내보내기(0) 인쇄
모두 확장
확장 최소화

WebDAV Redirector

적용 대상: Windows Server 2003 with SP1

WebDAV 리디렉터의 기능은 무엇입니까?

DAVRdr(WebDAV 리디렉터)를 사용하면 Windows Server 2003을 실행하는 컴퓨터에서 Windows SharePoint Services 및 MSN 커뮤니티와 같은 WebDAV(Web-based Distributed Authoring and Versioning) 서버를 표준 파일 서버처럼 사용할 수 있습니다. 이는 Windows NT 원격 파일 시스템 스택에 연결하는 커널 구성 요소와 파일 시스템 요청을 WebDAV 요청으로 변환하는 사용자 수준 구성 요소(웹 클라이언트 서비스)로 구성됩니다.

이 기능의 적용 대상은 누구입니까?

원격 파일 시스템을 통해 WebDAV 서버에 액세스하는 사용자가 이 기능을 사용합니다. WebDAV 리디렉터는 원격 파일 시스템 스택에 구현되어 있습니다. 클라이언트 관리자와 컴퓨터 자격 증명의 보안에 관련된 사용자가 UNC(범용 명명 규칙) 경로를 사용하여 WebDAV 서버의 원격 파일에 액세스하는 경우 이 변경 사항을 알고 있어야 합니다. 예를 들어 \\ServerName\ShareName\File.txt와 같은 파일 요청은 WebDAV 리디렉터에서 처리되고 이 기능 변경 사항의 영향을 받습니다.

Windows Server 2003 서비스 팩 1에서 이 기능에 추가된 새로운 기능은 무엇입니까?

암호화되지 않은 채널을 통한 기본 인증 사용 안 함

자세한 설명

WebDAV는 HTTP(Hypertext Transfer Protocol)의 확장이며, 그 자체로 BasicAuth(Basic Authentication)의 사용을 포함합니다. BasicAuth는 사용자 인증의 유형 중 하나로, 서버에 대해 사용자를 식별하는 데 사용됩니다. BasicAuth를 사용하여 클라이언트는 사용자의 자격 증명(사용자 이름 및 암호)을 서버에 전송합니다. 일반 HTTP 트래픽에서처럼 채널이 암호화되지 않은 경우 네트워크상의 모든 컴퓨터는 사용자의 사용자 이름과 암호를 알 수 있으므로 해당 ID를 도용할 수 있습니다. DAVRdr은 암호화된 HTTP(HTTPS 또는 SSL)를 지원하지 않으므로 서버가 기본 인증을 지원할 경우 사용자의 자격 증명을 암호화하지 않은 일반 텍스트로 전송합니다. 서버는 대부분 기본 인증을 사용하도록 구성되지 않지만 서버가 사용자의 자격 증명을 확보하도록 명시적으로 설정할 수 있습니다.

이러한 가능성 때문에 Windows Server 2003 서비스 팩 1(SP1)에는 DAVRdr이 BasicAuth를 사용하거나 사용할 수 없도록 설정하는 기능이 포함되어 있습니다. 기본적으로는 SP1에서 BasicAuth를 사용할 수 없습니다. BasicAuth를 사용할 수 없으면 클라이언트는 다른 인증 방법(서버가 지원할 경우)을 사용하거나 요청을 처리하지 못합니다.

이 변경 사항이 중요한 이유는 무엇입니까?

사용자는 보안되지 않는 상태에서 암호를 전송하는 것에 대한 걱정 없이 원격 파일 액세스를 위해 WebDAV에 로그온할 수 있습니다.

이로 인해서 줄어드는 위협은 무엇입니까?

Contoso Corporation의 회사 사용자가 일상적으로 공용 네트워크를 통해 회사 외부에서 파일 공유 \\Contoso_Server\Sales에 액세스하고, 정상적인 백그라운드 작업의 일부로 해당 공유에 액세스하려고 시도하는 응용 프로그램을 사용한다고 상상해 봅시다. 사용자의 휴대용 컴퓨터가 회사 네트워크 외부에 있으므로 요청은 실패합니다. 그러나 DAVRdr은 휴대용 컴퓨터가 액세스를 시도하고 있는 실제 서버가 SMB 서버이더라도 요청을 전송하여 Contoso_Server라는 DAV 서버가 있는지 확인합니다.

공격자는 WINS 요청을 위장하는 컴퓨터를 사용하여 동일한 공용 네트워크에서 작업하면서 임의의 WINS 요청에 대한 응답으로 자체에 대한 포인터를 반환할 수 있습니다. 그런 다음 휴대용 컴퓨터는 해당 Rogue 서버상의 DAV 공유에 액세스하려고 시도합니다. Rogue 서버가 BasicAuth를 인증 방법으로 사용하여 응답할 경우 사용자의 자격 증명을 요청하는 대화 상자가 나타납니다. 이 대화 상자는 해당 서버를 Contoso_Server로 확인하여 사용자가 해당 요청이 합법적인 것으로 믿도록 합니다. 사용자가 사용자 이름과 암호를 입력하면 클라이언트는 해당 정보를 암호화되지 않은 상태로 전송하므로 공격자는 해당 사용자의 로그인 정보에 액세스할 수 있습니다. 사용자는 채널이 안전하지 않다는 것, 해당 요청이 DAVRdr에 의해 처리되고 있다는 것 또는 휴대용 컴퓨터가 사용자 이름과 암호를 암호화되지 않은 상태로 전송할 것이라는 사실을 알지 못합니다. 현재의 기본 Windows 인증 방법에서는 사용자 암호를 일반 텍스트로 전송하지 않습니다.

작동 방식의 차이는 무엇입니까?

기본 동작에 대한 변경은 DAVRdr에만 영향을 주므로 기본 인증을 요구하는 시나리오와 DAVRdr을 사용하는 시나리오만 실행될 수 없습니다. Notepad.exe를 사용하여 BasicAuth만 허용하는 웹 사이트에 액세스하는 것이 그러한 예입니다. 이 시나리오는 더 이상 적용되지 않습니다. 또한 서버가 기본 인증만 사용하도록 구성되었더라도 Microsoft Office 같은 다른 응용 프로그램은 다른 DAV 클라이언트를 사용하므로 계속 작동합니다.

이러한 문제를 해결하는 방법은 무엇입니까?

다음 레지스트리 키를 추가하고 0이 아닌 값으로 설정하여 BasicAuth를 사용할 수 있습니다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \WebClient\Parameters\UseBasicAuth (DWORD)

이 레지스트리 키를 삭제하거나 0으로 설정하면 기본 동작으로 되돌아가거나 BasicAuth를 사용할 수 없게 됩니다.

WinINet: 암호화되지 않은 채널을 통한 기본 인증 비활성화

자세한 설명

DAVRdr은 원격 파일 시스템 스택의 일부이므로 파일을 원격으로 액세스하려는 시도가 있을 때마다 컴퓨터는 공격에 노출됩니다. 인터넷 API를 사용하는 다른 응용 프로그램에 대한 위협은 DAVRdr에 대한 것보다는 덜 심각하지만 응용 프로그램 또는 사용자가 URL에 액세스하려고 시도할 때마다 유사한 공격이 가능합니다. 따라서 WinINet은 DAVRdr이 BasicAuth를 비활성화하는 데 사용하는 메커니즘을 인터넷 API의 다른 사용자에게 노출합니다.

암호화되지 않은 채널을 통한 기본 인증 사용을 차단하는 방법에는 다음 두 가지가 있습니다.

  • 다음 레지스트리 키를 만들어 0이 아닌 값으로 설정합니다.

    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows \CurrentVersion\ Internet Settings\DisableBasicOverClearChannel (DWORD)

    이렇게 하면 WinINet은 채널이 HTTPS 또는 SSL을 사용하여 보안되는 경우가 아니면 BasicAuth를 사용하려고 하지 않습니다.

  • 응용 프로그램은 INTERNET_OPTION_AUTH_FLAGS를 사용한 InternetSetOption 호출에 제공된 값에 AUTH_FLAG_DISABLE_BASIC_CLEARCHANNEL 플래그(0x4)를 설정하여 해당 연결에 BasicAuth를 사용할 수 없도록 할 수 있습니다.

이 변경 사항이 중요한 이유는 무엇입니까?

사용자는 보안되지 않는 상태에서의 암호 전송에 대한 걱정 없이 원격 파일 액세스를 위해 WebDAV에 로그온할 수 있습니다.

이로 인해서 줄어드는 위협은 무엇입니까?

일상적으로 웹 사이트 http://www.contoso.com/sales에 액세스하는 회사 사용자를 상상해 보십시오. 회사 외부에서 공용 네트워크를 사용 중인 동안 사용자는 Internet Explorer를 사용하여 해당 사이트에 액세스하려고 시도합니다. 랩톱이 회사 외부에 있으므로 "서버 찾지 못 함"이라는 메시지가 표시되고 요청은 실패합니다. 공격자는 WINS 요청을 위장하는 컴퓨터를 사용하여 동일한 공용 네트워크에서 실행하면서 임의의 WINS 조회에 대한 응답으로 자체에 대한 포인터를 반환할 수 있습니다. 그런 다음 랩톱은 HTTP 요청을 보내어 Rogue 서버로부터 페이지를 로드하려고 합니다. Rogue 서버가 BasicAuth를 인증 방법으로 사용하여 응답할 경우 랩톱은 사용자에게 응답하고 해당 자격 증명을 요청합니다. 이것은 http://www.contoso.com/sales 사이트를 확인하여 사용자가 해당 요청이 합법적인 것으로 믿도록 합니다. 사용자가 사용자 이름과 암호를 입력하면 클라이언트는 해당 정보를 암호화되지 않은 상태로 전송하므로 공격자는 해당 사용자의 로그인 정보에 액세스할 수 있습니다. 특히 사용자는 채널이 안전하지 않다거나 랩톱이 사용자 이름과 암호를 암호화되지 않은 상태로 전송할 것이라는 사실을 알지 못합니다.

작동 방식의 차이는 무엇입니까?

위에서 설명한 DAVRdr에 대한 것을 제외하면 기본적으로 WinINet 응용 프로그램에 대해 달라진 동작은 없습니다. 이 설정이 해제되면 사용자는 기본 인증만 지원하는 HTTP 서버에 연결할 수 없습니다.

Windows Server 2003 서비스 팩 1에서 변경되거나 추가된 설정은 무엇입니까?

WebDAV 리디렉터 설정

설정 이름 위치 이전 기본값(해당 사항이 있는 경우) 기본값 사용 가능한 값

UseBasicAuth

HKEY_LOCAL_MACHINE\System \CurrentControlSet \Services \WebClient \Parameters \UseBasicAuth

해당 사항 없음

키가 없음

(DAVRdr에 대한 BasicAuth 사용 안 함)

0, 0이 아닌 값

DisableBasicOverClearChannel

HKCU\SOFTWARE \Microsoft \Windows \CurrentVersion \Internet Settings \DisableBasicOverClearChannel

해당 사항 없음

키가 없음(그 밖의 모든 것에 대해 BasicAuth 사용함)

0, 0이 아닌 값

Windows Server 2003 서비스 팩 1을 사용하려면 코드를 변경해야 합니까?

변경할 필요가 없습니다. 인터넷 API를 사용하는 응용 프로그램을 작성하고 DAVRdr처럼 BasicAuth를 사용할 수 없도록 하려는 개발자는 InternetSetOptions()에 대한 호출을 추가할 수 있습니다.

이 정보가 도움이 되었습니까?
(1500자 남음)
의견을 주셔서 감사합니다.

커뮤니티 추가 항목

추가
표시:
© 2014 Microsoft