[윈도우/서비스 관리] 웹 프로세스 권한 제거 (W-15)
- 취약점 점검/윈도우
- 2021. 3. 25.
웹 프로세스 권한 제거
취약점 개요
■ 위험도
- 상
■ 점검 목적
- 웹 프로세스가 웹 서비스 운영에 필요한 최소한의 권한만을 갖도록 제한하여 웹사이트 방문자가 웹 서비스의 취약점을 이용햇 시스템에 대한 어떤 권한도 획득할 수 없도록 하기 위함
■ 보안 위협
- 웹 프로세스 권한을 제한하지 않은 경우 웹사이트 방문자가 웹서비스의 취약점을 이용하여 시스템 권한을 획득할 수 있으며, 웹 취약점을 통해 접속 권한을 획득한 경우에는 관리자 권한을 획득하여 서버에 접속 후 정보의 변경, 훼손 및 유출 할 우려가 있음
점검 및 조치 방법
■ 판단 기준
- 양호 : 웹 프로세스가 웹 서비스 운영에 필요한 최소한 권한으로 설정되어 있는 경우
- 취약 : 웹 프로세스가 관리자 권한이 부여된 계정으로 구동되고 있는 경우
■ 조치 방법
- 시작 > 제어판 > 관리 도구 > 로컬 보안 정책에서 nobody 계정 설정
Windows NT, 2000, 2003, 2008, 2012
Step 1) 시작 > 제어판 > 관리도구 > 컴퓨터 관리 > 로컬 사용자 및 그룹 > 사용자 선택
Step 2) nobody 계정 추가
Step 3) 시작 > 제어판 > 관리도구 > 로컬 보안 정책 > 사용자 권한 할당 선택, " 서비스 로그온" 에 "nobody" 계정 추가
Step 4) 시작 > 실행 > SERVICES.MSC > IIS Admin Service > 속성 > [로그온] 탭의 계정 지정에 nobody 계정 및 패스워드 입력
Step 5) 시작 > 프로그램 > 윈도우 탐색기 > IIS가 설치된 폴더 속성 > [보안] 탭에서 nobody 계정을 추가하고 모든 권한 체크
세가지 권한 중 '낮음'으로 되어 있는 경우, IIS 프로세스는 시스템 권한을 가지게 되므로 해커가 IIS 프로세스의 권한을 획득하면 관리자에 준하는 권한을 가질 수 있으므로 주의 해야 함
■ 스크립트
echo. W-27 START
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo [ W-27 "IIS 웹 프로세스 권한 제한" ] >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo ■ c:\inetpub디렉터리 권한 확인 ■ >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
icacls %IIS_WEB_HOME% | find /v "파일을 처리했으며" >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo W-27 END >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo ====================================================================================== >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt