 참조하십시오.

  • 확장 로깅에 대한 자세한 내용은 W3C 확장 로깅 사용자 지정(IIS 6.0) (영문) 페이지(www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/
    IIS/96af216b-e2c0-428e-9880-95cbd85d90a1.mspx)를 참조하십시오.

  • 중앙식 이진 로깅에 대한 자세한 내용은 Microsoft.com 사이트에서 IIS 6.0의 중앙식 이진 로깅 (영문) 페이지(www.microsoft.com/technet/prodtechnol/
    WindowsServer2003/Library/IIS/b9cdc076-403d-463e-9a36-5a14811d34c7.mspx)를 참조하십시오.

  • 원격 로깅에 대한 자세한 내용은 원격 로깅(IIS 6.0) (영문) 페이지(www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/
    a6347ae3-39d1-4434-97c9-5756e5862c61.mspx)를 참조하십시오.

  • IIS 6.0에 대한 자세한 내용은 IIS(인터넷 정보 서비스) (영문) 페이지(www.microsoft.com/WindowsServer2003/iis/default.mspx)를 참조하십시오.



다운로드

Windows Server 2003 보안 가이드 받기 (영문)

업데이트 알림

업데이트 및 최신 릴리스 정보 수신 등록 (영문)

사용자 의견 보내기

의견 및 제안 보내기



이 정보가 도움이 되었습니까?
(1500자 남음)
의견을 주셔서 감사합니다.
Microsoft는 MSDN 웹 사이트에 대한 귀하의 의견을 이해하기 위해 온라인 설문 조사를 진행하고 있습니다. 참여하도록 선택하시면 MSDN 웹 사이트에서 나가실 때 온라인 설문 조사가 표시됩니다.

참여하시겠습니까?
표시:
© 2014 Microsoft