보안 강화 계획(SharePoint Server 2010)
적용 대상: SharePoint Foundation 2010, SharePoint Server 2010
마지막으로 수정된 항목: 2016-11-30
이 문서에서는 Microsoft SharePoint Server 2010 웹 서버, 응용 프로그램 서버 및 데이터베이스 서버 역할의 보안 강화에 대해 설명하고 Microsoft SharePoint 2010 제품의 포트, 프로토콜 및 서비스에 대한 특정 보안 강화 요구 사항과 관련된 자세한 지침을 제공합니다.
이 문서의 내용
보안 서버 스냅숏
서버 팜 환경에서 개별 서버는 특정 역할을 수행합니다. 이러한 서버에 대한 보안 강화 요구 사항은 각 서버가 수행하는 역할에 따라 달라집니다. 이 문서에서는 두 가지 범주의 서버 역할에 대한 보안 스냅숏에 대해 설명합니다.
스냅숏은 일반적인 구성 범주로 분류됩니다. 각 범주에 대해 정의된 특성은 Microsoft SharePoint 2010 제품에 대한 최적의 보안 강화 상태를 나타냅니다. 이 문서에는 환경의 다른 소프트웨어에 대한 보안 강화 지침은 포함되어 있지 않습니다.
웹 서버 및 응용 프로그램 서버 역할
이 섹션에서는 웹 서버 및 응용 프로그램 서버의 보안 강화 특성을 식별합니다. 일부 지침은 특정 서비스 응용 프로그램에 적용되며, 이러한 경우 해당 특성은 지정된 서비스 응용 프로그램과 연결된 서비스를 실행하는 서버에서만 적용되어야 합니다.
범주 |
특징 |
서비스 MMC 스냅인에 나열된 서비스 |
다음 서비스를 사용하도록 설정합니다.
다음 서비스가 사용하지 않도록 설정되지 않았는지 확인합니다.
다음 서비스가 해당 역할을 호스팅하는 서버에서 사용하지 않도록 설정되지 않았는지 확인합니다.
|
포트 및 프로토콜 |
|
레지스트리 |
추가 지침 없음 |
감사 및 로깅 |
로그 파일을 다시 배치하는 경우 로그 파일 위치가 일치하도록 업데이트합니다. 디렉터리 ACL(액세스 제어 목록)도 업데이트합니다. |
코드 액세스 보안 |
웹 응용 프로그램에 대해 최소한의 코드 액세스 보안 권한 집합을 사용하도록 설정되어 있는지 확인합니다. 각 웹 응용 프로그램의 Web.config 파일에 있는 <trust> 요소는 WSS_Minimal(WSS_Minimal의 기본 하한값은 14\config\wss_minimaltrust.config에 정의되어 있거나 최소한으로 설정되는 사용자 지정 정책 파일에 의해 정의됨)로 설정해야 합니다. |
Web.config |
설치 프로그램을 실행한 후 만들어지는 각 Web.config 파일에 대해 다음 권장 사항을 따릅니다.
|
데이터베이스 서버 역할
SharePoint 2010 제품에 대한 기본 권장 사항은 Microsoft SQL Server 통신에 사용되는 기본 포트를 차단하고 대신 이 통신에 대한 사용자 지정 포트를 설정하여 팜 간 통신을 보호하는 것입니다. SQL Server 통신에 대한 포트를 구성하는 방법에 대한 자세한 내용은 이 문서 뒷부분의 표준 SQL Server 포트 차단을 참조하십시오.
범주 |
특징 |
포트 |
|
이 문서에서는 SQL Server를 보안하는 방법은 설명하지 않습니다. SQL Server를 보안하는 방법에 대한 자세한 내용은 SQL Server 보안(https://go.microsoft.com/fwlink/?linkid=186828&clcid=0x412)을 참조하십시오.
특정 포트, 프로토콜 및 서비스 지침
이 문서의 나머지 부분에서는 SharePoint 2010 제품의 특정 보안 강화 요구 사항에 대해 자세히 설명합니다.
이 섹션의 내용
표준 SQL Server 포트 차단
SQL Server에 연결하는 데 사용되는 특정 포트는 데이터베이스가 SQL Server의 기본 인스턴스에 설치되어 있는지 아니면 SQL Server의 명명된 인스턴스에 설치되어 있는지에 따라 달라집니다. SQL Server의 기본 인스턴스는 TCP 포트 1433에서 클라이언트 요청을 수신 대기하고, SQL Server의 명명된 인스턴스는 임의로 할당되는 포트 번호에서 요청을 수신 대기합니다. 또한 명명된 인스턴스가 다시 시작되면 해당 인스턴스에 대한 포트 번호를 다시 할당할 수 있습니다(이전에 할당된 포트 번호가 사용 가능한 경우).
기본적으로 SQL Server에 연결되는 클라이언트 컴퓨터는 먼저 TCP 포트 1433을 사용하여 연결합니다. 이 포트를 사용하여 통신할 수 없으면 클라이언트 컴퓨터는 UDP 포트 1434에서 수신 대기하는 SQL Server Resolution Service를 쿼리하여 데이터베이스 인스턴스가 수신 대기하는 포트를 확인합니다.
SQL Server의 기본 포트 통신 동작은 서버 강화에 영향을 주는 여러 가지 문제를 야기합니다. 우선, SQL Server에서 사용하는 포트는 널리 알려진 포트이며 SQL Server Resolution Service는 "Slammer" 웜 바이러스를 비롯한 버퍼 오버런 공격 및 DoS(Denial-Of-Service) 공격의 표적이 되어 왔습니다. SQL Server를 업데이트하여 SQL Server Resolution Service의 보안 문제를 완화한다 해도 포트가 잘 알려져 있기 때문에 여전히 공격의 대상이 됩니다. 둘째로, 데이터베이스가 SQL Server의 명명된 인스턴스에 설치되어 있으면 해당하는 통신 포트는 임의로 할당되며 변경될 수 있습니다. 이러한 동작으로 인해 강화된 환경에서 서버 간 통신이 차단될 수 있습니다. 열려 있거나 차단되는 TCP 포트를 제어하는 기능은 환경을 보호하는 데 반드시 필요합니다.
따라서 서버 팜에서는 SQL Server의 명명된 인스턴스에 정적 포트 번호를 할당하고 UDP 포트 1434를 차단하여 공격자들이 SQL Server Resolution Service에 액세스할 가능성을 차단하는 것이 좋습니다. 또한 기본 인스턴스가 사용하는 포트를 다시 할당하고 TCP 포트 1433을 차단하는 것도 고려해 보십시오.
다양한 방법을 통해 포트를 차단할 수 있습니다. 방화벽을 사용하여 포트를 차단할 수도 있지만, 네트워크 세그먼트로 연결되는 다른 경로가 없거나 네트워크 세그먼트에 대한 액세스 권한이 있는 악의적인 사용자가 없는 것이 확실한 경우가 아니면 SQL Server를 호스팅하는 서버에서 이들 포트를 직접 차단하는 것이 좋습니다. 제어판에서 Windows 방화벽을 사용하여 이 작업을 수행할 수 있습니다.
비표준 포트에서 수신 대기하도록 SQL Server 데이터베이스 인스턴스 구성
SQL Server에서는 기본 인스턴스와 모든 명명된 인스턴스에서 사용하는 포트를 다시 할당하는 기능을 제공합니다. SQL Server 2005 및 SQL Server 2008에서는 SQL Server 구성 관리자를 사용하여 포트를 다시 할당합니다.
SQL Server 클라이언트 별칭 구성
서버 팜에서 모든 프런트 엔드 웹 서버와 응용 프로그램 서버는 SQL Server 클라이언트 컴퓨터입니다. SQL Server 컴퓨터에서 UDP 포트 1434를 차단하거나 기본 인스턴스의 기본 포트를 변경하는 경우에는 SQL Server 컴퓨터에 연결되는 모든 서버에서 SQL Server 클라이언트 별칭을 구성해야 합니다.
SQL Server 2005 또는 SQL Server 2008의 인스턴스에 연결하려면 대상 컴퓨터에 SQL Server 클라이언트 구성 요소를 설치한 다음 SQL Server 구성 관리자를 사용하여 SQL Server 클라이언트 별칭을 구성합니다. SQL Server 클라이언트 구성 요소를 설치하려면 설치 프로그램을 실행하고 다음 클라이언트 구성 요소만 설치하도록 선택합니다.
연결 구성 요소
관리 도구(SQL Server 구성 관리자 포함)
표준 SQL 포트를 차단하기 위한 특정한 보안 강화 단계는 SharePoint 환경에 맞게 SQL Server 강화(SharePoint Server 2010)를 참조하십시오.
서비스 응용 프로그램 통신
기본적으로 팜 내에서 웹 서버와 서비스 응용 프로그램 간의 통신은 포트 32843에 바인딩된 HTTP를 사용하여 이루어집니다. 서비스 응용 프로그램을 게시하는 경우 다음과 같이 바인딩된 HTTP 또는 HTTPS를 선택할 수 있습니다.
HTTP 바인딩: 포트 32843
HTTPS 바인딩: 포트 32844
또한 서비스 응용 프로그램을 개발하는 타사에서 제 3의 선택안을 구현할 수 있습니다.
- net.tcp 바인딩: 포트 32845
각 서비스 응용 프로그램의 프로토콜과 포트 바인딩을 변경할 수 있습니다. 중앙 관리의 서비스 응용 프로그램 페이지에서 서비스 응용 프로그램을 선택한 다음 게시를 클릭합니다.
서비스 응용 프로그램과 SQL Server 간의 통신은 SQL Server 통신을 위해 구성한 표준 SQL Server 포트를 통해 이루어집니다.
파일 및 프린터 공유 서비스 요구 사항
파일 및 프린터 공유 서비스와 해당하는 프로토콜 및 포트에 따라 여러 가지 핵심 기능이 달라집니다. 다음은 이러한 기능 중 일부입니다.
검색 쿼리 모든 검색 쿼리에는 파일 및 프린터 공유 서비스가 필요합니다.
콘텐츠 크롤링 및 인덱싱 크롤링 구성 요소가 포함된 서버는 콘텐츠를 크롤링하기 위해 프런트 엔드 웹 서버를 통해 요청을 보냅니다. 프런트 엔드 웹 서버는 콘텐츠 데이터베이스와 직접 통신하여 결과를 다시 크롤링 구성 요소가 포함된 서버로 보냅니다. 이러한 통신에 파일 및 프린터 공유 서비스가 필요합니다.
인덱스 전파 Search Service 응용 프로그램이 여러 서버에서 배포되는 크롤링 구성 요소 및 쿼리 구성 요소와 함께 구성된 경우 크롤링 구성 요소가 있는 서버에서 인덱스 파일을 쿼리 구성 요소가 있는 서버로 복사합니다. 이 작업을 수행하려면 파일 및 프린터 공유 서비스 및 해당하는 프로토콜과 포트가 필요합니다.
파일 및 프린터 공유 서비스는 명명된 파이프를 사용해야 합니다. 명명된 파이프는 직접 호스팅되는 SMB 또는 NetBT 프로토콜 중 하나를 사용하여 통신할 수 있습니다. 보안 환경에서는 NetBT가 아닌 직접 호스팅되는 SMB를 사용하는 것이 좋습니다. 이 문서에서 제공되는 보안 강화 권장 사항에서는 SMB를 사용한다고 간주합니다.
다음 표에서는 파일 및 프린터 공유 서비스로 인해 적용되는 보안 강화 요구 사항에 대해 설명합니다.
범주 |
요구 사항 |
참고 |
서비스 |
파일 및 프린터 공유 |
명명된 파이프를 사용해야 합니다. |
프로토콜 |
직접 호스팅되는 SMB를 사용하는 명명된 파이프 NetBT를 사용하지 않음 |
명명된 파이프는 직접 호스팅되는 SMB가 아닌 NBT를 사용할 수 있지만, NBT는 직접 호스팅되는 SMB만큼 안전하지 못합니다. |
포트 |
다음 중 하나
|
NetBT(포트 137, 138 및 139)가 사용되지 않는 경우 NetBT를 사용하지 않도록 설정합니다. |
NBT를 사용하지 않도록 설정하는 방법에 대한 자세한 내용은 Microsoft 기술 자료 문서 204279 TCP/IP를 통한 SMB 직접 호스팅(https://go.microsoft.com/fwlink/?linkid=76143&clcid=0x412)을 참조하십시오.
User Profile Service 보안 강화 요구 사항
User Profile Service 응용 프로그램에서는 Forefront Identity Management 에이전트를 사용하여 SharePoint 2010 제품 및 Active Directory 또는 LDAP(Lightweight Directory Access Protocol) 디렉터리 서비스 간에 프로필을 동기화합니다. Forefront Identity Management 에이전트는 SharePoint 팜의 모든 서버에 설치되지만 디렉터리 저장소와 동기화하도록 설정된 서버에서만 필요합니다.
Forefront Identity Management 에이전트에는 Active Directory 또는 다른 저장소를 크롤링하도록 설정된 서버에서 항상 사용할 수 있도록 설정해야 하는 다음 두 서비스가 있습니다.
Forefront Identity Manager Service
Forefront Identity Manager Synchronization Service
또한 Forefront Identity Management 실행하고 디렉터리 저장소를 크롤링하도록 설정된 서버에서 TCP 포트 5725가 열려 있어야 합니다.
Active Directory 환경에서는 디렉터리 저장소와 동기화하는 SharePoint 2010 제품 서버 및 Active Directory를 실행하는 서버 간의 통신을 위해 다음 포트가 항상 열려 있어야 합니다.
TCP/UDP 389(LDAP 서비스)
TCP/UDP 88(Kerberos)
TCP/UDP 53(DNS)
UDP 464(Kerberos 암호 변경)
Forefront Identity Management 에이전트의 보안 강화 요구 사항과 다른 디렉터리 유형의 포트 요구 사항에 대한 자세한 내용은 관리 에이전트 통신 포트 및 권한(영문일 수 있음)(https://go.microsoft.com/fwlink/?linkid=186832&clcid=0x412)(영문일 수 있음)을 참조하십시오.
외부 서버에 대한 연결
서버 팜 외부의 서버 컴퓨터에 있는 데이터에 액세스하도록 여러 SharePoint Server 2010 기능을 구성할 수 있습니다. 외부 서버 컴퓨터에 있는 데이터에 대한 액세스를 구성하는 경우에는 해당하는 컴퓨터 간의 통신을 사용하도록 설정해야 합니다. 대부분의 경우에는 외부 리소스에 따라 다른 포트, 프로토콜 및 서비스를 사용합니다. 예를 들면 다음과 같습니다.
파일 공유에 대한 연결에서는 파일 및 프린터 공유 서비스를 사용합니다.
외부 SQL Server 데이터베이스에 대한 연결에서는 SQL Server 통신용 기본 포트 또는 사용자 지정 포트를 사용합니다.
Oracle 데이터베이스에 대한 연결에서는 보통 OLE DB를 사용합니다.
웹 서비스에 대한 연결에서는 HTTP 및 HTTPS를 모두 사용합니다.
다음 표에는 서버 팜 외부의 서버 컴퓨터에 있는 데이터에 액세스하도록 구성할 수 있는 기능이 나와 있습니다.
기능 |
설명 |
콘텐츠 크롤링 |
웹 사이트, 파일 공유, Exchange 공용 폴더, 비즈니스 데이터 응용 프로그램 등의 외부 리소스에 있는 데이터를 크롤링하도록 크롤링 규칙을 구성할 수 있습니다. 외부 데이터 원본을 크롤링하는 경우 크롤링 역할에서 이러한 외부 리소스와 직접 통신합니다. 자세한 내용은 콘텐츠 크롤링 계획(Office SharePoint Server)[ https://technet.microsoft.com/ko-kr/library/cc262926.aspx]을 참조하십시오. |
Business Data Connectivity 연결 |
웹 서버 및 응용 프로그램 서버는 Business Data Connectivity 연결이 구성된 컴퓨터와 직접 통신합니다. 자세한 내용은 비즈니스 데이터 카탈로그를 사용한 비즈니스 데이터 연결 계획[https://technet.microsoft.com/ko-kr/library/cc263252.aspx]을 참조하십시오. |
Microsoft Office Excel 통합 문서 받기 |
Excel Services에서 연 통합 문서를 외부 데이터 원본(예: Analysis Services 및 SQL Server)에 연결하는 경우 이러한 외부 데이터 원본에 연결할 수 있도록 적절한 TCP/IP 포트를 열어야 합니다. 자세한 내용은 Excel Services를 위한 외부 데이터 연결 계획[https://technet.microsoft.com/ko-kr/library/cc262899.aspx]을 참조하십시오. UNC(범용 명명 규칙) 경로를 Excel Services 응용 프로그램의 신뢰할 수 있는 위치로 구성한 경우 Excel Calculation Services 응용 프로그램 역할은 파일 및 프린터 공유 서비스에서 사용하는 프로토콜과 포트를 사용하여 UNC 경로를 통해 Office Excel 통합 문서를 받습니다. 콘텐츠 데이터베이스에 저장된 통합 문서나 사용자가 사이트에서 업로드하거나 다운로드한 통합 문서는 이 통신의 영향을 받지 않습니다. |
전자 메일 통합을 위한 서비스 요구 사항
전자 메일을 통합하려면 다음과 같은 두 서비스를 사용해야 합니다.
SMTP 서비스
전자 메일 통합 기능을 이용하려면 서버 팜의 프런트 엔드 웹 서버 중 적어도 하나에서 SMTP(Simple Mail Transport Protocol) 서비스를 사용해야 합니다. SMTP 서비스는 받는 전자 메일에 필요합니다. 보내는 전자 메일의 경우에는 SMTP 서비스를 사용하거나, 조직의 전용 전자 메일 서버(예: Microsoft Exchange Server 컴퓨터)를 통해 보내는 전자 메일을 라우팅할 수 있습니다.
Microsoft SharePoint 디렉터리 관리 서비스
SharePoint 2010 제품에는 전자 메일 그룹을 만들기 위한 내부 서비스인 Microsoft SharePoint 디렉터리 관리 서비스가 포함되어 있습니다. 전자 메일 통합을 구성할 때는 디렉터리 관리 서비스 기능을 사용하도록 설정하여 사용자가 메일 그룹을 만들도록 허용할 수 있습니다. 사용자가 SharePoint 그룹을 만들 때 메일 그룹 만들기 옵션을 선택하면 Microsoft SharePoint 디렉터리 관리 서비스에서 Active Directory 환경에 해당하는 Active Directory 메일 그룹을 만듭니다.
보안이 강화된 환경에서는 이 서비스와 연결된 파일(SharePointEmailws.asmx)을 보호하여 Microsoft SharePoint 디렉터리 관리 서비스에 대한 액세스를 제한하십시오. 예를 들어 서버 팜 계정에 대해서만 이 파일 액세스를 허용할 수 있습니다.
또한 이 서비스를 사용하려면 Active Directory 환경에서 Active Directory 메일 그룹 개체를 만들 수 있는 권한이 있어야 합니다. Active Directory에서 SharePoint 2010 제품 개체에 대한 별도의 OU(조직 구성 단위)를 설정하는 것이 좋습니다. 그리고 이 조직 구성 단위에서만 Microsoft SharePoint 디렉터리 관리 서비스에서 사용하는 계정에 대해 쓰기 권한을 허용해야 합니다.
세션 상태를 위한 서비스 요구 사항
Project Server 2010 및 InfoPath Forms Services은 모두 세션 상태를 유지 관리합니다. 서버 팜 내에서 이러한 기능이나 제품을 배포하는 경우 ASP.NET State Service를 사용하지 않도록 설정해서는 안 됩니다. 또한 InfoPath Forms Services를 배포하는 경우에는 View State Service를 사용하지 않도록 설정하지 마십시오.
SharePoint 2010 제품 서비스
SharePoint 2010 제품에서 설치하는 서비스는 사용하지 않도록 설정하면 안 됩니다. 이러한 서비스는 이전 스냅숏에 나열되어 있습니다.
작업 환경에서 서비스를 로컬 시스템으로 실행할 수 없는 경우에는 SharePoint 2010 Administration Service를 사용하지 않도록 설정해 볼 수도 있습니다. 단, 이 경우 그 결과를 알고 있고 관련 문제를 해결할 수 있어야 합니다. 이 서비스는 로컬 시스템으로 실행되는 Win32 서비스입니다.
이 서비스는 SharePoint 2010 Timer Service에서 IIS(인터넷 정보 서비스) 웹 사이트 만들기, 코드 배포, 서비스 중지/시작 등 서버에 대한 관리 권한이 필요한 작업을 수행하는 데 사용됩니다. 이 서비스를 사용하지 않도록 설정하면 중앙 관리 사이트에서 배포 관련 작업을 실행할 수 없습니다. Windows PowerShell에서 Start-SPAdminJob cmdlet을 실행하거나 Stsadm.exe 명령줄 도구에서 execadmsvcjobs 작업을 실행하여 SharePoint 2010 제품에 대한 여러 서버 배포를 완료하고 다른 배포 관련 작업을 실행해야 합니다.
Web.config 파일
.NET Framework와 특히 ASP.NET은 XML 형식 구성 파일을 사용하여 응용 프로그램을 구성합니다. .NET Framework는 구성 파일을 사용하여 구성 옵션을 정의합니다. 구성 파일은 텍스트 기반 XML 파일입니다. 일반적으로 단일 시스템에 여러 구성 파일이 있을 수 있습니다.
.NET Framework에 대한 시스템 전체 구성 설정은 %SystemRoot%\Microsoft.NET\Framework\%VersionNumber%\CONFIG\ 폴더에 있는 Machine.config 파일에서 정의됩니다. Machine.config 파일에 포함되어 있는 기본 설정을 수정하여 전체 시스템에서 .NET Framework를 사용하는 응용 프로그램 동작을 변경할 수 있습니다.
응용 프로그램의 루트 폴더에 Web.config 파일을 만드는 경우에는 단일 응용 프로그램에 대해 ASP.NET 구성 설정을 변경할 수 있습니다. 이렇게 하면 Web.config 파일의 설정이 Machine.config 파일의 설정을 다시 정의합니다.
중앙 관리를 사용하여 웹 응용 프로그램을 확장하면 SharePoint 2010 제품은 웹 응용 프로그램에 대해 Web.config 파일을 자동으로 만듭니다.
이 문서 앞부분에 제공된 웹 서버 및 응용 프로그램 서버 스냅숏에는 Web.config 파일 구성을 위한 권장 사항이 나와 있습니다. 이러한 권장 사항은 중앙 관리 사이트의 Web.config 파일을 비롯하여 작성되는 각 Web.config 파일에 적용하기 위한 것입니다.
Web.config 파일을 편집하는 방법 및 ASP.NET 구성 파일에 대한 자세한 내용은 ASP.NET 구성 (영문일 수 있음)(https://go.microsoft.com/fwlink/?linkid=73257&clcid=0x412)(영문일 수 있음)을 참조하십시오.