인터넷 정보 서비스 6.0 보안
이 페이지에서
| 소개 | |
| 시작하기 전에 | |
| 웹 서버의 공격 노출 가능성 줄이기 | |
| 계정 구성 | |
| 파일 및 디렉터리의 보안 구성 | |
| 웹 사이트 및 가상 디렉터리 보안 | |
| 웹 서버에서 SSL(Secure Sockets Layer) 구성 | |
| 관련 정보 |
소개
웹 서버는 다양한 보안 공격의 대상이 되고 있습니다. 어떠한 공격도 조직에게는 반갑지 않지만 특히 일부 공격은 회사 자산, 생산성 및 고객 관계에 심각한 피해를 줄 수 있습니다. 따라서 비즈니스 성공을 위해서는 웹 서버를 보안 유지해야 합니다.
이 문서에서는 Microsoft Windows Server 2003, Standard Edition 운영 체제에서 IIS(인터넷 정보 서비스) 6.0을 실행하는 웹 서버의 보안 설정을 시작하는 방법을 설명합니다. 먼저 이 섹션에서는 웹 서버 보안에 영향을 주는 가장 일반적인 몇 가지 위협에 대해 설명합니다. 그런 다음 그러한 공격으로부터 웹 서버를 보다 안전하게 보호하는 기본 지침을 제공합니다.
IIS 6.0에는 이전 버전과 달리 다음과 같이 변경된 기능이 있어 악의적인 사용자와 공격자에 보다 적극적으로 대처할 수 있습니다.
| • | Windows Server 2003 Standard Edition을 설치할 때 IIS 6.0은 기본적으로 설치되지 않습니다. |
| • | IIS 6.0이 처음 설치될 때 웹 서버는 정적 웹 페이지(HTML)만 제공하고 표시하므로 동적 또는 실행 가능한 콘텐츠를 처리함으로써 노출되는 위험을 줄입니다. |
| • | World Wide Web 게시 서비스(WWW 서비스)는 IIS 6.0을 처음 설치할 때 기본적으로 사용할 수 있는 유일한 서비스입니다. 필요한 특정 서비스를 사용할 수 있습니다. |
| • | IIS 6.0을 처음 설치하면 ASP와 ASP.NET은 기본적으로 사용할 수 없게 됩니다. |
추가 보호 기능에 있어서 IIS 6.0의 모든 기본 보안 구성 설정은 IIS Lockdown Tool에서 만든 보안 구성 설정과 동일하거나 이보다 많은 기능을 제공합니다. 필요 없는 기능은 비활성화하여 웹 서버의 공격 노출 가능성을 줄이도록 디자인된 IIS Lockdown Tool은 이전 버전의 IIS에서 실행됩니다. IIS Lockdown Tool에 대한 자세한 내용은 Microsoft 다운로드 센터 웹 사이트(www.microsoft.com/windowsserver2003/techinfo/overview/iis.mspx)에서 사용할 수 있는보안 지침 키트 (영문)의 "Securing Internet Information Services 5.0 and 5.1"를 참조하십시오.
웹 서비스에서 일반적으로 사용하는 많은 기능이 IIS 6.0의 기본 설정에서는 비활성 상태이므로 이 문서에서는 서버가 잠재적인 공격자에게 노출될 가능성을 줄이면서 웹 서버의 추가 기능을 구성하는 방법을 설명합니다.
이 문서에서는 웹 서버 보안 강화를 위한 다음과 같은 지침을 제공합니다.
| • | 웹 서버의 공격 노출 가능성(잠재적 공격자에게 서버가 노출되는 정도) 줄이기 |
| • | 익명 액세스에 대한 사용자 및 그룹 계정 구성 |
| • | 무단 액세스로부터 파일 및 디렉터리 보안 |
| • | 무단 액세스로부터 웹 사이트 및 가상 디렉터리 보안 |
| • | 웹 서버에서 SSL(Secure Sockets Layer) 구성 |
중요 이 문서의 모든 단계별 지침은 시작 단추를 클릭하면 표시되는 기본 메뉴를 사용하여 개발한 것입니다. 시작 메뉴를 수정한 경우 이 단계가 약간 다를 수 있습니다.
이 문서의 절차를 완료하면 웹 서버는 .asp 페이지 형식으로 동적 콘텐츠를 제공할 수 있으며 인터넷 서버를 위협하는 다음과 같은 공격 유형으로부터 크게 보호됩니다.
| • | 프로파일링 공격은 웹 사이트에 대한 정보를 수집하는 공격 유형으로 필요하지 않은 포트를 차단하고 필요하지 않은 프로토콜을 비활성화하여 줄일 수 있습니다. |
| • | DoS(서비스 거부) 공격은 웹 서버에 요청을 초과하게 하는 공격 유형으로 보안 패치와 소프트웨어 업데이트를 적용하여 최소화할 수 있습니다. |
| • | 권한 없는 사용자에 의한 무단 액세스는 웹 및 NTFS 권한을 구성하여 차단할 수 있습니다. |
| • | 웹 서버에서 악성 코드를 임의로 실행하는 공격은 시스템 도구 및 명령에 대한 액세스를 금지하여 최소화할 수 있습니다. |
| • | 악의적인 사용자가 높은 권한의 계정을 사용하여 프로그램을 실행할 수 있는 권한 상승 공격은 최소 권한의 서비스와 사용자 계정을 사용하여 최소화할 수 있습니다. |
| • | 바이러스, 웜 및 트로이 목마에 의한 손상은 불필요한 기능을 비활성화하고, 최소 권한의 계정을 사용하고, 최신 보안 패치를 즉시 적용하여 억제할 수 있습니다. |
참고 웹 서버 보안은 복잡하면서도 한 번에 끝나는 프로세스가 아니기 때문에 완벽한 보안은 보장할 수 없습니다.
목표
이 문서에서는 좀더 안전한 웹 서버를 구성하기 위한 첫 단계를 실행하는 데 도움이 되는 정보를 제공합니다. 하지만 웹 서버를 가능한 한 최대한 안전하게 유지하려면 서버에서 실행되는 응용 프로그램의 동작을 잘 알고 있어야 합니다. 이 문서에서는 특정 보안 응용 프로그램에 대한 구성 정보는 다루지 않습니다.
시작하기 전에
이 섹션에서는 이 문서에서 설명하는 웹 서버의 시스템 요구 사항과 특성에 대해 설명합니다.
시스템 요구 사항
이 문서에 예제로 사용된 웹 서버에 대한 시스템 요구 사항은 다음과 같습니다.
| • | 서버에서 Windows Server 2003 Standard Edition을 실행해야 합니다. |
| • | 운영 체제가 NTFS 파티션에 설치되어 있어야 합니다. NTFS에 대한 자세한 내용은 Windows Server 2003의 도움말 및 지원 센터에서 "NTFS"를 검색합니다. |
| • | Windows Server 2003에 필요한 모든 패치와 업데이트가 서버에 적용되어 있어야 합니다. 최신 보안 업데이트가 웹 서버에 설치되어 있는지 확인하려면 Microsoft 웹 사이트(http://windowsupdate.microsoft.com)의 Microsoft Update 페이지로 이동하여 사용자 서버에 사용 가능한 업데이트가 있는지 검색하도록 합니다. |
| • | Windows Server 2003 보안 장치가 서버에 적용되어 있어야 합니다. Windows Server 2003 보안에 대한 자세한 내용은 Windows Server 2003 보안 가이드(http://www.microsoft.com/korea/technet/security/prodtech/windowsserver2003/w2003hg/sgch00.mspx)를 참조하십시오. |
웹 서버 특성
이 문서에 예제로 사용된 웹 서버의 특성은 다음과 같습니다.
| • | 웹 서버는 작업자 프로세스 격리 모드에서 IIS 6.0을 실행합니다. |
| • | 웹 서버는 인터넷 웹 사이트를 호스팅합니다. |
| • | 웹 서버는 HTTP 포트 80 및 HTTPS 포트 443에서만 트래픽을 허용하는 방화벽 뒤에 위치합니다. |
| • | 웹 서버는 전용 웹 서버입니다 웹 서버로만 사용되고 파일 서버, 인쇄 서버 또는 Microsoft SQL Server를 실행하는 데이터베이스 서버와 같은 다른 목적으로 사용되지 않습니다. |
| • | 웹 사이트에 익명 액세스가 허용됩니다. |
| • | 웹 서버는 HTML 및 ASP 페이지를 지원합니다. |
| • | Microsoft의 FrontPage 2002 Server Extensions는 웹 서버에서 구성되지 않습니다. |
| • | 웹 서버의 응용 프로그램에는 데이터베이스 연결이 필요하지 않습니다. |
| • | 웹 서버는 FTP(파일 업로드 및 다운로드), SMTP(전자 메일) 또는 NNTP(뉴스 그룹) 프로토콜을 지원하지 않습니다. |
| • | 웹 서버는 ISA(Internet Security and Acceleration) 서버를 사용하지 않습니다. |
| • | 관리자는 로컬로 로그온하여 웹 서버를 관리해야 합니다. |
웹 서버의 공격 노출 가능성 줄이기
웹 서버의 공격 노출 가능성(잠재적 공격자에게 서버가 노출되는 정도)을 줄여 웹 서버 보안 프로세스를 시작합니다. 예를 들어 웹 서버가 제대로 작동하는 데 필요한 구성 요소, 서비스 및 포트만 활성화합니다.
SMB 및 NetBIOS 비활성화
호스트 열거 공격은 네트워크를 검색하여 잠재적인 대상의 IP 주소를 확인합니다. 웹 서버의 인터넷 포트에 대한 호스트 열거 공격의 성공 가능성을 줄이려면 TCP(Transmission Control Protocol)를 제외한 모든 네트워크 프로토콜을 비활성화합니다. 웹 서버의 인터넷 네트워크 어댑터에는 SMB(Server Message Block) 또는 NetBIOS가 필요하지 않습니다.
이 섹션에서는 웹 서버의 공격 노출 가능성을 줄이는데 도움이 되는 아래 작업에 대한 단계별 지침을 설명합니다.
| • | 인터넷 연결에서 SMB 비활성화 |
| • | NetBIOS over TCP/IP 비활성화 |
참고 SMB 및 NetBIOS를 비활성화하면 해당 서버는 파일 서버 또는 인쇄 서버 기능을 할 수 없으며 네트워크 검색을 수행할 수 없으므로 웹 서버를 원격으로 관리할 수 없습니다. 관리자가 로컬로 로그온해야 하는 전용 웹 서버인 경우 해당 제한이 서버 작업에 영향을 미치지 않습니다.
SMB에서 사용하는 포트는 다음과 같습니다.
| • | TCP 포트 139 |
| • | TCP 및 UDP 포트 445(SMB 직접 호스트) |
NetBIOS에서 사용하는 포트는 다음과 같습니다.
| • | TCP 및 UDP(User Datagram Protocol) 포트 137(NetBIOS 이름 서비스) |
| • | TCP 및 UDP 포트 138(NetBIOS 데이터그램 서비스) |
| • | TCP 및 UDP 포트 139(NetBIOS 세션 서비스) |
표준 NetBIOS 포트를 사용할 수 없는 경우 SMB는 TCP 포트 445(SMB 직접 호스트라고도 함)를 사용하므로 NetBIOS만 비활성화하면 SMB 통신을 할 수 없습니다. NetBIOS와 SMB를 모두 비활성화해야 합니다.
요구 사항
이 작업을 완료하려면 다음 사항이 필요합니다.
| • | 자격 증명. 웹 서버에 Administrators 그룹의 구성원으로 로그온해야 합니다. |
| • | 도구. 내 컴퓨터, 시스템 도구 및 장치 관리자 |
인터넷 연결에서 SMB를 비활성화하려면
1. | 시작, 제어판을 차례로 클릭한 다음 네트워크 연결을 두 번 클릭합니다. |
2. | 인터넷 연결을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다. |
3. | Microsoft 네트워크용 클라이언트 확인란의 선택을 취소합니다. |
4. | Microsoft 네트워크용 파일 및 프린터 공유 확인란의 선택을 취소한 다음 확인을 클릭합니다. |
NetBIOS over TCP/IP를 비활성화하려면
1. | 시작을 클릭하고 내 컴퓨터를 마우스 오른쪽 단추로 클릭한 다음 관리를 클릭합니다. |
2. | 시스템 도구를 두 번 클릭한 다음 장치 관리자를 선택합니다. |
3. | 장치 관리자를 마우스 오른쪽 단추로 클릭한 다음 보기, 숨김 장치 표시를 차례로 클릭합니다. |
4. | 비 플러그 앤 플레이 드라이버를 두 번 클릭합니다. |
5. | NetBIOS over TCP/IP를 마우스 오른쪽 단추로 클릭하고 사용 안 함(다음 스크린 샷 참조), 예를 차례로 클릭합니다. 참고 이 문서의 스크린 샷은 테스트 환경을 반영하므로 제공되는 정보는 화면에 표시된 정보와 다를 수 있습니다. |
앞의 절차는 TCP 포트 445 및 UDP 포트 445에서 SMB에 직접 호스팅하는 수신기를 비활성화합니다. 또한 Nbt.sys 드라이버를 비활성화하고 컴퓨터를 다시 시작하도록 요구합니다.
새 설정 확인
적절한 보안 설정이 웹 서버에 적용되어 있는지 확인하려면 다음 절차를 완료합니다.
SMB가 비활성화되어 있는지 확인하려면
1. | 시작, 설정을 클릭한 다음 네트워크 및 전화 접속 연결을 클릭합니다. |
2. | 인터넷 연결을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다. |
3. | Microsoft 네트워크용 클라이언트와 Microsoft 네트워크용 파일 및 프린터 공유 확인란 선택을 모두 취소했는지 확인한 다음 확인을 클릭합니다 |
NetBIOS가 비활성화되어 있는지 확인하려면
1. | 시작을 클릭하고 내 컴퓨터를 마우스 오른쪽 단추로 클릭한 다음 관리를 클릭합니다. |
2. | 시스템 도구를 두 번 클릭한 다음 장치 관리자를 선택합니다. |
3. | 장치 관리자를 마우스 오른쪽 단추로 클릭한 다음 보기, 숨김 장치 표시를 차례로 클릭합니다. |
4. | 비 플러그 앤 플레이 드라이버를 두 번 클릭한 다음 NetBIOS over TCP/IP를 마우스 오른쪽 단추로 클릭합니다. 상황에 맞는 메뉴에 사용 선택 항목이 표시됩니다. 즉 NetBIOS over TCP/IP가 현재 비활성 상태임을 의미합니다. |
5. | 확인을 클릭하여 장치 관리자를 닫습니다. |
필수 IIS 구성 요소 및 서비스만 선택
IIS 6.0에는 WWW 서비스 이외에 FTP 서비스 및 SMTP 서비스 같은 하위 구성 요소 및 서비스가 포함됩니다. 특정 서비스 및 하위 구성 요소를 대상으로 하는 공격의 위험을 최소화하려면 웹 사이트와 웹 응용 프로그램이 제대로 실행해야 하는 서비스와 하위 구성 요소만 선택하는 것이 좋습니다.
다음 표는 이 문서의 예제로 사용되는 웹 서버의 IIS 하위 구성 요소 및 서비스에 대한 프로그램 추가/제거에서의 권장 설정을 보여 줍니다.
표 1. IIS 하위 구성 요소 및 서비스에 대한 권장 설정
| 하위 구성 요소 또는 서비스 | 기본 설정 | 웹 서버 설정 |
BITS(Background Intelligent Transfer Service) 서버 확장 | 사용 안 함 | 변경 안 함 |
공용 파일 | 사용 | 변경 안 함 |
FTP 서비스 | 사용 안 함 | 변경 안 함 |
FrontPage 2002 Server Extensions | 사용 안 함 | 변경 안 함 |
인터넷 정보 서비스 관리자 | 사용 | 변경 안 함 |
인터넷 인쇄 | 사용 안 함 | 변경 안 함 |
NNTP 서비스 | 사용 안 함 | 변경 안 함 |
SMTP 서비스 | 사용 | 사용 안 함 |
World Wide Web 서비스 | 사용 | 변경 안 함 |
BITS(Background Intelligent Transfer Service) 서버 확장 | 사용 안 함 | 변경 안 함 |
요구 사항
이 작업을 완료하려면 다음 사항이 필요합니다.
| • | 자격 증명. 웹 서버에 Administrators 그룹의 구성원으로 로그온해야 합니다. |
| • | 도구. 프로그램 추가/제거 |
IIS 구성 요소 및 서비스를 구성하려면
1. | 시작, 제어판, 프로그램 추가/제거를 차례로 클릭합니다. |
2. | Windows 구성 요소 추가/제거를 클릭합니다. |
3. | Windows 구성 요소 마법사 화면의 구성 요소에서 응용 프로그램 서버, 자세히를 차례로 클릭합니다. |
4. | IIS(인터넷 정보 서비스), 자세히를 차례로 클릭합니다. |
5. | 이전 표를 참조하여 구성 요소 또는 서비스의 확인란을 선택하거나 선택을 취소하여 적절한 IIS 구성 요소 및 서비스를 선택하거나 선택을 취소합니다. |
6. | 화면의 지침에 따라 Windows 구성 요소 마법사를 완료합니다. |
새 설정 확인
적절한 보안 설정이 웹 서버에 적용되어 있는지 확인하려면 다음 절차를 완료합니다.
IIS 구성 요소 및 서비스가 선택되어 있는지 확인하려면
1. | 시작, 제어판을 차례로 클릭한 다음 관리 도구를 클릭합니다. |
2. | 이제 IIS(인터넷 정보 서비스) 관리가 관리 도구의 메뉴에 나타납니다. |
핵심 웹 서비스 확장을 사용하도록 설정
동적 콘텐츠를 제공하는 웹 서버는 웹 서비스 확장을 요청합니다. 동적 콘텐츠의 각 유형은 특정 웹 서비스 확장에 해당합니다. 보안상 IIS 6.0을 사용하면 개별 웹 서비스 확장을 사용하거나 사용할 수 없게 할 수 있으므로 콘텐츠에서 필요한 확장만 사용하게 됩니다.
주의 웹 서비스 확장을 일부만 사용하십시오. 웹 서비스 확장을 모두 사용하면 기존 웹 사이트 및 응용 프로그램 간의 최대 호환성을 얻을 수 있지만 웹 서버의 공격 노출 가능성이 크게 높아집니다. 필요한 웹 서비스 확장만 사용할 수 있도록 웹 사이트 및 응용 프로그램을 개별적으로 테스트해야 합니다.
웹 서버가 Default.asp 파일을 기본 페이지로 제공하도록 구성되었다고 가정합니다. 그러나 기본 페이지로 구성되었더라도 .asp 페이지를 보려면 Active Server Pages 웹 서비스 확장을 사용할 수 있도록 설정해야 합니다.
요구 사항
이 작업을 완료하려면 다음 사항이 필요합니다.
| • | 자격 증명. 웹 서버에 Administrators 그룹의 구성원으로 로그온해야 합니다. |
| • | 도구. IIS(인터넷 정보 서비스) 관리(iis.msc) |
Active Server Pages 웹 서비스 확장을 활성화하려면
1. | 시작, 제어판, 관리 도구를 차례로 클릭한 다음 IIS(인터넷 정보 서비스) 관리를 두 번 클릭합니다. |
2. | 로컬 컴퓨터를 두 번 클릭한 다음 웹 서비스 확장을 클릭합니다. |
3. | Active Server Pages, 허용(다음 스크린 샷 참조)을 차례로 클릭합니다. |
새 설정 확인
웹 서버에 적절한 보안 설정이 적용되었는지 확인하려면 다음 절차를 완료합니다.
Active Server Pages 웹 서비스 확장을 활성화했는지 확인하려면
1. | 텍스트 편집기를 열고 ASP Test Page를 입력한 다음 Default.asp를 C:\inetpub\wwwroot 디렉터리에 저장합니다. |
2. | Internet Explorer의 주소 상자에 다음 URL을 입력합니다. http://localhost 그런 다음 Enter 키를 누르면 ASP Test Page 텍스트가 브라우저에 표시됩니다. |
3. | C:\inetpub\wwwroot\Default.asp 파일을 삭제합니다. |
계정 구성
공격자가 사용되지 않는 계정을 찾아서 사용자 서버의 웹 응용 프로그램 및 데이터에 액세스할 때 사용할 수 있으므로 그러한 계정을 제거하는 것이 좋습니다. 항상 강력한 암호가 필요합니다. 강력하지 않은 암호는 공격자가 암호를 추측할 수 있는 무차별 공격(Brute Force)이나 사전 공격(Dictionary Attack)의 성공 가능성을 높여 줍니다. 최소 권한으로 실행되는 계정을 사용합니다. 그렇지 않으면 공격자가 높은 권한이 있는 계정을 사용하여 인증되지 않은 리소스에 액세스할 수 있습니다.
이 섹션에서는 다음 작업을 위한 단계별 지침을 설명합니다.
| • | 사용되지 않는 계정 비활성화 |
| • | 응용 프로그램 풀을 사용하여 응용 프로그램 격리 |
사용되지 않는 계정 비활성화
공격자가 사용되지 않는 계정과 해당 권한을 사용하여 서버에 액세스할 수 있습니다. 서버의 로컬 계정을 주기적으로 감사하여 사용되고 있지 않은 계정을 비활성화해야 합니다. 프로덕션 서버에서 계정을 비활성화하기 전에 테스트 서버에서 비활성화하여 응용 프로그램의 작동에 부정적인 영향을 미치지 않는지 확인합니다. 계정을 비활성화하여 테스트 서버에서 문제가 발생하지 않는 경우 프로덕션 서버에서 해당 계정을 비활성화합니다.
참고 사용되지 않는 계정을 비활성화하지 않고 삭제하면 삭제된 계정을 복구할 수 없으며 Administrator 계정과 Guest 계정을 삭제할 수 없습니다. 이 경우에도 프로덕션 서버에서 삭제하기 전에 테스트 서버에서 삭제하여 확인해야 합니다.
이 섹션에서는 다음 절차를 위한 단계별 지침을 제공합니다.
| • | Guest 계정 사용 안 함 |
| • | Administrator 계정 이름 바꾸기 |
| • | IUSR_ComputerName 계정 이름 바꾸기 |
Guest 계정 사용 안 함
웹 서버에 익명으로 연결하는 경우 Guest 계정을 사용합니다. Windows Server 2003을 기본 설치하는 중에는 Guest 계정이 비활성화됩니다. 서버에 대한 익명의 연결을 제한하려면 Guest 계정이 비활성화되어 있는지 확인합니다.
요구 사항
이 작업을 완료하려면 다음 사항이 필요합니다.
| • | 자격 증명. 웹 서버에 Administrators 그룹의 구성원으로 로그온해야 합니다. |
| • | 도구. 컴퓨터 관리 |
Guest 계정을 비활성화하려면
1. | 시작을 클릭하고 내 컴퓨터를 마우스 오른쪽 단추로 클릭한 다음 관리를 클릭합니다. |
2. | 로컬 사용자 및 그룹을 두 번 클릭한 다음 사용자 폴더를 클릭합니다. Guest 계정은 비활성 상태임을 나타내는 빨간색 X 아이콘으로 표시됩니다(다음 스크린 샷 참조). Guest 계정이 비활성화 상태로 되어 있지 않으면 다음 3단계를 진행합니다. |
3. | Guest 계정을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다. |
4. | 일반 탭에서 계정 사용 안 함 확인란을 선택한 다음 확인을 클릭합니다. |
Guest 계정에 빨간색 X 아이콘이 표시됩니다.
Administrator 계정 이름 바꾸기
기본 로컬 Administrator 계정은 컴퓨터에 대한 높은 권한으로 인해 악의적인 사용의 대상이 됩니다. 보안을 강화하려면 기본 Administrator 계정의 이름을 바꾸고 강력한 암호를 지정합니다.
요구 사항
이 작업을 완료하려면 다음 사항이 필요합니다.
| • | 자격 증명. 웹 서버에 Administrators 그룹의 구성원으로 로그온해야 합니다. |
| • | 도구. 내 컴퓨터 |
Administrator 계정의 이름을 바꾸고 강력한 암호를 지정하려면
1. | 시작을 클릭하고 내 컴퓨터를 마우스 오른쪽 단추로 클릭한 다음 관리를 클릭합니다. |
2. | 로컬 사용자 및 그룹을 두 번 클릭한 다음 사용자 폴더를 클릭합니다. |
3. | Administrator 계정을 마우스 오른쪽 단추로 클릭한 다음 이름 바꾸기를 클릭합니다. |
4. | 상자에 이름을 입력한 다음 Enter 키를 누릅니다. |
5. | 바탕 화면에서 Ctrl+Alt+Del을 누른 다음 암호 변경을 클릭합니다. |
6. | 사용자 이름 상자에 Administrator 계정의 새 이름을 입력합니다. |
7. | 현재 암호 상자에 현재 암호를 입력하고 새 암호 상자에 새 암호를 입력한 다음 새 암호 확인 상자에 새 암호를 다시 입력하고 확인을 클릭합니다. |
주의 암호를 잊어버리고 암호 재설정 디스크를 사용할 수 없는 경우가 아니라면 암호를 변경하기 위해 상황에 맞는 메뉴에서 암호 설정 메뉴 항목을 사용하지 마십시오. Administrator 암호 변경에 이 방법을 사용하면 이 암호에 의해 보호되는 정보가 영구적으로 손실될 수 있습니다.
IUSR 계정 이름 바꾸기
IIS를 설치하는 동안 기본 익명 인터넷 사용자 계정인 IUSR_<ComputerName>이 만들어집니다. <ComputerName> 값은 IIS가 설치될 때 서버의 NetBIOS 이름입니다. 이 계정 이름을 바꾸면 특정 무차별 공격(Brute Force)의 성공 가능성을 낮출 수 있습니다.
요구 사항
이 작업을 완료하려면 다음 사항이 필요합니다.
| • | 자격 증명. 웹 서버에 Administrators 그룹의 구성원으로 로그온해야 합니다. |
| • | 도구. 내 컴퓨터 |
IUSR 계정의 이름을 바꾸려면
1. | 시작을 클릭하고 내 컴퓨터를 마우스 오른쪽 단추로 클릭한 다음 관리를 클릭합니다. |
2. | 로컬 사용자 및 그룹을 두 번 클릭한 다음 사용자 폴더를 클릭합니다. |
3. | IUSR_ <ComputerName> 계정을 마우스 오른쪽 단추로 클릭한 다음 이름 바꾸기를 클릭합니다. |
4. | 새 계정 이름을 입력한 다음 Enter 키를 누릅니다. |
IIS 메타베이스의 IUSR 계정 값을 변경하려면
1. | 시작, 제어판, 관리 도구를 차례로 클릭한 다음 IIS(인터넷 정보 서비스) 관리를 두 번 클릭합니다. |
2. | 로컬 컴퓨터를 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다. |
3. | 메타베이스 직접 편집 허용 확인란을 선택한 다음 확인을 클릭합니다. |
4. | MetaBase.xml 파일 위치를 찾습니다. 기본적으로 이 파일은 C:\Windows\system32\inetsrv에 있습니다. |
5. | MetaBase.xml 파일을 마우스 오른쪽 단추로 클릭한 다음 편집을 클릭합니다. |
6. | AnonymousUserName 속성을 찾은 다음 IUSR 계정의 새 이름을 입력합니다. |
7. | 파일 메뉴에서 끝내기를 클릭한 다음 예를 클릭합니다. |
새 설정 확인
적절한 보안 설정이 웹 서버에 적용되어 있는지 확인하려면 다음 절차를 완료합니다.
계정이 비활성화되어 있는지 확인하려면
1. | Ctrl+Alt+Del을 누른 다음 로그오프를 클릭하여 웹 서버를 로그오프합니다. |
2. | Windows 로그온 대화 상자의 사용자 이름 상자에 비활성화된 계정의 이름과 해당 암호를 입력한 다음 확인을 클릭합니다. 다음 메시지가 표시됩니다. 사용자의 계정이 사용할 수 없게 되었습니다. 시스템 관리자에게 문의하십시오. |
계정 이름이 바뀌었는지 확인하려면
1. | Ctrl+Alt+Del을 누른 다음 로그오프를 클릭하여 웹 서버를 로그오프합니다. |
2. | Windows 로그온 대화 상자의 사용자 이름 상자에 이름을 바꾼 계정의 이전 이름과 해당 암호를 입력한 다음 확인을 클릭합니다. 다음 메시지가 표시됩니다. 시스템에 로그온할 수 없습니다. 사용자 이름과 도메인이 올바른지 확인한 다음암호를 다시 입력하십시오. 암호에는 대/소문자를 구분하여 입력해야 합니다. |
3. | 확인을 클릭한 다음 사용자 이름 상자에 이름을 바꾼 계정의 새 이름을 입력합니다. |
4. | 이름을 바꾼 계정의 암호를 입력한 다음 확인을 클릭합니다. |
이름을 바꾼 계정을 사용하여 컴퓨터에 로그온할 수 있어야 합니다.
응용 프로그램 풀을 사용하여 응용 프로그램 격리
IIS 6.0을 사용하여 응용 프로그램을 응용 프로그램 풀로 격리할 수 있습니다. 응용 프로그램 풀은 하나의 작업자 프로세스나 작업자 프로세스 집합이 제공하는 하나 이상의 URL 그룹입니다. 각 응용 프로그램은 다른 응용 프로그램과 독립적으로 작동하므로 응용 프로그램 풀을 사용하면 웹 서버의 안정성과 보안을 향상시키는 데 도움이 될 수 있습니다.
Windows 운영 체제에서 실행하는 프로세스는 모두 프로세스 ID가 있으며 이 ID에 의해 프로세스가 컴퓨터의 리스스에 액세스하는 방법이 결정됩니다. 또한 모든 응용 프로그램 풀에도 프로세스 ID가 있는데 이는 응용 프로그램에서 요구하는 최소 권한으로 실행하는 계정입니다. 이 프로세스 ID를 사용하면 웹 사이트나 응용 프로그램에 익명으로 액세스할 수 있습니다.
요구 사항
이 작업을 완료하려면 다음 사항이 필요합니다.
| • | 자격 증명. 웹 서버에 Administrators 그룹의 구성원으로 로그온해야 합니다. |
| • | 도구. 내 컴퓨터 |
응용 프로그램 풀을 만들려면
1. | 시작, 제어판, 관리 도구를 차례로 클릭한 다음 IIS(인터넷 정보 서비스) 관리를 두 번 클릭합니다. |
2. | 로컬 컴퓨터를 두 번 클릭하고 응용 프로그램 풀을 마우스 오른쪽 단추로 클릭한 다음 새로 만들기, 응용 프로그램 풀을 차례로 클릭합니다. |
3. | 응용 프로그램 풀 ID 상자에 응용 프로그램 풀의 새 ID를 입력합니다. 다음 샘플 스크린 샷에서는 ContosoAppPool을 ID로 사용합니다. |
4. | 응용 프로그램 풀 설정에서 새 응용 프로그램 풀에 기본 설정 사용을 선택하고 확인을 클릭합니다. |
응용 프로그램 풀에 웹 사이트나 응용 프로그램을 할당하려면
1. | 시작, 제어판, 관리 도구를 차례로 클릭한 다음 IIS(인터넷 정보 서비스) 관리를 두 번 클릭합니다. |
2. | 응용 프로그램 풀에 지정할 웹 사이트 또는 응용 프로그램을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다. |
3. | 선택한 응용 프로그램의 유형에 따라 홈 디렉터리, 가상 디렉터리 또는 디렉터리 탭을 클릭합니다. |
4. | 응용 프로그램 풀에 디렉터리나 가상 디렉터리를 지정하는 경우에는 응용 프로그램 이름 상자에 올바른 웹 사이트 또는 응용 프로그램 이름이 포함되어 있는지 확인합니다. -또는- 응용 프로그램 이름 상자에 이름이 없는 경우에는 만들기를 클릭한 다음 웹 사이트 또는 응용 프로그램의 이름을 입력합니다. |
5. | 응용 프로그램 풀 목록 상자에서 웹 사이트나 응용 프로그램에 지정할 응용 프로그램 풀의 이름을 선택(다음 스크린 샷 참조)하고 확인을 클릭합니다. |
새 설정 확인
적절한 보안 설정이 웹 서버에 적용되어 있는지 확인하려면 다음 절차를 완료합니다.
응용 프로그램 풀이 만들어졌는지 확인하려면
1. | 웹 서버에 Administrator 계정으로 로그온해야 합니다. |
2. | 시작, 제어판, 관리 도구를 차례로 클릭한 다음 IIS(인터넷 정보 서비스) 관리를 두 번 클릭합니다. |
3. | 로컬 컴퓨터를 두 번 클릭하고 응용 프로그램 풀을 마우스 오른쪽 단추로 클릭한 다음 만든 응용 프로그램 풀이 응용 프로그램 풀 노드 아래에 표시되는지 확인합니다. |
4. | 만든 응용 프로그램 풀을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다. |
5. | ID 탭을 클릭하고 응용 프로그램 풀 ID가 네트워크 서비스라고 하는 미리 정의된 보안 계정으로 설정되었는지 확인한 다음 확인을 클릭합니다. |
웹 사이트나 응용 프로그램이 특정 응용 프로그램 풀에 할당되어 있는지 확인하려면
1. | 웹 서버에 Administrator 계정으로 로그온해야 합니다. |
2. | 시작, 제어판, 관리 도구를 차례로 클릭한 다음 IIS(인터넷 정보 서비스) 관리를 두 번 클릭합니다. |
3. | 로컬 컴퓨터, 웹 사이트를 각각 두 번 클릭하고 응용 프로그램 풀 설정을 확인할 웹 사이트를 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다. |
4. | 선택한 응용 프로그램의 유형에 따라 홈 디렉터리, 가상 디렉터리 또는 디렉터리 탭을 클릭합니다. |
5. | 응용 프로그램 풀 목록 상자에서 웹 사이트를 지정할 응용 프로그램 풀의 이름이 나열되었는지 확인하고 취소를 클릭합니다. |
파일 및 디렉터리의 보안 구성
강력한 액세스 제어를 사용하여 중요한 파일과 디렉터리를 보호합니다. 대부분의 경우 특정 계정에 대한 액세스를 허용하는 것이 특정 계정에 대한 액세스를 거부하는 것보다 더 효과적입니다. 가능하면 디렉터리 수준으로 액세스를 설정합니다. 파일이 폴더에 추가될 때 폴더의 권한을 상속받으므로 다른 조치를 취할 필요가 없습니다.
이 섹션에서는 파일 및 디렉터리의 보안을 구성하는 데 도움이 되는 다음 작업에 대한 단계별 지침을 설명합니다.
| • | IIS 로그 파일 위치 변경 및 사용 권한 설정 |
| • | IIS 메타베이스 사용 권한 구성 |
| • | FileSystemObject 구성 요소 비활성화 |
IIS 로그 파일 위치 변경 및 사용 권한 설정
IIS 로그 파일에 대한 보안을 강화하려면 NTFS 파일 시스템을 사용하도록 포맷된 시스템 드라이브가 아닌 드라이브로 로그 파일의 위치를 변경해야 합니다. 이 위치는 웹 사이트 콘텐츠 위치와 달라야 합니다. 이러한 파일을 다시 할당하여 특정 유형의 공격이 로그 파일의 내용을 표시하지 않도록 합니다. 서버의 가능한 공격에 대한 감사 내역을 제공하려면 로그 파일을 보호해야 합니다. 시스템이 아닌 디스크에 로그 파일을 저장하면 서버 성능이 향상될 수도 있습니다.
요구 사항
이 작업을 완료하려면 다음 사항이 필요합니다.
| • | 자격 증명. 웹 서버에 Administrators 그룹의 구성원으로 로그온해야 합니다. |
| • | 도구. 내 컴퓨터 및 IIS(인터넷 정보 서비스) 관리(Iis.msc) |
IIS 로그 파일의 위치를 시스템 파티션이 아닌 파티션으로 이동하려면
1. | 시작을 클릭하고 내 컴퓨터를 마우스 오른쪽 단추로 클릭한 다음 탐색을 클릭합니다. |
2. | IIS 로그 파일을 이동할 위치를 찾습니다. |
3. | IIS 로그 파일을 다시 할당할 수준보다 한 수준 위에 있는 디렉터리를 마우스 오른쪽 단추로 클릭하고 새로 만들기, 폴더를 차례로 클릭합니다. |
4. | 폴더 이름을 입력(예: ContosoIISLogs)한 다음 Enter 키를 누릅니다. |
5. | 시작, 제어판, 관리 도구를 차례로 클릭한 다음 IIS(인터넷 정보 서비스) 관리를 두 번 클릭합니다. |
6. | 웹 사이트를 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다. |
7. | 웹 사이트 탭을 클릭한 다음 로깅 사용 프레임의 속성을 클릭합니다. |
8. | 일반 속성 탭에서 찾아보기를 클릭하고 IIS 로그 파일을 저장하기 위해 방금 만든 폴더를 찾습니다. |
9. | 확인을 세 번 클릭합니다. |
참고 로그 파일이 원래의 위치(Windows\System32\Logfiles)에 있는 경우 해당 파일을 새 위치로 직접 이동해야 합니다. IIS에서 해당 파일은 자동으로 이동되지 않습니다.
IIS 로그 파일에서 ACL을 설정하려면
1. | 시작을 클릭하고 내 컴퓨터를 마우스 오른쪽 단추로 클릭한 다음 탐색을 클릭합니다. |
2. | 로그 파일이 들어 있는 폴더를 찾습니다. |
3. | 해당 폴더를 마우스 오른쪽 단추로 클릭하고 속성을 클릭한 다음 보안 탭을 클릭합니다. |
4. | 맨 위에 있는 창에서 Administrators를 클릭하고 맨 아래쪽 창의 사용 권한이 모든 권한으로 설정되어 있는지 확인합니다. |
5. | 맨 위에 있는 창에서 System을 클릭하고 맨 아래에 있는 창에서 권한이 모든 권한으로 설정되었는지 확인한 다음 확인을 클릭합니다. |
새 설정 확인
적절한 보안 설정이 웹 서버에 적용되어 있는지 확인하려면 다음 절차를 완료합니다.
로그 파일이 이동되고 사용 권한이 설정되어 있는지 확인하려면
1. | 시작, 검색을 클릭한 다음 파일 또는 폴더를 클릭합니다. |
2. | 검색할 파일 상자에 파일 이름의 일부 또는 전체(예: LogFiles)를 입력하고 찾는 위치 상자에서 위치를 선택한 다음 검색 시작을 클릭합니다. 로그 파일의 새 위치가 표시됩니다. |
3. | Ctrl+Alt+Del을 누른 다음 로그오프를 클릭합니다. |
4. | 로그 파일에 액세스할 권한이 없는 계정을 사용하여 웹 서버에 로그온합니다. |
5. | 시작을 클릭하고 내 컴퓨터를 마우스 오른쪽 단추로 클릭한 다음 탐색을 클릭하고 LogFiles 디렉터리를 찾습니다. |
6. | LogFiles 디렉터리를 마우스 오른쪽 단추로 클릭한 다음 열기를 클릭합니다. 다음 메시지가 표시됩니다. 액세스가 거부되었습니다. |
IIS 메타베이스 사용 권한 구성
IIS 메타베이스는 IIS와 관련한 대부분의 구성 정보가 들어 있는 XML 파일입니다.
요구 사항
이 작업을 완료하려면 다음 사항이 필요합니다.
| • | 자격 증명. 웹 서버에 Administrators 그룹의 구성원으로 로그온해야 합니다. |
| • | 도구. 내 컴퓨터 및 MetaBase.xml 파일 |
MetaBase.xml 파일에 대한 액세스를 제한하려면
1. | 시작을 클릭하고 내 컴퓨터를 마우스 오른쪽 단추로 클릭한 다음 탐색을 클릭합니다. |
2. | Windows\System32\Inetsrv\MetaBase.xml 파일을 찾아서 해당 파일을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다. |
3. | 보안 탭을 클릭하고 Administrators 그룹의 구성원과 LocalSystem 계정의 구성원만 메타베이스에 액세스할 모든 권한을 갖는지 확인하고 다른 파일 사용 권한을 모두 제거한 다음 확인을 클릭합니다. |
새 설정 확인
적절한 보안 설정이 웹 서버에 적용되어 있는지 확인하려면 다음 절차를 완료합니다.
MetaBase.xml 파일에 대한 액세스가 제한되어 있는지 확인하려면
1. | Ctrl+Alt+Del을 누른 다음 로그오프를 클릭합니다. |
2. | MetaBase.xml 파일에 대한 액세스 권한이 없는 계정을 사용하여 웹 서버에 로그온합니다. |
3. | 시작을 클릭하고 내 컴퓨터를 마우스 오른쪽 단추로 클릭한 다음 탐색을 클릭하여 MetaBase.xml을 찾습니다. |
4. | MetaBase.xml 파일을 마우스 오른쪽 단추로 클릭한 다음 열기를 클릭합니다. 다음 메시지가 표시됩니다. 액세스가 거부되었습니다. |
FileSystemObject 구성 요소 비활성화
ASP, Windows 스크립트 호스트 및 기타 스트립팅 응용 프로그램은 FSO(FileSystemObject) 구성 요소를 사용하여 드라이브, 폴더 및 파일에 대한 정보를 생성, 삭제 및 수집하고 드라이브, 폴더 및 파일을 조작합니다. FSO 구성 요소를 비활성화하는 것이 좋지만 그럴 경우 Dictionary 개체도 함께 제거됩니다. 또한 이 구성 요소를 필요로 하는 다른 프로그램이 없는지 확인합니다.
요구 사항
이 작업을 완료하려면 다음 사항이 필요합니다.
| • | 자격 증명. 웹 서버에 Administrators 그룹의 구성원으로 로그온해야 합니다. |
| • | 도구. 명령 프롬프트 |
FileSystemObject 구성 요소를 비활성화하려면
1. | 시작, 실행을 차례로 클릭하고 열기 대화 상자에 cmd를 입력한 다음 확인을 클릭합니다. |
2. | cd c:\Windows\system32를 입력하고 Enter 키를 눌러 C:\Windows\system32 디렉터리로 변경합니다. |
3. | 명령 프롬프트에서 regsvr32 scrrun.dll /u를 입력한 다음 Enter 키를 누릅니다. 다음 메시지가 표시됩니다. scrrun.dll의 DllUnregisterServer가 성공했습니다. |
4. | 확인을 클릭합니다. |
5. | 명령 프롬프트에서 exit를 입력하고 Enter 키를 눌러 명령 프롬프트 창을 닫습니다. |
웹 사이트 및 가상 디렉터리 보안
웹 루트 디렉터리와 가상 디렉터리의 위치를 시스템 파티션이 아닌 파티션으로 변경하여 디렉터리 트래버스 공격으로부터 보호합니다. 공격자는 이러한 디렉터리를 사용하여 운영 체제 프로그램 및 도구를 실행할 수 있습니다. 드라이브를 트래버스하는 것은 불가능하기 때문에 웹 사이트 콘텐츠의 위치를 다른 드라이브로 변경하면 이러한 공격으로부터 향상된 보호 기능을 제공합니다.
이 섹션에서는 웹 사이트 및 가상 디렉터리를 보호하는 데 도움이 되는 다음 작업의 단계별 지침에 대해 설명합니다.
| • | 웹 사이트 콘텐츠를 시스템 드라이브가 아닌 드라이브로 이동 |
| • | 웹 사이트 사용 권한 구성 |
웹 사이트를 시스템 드라이브가 아닌 드라이브로 이동
기본 \inetpub\wwwroot 디렉터리를 웹 사이트 콘텐츠 위치로 사용하지 마십시오. 예를 들면 운영 체제가 C: 드라이브에 설치되어 있는 경우 사이트와 콘텐츠 디렉터리를 D: 드라이브로 이동하여 디렉터리 트래버서 공격과 관련된 위험을 줄이는 것이 좋습니다. 공격자는 기본 위치에서 웹 서버의 디렉터리 구조를 찾으려고 시도합니다. 가상 디렉터리가 모두 새 드라이브를 가리키는지 확인해야 합니다.
요구 사항
이 작업을 완료하려면 다음 사항이 필요합니다.
| • | 자격 증명. 웹 서버에 Administrators 그룹의 구성원으로 로그온해야 합니다. |
| • | 도구. IIS(인터넷 정보 서비스) 관리(Iis.msc) 및 명령 프롬프트 |
웹 사이트를 시스템 드라이브가 아닌 드라이브로 이동하려면
1. | 시작, 제어판, 관리 도구를 차례로 클릭한 다음 IIS(인터넷 정보 서비스) 관리를 두 번 클릭합니다. | ||||
2. | 이동할 콘텐츠가 있는 웹 사이트를 마우스 오른쪽 단추로 클릭하고 중지를 클릭합니다. | ||||
3. | 시작, 실행을 클릭하고 열기 대화 상자에 cmd를 입력한 다음 확인을 클릭합니다. | ||||
4. | 명령 프롬프트에 다음을 입력합니다. xcopy c:\inetpub\wwwroot\<SiteName> <Drive>:\wwwroot\SiteName /s /i /o 여기서
| ||||
5. | IIS(인터넷 정보 서비스) 스냅인으로 돌아가서 웹 사이트를 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다. | ||||
6. | 선택한 응용 프로그램의 유형에 따라 홈 디렉터리, 가상 디렉터리 또는 디렉터리 탭을 클릭하고 로컬 경로 상자에 새 디렉터리 위치를 입력한 다음 확인을 클릭합니다. -또는- 방금 파일을 복사한 디렉터리의 새 위치로 이동한 다음 확인을 클릭합니다. | ||||
7. | 웹 사이트를 마우스 오른쪽 단추로 클릭하고 시작을 클릭합니다. |
새 설정 확인
적절한 보안 설정이 웹 서버에 적용되어 있는지 확인하려면 다음 절차를 완료합니다.
웹 사이트 콘텐츠가 시스템 드라이브가 아닌 드라이브로 이동했는지 확인하려면
1. | 시작, 검색을 클릭한 다음 파일 또는 폴더를 클릭합니다. |
2. | 검색할 파일 상자에 파일 이름의 일부 또는 전체를 입력하고 찾는 위치 상자에서 위치를 선택한 다음 검색 시작을 클릭합니다. 검색 결과에 이동한 파일의 새 위치뿐만 아니라 원래 위치도 표시됩니다. |
시스템 드라이브에서 웹 사이트 콘텐츠를 삭제하려면
| • | C:\Inetpub\Wwwroot\SiteName 디렉터리로 이동한 다음 시스템 드라이브가 아닌 드라이브로 이동한 파일을 삭제합니다. |
웹 사이트 콘텐츠가 시스템 드라이브에서 삭제되어 있는지 확인하려면
1. | 시작, 검색을 클릭한 다음 파일 또는 폴더를 클릭합니다. |
2. | 검색할 파일 상자에 파일 이름의 일부 또는 전체를 입력하고 찾는 위치 상자에서 위치를 선택한 다음 검색 시작을 클릭합니다. 검색 결과에 새 위치로 이동한 파일만 나열됩니다. |
웹 사이트 사용 권한 구성
특정 사이트, 디렉터리 및 파일에 대한 웹 서버의 액세스 권한을 구성할 수 있습니다. 이러한 사용 권한은 특정 액세스 권한에 상관없이 모든 사용자에게 적용됩니다.
파일 시스템 디렉터리에 대한 사용 권한 구성
IIS 6.0은 무단 액세스로부터 개별 파일 및 디렉터리를 보호하는 NTFS 권한이 필요합니다. 모든 사용자에게 적용되는 웹 사이트 사용 권한과 달리 NTFS 사용 권한을 사용하면 콘텐츠에 액세스할 수 있는 사용자와 해당 사용자에게 허용되는 콘텐츠 조작 범위를 자세하게 정의할 수 있습니다. 보안 향상을 위해 웹 사이트 사용 권한 및 NTFS 권한을 모두 사용합니다.
ACL(액세스 제어 목록)은 특정 파일을 액세스하거나 수정 권한을 갖는 사용자나 그룹을 나타냅니다. 각 파일에서 ACL을 설정하는 대신 파일 형식마다 새 디렉터리를 만들고 각 디렉터리에서 ACL을 설정한 다음 파일은 자신이 속한 디렉터리로부터 해당 권한을 상속받을 수 있습니다.
요구 사항
이 작업을 완료하려면 다음 사항이 필요합니다.
| • | 자격 증명. 웹 서버에 Administrators 그룹의 구성원으로 로그온해야 합니다. |
| • | 도구. 내 컴퓨터 및 IIS(인터넷 정보 서비스) 관리(iis.msc) |
웹 사이트 콘텐츠를 별도의 폴더로 이동하려면
1. | 시작을 클릭하고 내 컴퓨터를 마우스 오른쪽 단추로 클릭한 다음 탐색을 클릭합니다. |
2. | 웹 사이트 콘텐츠가 있는 폴더를 찾은 다음 웹 사이트 콘텐츠의 최상위 폴더를 클릭합니다. |
3. | 파일 메뉴에서 새로 만들기를 클릭한 다음 폴더를 클릭하여 웹 사이트의 콘텐츠 디렉터리에 새 폴더를 만듭니다. |
4. | 폴더 이름을 입력한 다음 Enter 키를 누릅니다. |
5. | Ctrl을 누른 채 보호할 각 페이지를 선택합니다. |
6. | 해당 페이지를 마우스 오른쪽 단추로 클릭한 다음 복사를 클릭합니다. |
7. | 새 폴더를 마우스 오른쪽 단추로 클릭한 다음 붙여넣기를 클릭합니다. |
참고 이러한 페이지에 대한 링크를 만든 경우 링크를 업데이트하여 사이트 콘텐츠의 새 위치가 반영되게 해야 합니다.
웹 콘텐츠의 사용 권한을 설정하려면
1. | 시작, 제어판, 관리 도구를 차례로 클릭한 다음 IIS(인터넷 정보 서비스) 관리를 두 번 클릭합니다. | ||||||||||||
2. | 구성할 웹 사이트 폴더, 웹 사이트, 디렉터리, 가상 디렉터리 또는 파일을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다. | ||||||||||||
3. | 부여하거나 거부하려는 액세스 유형에 따라 다음 확인란(사용 가능한 경우) 중 하나를 선택하거나 선택을 취소합니다.
| ||||||||||||
4. | 실행 권한 목록 상자에서 스크립트 실행의 적절한 수준을 선택합니다.
| ||||||||||||
5. | 확인을 클릭합니다. 디렉터리의 자식 노드에 다른 웹 사이트 사용 권한이 구성되어 있는 경우 상속 무시 상자가 나타납니다. | ||||||||||||
6. | 상속 무시 상자가 나타나면 자식 노드 목록에서 디렉터리의 웹 사용 권한을 적용할 자식 노드를 선택합니다. -또는- 모두 선택을 클릭하여 모든 자식 노드에 웹 사용 권한을 적용할 속성을 설정합니다. | ||||||||||||
7. | 두 개 이상의 상속 무시 상자가 있는 경우 자식 노드 목록에서 자식 노드를 선택하거나 모두 선택을 클릭한 다음 확인을 클릭하여 이 속성의 웹 사용 권한을 자식 노드에 적용합니다. |
변경한 웹 사이트 사용 권한을 갖는 디렉터리에 속한 자식 노드도 특정 옵션에 대한 웹 사이트 사용 권한을 설정한 경우 자식 노드의 사용 권한은 해당 디렉터리에 설정한 사용 권한을 무시합니다. 디렉터리 수준의 웹 사이트 사용 권한을 자식 노드에 적용하려는 경우 상속 무시 상자에서 이러한 자식 노드를 선택해야 합니다.
새 설정 확인
적절한 보안 설정이 웹 서버에 적용되어 있는지 확인하려면 다음 절차를 완료합니다.
웹 사이트 콘텐츠 디렉터리에 대한 쓰기 권한이 거부되어 있는지 확인하려면
1. | Ctrl+Alt+Del을 누른 다음 로그오프를 클릭합니다. |
2. | 실제 디렉터리 또는 가상 디렉터리에 대한 읽기 및 실행 권한이 있는 계정을 사용하여 웹 서버에 로그온합니다. |
3. | 시작을 클릭하고 내 컴퓨터를 마우스 오른쪽 단추로 클릭한 다음 탐색을 클릭하여 실제 디렉터리나 가상 디렉터리로 복사할 파일의 위치를 찾습니다. |
4. | 파일을 마우스 오른쪽 단추로 클릭한 다음 복사를 클릭합니다. |
5. | 실제 디렉터리 또는 가상 디렉터리의 위치를 찾은 다음 디렉터리를 마우스 오른쪽 단추로 클릭합니다. 상황에 맞는 메뉴에서 붙여넣기 선택을 사용할 수 없으면 해당 디렉터리에 대한 쓰기 권한이 없음을 의미합니다. |
웹 서버에서 SSL(Secure Sockets Layer) 구성
콘텐츠의 무결성을 확인하고 사용자 ID를 확인하며 네트워크 전송 데이터를 암호화하도록 웹 서버의 SSL(Secure Sockets Layer) 보안 기능을 구성할 수 있습니다. SSL은 일반적으로 웹 사이트에서 신용 카드 거래를 하려는 경우 필수 사항입니다. SSL 보안에서는 사용자가 신용 카드 번호와 같은 개인 정보를 전송할 때 서버 인증서를 기반으로 웹 사이트를 인증합니다. 웹 사이트 각각에 대해 서버 인증서는 하나만 있을 수 있습니다.
서버 인증서 구하기 및 설치
인증서는 CA(인증 기관)라는 타사 조직에 의해 발급됩니다. 서버 인증서는 일반적으로 웹 서버 특히 사용자가 SSL을 구성한 웹 사이트에 연결됩니다. 인증서 요청을 생성하여 CA로 보낸 다음 CA로부터 인증서를 받아서 설치해야 합니다.
인증서에는 보안 강화를 위해 공개 키와 개인 키라는 암호화 키 쌍이 필요합니다. 서버 인증서 요청을 생성할 때 실제로는 개인 키가 생성됩니다. CA로부터 받은 서버 인증서에는 공개 키가 포함되어 있습니다.
요구 사항
이 작업을 완료하려면 다음 사항이 필요합니다.
| • | 자격 증명. 웹 서버에 Administrators 그룹의 구성원으로 로그온해야 합니다. |
| • | 도구. IIS(인터넷 정보 서비스) 관리(iis.msc) 및 웹 서버 인증서 마법사 |
서버 인증서에 대한 요청을 생성하려면
1. | 시작을 클릭하고 내 컴퓨터를 마우스 오른쪽 단추로 클릭한 다음 관리를 클릭합니다. |
2. | 서비스 및 응용 프로그램 섹션을 두 번 클릭한 다음 인터넷 정보 서비스를 두 번 클릭합니다. |
3. | 서버 인증서를 설치할 웹 사이트를 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다. |
4. | 디렉터리 보안 탭을 클릭합니다. 보안 통신 섹션에서 서버 인증서를 클릭하여 웹 서버 인증서 마법사를 시작하고 다음을 클릭합니다. |
5. | 새 인증서를 만듭니다.를 클릭한 후 다음을 클릭합니다. |
6. | 요청을 지금 준비하지만 나중에 보냅니다.를 클릭한 후 다음을 클릭합니다. |
7. | 이름 상자에 기억하기 쉬운 이름을 입력합니다. 기본 이름은 http://www.contoso.com처럼 인증서 요청을 생성하는 웹 사이트의 이름입니다. |
8. | 비트 길이를 지정한 후 다음을 클릭합니다. 암호화 키의 비트 길이에 따라 암호화 강도가 결정됩니다. 대부분의 타사 인증 기관에서는 최소값 1024비트를 선택하도록 권장합니다. |
9. | 조직 섹션에 조직 및 조직 구성 단위 정보를 입력합니다. 이 정보가 정확한지 그리고 조직 필드에 쉼표가 있는지 확인한 후 다음을 클릭합니다. |
10. | 사이트 일반 이름 섹션에 도메인 이름이 있는 호스트 컴퓨터의 이름을 입력하고 다음을 클릭합니다. |
11. | 지역 정보를 입력하고 다음을 클릭합니다. |
12. | 파일을 .txt 파일로 저장합니다. 기본 파일 이름 및 위치는 C:\certreq.txt입니다. 다음 예제는 인증서 요청 파일의 구성을 보여 줍니다. -----BEGIN NEW CERTIFICATE REQUEST-----
MIIDATCCAmoCAQAwbDEOMAwGA1UEAxMFcGxhbjgxDDAKBgNVBAsTA1BTUzESMB
A1UEChMJTWljcm9zb2Z0MRIwEAYDVQQHEwlDaGFybG90dGUxFzAVBgNVBAgTDk
cnRoIENhcm9saW5hMQswCQYDVQQGEwJVUzCBnzANBgkqhkiG9w0BAQEFAAOBjQ
gYkCgYEAtW1koGfdt+EoJbKdxUZ+5vE7TF1ZuT+xaK9jEWHESfw11zoRKrHzHN
IASnwg3vZ0ACteQy5SiWmFaJeJ4k7YaKUb6chZXG3GqL4YiSKFaLpJX+YRiKMt
JzFzict5GVVGHsa1lY0BDYDO2XOAlstGlHCtENHOKpzdYdANRg0CAwEAAaCCAV
GgYKKwYBBAGCNw0CAzEMFgo1LjAuMjE5NS4yMDUGCisGAQQBgjcCAQ4xJzAlMA
A1UdDwEB/wQEAwIE8DATBgNVHSUEDDAKBggrBgEFBQcDATCB/QYKKwYBBAGCNw
AjGB7jCB6wIBAR5aAE0AaQBjAHIAbwBzAG8AZgB0ACAAUgBTAEEAIABTAEMAaA
AG4AbgBlAGwAIABDAHIAeQBwAHQAbwBnAHIAYQBwAGgAaQBjACAAUAByAG8Adg
AGQAZQByA4GJAGKa0jzBn8fkxScrWsdnU2eUJOMUK5Ms87Q+fjP1/pWN3PJnH7
MBc5isFCjww6YnIjD8c3OfYfjkmWc048ZuGoH7ZoD6YNfv/SfAvQmr90eGmKOF
TD+hl1hM08gu2oxFU7mCvfTQ/2IbXP7KYFGEqaJ6wn0Z5yLOByPqblQZAAAAAA
MhfC7CIvR0McCQ+CBwuLzD+UJxl+kjgb+qwcOUkGX2PCZ7tOWzcXWNmn/4YHQl
GEXu0w67sVc2R9DlsHDNzeXLIOmjUl935qy1uoIR4V5C48YNsF4ejlgjeCFsbC Jb9/2RM=
-----END NEW CERTIFICATE REQUEST-----
|
13. | 요청 세부 사항을 확인하고 다음, 마침을 차례로 클릭합니다. |
서버 인증서에 대한 요청을 제출하려면
1. | 요청 전송을 위한 요구 사항을 알려면 CA에 문의하십시오. |
2. | 이전 절차에서 만든 .txt 파일의 내용을 CA에서 요구하는 요청 형식으로 복사합니다. |
3. | CA에 요청을 보냅니다. |
CA로부터 인증서를 받은 다음 웹 서버에 인증서를 설치할 준비를 합니다.
서버 인증서를 설치하려면
1. | 인증서(.cer) 파일을 C:\Windows\System32\CertLog 폴더로 복사합니다. |
2. | 시작, 제어판, 관리 도구를 차례로 클릭한 다음 IIS(인터넷 정보 서비스) 관리를 두 번 클릭합니다. |
3. | 서버 인증서를 설치할 웹 사이트를 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다. |
4. | 디렉터리 보안 탭을 클릭합니다. 보안 통신 섹션에서 서버 인증서를 클릭하여 웹 서버 인증서 마법사를 시작한 후 다음을 클릭합니다. |
5. | 대기 중인 요청을 처리한 다음 인증서를 설치합니다.를 클릭한 후 다음을 클릭합니다. |
6. | CA로부터 받은 인증서를 찾습니다. 다음을 두 번 클릭하고 마침을 클릭합니다. |
새 설정 확인
로컬 컴퓨터에 적절한 보안 설정이 적용되었는지 확인하려면 다음 절차를 완료합니다.
인증서가 웹 서버에 설치되어 있는지 확인하려면
1. | 시작, 제어판, 관리 도구를 클릭한 다음 IIS(인터넷 정보 서비스) 관리를 클릭합니다. |
2. | 보려는 인증서가 있는 웹 사이트를 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다. |
3. | 디렉터리 보안 탭의 보안 통신 영역에서 인증서 보기를 클릭하고 인증서를 검토한 다음 확인을 두 번 클릭합니다. |
웹 서버에서 SSL 연결 적용 및 사용
서버 인증서를 설치한 다음 웹 서버에서 SSL 연결을 설정해야 합니다. 그런 다음 SSL 연결을 적용해야 합니다.
참고 웹 서버에 SSL 연결이 필요한 경우에는 http 대신 https를 사용하도록 해당 서버에 대한 링크를 업데이트해야 합니다.
요구 사항
이 작업을 완료하려면 다음 사항이 필요합니다.
| • | 자격 증명. 웹 서버에 Administrators 그룹의 구성원으로 로그온해야 합니다. |
| • | 도구. IIS(인터넷 정보 서비스) 관리(iis.msc) |
SSL 연결을 적용하려면
1. | 시작, 제어판, 관리 도구를 차례로 클릭한 다음 IIS(인터넷 정보 서비스) 관리를 두 번 클릭합니다. |
2. | SSL 연결을 지정할 웹 사이트를 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다. |
3. | 디렉터리 보안 탭을 클릭합니다. 보안 통신 섹션에서 편집을 클릭합니다. |
4. | 보안 채널 필요(SSL)를 클릭하고 암호화 강도를 선택한 다음 확인을 클릭합니다. 참고 128비트 암호화를 지정한 경우 40비트 또는 56비트 정도의 브라우저를 사용하는 클라이언트 컴퓨터가 128비트 암호화를 지원하는 버전으로 업그레이드하기 전에는 이 사이트와 통신할 수 없습니다. |
웹 서버에서 SSL 연결을 확인하려면
1. | 시작, 제어판, 관리 도구를 차례로 클릭한 다음 IIS(인터넷 정보 서비스) 관리를 두 번 클릭합니다. |
2. | SSL 연결을 사용할 웹 사이트를 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다. |
3. | 웹 사이트 탭을 클릭합니다. 웹 사이트 확인 섹션에서 SSL 포트 상자가 숫자 값 443으로 채워졌는지 확인합니다. |
4. | 고급을 클릭합니다. 일반적으로 두 개의 상자가 나타나며 웹 사이트의 IP 주소와 포트는 이 웹 사이트의 복수 ID 상자에 나열됩니다. 이 웹 사이트의 복수 SSL ID 필드에서 포트 443이 아직 나열되어 있지 않으면 추가를 클릭합니다. 서버의 IP 주소를 선택하고 SSL 포트 상자에 숫자 값 443을 입력한 다음 확인을 클릭합니다. |
새 설정 확인
적절한 보안 설정이 웹 서버에 적용되어 있는지 확인하려면 다음 절차를 완료합니다.
웹 서버에서 SSL 연결을 확인하려면
1. | 브라우저를 열고 표준 http:// 프로토콜을 사용하여 웹 서버에 연결해 보십시오. 예를 들어 주소 상자에 http://localhost를 입력하고 Enter 키를 누릅니다. SSL을 적용하면 다음과 같은 오류 메시지가 나타납니다. 보안 채널에서 보아야 합니다. 액세스하려는 페이지가 SSL(Secure Sockets Layer)로 보호됩니다. |
2. | https://localhost를 입력하고 Enter 키를 눌러 표시할 페이지에 다시 연결합니다. 일반적으로 웹 서버의 기본 페이지가 표시됩니다. |
관련 정보
IIS 6.0 보안에 대한 자세한 내용은 다음을 참조하십시오.
| • | "Microsoft Windows Server 2003 웹 사이트(www.microsoft.com/windowsserver2003/techinfo/overview/iisenhance.mspx)의 인터넷 정보 서비스 6.0의 보안 강화 (영문)" |
| • | "Microsoft TechNet 웹 사이트(www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/ |
| • | Microsoft 인터넷 정보 서비스 웹캐스트 (영문) 웹 페이지(www.microsoft.com/windowsserver2003/iis/support/webcasts.mspx)의 테크넷 웹캐스트 "IIS 6.0을 사용한 효율적인 보안" |
IIS 6.0에 대한 자세한 내용은 다음을 참조하십시오.
| • | Microsoft 다운로드 센터(www.microsoft.com/downloads/details.aspx?familyid=80a1b6e6-829e-49b7-8c02-333d9c148e69&displaylang=en)에서 사용할 수 있는 IIS(인터넷 정보 서비스) 6.0 리소스 키트 (영문) |
| • | Microsoft Windows Server 2003 웹 사이트(www.microsoft.com/windowsserver2003/techinfo/overview/iis.mspx)의 "IIS(인터넷 정보 서비스) 6.0의 기술 개요 (영문)" |
'Infrastructure' 카테고리의 다른 글
| outlook 리턴메일 오류 메세지 모음 (0) | 2008.09.25 |
|---|---|
| IIS 설치시 이벤트 오류 (0) | 2008.09.25 |
| IIS FastCGI 기술을 활용한 PHP, ASP.NET 서비스 (0) | 2008.09.05 |
| [TechNet WebCast] 2007년 온라인 웹 캐스트 URL 모음... (0) | 2008.09.05 |
| Windows Server 2008 Step-By-Step Guide 한글판 (0) | 2008.09.05 |