서버 팜 내 서버 역할의 보안 강화 계획(Windows SharePoint Services)
업데이트: 2009-04-16
보안 강화 정보
응용 프로그램 서버 권장 사항
Microsoft SQL Server 데이터베이스를 사용한 통신 보안
파일 및 프린터 공유 서비스 요구 사항
전자 메일 통합을 위한 서비스 요구 사항
Windows SharePoint Services 서비스
계정 및 그룹
Web.config 파일
스냅숏 추가 항목 보호
이 문서의 내용을 참조하여 서버 팜 보안을 계획합니다. 이 문서에서 설명하는 작업은 다음 보안 환경에 적합합니다.
내부 IT 호스트
외부 보안 공동 작업
외부 익명 액세스
보안 강화 정보
서버 팜 환경에서 개별 서버는 특정 역할을 수행합니다. 이러한 서버에 대한 보안 강화 요구 사항은 각 서버가 수행하는 역할에 따라 달라집니다.
서버 강화 요구 사항은 Microsoft patterns & practices (영문)(https://go.microsoft.com/fwlink/?linkid=73704\&clcid=0x412)에 제공된 다음과 같은 보안 가이드에 나와 있는 권장 사항을 기반으로 작성되었습니다.
웹 서버 보호 (영문)(https://go.microsoft.com/fwlink/?linkid=73705\&clcid=0x412)
데이터베이스 서버 보호 (영문)(https://go.microsoft.com/fwlink/?linkid=73706\&clcid=0x412)
네트워크 보호 (영문)(https://go.microsoft.com/fwlink/?linkid=73707\&clcid=0x412)
이들 가이드는 특정 역할에 대해 서버를 보호하고 지원 네트워크를 보호하기 위한 방법론적 방식을 따릅니다. 여기에는 설정을 적용하고 응용 프로그램을 설치 및 강화하는 순서도 설명되어 있는데, 먼저 패치와 업데이트 적용 작업부터 네트워킹 설정 및 운영 체제 설정 강화, 응용 프로그램 관련 강화 내용이 나와 있습니다. 예를 들어 웹 서버 보호 (영문)(https://go.microsoft.com/fwlink/?linkid=73705\&clcid=0x412)에서는 운영 체제에 패치를 적용하고 운영 체제를 강화한 후에만 IIS(인터넷 정보 서비스)를 설치 및 강화하도록 권장하고 있습니다. 또한 이 가이드에서는 IIS에 대해 패치 설치 및 강화 작업을 완전히 수행한 후에만 Microsoft .NET Framework를 설치하도록 하고 있습니다.
웹 서버 보호 (영문)(https://go.microsoft.com/fwlink/?linkid=73705\&clcid=0x412)에 방법론적으로 설명되어 있는 보안 설정 범주가 다음 그림에 자세히 나와 있습니다.
.gif "보안 설정 범주")
또한 세 가이드에는 각각 보안 스냅숏과 특정 서버 역할 또는 네트워크에 대해 권장되는 보안 설정 목록이 포함되어 있습니다. 스냅숏 목록은 위 그림에 나와 있는 보안 설정에 해당하는 범주별로 구성됩니다.
이 문서에서 제공하는 보안 디자인 및 강화 지침은 위의 세 가이드에 나와 있는 지침을 기반으로 합니다. 이 지침에서는 사용자가 이들 가이드를 기준으로 사용하여 서버 팜을 보호 및 강화한다고 간주합니다.
이 문서에서는 환경에 권장되는 스냅숏에 대한 예외 또는 추가 항목을 설명합니다. 이러한 설명은 위의 세 보안 가이드와 같은 범주 및 순서를 사용하여 표 형식으로 나와 있습니다. 이와 같은 형식을 사용한 것은 가이드를 사용하면서 특정 요구 사항을 쉽게 확인 및 적용할 수 있도록 하기 위해서입니다.
Windows SharePoint Services 3.0 기술 배포(https://go.microsoft.com/fwlink/?linkid=76140\&clcid=0x412) 가이드에는 patterns & practices 보안 가이드에 나오지 않는 특정 보안 가이드를 적용하기 위한 지침이 포함되어 있습니다.
특정 강화 권장 사항은 주로 서버 팜 내의 서버 간 통신 특징과 Windows SharePoint Services 3.0에서 제공하는 특정 기능에 대해 적용합니다. 이 문서에서는 주요 통신 채널과 Windows SharePoint Services 3.0 기능이 보안 요구 사항에 주는 영향에 대해서도 설명합니다.
응용 프로그램 서버 권장 사항
Windows SharePoint Services 3.0에서 응용 프로그램 서버 역할은 Enterprise Services 응용 프로그램 내에서 패키지되는 일반적인 중간 계층 응용 프로그램 서버가 아닙니다. 따라서 응용 프로그램 서버 보호 (영문)(https://msdn.microsoft.com/ko-kr/library/aa302433.aspx)에 나와 있는 권장 사항은 Windows SharePoint Services 3.0 응용 프로그램 서버에 적용되지 않으므로, 웹 서버 보호 (영문)(https://go.microsoft.com/fwlink/?linkid=73705\&clcid=0x412)에서 제공하는 지침을 사용하여 Windows SharePoint Services 3.0 응용 프로그램 서버를 보호합니다.
네트워킹 및 운영 체제 설정에 대한 지침은 서버 팜의 모든 응용 프로그램 서버에 적용해야 합니다. 이 지침은 패치 및 업데이트, 서비스, 프로토콜, 계정, 파일 및 디렉터리, 공유, 포트, 레지스트리, 감사 및 로깅 범주에 포함되어 있습니다.
IIS 및 기타 웹 설정 강화 지침은 중앙 관리 웹 사이트를 호스팅하는 응용 프로그램 서버에만 적용합니다. 이 지침에는 IIS, Machine.config, 코드 액세스 보안, LocalIntranet_Zone 및 Internet_Zone 범주가 포함되어 있습니다.
웹 서버 보호 (영문)(https://go.microsoft.com/fwlink/?linkid=73705\&clcid=0x412)의 보안 스냅숏을 사용하는 동시에 이 문서 뒷부분의 스냅숏 추가 항목 보호 섹션에 나와 있는 권장 사항도 적용하십시오.
Microsoft SQL Server 데이터베이스를 사용한 통신 보안
데이터베이스 서버 보호 (영문)(https://go.microsoft.com/fwlink/?linkid=73706\&clcid=0x412)에서는 두 개의 기본 Microsoft SQL Server 통신 포트(TCP 포트 1433 및 UDP 포트 1434)로 액세스를 제한하도록 권장하고 있습니다. 안전한 서버 팜 환경에 대한 권장 사항은 다음과 같습니다.
UDP 포트 1434를 완전히 차단합니다.
SQL Server 명명된 인스턴스가 TCP 포트 1433 또는 UDP 포트 1434가 아닌 비표준 포트에서 수신 대기하도록 구성합니다.
추가적인 보안을 위해 TCP 포트 1433을 차단하고 기본 인스턴스가 사용하는 포트를 비표준 포트로 다시 할당합니다.
서버 팜의 모든 응용 프로그램 서버 및 프런트 엔드 웹 서버에서 SQL 클라이언트 별칭을 구성합니다. TCP 포트 1433 또는 UDP 포트 1434를 차단하고 나면 SQL Server 컴퓨터와 통신하는 모든 컴퓨터에 SQL 클라이언트 별칭이 필요합니다.
이 방식을 사용하면 인증된 컴퓨터만 SQL Server 컴퓨터와 통신하도록 하는 기능을 비롯하여 SQL Server의 배포 및 실행 방식을 훨씬 세밀하게 제어할 수 있습니다.
SQL 클라이언트 별칭을 만드는 강화 단계는 Windows SharePoint Services 3.0 설치 전에 완료해야 합니다. Windows SharePoint Services 3.0 설치 프로그램을 실행할 때 연결할 SQL Server 컴퓨터 이름을 입력하라는 메시지가 표시되면 SQL 클라이언트 별칭 이름을 입력해야 하기 때문입니다.
표준 SQL Server 포트 차단
SQL Server에 연결하는 데 사용되는 특정 포트는 데이터베이스가 SQL Server의 기본 인스턴스에 설치되어 있는지, 명명된 인스턴스에 설치되어 있는지에 따라 달라집니다. SQL Server의 기본 인스턴스는 TCP 포트 1433에서 클라이언트 요청을 수신 대기하고, 명명된 인스턴스는 임의로 할당되는 포트 번호에서 요청을 수신 대기합니다. 또한 명명된 인스턴스가 다시 시작되면 해당 인스턴스에 대한 포트 번호를 다시 할당할 수 있습니다(이전에 할당된 포트 번호가 사용 가능한 경우).
기본적으로 SQL Server에 연결되는 클라이언트 컴퓨터는 먼저 TCP 포트 1433을 사용하여 연결합니다. 이 포트를 사용하여 통신할 수 없으면 클라이언트 컴퓨터는 UDP 포트 1434에서 수신 대기하는 SQL Server Resolution Service를 쿼리하여 데이터베이스 인스턴스가 수신 대기하는 포트를 확인합니다.
SQL Server의 기본 포트 통신 동작은 서버 강화에 영향을 주는 여러 가지 문제를 야기합니다. 우선, SQL Server가 사용하는 포트는 널리 알려진 포트이며 SQL Server Resolution Service는 "Slammer" 웜 바이러스를 비롯한 버퍼 오버런 공격 및 DoS(Denial-Of-Service) 공격의 표적이 되어 왔습니다. SQL Server를 패치하여 SQL Server Resolution Service의 보안 문제를 완화한다 해도 포트가 잘 알려져 있기 때문에 여전히 공격의 대상이 됩니다. 둘째로, 데이터베이스가 SQL Server의 명명된 인스턴스에 설치되어 있으면 해당하는 통신 포트는 임의로 할당되며 변경될 수 있습니다. 이러한 동작으로 인해 강화된 환경에서 서버 간 통신이 차단될 수 있습니다. 열려 있거나 차단되는 TCP 포트를 제어하는 기능은 환경을 보호하는 데 반드시 필요합니다.
따라서 서버 팜에서는 SQL Server의 명명된 인스턴스에 대해 정적 포트 번호를 할당하고 UDP 포트 1434를 차단하여 공격자들이 SQL Server Resolution Service에 액세스할 가능성을 차단하는 것이 좋습니다. 또한 기본 인스턴스가 사용하는 포트를 다시 할당하고 TCP 포트 1433 역시 차단하는 것도 고려해 보십시오.
다양한 방법을 통해 포트를 차단할 수 있습니다. 방화벽을 사용하여 포트를 차단할 수도 있지만, 네트워크 세그먼트로 연결되는 다른 경로가 없거나 네트워크 세그먼트에 대한 액세스 권한이 있는 악의적인 사용자가 없음이 확실한 경우가 아니면 SQL Server를 호스팅하는 서버에서 이들 포트를 직접 차단하는 것이 좋습니다. 제어판에서 Windows 방화벽을 사용하여 이 작업을 수행할 수 있습니다.
비표준 포트에서 수신 대기하도록 SQL Server 데이터베이스 인스턴스 구성
SQL Server에서는 기본 인스턴스 및 명명된 인스턴스에 사용되는 포트를 다시 할당할 수 있는 기능을 제공합니다. SQL Server 2000에서는 SQL Server 네트워크 유틸리티를 사용하여, 그리고 SQL Server 2005에서는 SQL Server 구성 관리자를 사용하여 포트를 다시 할당합니다.
SQL 클라이언트 별칭 구성
서버 팜에서 모든 프런트 엔드 웹 서버와 응용 프로그램 서버는 SQL Server 클라이언트 컴퓨터입니다. SQL Server 컴퓨터에서 UDP 포트 1434를 차단하거나 기본 인스턴스의 기본 포트를 변경하는 경우에는 SQL Server 컴퓨터에 연결되는 모든 서버에서 SQL 클라이언트 별칭을 구성해야 합니다.
SQL Server 2000 인스턴스에 연결하려면 대상 컴퓨터에 SQL Server 클라이언트 도구를 설치한 다음 SQL 클라이언트 별칭을 구성합니다. SQL Server 설치 프로그램을 실행하고 SQL Server 클라이언트 도구를 선택하면 클라이언트 도구를 설치할 수 있습니다.
SQL Server 2005 인스턴스에 연결하려면 대상 컴퓨터에 SQL Server 클라이언트 구성 요소를 설치한 다음 SQL Server 구성 관리자를 사용하여 SQL 클라이언트 별칭을 구성합니다. SQL Server 클라이언트 구성 요소를 설치하려면 설치 프로그램을 실행하고 다음 클라이언트 구성 요소만 설치하도록 선택합니다.
연결 구성 요소
관리 도구(SQL Server 구성 관리자 포함)
SQL Server 클라이언트 구성 요소는 SQL Server 2000에서 작동하며 SQL Server 클라이언트 도구 대신 사용할 수 있습니다.
강화 단계
SQL Server 구성
기본 포트 이외의 포트에서 수신 대기하도록 SQL Server 2000 인스턴스 구성
SQL Server 네트워크 유틸리티를 사용하여 SQL Server 2000 인스턴스에서 사용하는 TCP 포트를 변경합니다.
SQL Server 컴퓨터에서 SQL Server 네트워크 유틸리티를 실행합니다.
이 서버의 인스턴스 메뉴에서 인스턴스를 선택합니다. 필요한 인스턴스를 정확하게 선택해야 합니다. 기본적으로 기본 인스턴스는 포트 1433에서 수신 대기합니다. SQL Server 2000의 명명된 인스턴스에는 임의의 포트 번호가 할당되므로 SQL Server 네트워크 유틸리티를 실행할 때는 명명된 인스턴스에 현재 할당되어 있는 포트 번호를 알 수 없습니다.
SQL Server 네트워크 유틸리티 인터페이스의 오른쪽에 있는 사용할 수 있는 프로토콜 창에서 TCP/IP를 클릭한 다음 속성을 클릭합니다.
네트워크 프로토콜 기본값 설정 대화 상자에서 TCP 포트 번호를 변경합니다. 잘 알려진 TCP 포트는 사용하지 않는 것이 좋습니다. 예를 들어 40000 등 높은 범위의 포트 번호를 선택하고, 서버 숨기기 확인란은 선택하지 마십시오.
확인을 클릭합니다.
SQL Server 네트워크 유틸리티 대화 상자에서 확인을 클릭하면 SQL Server 서비스를 다시 시작해야 변경 내용이 적용된다는 메시지가 표시됩니다. 확인을 클릭합니다.
SQL Server 서비스를 다시 시작하고 SQL Server 컴퓨터가 앞서 선택한 포트에서 수신 대기하는지 확인합니다. 이렇게 하려면 SQL Server 서비스를 다시 시작한 후에 이벤트 뷰어 로그를 확인하면 됩니다. 다음 이벤트와 비슷한 정보 이벤트를 찾으십시오.
이벤트 종류:정보
이벤트 원본:MSSQLSERVER
이벤트 범주:(2)
이벤트 ID:17055
날짜:2008-03-06
시간:오전 11:20:28
사용자:N/A
컴퓨터:컴퓨터_이름
설명
19013:
SQL Server가 10.1.2.3: 40000에서 수신 대기합니다.
기본 포트 이외의 포트에서 수신 대기하도록 SQL Server 2005 인스턴스 구성
SQL Server 구성 관리자를 사용하여 SQL Server 2005 인스턴스에서 사용하는 TCP 포트를 변경합니다.
SQL Server 구성 관리자를 사용하여 SQL Server 2005 인스턴스에서 사용하는 TCP 포트를 변경합니다.
SQL Server 컴퓨터에서 SQL Server 구성 관리자를 엽니다.
왼쪽 창에서 SQL Server 2005 네트워크 구성을 확장합니다.
SQL Server 2005 네트워크 구성에서 구성할 인스턴스에 해당하는 항목을 클릭합니다. 기본 인스턴스는 MSSQLSERVER에 대한 프로토콜로 나열되며, 명명된 인스턴스는 명명된_인스턴스에 대한 프로토콜로 표시됩니다.
오른쪽 창에서 TCP/IP를 마우스 오른쪽 단추로 클릭하고 속성을 클릭합니다.
IP 주소 탭을 클릭합니다. SQL Server 컴퓨터에 할당되는 모든 IP 주소에 해당하는 항목이 이 탭에 있습니다. 기본적으로 SQL Server는 컴퓨터에 할당되는 모든 IP 주소에서 수신 대기합니다.
기본 인스턴스가 수신 대기하는 포트를 전역으로 변경하려면 다음을 수행합니다.
IPAll을 제외한 모든 IP에 대해 TCP 동적 포트 및 TCP 포트의 값을 모두 지웁니다.
IPAll에 대해서는 TCP 동적 포트 값을 지우고, TCP 포트 필드에 SQL Server 인스턴스가 수신 대기하도록 할 포트(예: 40000)를 입력합니다.
명명된 인스턴스가 수신 대기하는 포트를 전역으로 변경하려면 다음을 수행합니다.
IPAll을 포함하는 모든 IP에 대해 TCP 동적 포트 값을 모두 지웁니다. 이 필드의 값이 0이면 SQL Server가 IP 주소로 TCP 포트를 사용하는 것입니다. 이 값이 비어 있으면 SQL Server 2005에서 IP 주소로 동적 TCP 포트를 사용하지 않는 것입니다.
IPAll을 제외한 모든 IP에 대해 TCP 포트 값을 모두 지웁니다.
IPAll에 대해서는 TCP 동적 포트 값을 지우고, TCP 포트 필드에 SQL Server 인스턴스가 수신 대기하도록 할 포트(예: 40000)를 입력합니다.
확인을 클릭하면 SQL Server 서비스를 다시 시작해야 변경 내용이 적용된다는 메시지가 표시됩니다. 확인을 클릭합니다.
SQL Server 구성 관리자를 닫습니다.
SQL Server 서비스를 다시 시작하고 SQL Server 컴퓨터가 앞서 선택한 포트에서 수신 대기하는지 확인합니다. 이렇게 하려면 SQL Server 서비스를 다시 시작한 후에 이벤트 뷰어 로그를 확인하면 됩니다. 다음 이벤트와 비슷한 정보 이벤트를 찾으십시오.
이벤트 종류:정보
이벤트 원본:MSSQL$MSSQLSERVER
이벤트 범주:(2)
이벤트 ID:26022
날짜:2008-03-06
시간:오후 1:46:11
사용자:N/A
컴퓨터:컴퓨터_이름
설명
서버가 [ 'any' <ipv4>50000]에서 수신 대기합니다.
Windows 방화벽 구성
기본 SQL Server 수신 대기 포트를 차단하도록 Windows 방화벽 구성
제어판에서 Windows 방화벽을 엽니다.
일반 탭에서 사용을 클릭합니다. 예외 허용 안 함 확인란이 선택되어 있지 않아야 합니다.
예외 탭에서 포트 추가를 클릭합니다.
포트 추가 대화 상자에 포트 이름(예: UDP-1434)과 포트 번호(예: 1434)를 차례로 입력합니다.
UDP 또는 TCP 중 적절한 옵션 단추를 선택합니다. 예를 들어 포트 1434를 차단하려면 UDP를 클릭하고, 포트 1433을 차단하려면 TCP를 클릭합니다.
범위 변경을 클릭하고 이 예외의 범위가 **모든 컴퓨터(인터넷의 컴퓨터를 포함)**로 설정되어 있는지 확인합니다.
확인을 클릭합니다.
예외 탭에서 앞서 만든 예외를 찾습니다. 포트를 차단하려면 해당 예외의 확인란 선택을 취소합니다. 기본적으로 이 확인란은 선택되어 있으며 이는 포트가 열려 있음을 나타냅니다.
수동으로 할당된 포트를 열도록 Windows 방화벽 구성
위 절차의 1-7단계를 수행하여 SQL 인스턴스에 수동으로 할당한 포트에 대해 예외를 만듭니다. 예를 들어 TCP 포트 40000에 대해 예외를 만듭니다.
예외 탭에서, 앞서 만든 예외를 찾아 해당 예외의 확인란이 선택되어 있는지 확인합니다. 기본적으로 이 확인란은 선택되어 있으며 이는 포트가 열려 있음을 나타냅니다.
참고
IPsec(인터넷 프로토콜 보안)를 사용하여 SQL Server 컴퓨터와의 통신을 보호하는 방법에 대한 자세한 내용은 Microsoft 기술 자료 문서 233256: 방화벽을 통해 IPSec 트래픽을 사용하도록 설정하는 방법(https://go.microsoft.com/fwlink/?linkid=76142&clcid=0x412)을 참조하십시오.
SQL 클라이언트 별칭 구성
SQL 클라이언트 별칭 구성
SQL Server 컴퓨터에서 UDP 포트 1434 또는 TCP 포트 1433을 차단하는 경우에는 서버 팜의 다른 모든 컴퓨터에 SQL 클라이언트 별칭을 만들어야 합니다. SQL Server 클라이언트 구성 요소를 사용하면 SQL Server 2000 또는 SQL Server 2005에 연결하는 컴퓨터에 대해 SQL 클라이언트 별칭을 만들 수 있습니다.
대상 컴퓨터에서 SQL Server 2005 설치 프로그램을 실행하고 다음과 같은 클라이언트 구성 요소를 설치하도록 선택합니다.
연결 구성 요소
관리 도구
SQL Server 구성 관리자를 엽니다.
왼쪽 창에서 SQL Native Client 구성을 클릭합니다.
오른쪽 창에서 별칭을 마우스 오른쪽 단추로 클릭하고 새 별칭을 선택합니다.
별칭 대화 상자에 별칭 이름과 데이터베이스 인스턴스의 포트 번호를 차례로 입력합니다. 예를 들어 SharePoint*_별칭*을 입력합니다.
포트 번호 필드에 데이터베이스 인스턴스의 포트 번호(예: 40000)를 입력하고 프로토콜이 TCP/IP로 설정되어 있는지 확인합니다.
서버 필드에 SQL Server 컴퓨터의 이름을 입력합니다.
적용을 클릭한 다음 확인을 클릭합니다.
SQL 클라이언트 별칭 테스트
SQL Server 클라이언트 구성 요소를 설치하면 함께 설치되는 Microsoft SQL Server Management Studio를 사용하여 SQL Server 컴퓨터에 대한 연결을 테스트합니다.
SQL Server Management Studio를 엽니다.
서버 이름을 입력하라는 메시지가 표시되면 앞서 만든 별칭 이름을 입력한 다음 연결을 클릭합니다. 제대로 연결되는 경우 SQL Server Management Studio에 원격 데이터베이스에 해당하는 개체가 채워집니다.
참고
SQL Server Management Studio 내에서 추가 데이터베이스 인스턴스에 대한 연결을 확인하려면 연결 단추를 클릭하고 데이터베이스 엔진을 선택합니다.
파일 및 프린터 공유 서비스 요구 사항
파일 및 프린터 공유 서비스와 해당하는 프로토콜 및 포트에 따라 여러 가지 핵심 기능이 달라집니다. 다음은 이러한 기능 중 일부입니다.
검색 쿼리 모든 검색 쿼리에는 파일 및 프린터 공유 서비스가 필요합니다.
콘텐츠 크롤링 및 인덱싱 인덱스 구성 요소는 콘텐츠를 크롤링하기 위해 프런트 엔드 웹 서버를 통해 요청을 보냅니다. 프런트 엔드 웹 서버는 콘텐츠 데이터베이스와 직접 통신하여 결과를 다시 인덱스 서버로 보냅니다. 이러한 통신에 파일 및 프린터 공유 서비스가 필요합니다.
파일 및 프린터 공유 서비스는 명명된 파이프를 사용해야 합니다. 명명된 파이프는 직접 호스팅되는 SMB 또는 NBT 프로토콜 중 하나를 사용하여 통신할 수 있습니다. 보안 환경에서는 NBT가 아닌 직접 호스팅되는 SMB를 사용하는 것이 좋습니다. 이 문서에서 제공되는 강화 요구 사항에서는 SMB를 사용한다고 간주합니다.
다음 표에서는 파일 및 프린터 공유 서비스로 인해 적용되는 강화 요구 사항에 대해 설명합니다.
| 범주 | 요구 사항 | 설명 |
|---|---|---|
서비스 |
파일 및 프린터 공유 |
명명된 파이프를 사용해야 합니다. |
프로토콜 |
직접 호스팅되는 SMB를 사용하는 명명된 파이프 NBT를 사용하지 않도록 설정해야 함 |
명명된 파이프는 직접 호스팅되는 SMB가 아닌 NBT를 사용할 수 있지만, NBT는 직접 호스팅되는 SMB만큼 안전하지 못합니다. |
포트 |
TCP/UDP 포트 445 |
직접 호스팅되는 SMB에 사용됩니다 |
NBT를 사용하지 않도록 설정하는 방법에 대한 자세한 내용은 Microsoft 기술 자료 문서 204279: TCP/IP를 통한 SMB 직접 호스팅(https://go.microsoft.com/fwlink/?linkid=76143\&clcid=0x412)을 참조하십시오.
전자 메일 통합을 위한 서비스 요구 사항
전자 메일을 통합하려면 다음과 같은 두 서비스를 사용해야 합니다.
SMTP(Simple Mail Transfer Protocol) 서비스
Microsoft SharePoint 디렉터리 관리 서비스
SMTP 서비스
전자 메일 통합 기능을 이용하려면 서버 팜의 프런트 엔드 웹 서버 중 적어도 하나에서 SMTP 서비스를 사용해야 합니다. SMTP 서비스는 받는 전자 메일에 필요합니다. 보내는 전자 메일의 경우에는 SMTP 서비스를 사용하거나, 조직의 전용 전자 메일 서버(예: Microsoft Exchange Server 컴퓨터)를 통해 보내는 전자 메일을 라우팅할 수 있습니다.
Microsoft SharePoint 디렉터리 관리 서비스
Windows SharePoint Services 3.0에는 전자 메일 그룹을 만들기 위한 내부 서비스인 Microsoft SharePoint 디렉터리 관리 서비스가 포함되어 있습니다.
전자 메일 통합을 구성할 때는 디렉터리 관리 서비스 기능을 사용하도록 설정하여 사용자가 메일 그룹을 만들도록 허용할 수 있습니다. 사용자가 SharePoint 그룹을 만들 때 메일 그룹 만들기 옵션을 선택하면 Microsoft SharePoint 디렉터리 관리 서비스에서 Active Directory 환경에 해당하는 Active Directory 디렉터리 서비스 메일 그룹을 만듭니다.
보안이 강화된 환경에서는 이 서비스와 연결된 파일(SharePointEmailws.asmx)을 보호하여 Microsoft SharePoint 디렉터리 관리 서비스에 대한 액세스를 제한하는 것이 좋습니다. 예를 들어 서버 팜 계정을 통해서만 이 파일에 액세스하도록 허용할 수 있습니다.
또한 이 서비스를 사용하려면 Active Directory 환경에서 Active Directory 메일 그룹 개체를 만들 수 있는 권한이 있어야 합니다. SharePoint 개체용으로 Active Directory에 별도의 조직 구성 단위를 설정하는 것이 좋습니다. 그리고 이 조직 구성 단위에서만 Microsoft SharePoint 디렉터리 관리 서비스에서 사용하는 계정에 대해 쓰기 권한을 허용해야 합니다.
Windows SharePoint Services 서비스
Windows SharePoint Services 3.0에서 설치하는 서비스는 사용하지 않도록 설정하면 안 됩니다. 다음 서비스는 모든 프런트 엔드 웹 서버 및 응용 프로그램 서버에 설치되며, MMC(Microsoft Management Console) 서비스 스냅인에 사전순으로 표시됩니다.
Windows SharePoint Services 관리
Windows SharePoint Services 검색
Windows SharePoint Services 타이머
Windows SharePoint Services 추적
Windows SharePoint Services VSS 작성기
작업 환경에서 서비스를 로컬 시스템으로 실행할 수 없는 경우에는 Windows SharePoint Services 관리 서비스를 사용하지 않도록 설정하는 것을 고려할 수 있습니다. 단, 이렇게 하려면 그 결과를 알고 있으며 관련 문제를 해결할 수 있어야 합니다. 이 서비스는 로컬 시스템으로 실행되는 Win32 서비스입니다.
이 서비스는 Windows SharePoint Services 타이머 서비스에서 IIS 웹 사이트 만들기, 코드 배포, 서비스 중지/시작 등 서버에 대한 관리 권한이 필요한 작업을 수행하는 데 사용됩니다. 이 서비스를 사용하지 않도록 설정하면 중앙 관리 사이트에서 배포 관련 작업을 실행할 수 없습니다. Stsadm.exe 명령줄 도구를 사용하고 execadminsvcjobs 명령을 실행하여 Windows SharePoint Services 3.0에 대해 다중 서버 배포를 완료하고 다른 배포 관련 작업을 실행해야 합니다.
계정 및 그룹
patterns & practices 보안 가이드에 나와 있는 보안 스냅숏에서는 계정 및 그룹 보호를 위한 권장 사항을 제공합니다.
계정 계획에 대한 권장 사항을 보려면 관리 및 서비스 계정 계획(Windows SharePoint Services)을 참조하십시오.
관리 역할 및 사용자 역할 계획에 대한 권장 사항을 보려면 보안 역할 계획(Windows SharePoint Services)을 참조하십시오.
Web.config 파일
.NET Framework, 특히 ASP.NET은 XML 형식 구성 파일을 사용하여 응용 프로그램을 구성합니다. .NET Framework는 구성 파일을 사용하여 구성 옵션을 정의합니다. 구성 파일은 텍스트 기반 XML 파일입니다. 일반적으로 단일 시스템에 여러 구성 파일이 있습니다.
.NET Framework에 대한 시스템 전체 구성 설정은 %SystemRoot%\Microsoft.NET\Framework\%VersionNumber%\CONFIG\ 폴더에 있는 Machine.config 파일에서 정의됩니다. Machine.config 파일에 포함되어 있는 기본 설정을 수정하여 전체 시스템에서 .NET Framework를 사용하는 응용 프로그램 동작을 변경할 수 있습니다. Machine.config 파일을 구성하는 방법에 대한 자세한 내용은 웹 서버 보호 (영문)(https://go.microsoft.com/fwlink/?linkid=73705\&clcid=0x412)를 참조하십시오.
응용 프로그램의 루트 폴더에 Web.config 파일을 만드는 경우에는 단일 응용 프로그램에 대해 ASP.NET 구성 설정을 변경할 수 있습니다. 이렇게 하면 Web.config 파일의 설정이 Machine.config 파일의 설정을 다시 정의합니다.
중앙 관리를 사용하여 웹 응용 프로그램을 확장하면 Windows SharePoint Services 3.0에서 웹 응용 프로그램에 대해 Web.config 파일을 자동으로 만듭니다.
이 문서 뒷부분의 스냅숏 추가 항목 보호 섹션에는 Web.config 파일 구성을 위한 권장 사항이 나와 있습니다. 이러한 권장 사항은 중앙 관리 사이트의 Web.config 파일을 비롯하여 작성되는 각 Web.config 파일에 적용하기 위한 것입니다.
Web.config 파일을 편집하는 방법 및 ASP.NET 구성 파일에 대한 자세한 내용은 ASP.NET 구성 (영문)(https://go.microsoft.com/fwlink/?linkid=73257\&clcid=0x412)을 참조하십시오.
스냅숏 추가 항목 보호
이 섹션에서는 Windows SharePoint Services 3.0에 대해 권장되는 patterns & practices 보안 가이드에 나와 있는 스냅숏에 대한 추가 항목을 제공합니다. 이러한 설명은 patterns & practices 보안 가이드와 같은 범주 및 순서를 사용하여 표 형식으로 나와 있습니다.
이와 같은 형식을 사용한 것은 patterns & practices 보안 가이드를 사용하면서 특정 요구 사항을 쉽게 확인 및 적용할 수 있도록 하기 위해서입니다. 별도로 설명되어 있는 몇 가지 예외를 제외하면 이러한 보안 강화 권장 사항은 Windows SharePoint Services 3.0 설치를 실행하기 전에 적용해야 합니다.
서버 팜의 특정 서버 역할 간 통신에 대한 자세한 내용은 익스트라넷 환경을 위한 보안 강화 계획(Windows SharePoint Services)을 참조하십시오.
네트워크 스냅숏 추가 항목 보호
다음 표에서는 네트워크에 추가하는 항목을 보호하기 위한 권장 사항에 대해 설명합니다.
| 구성 요소 | 특징 예외 |
|---|---|
모두 |
추가 권장 사항 없음 |
웹 서버 스냅숏 추가 항목 보호
다음 표에서는 웹 서버에 추가하는 항목을 보호하기 위한 권장 사항에 대해 설명합니다.
| 구성 요소 | 특징 |
|---|---|
서비스 |
다음 서비스를 사용하도록 설정합니다.
설치 프로그램을 실행한 후에 다음 서비스가 계속 사용하도록 설정되어 있는지 확인합니다.
|
프로토콜 |
다음 프로토콜을 사용하도록 설정합니다.
다음 프로토콜을 사용하지 않도록 설정합니다.
|
계정 |
|
파일 및 디렉터리 |
전자 메일 통합을 사용하도록 설정되어 있고 디렉터리 관리 서비스 기능이 설정되어 있으면 이 서비스와 연결된 파일(SharePointEmailws.asmx)을 보호하여 Microsoft SharePoint 디렉터리 관리 서비스에 대한 액세스를 제한하십시오. 예를 들어 서버 팜 계정에 대해서만 이 파일 액세스를 허용할 수 있습니다. |
공유 |
추가 권장 사항 없음 |
포트 |
|
레지스트리 |
SSO를 사용하는 경우 레지스트리를 편집하여 정적 RPC를 구성합니다. |
감사 및 로깅 |
로그 파일을 다시 배치하는 경우 로그 파일 위치가 일치하도록 업데이트합니다. |
IIS |
아래의 IIS 지침을 참조하십시오. |
사이트 및 가상 디렉터리 |
추가 권장 사항 없음 |
스크립트 매핑 |
추가 권장 사항 없음 |
ISAPI 필터 |
추가 권장 사항 없음 |
IIS 메타베이스 |
추가 권장 사항 없음 |
.NET Framework |
아래의 .NET Framework 지침을 참조하십시오. |
Machine.config: HttpForbiddenHandler |
추가 권장 사항 없음 |
Machine.config: Remoting |
추가 권장 사항 없음 |
Machine.config: Trace |
추가 권장 사항 없음 |
Machine.config: compilation |
추가 권장 사항 없음 |
Machine.config: customErrors |
추가 권장 사항 없음 |
Machine.config: sessionState |
추가 권장 사항 없음 |
코드 액세스 보안 |
웹 응용 프로그램에 대해 최소한의 코드 액세스 보안 권한 집합이 사용되도록 설정되어 있는지 확인합니다. 각 웹 응용 프로그램의 Web.config에 있는 <trust> 요소는 WSS_Minimal(WSS_Minimal의 기본 하한값은 12\config\wss_minimaltrust.config에 정의된 대로 설정됨) 또는 최소한으로 설정되는 사용자 지정 정책 파일로 설정해야 합니다. |
LocalIntranet_Zone |
추가 권장 사항 없음 |
Internet_Zone |
추가 권장 사항 없음 |
Web.config |
설치 프로그램 실행 후에 작성되는 각 Web.config 파일에 다음 권장 사항을 적용합니다.
|
데이터베이스 서버 스냅숏 추가 항목 보호
다음 표에서는 데이터베이스 서버에 추가하는 항목을 보호하기 위한 권장 사항에 대해 설명합니다.
| 구성 요소 | 특징 예외 |
|---|---|
서비스 |
추가 권장 사항 없음 |
프로토콜 |
추가 권장 사항 없음 |
계정 |
사용하지 않는 계정을 정기적으로 수동 제거합니다. |
파일 및 디렉터리 |
추가 권장 사항 없음 |
공유 |
추가 권장 사항 없음 |
포트 |
|
레지스트리 |
추가 권장 사항 없음 |
감사 및 로깅 |
추가 권장 사항 없음 |
SQL Server 설정 |
아래 SQL Server 설정 지침을 참조하십시오. |
SQL Server 보안 |
추가 권장 사항 없음 |
SQL Server 로그인, 사용자 및 역할 |
추가 권장 사항 없음 |
SQL Server 데이터베이스 개체 |
추가 권장 사항 없음 |
이 문서의 다운로드
이 항목은 다운로드 가능한 다음 문서에도 포함되어 있어 더 쉽게 읽고 인쇄할 수 있습니다.
사용 가능한 문서의 전체 목록은 다운로드 가능한 Windows SharePoint Services 관련 문서 (영문)를 참조하십시오.