[윈도우/서비스 관리] FTP 디렉토리 접근권한 설정 (W-26)
- 취약점 점검/윈도우
- 2021. 7. 6.
FTP 디렉토리 접근권한 설정
취약점 개요
■ 위험도
- 상
■ 점검 목적
- FTP 서비스 디렉토리의 접근 권한을 적절하게 설정하여 의도치 않은 정보 유출 등의 보안 사고를 방지하고자 함
■ 보안 위협
- FTP 홈디렉토리에 과도한 권한이 부여된 경우 임의의 사용자가 쓰기, 수정이 가능하여 정보 유출, 파일 위변조 등의 위험이 존재
점검 및 조치 방법
■ 판단 기준
- 양호 : FTP 홈 디렉토리에 Everyone 권한이 없는 경우
- 취약 : FTP 홈 디렉토리에 Everyone 권한이 있는 경우
■ 조치 방법
- FTP 홈 디렉토리에서 Everyone 권한 삭제, 각 사용자에게 적절한 권한 부여
● Windows NT(IIS4.0), 2000(IIS 5.0), 2003(IIS 6.0)
Step 1) 인터넷 정보 서비스(IIS) 관리 > FTP 사이트 > 해당 FTP 사이트 > 속성 > [홈 디렉토리] 탭에서 FTP 홈 디렉토리 확인
Step 2) 탐색기 > 홈 디렉토리 > 속성 > [보안] 탭에서 Everyone 권한 제거
● Windows 2008(IIS 7.0), 2012(IIS 8.0)
Step 1) 제어판 > 관리도구 > 인터넷 정보 서비스(IIS) 관리 > 해당 웹사이트 > 마우스 우클릭 > FTP 게시 추가
Step 2) 이후 진행 과정에서 권한 부여 화면의 엑세스 허용 대상 선정 시 [지정한 사용자] 만 선택
■ 스크립트
echo. W-26 START
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo [ W-26 "FTP 디렉터리 접근권한 설정" ] >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
net start | find "FTP" > nul
IF ERRORLEVEL 1 GOTO DIRACL-FTP-DISABLE
IF NOT ERRORLEVEL 1 GOTO DIRACL-FTP-ENABLE
:DIRACL-FTP-DISABLE
echo FTP Service Disabled >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
GOTO W-38 END
:DIRACL-FTP-ENABLE
:: reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSFtpsvc\Parameters\Virtual Roots" /s >> [RESULT]_%COMPUTERNAME%_WINSVR.txt 2>&1
echo ■ C:\Inetpub\ftproot 접근 권한 ■ >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
icacls "C:\Inetpub\ftproot" | find /v "파일을 처리했으며" >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo ■ 입력 받은 ftp 디렉터리 접근 권한 ■ >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo 입력 받은 ftp 디렉터리 : "%ftpR% " >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
icacls "%ftpR% " | find /v "파일을 처리했으며" >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
:W-26 END
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo W-26 END >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo ====================================================================================== >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt