[Windows] 윈도우즈 서버 취약점 점검 W-20 [2.14 IIS 데이터 파일 ACL 적용]
Nowhere 와 Now here 의 차이

IT/ㄴ Windows Vulnerabilities

[Windows] 윈도우즈 서버 취약점 점검 W-20 [2.14 IIS 데이터 파일 ACL 적용]

TIENE 2023. 8. 8. 08:08
반응형

KISA 한국인터넷진흥원 21-03-31 기준

 

KISA 한국인터넷진흥원

 

www.kisa.or.kr


출처 : [주요정보통신기반시설_기술적_취약점_분석_평가_방법_상세가이드.PDF] P.204


■ Windows 2000(IIS 5.0), 2003(IIS 6.0)

1) 시작> 실행> INETMGR> 웹 사이트> 해당 웹사이트> 속성> 홈 디렉토리 경로 확인

 

2) 탐색기를 이용하여 홈 디렉토리의 등록정보> [보안] 탭에서 Everyone 권한 확인

 

3) 아래와 같은 파일들에 대한 불필요한 Everyone 권한 제거

파일 형식 액세스 제어 목록
CGI(.exe / .dll / .cmd / .pl) 모든 사람(X). 관리자/시스템(전체 제어)
스크립트 파일(.asp) 모든 사람(X). 관리자/시스템(전체 제어)
포함 파일(.inc / .shtm / .shml) 모든 사람(X). 관리자/시스템(전체 제어)
정적 콘텐츠(.txt / .gif / .jpg / .html) 모든 사람(R). 관리자/시스템(전체 제어)

 

■ Windows 2008(IIS 7.0), 2012(IIS 8.0), 2016(IIS 10.0), 2019(IIS 10.0) 

1) 시작> 실행> INETMGR> 사이트> 해당 웹사이트> 기본 설정> 홈 디렉토리 실제 경로 확인

 

2) 탐색기를 이용하여 홈 디렉토리의 등록 정보> [보안] 탭에서 Everyone권한 확인 

 

3) 아래와 같은 파일들에 대한 불필요한 Everyone 권한 제거

파일 형식 액세스 제어 목록
CGI(.exe / .dll / .cmd / .pl) 모든 사람(X). 관리자/시스템(전체 제어)
스크립트 파일(.asp) 모든 사람(X). 관리자/시스템(전체 제어)

 

반응형