[윈도우/서비스 관리] DNS Zone Transfer 설정 (W-29)
- 취약점 점검/윈도우
- 2021. 8. 5.
DNS Zone Transfer 설정
취약점 개요
■ 위험도
- 상
■ 점검 목적
- DNS Zone Transfer 차단 설정을 적용하여 도메인 정보의 불법 외부 유출을 막고자 함
■ 보안 위협
- DNS Zone Transfer 차단 설정이 적용되지 않은 경우 DNS 서버에 저장되어 있는 도메인 정보를 승인된 DNS 서버가 아닌 외부로 유출 위험 존재
점검 및 조치 방법
■ 판단 기준
- 양호 : 아래 기준에 해당될 경우
1) DNS 서비스를 사용 않는 경우
2) 영역 전송 허용을 하지 않는 경우
3) 특정 서버로만 설정이 되어 있는 경우
- 취약 : 위 3개 기준 중 하나라도 해당 되지 않는 경우
■ 조치 방법
- 불필요 시 서비스 중지/사용 안 함, 사용하는 경우 영역 전송을 특정 서버로 제한하거나 "영역 전송 허용"에 체크 해제
■ 점검 및 조치 사례
● Windows NT
Step 1) 시작 > 프로그램 > 관리 도구 > DNS 관리자 > 각 조회 영역 > 해당 영역 > 등록 정보 > 알림
Step 2) "알림 목록에 있는 보조 영역에서만 액세스 허용" 선택 후 서버 IP 추가
● Windows 2000, 2003, 2008, 2012
Step 1) 시작 > 실행 >DNSMGMT.MSC > 각 조회 영역 > 해당 영역 > 속성 > 영역 송
Step 2) "다음 서버로만" 선택 후 전송할 서버 IP 추가
Step 3) 불필요 시 해당 서비스 제거
시작 > 실행 >SERVICES.MSC > DNS 서버 > 속성 [일반] 탭에서 "시작 유형"을 "사용 안 함"으로 설정한 후, DNS 서비스 중지
■ 스크립트
echo. W-29 START
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo [ W-29 "DNS Zone Transfer 설정" ] >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
reg query "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\DNS Server\Zones" /s | find /I "SecureSecondaries" >> [RESULT]_%COMPUTERNAME%_WINSVR.txt 2>&1
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo W-29 END >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo ====================================================================================== >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
■ 용어 설명 / 팁
※ Zone-transfer : Zone(영역) 전송이라고 하며 master와 slave 간에 또는 primary와 secondary DNS 에 zone 파일 동기화하기 위한 용도로 사용되는 기술