Windows 2000 과 IIS 관리자들을 위한 점검사항 리스트

01 14, 2007 01:45

▒ Windows 2000 과 IIS 관리자들을 위한 점검사항 리스트
작성일 : 2001-05-25      조회수 : 52948  

    • 인터넷에는 무수한 자료가 넘쳐흐르고 있지만, 적시적소에 필요한 정보를 꿰어 맟추는 자만이 그 자료들을 이용할 수 있는 권리가 있다.
    • 모든 자료는 공유될 때 가치가 있는 것이고, 자신이 100% 개발하지 않은 정보와 지식은 반드시 전파해야만 한다. 그것이 지식 개발자를 위한 도리이다.
    • 수정할 내용이나 첨가해야 겠다고 생각하는 내용이 있을 시에는 언제든지 멜보내 주세요!


    제공자 : 최철호(kuweit@instec.co.kr)


    1.OS System 측면


    1. International English 버전으로 설치
      Windows OS 의 HotFix(Patch 또는 Update)가 1주일에 거의 1번 꼴로 발생한다.
      그러나, 대부분이 영어버전용이고 다국어 버전에서는 어떻다는 말이 없다. 특수한 경우에는 다국어 버전의 파일을 별도로 제공하고는 있지만 나머지는 다국어 버전에서 그냥 사용해도되는지 알 수 없다. 사용하다 문제가 발생하면 누구의 책임이겠는가? 모든 것이 관리자의 책임이다.
      따라서, 이런 고민을 하지 않으려면 영어버전(국내에서 판매되는 International English)버전을 사용하기 바란다.

    2. 버전관리
      Boot Script 를 활용하여 서비스팩과 핫픽스을 업데이트


    3. 계정 관리
      - 계정별 권한관리.
      Perms.exe : 사용자별 파일/디렉토리 액세스권한을 확인할 수 있다.

    4. 계정암호 관리
      - 최소길이 7자 추천(최대 127자)
      - 특정 단어사용하지 말것(사전에 나오는 문자사용불가)
      - 영문자(대소문자 혼용)+숫자+기호(!$%& 등의 특수 문자)
      - 원격 암호변경 불가능하도록 설정 : 해커가 관리자의 암호를 마음대로 수정하는 것을 방지한다.
      - 암호사용기간 및 암호기록 횟수 지정 : 일반적으로 사용자들은 한 번 정한 암호를 바꾸지 않는다. 이 것을 방지한다.

    5. Storage 관리
      - NTFS 파티션 : 적어도 Web 관련된 부분만큼은 NTFS 로 지정되어 있어야 한다.
    6. 로그관리 - 이벤트 표시기를 통한 보안/시스템/응용프로그램 로그를 항상 주시하여 언제 발생할지 모르는 사고와 사태에 대비하여야 한다. 노란색으로 표시되는 경고메시지는 잠재된 에러를 뜻하므로 경계를 게을리하면 안된다.

    7. 로그온감사 : 사용자 로그온 기록을 남기자
      - ID 사용을 감시할 수 있으므로 불법 ID 확인이 가능하다.

    8. 보안관리 : Microsoft 보안 알림서비스 메일링리스트 가입
      - 제목, 내용없이 메일을 보내면 가입을 확인하는 메일이 오는데, 이 메일에 회신하면 가입축하메일이 온다.



    2.네트워크 측면

    1. Ping 받지않기(ICMP 패킷 차단하기)
      Windows 2000 의 경우, IPSec 을 사용하여 ICMP 패킷을 차단할 수 있다.
    2. Web 서비스 전용기기로 설치하기
      웹 서버를 파일서버등과 분리하는 것은 보안적 측면이나 속도를 고려해서 추천할 만한 방법일 것이다.
    3. 네트워크에서 분리하기
      웹 서비스 기기는 다른 업무용 기기와 분리되는 것이 좋으나, 하나의 기기로 여러 개의 작업을 하는 경우라면 서버측에 랜카드를 두개 설정하고 IP 주소를 분리하는 방법도 고려해 볼만하다.
    4. Qos 를 이용한 대역폭관리
    5. 방화벽이용
      방화벽을 이용할 경우, Windows 의 서비스들은 각각의 port 를 사용한다.
      \\…\system32\drivers\etc\service.txt 를 참조한다.


    3.DNS 측면

    1. 외부에서 nslookup 으로 DNS 정보를 볼 수 없게 설정한다.
      DNS서버의 웹사이트의 등록정보에 보면 “영역 전송” 탭에서 체크박스를 체크해주고 아래에 영역을 전송할 서버를 입력하여 주면 됩니다.
      이 것을 "아무서버로" 라 설정하면 말 그대로 영영정보를 요청하는 모든 곳에 영역을 전송하게 됩니다. 즉, 이를 막는 방법을 사용하려면 특정서버(연결된 ISP 의 DNS 서버 권장)로의 연결만을 허락하는 것이 좋습니다.


    4.IIS 측면

    1. 버전관리
      - HFCheck : HotFix 적용확인 도구
    2. 보안관리
      - IISCONFIG :
      - IISLock : IIS 5.0 설정을 쉽게 해준다.
      - What If : IIS 보안 확인도구(시나리오를 이용한 보안성 확인)
      - 보안체크리스트(원문)
    3. 응용프로그램보안
      - IIS 응용프로그램레벨의 보안방화벽 Secure IIS 추천
    4. IIS 무응답상태 : ASP Queue 관리
      - set objVar = nothing
      - IIS 서비스가 무응답으로 빠지는 문제는 대부분 ASP에서 Object 변수를 Nothing 처리를 하지 않았기 때문입니다.
      - 퍼포먼스관리자의 ASP Requested Queue 의 수가 0 이어야 한다. ASP 가 하나씩 실행될 때마다 1 씩 증가하며, 종료되면 1 씩 감소한다. 따라서 정상적인 ASP 코드의 경우에는 늘어난 만큼 감소하여 나중에는 0이 되어야한다.
    5. webroot 보안 십계명
    6. unicode 문제
      - 디렉토리/파일의 이름에 유니코드등 2 바이트문자를 사용하지 않는다.(영문만 사용한다)
      - 가급적 실행권한을 주지 않는다.
      - 필요한 경우가 아니라면, IIS 설치시 기본적으로 설치되는 IISAdmin, IISSample 등의 디렉토리를 지운다.
    7. 웹용량 분석
      - MS Web Capacity Analysis Tool
    8. 웹캐쉬제어
    9. ASP 성능향상
      - Tip 1
      - Tip 2


    5.사이트관리측면
    - 관리자와 서버간 통신은 VPN / SSL 등으로 보호하자.
    - Terminal Service 보안


    6. 참고 list 및 문헌
    윈도우 NT서버 및 IIS 보안 관리
    - http://www.ntfaq.co.kr
    - http://www.ntsecurity.com
    - http://www.ntsecurity.net
    - http://www.microsoft.com/security
    - http://www.microsoft.com/technet/security
    - 공짜로 경험하는 강력한 네트워크관리

http://www.ntfaq.co.kr/notice/content.asp?tname=ntfaq_tech&pid=23&page=11&keyword=&choice=

브니 Programs/Web Programs

01 14, 2007 01:45 01 14, 2007 01:45
[로그인][오픈아이디란?]
오픈아이디로만 댓글을 남길 수 있습니다