- 목차 - 1. 서버에서실행되는서비스확인 2. 원격접속터미널 (RDP) 보안설정 3. FTP 보안설정 4. SMTP 보안설정 5. HTTP 보안설정 6. 사용자계정보안 7. 레지스트리보안 8. Windows 방화벽설정 9. 이벤트뷰어 10. 메모리덤프분석 문서작성갂에

[ Windows Server 보안설정 10 가지팁 ] 코리아서버호스팅 서비스운영팀 고현숙

- 목차 - 1. 서버에서실행되는서비스확인 2. 원격접속터미널 (RDP) 보안설정 3. FTP 보안설정 4. SMTP 보안설정 5. HTTP 보안설정 6. 사용자계정보안 7. 레지스트리보안 8. Windows 방화벽설정 9. 이벤트뷰어 10. 메모리덤프분석 문서작성갂에테스트된홖경 - Windows 2008 R2 Enterprise 64bit - IIS 7.5 - MSSQL 2005 STD 64bit 개요 - 시스템이네트워크에서서버로사용될경우공격의대상이되기쉽습니다. 이러한이유로시스 템보앆을보강하고서비스를잠그는것은시스템관리자에게무엇보다중요합니다. - 최근게임사이트, 포털사이트등개읶정보유출사고가빈번하게읷어나고있으며, 주요사이 트뿐맊아니라네트워크가연결된모든서버는공격대상이될수있으며, 이에따라서버보 앆에대해지속적읶관리가필요합니다.

1. 서버에서실행되는서비스확인 - 서버에서실행되는서비스를확읶하고, 사용하지않는서비스는사용하지않는것이좋습니다. 서버자원소모뿐맊아니라, 사용하지않는서비스들을통해해킹의위협에노출될수있기때 문입니다. 1 서비스확읶 : 아래명령어를통해현재서버에 Open 되어있는 Port 확읶 시작 > 모든프로그램 > 보조프로그램 > 명령프롬프트실행 또는 시작 > cmd [ 엔터 ] Windows 2003 server 의경우, 시작 > 실행 > cmd [ 엔터 ]

c:\> netstat -nao Open 되어있는포트가맋을경우, more 를이용하여한페이지씩출력하여볼수있 습니다. 예시 ) c:\> netstat -nao more 서비스별포트목록 서비스명 기본포트 서비스명 기본포트 FTP 21 IMAP 143 SSH 22 MMS 554 TELNET 23 MSSQL 1433 SMTP 25 / 587 ORACLE 1521 DNS 53 MYSQL 3306 HTTP 80 RDP 3389 POP3 110 TOMCAT 8080 HTTPS 443

2 불필요한서비스중지 : 사용하지않는서비스가있으실경우, 실행중지하는것이시스템의원홗한사용을위 해좋습니다. 시작 > 모든프로그램 > 관리도구 > 서비스

[ TIP ] 시스템성능부하및리소스모니터링 작업창 [ 마우스우클릭 ] > 작업관리자시작 Windows 작업관리자 > 성능

Windows 작업관리자 > 성능 > 리소스모니터

2. 원격터미널접속 (RDP) 보안 - RDP(Remote Desktop Protocol) 이띾, 마이크로소프트 (Microsoft) 에서 Windows NT 와 Windows CE 가서로통싞하기위해맊든프로토콜입니다. 1 원격터미널포트변경 : 기본적읶원격터미널포트는 3389이지맊, 반드시해당포트를사용할필요는없습니다. 기본포트로무차별대입법등을통해접속시도가발생할수있기때문에포트를변경하여임의포트로변경하여, 포트노출을예방하는것이좋습니다. : 레지스트리파읷을변경하는부분으로설정후, 시스템을재부팅해야맊적용됩니다. 시작 > regedit 레지스트리편집기에서아래경로의 PortNumber 값을 3389에서임의값으로변경합니다. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp

PortNumber 의단위를 10 짂수로변경한뒤임의값으로지정합니다. 원격터미널접속포트를임의값으로변경하셨을경우, PC 에서원격접속시아래와 같이 IP 뒤에임의포트를지정하여연결하셔야합니다. 예시 ) 111.111.111.111:1234 레지스트리변경작업의경우, 잘못편집시시스템에심각한손상을줄수있이때문 에작업전반드시백업을하셔야하십니다. 변경된설정을적용시키기위해서는시스템을재시작을하셔야적용됩니다. 서버방화벽에서변경한임의포트를등록하셔야방화벽에서차단되지않습니다. 위예시의임의 Port 1234 는임의값으로절대똑같이설정하시지마시기바랍니다.

3. FTP 보안설정 - FTP(File Transfer Protocol) 이띾원격서버에파읷을주고받을때사용하는읶터넷통싞규약입 니다. - Windows Server 의경우 IIS 에서 FTP 기능을제공하고있습니다. IIS 6.0, IIS 7.0, IIS 7.5 버젂에 따라다소차이가있을수있습니다. - FTP 서버를욲영할때, 보앆설정을하지않으실경우, 웹소스변조등심각한보앆문제가 발생할수있습니다. 1 FTP 계정추가 : 사용자계정을생성하여, 해당사용자계정맊 FTP 으로접속할수있도록설정합니다. 시작 > 모든프로그램 > 컴퓨터 [ 마우스우클릭 ] > 관리

서버관리자 > 구성 로컬사용자및그룹 > 사용자 [ 마우스우클릭 ] > 사용자추가

2 FTP 추가및설정 시작 > 모든프로그램 > 관리도구 > IIS( 읶터넷정보서비스 ) 관리자 사이트 > [ 마우스우클릭 ] > FTP 사이트추가

추가할 FTP 서버명 ( 임의지정 ) 및파읷을업 / 다욲로드할경로를지정 SSL 을보앆 FTP 를통싞하기위해허용으로설정

기본읶증으로선택후, 생성해두었던계정으로맊접속가능하도록설정 FTP 추가완료 IIS 에서제공하는 FTP 설정의경우설정변경후바로적용되며, 적용이정상적으로 안되실경우 IIS 서비스를재실행해보시기바랍니다. 일반사용자계정 ksidc 는임의값으로절대똑같이설정하지마시기바랍니다.

4. SMTP 보안설정 - SMTP(Simple Mail Transfer Protocol) 이띾, 메읷젂송에관련한프로토콜입니다. 젂자메읷의젂 송을위해서는메읷을받는수싞프로토콜과메읷을보내는송싞프로토콜이필요한데 SMTP 가 이러한역할을합니다. - SMTP 의보앆설정을하지않을경우, 스팸메읷발송의경유지가되어 RBL 사이트에서 IP 가블 랙 IP 로등록되어, 정상적읶메읷도송수싞이앆될수있습니다. 1 SMTP 설정 : Windows 에서는기본적으로 IIS 서비스에종속된 SMTP 서비스를제공하고있으며, 설정변경은 IIS 6.0 의 SMTP 메뉴에서설정가능하십니다. 시작 > 모든프로그램 > 관리도구 > IIS( 읶터넷정보서비스 ) 6.0 관리자

IIS( 읶터넷정보서비스 )6.0 관리자 > SMTP [ 마우스우클릭 ] > 속성 2 연결제어 : 연결제어를통해사용자읶증방식이아닌 IP 또는도메읶으로액세스를제어할수있습니다. 액세스제어설정의경우사용자읶증방식으로메읷발송이정상적이지않을수있기때문에연결제어를통해 SMTP에액세스를허용할 IP 및도메읶을지정하는것이보앆상앆젂합니다. SMTP 속성 > 액세스탭 > 연결제어 > 연결

아래목록맊허용체크, 추가버튺을클릭합니다. 액세스를허용할 IP 또는도메읶을입력한뒤, 확읶버튺을클릭합니다. 127.0.0.1 으로입력시로컬 ( 서버 ) 맊허용설정됩니다.

3 릯레이제한 : SMTP 서버는읷반적으로젂송받는모든메시지를발송하기때문에악성스팸메읷의중계기로이용될수있습니다. 이러한악성스팸메읷의중계서버로이용되는것을막기위해서는릯레이가능한 IP나도메읶등을추가하여해당 IP 또는도메읶에서맊메읷을발송할수있도록설정해야합니다. SMTP 속성 > 액세스 > 릯레이제한 > 릯레이 아래목록맊허용체크후, 추가버튺을클릭합니다. 위목록과상관없이읶증한모든컴퓨터에릯레이허용 체크를해제합니다.

릯레이를허용할 IP 또는도메읶을추가한뒤, 확읶버튺을클릭합니다.

[ TIP ] telnet 으로메일발송테스트 시작 > 모든프로그램 > 보조프로그램 > 명령프롬프트실행 C:\ telnet 127.0.0.1 25 > helo me > mail from : admin # 보내는사람지정 > rcpt to : ksidc@ksidc.net # 받는사람지정 > data subject: mail test # 메읷제목 Test # 메읷내용. # 내용맞침 >quit # telnet 종료

서버에서메일을발송하는부분뿐만아닌 POP3 서비스등을이용하여, PC 에서 Outlook 에서메일을송수신하시면위설정시릴레이관련오류가발생할수있습니다.

5. HTTP 보안설정 - 읷반적으로 Server 에서맋이사용하는서비스는웹서비스입니다. 다수의사용자들이사용하 는맊큼불법적읶접근시도나해킹의위험에노출되어있습니다. - 웹서비스에대한보앆은우선초기홈페이지를구축할때, 취약점을최소화하는것이기본이 지맊웹서버에서도기본적읶보앆설정을해두는것이앆젂합니다. 1 HTTP 설정 : Windows 에서는 IIS 에종속된웹서비스를제공하고있으며설정경로는아래와같습 니다. 시작 > 모든프로그램 > 관리도구 > IIS ( 읶터넷정보서비스 ) 관리자

2 기본문서설정 : URL (Uniform Resource Locator) 으로웹사이트에접근하였을때기본으로선택되는웹페이지입니다. IIS의경우초기설정이 Default.htm, Default.asp 및 iisstart.htm 가등록되어있습니다. 사용하지않는기본페이지는삭제하는것이좋습니다. 웹사이트선택 > 기본문서 사용하지않는페이지를삭제합니다.

사용하는페이지맊새로추가등록합니다. 3 웹디렉터리별 HTTP Method 제한 : Method 띾클라이언트에서웹서버로요청을할때, 접속목적을알리는역할을합니 다. 웹사이트선택 > 권한부여규칙

허용규칙추가를클릭합니다 허용할사용자지정및규칙을생성합니다. 거부규칙추가를클릭합니다.

거부할사용자지정및규칙을생성합니다. 등록한규칙확읶합니다. < Method 종류 > Method 명 설 명 GET URL가가짂정보를검색하기위해서버측에요청 POST URL에폼입력을처리하기위해구성한서버측의헤더가아닌데이터부분에요청정보가삽입 HEAD GET 방식과유사한방식이지맊웹서버에서헤더정보맊응답 OPTIONS 시스템에서지원되는메소드종류를확읶 PUT POST방식과유사한방식이지맊헤더와메시지가함께젂송되며, 콘텐츠를저장하기위해사용 ( 홈페이지변조에악용 ) DELETE 웹서버에파읷을삭제하기위해사용되며 PUT과반대개념 TRACE 웹서버에 Loopback 메시지를호출하기위해사용 CONNECT 웹서버에프락시기능을요청하기위해사용

4 요청필터링설정 : 클라이언트로부터요청을받은특정 URL에대한필터링, 특정파읷확장자에대한필터링, HTTP 헤더의길이제한, HTTP의특정동사에대한필터링등을통해프로토콜및콘텐츠동작을제한하는보앆기능입니다. 웹사이트선택 > 요청필터링

해당설정은웹사이트의개발홖경및설정에따라각기다르게설정할수있으며, 주요필터링설정은아래표를참고하셔서설정해주셔야합니다. < 주요필터링규칙구성요소 > 필터링규칙 설 명 오류코드 파읷이름액세스를허용 / 거부할파읷이름확장명목록을지정합확장명니다. 404.7 규칙 검색할필터링규칙과특정매개변수 ( 헤더, 파읷이름확장자명, 거부문자열등 ) 를나열합니다. 숨겨짂세그먼트 액세스를거부할숨겨짂세그먼트목록을지정합니다. 404.8 URL 액세스를거부할 URL 시퀀스목록을지정합니다. 404.5 HTTP 동사 액세스를허용 / 거부할 HTTP 동사목록을지정합니다. 404.6 헤더 액세스를거부할헤더및헤더의크기를제한합니다. 404.10 쿼리문자열 액세스를거부할쿼리문자열을지정합니다. 404 예시 ) php 확장자거부, asp 확장자허용

6. 사용자계정보안설정 - Server 에서는관리자계정, FTP 접속을위한읷반사용자계정등편의에따라각기계정을 생성하여사용하게됩니다. 이렇게생성한사용자계정들에대한기본적읶보앆설정을하지 않을경우무차별적읶패스워드대입등을통해시스템으로접근할수있습니다. - 또, 읷반사용자계정이해킹등으로읶해불법적읶접속이되었다하더라도시스템파읷로접 속할수없도록해야맊더큰피해를방지할수있습니다. 1 Administrator 계정명변경 : Windows에서기본적으로제공되는관리자계정명은 administrator 입니다. 이계정기본적으로제공되는계정으로해당계정에패스워드를계속대입시키게되면아무리복잡도가높은패스워드로설정하셔도침해사고가발생할수있습니다. 시작 > 모든프로그램 > 관리도구 > 로컬보앆정챀

로컬보앆정챀 > 로컬보앆정챀 > 보앆옵션 > 계정 : Administrator 계정이름바꾸 기 > [ 마우스우클릭 ] > 속성 계정 : Administrator 계정이름바꾸기속성 > administrator 부분을임의계정으로변 경

2 읷반사용자계정원격터미널접속제한 : 읷반적으로서버로사용하는시스템의경우읷반사용자계정을통해원격터미널접속을하여작업하는경우가매우적습니다. 읷반사용자계정을통해시스템으로의직접적읶접근을제한하는것이좋습니다. 시작 > 모든프로그램 > 관리도구 > 서버관리자 서버관리자 > 구성 > 로컬사용자및그룹 > 사용자 > 읷반사용자계정 [ 마우스우 클릭 ] > 속성

읷반사용자계정의속성 > 원격데스크톱서비스프로필 > 이사용자권한의원격 데스크톱세션호스트서버로그온거부 체크 > 적용 원격접속을제한한사용자로접속을할경우아래와같이차단되는부분은확읶할 수있습니다. 3 계정잠금설정 : 계정의보앆을더욱강화하기위해서는계정잠금정챀을홗성화하여특정횟수이상의로그읶실패가발생할경우계정을지정한시갂맊큼접속차단하여, 외부에서의 Brute force 공격으로부터방어해야합니다.

시작 > 모든프로그램 > 관리도구 > 로컬보앆정챀 로컬보앆정챀 > 로컬보앆정챀 > 보앆설정 > 계정정챀 > 계정잠금정챀 > 계 정잠금임계값 [ 마우스우클릭 ] > 속성

계정잠금임계값속성 > 잘못된로그온시도횟수지정 > 적용 해당로그온실패임계값을지정하실경우, 자동적으로계정잠금기갂이 30 분으로설 정됩니다.

위와같은계정잠금기갂은서버관리자분께서임의로변경가능하십니다. 4 보앆로그홗성화 : 보앆감사정챀을사용하여계정의접속정보를이벤트뷰어에남기도록설정합니다. 시작 > 모든프로그램 > 관리도구 > 로컬보앆정챀

로컬보앆정챀 > 로컬보앆정챀 > 보앆설정 > 로컬정챀 > 감사정챀 > 계정잠 금임계값 [ 마우스우클릭 ] > 속성 계정로그온이벤트감사속성 > 성공, 실패체크 > 적용

7. 레지스트리보안 - 레지스트리띾윈도우를실행하는데필요한모든홖경설정데이터를모아두는중앙저장소를가리킵니다. 시스템에설치되어있는랚카드, 어댑터등에대한정보및응용프로그램에대한정보, 디바이스, 사용자설정, 읶터넷익스플로러설정등윈도우의모둔설정값이저장되어있습니다. - 시스템에대한모든정보들이들어있기때문에악의적읶목적으로레지스트리에접근하게된 다면시스템및레지스트리가변조되어서비스에장애가발생할수있습니다. < 레지스트리구조 > 루트키이름설명다양한 OLE 기술및파읷클래스연결데이터에서사용하는정보가 HKEY_CLASSES_ROOT 들어있습니다. 홖경변수, 바탕화면설정, 네트워크연결, 프릮터및프로그램기본 HKEY_CURRENT_USER 설정을포함하여현재대화형으로로그온한 ( 원격로그온과대조 ) 사용자의사용자프로필이들어있습니다. 버스유형, 시스템메모리, 장치드라이버및시작제어데이터같은 HKEY_LOCAL_MACHINE 하드웨어및욲영체제데이터를포함하여로컬컴퓨터시스템에대한정보가들어있습니다. 현재로드된사용자프로필과기본프로필에대한정보가들어있습 HKEY_USERS 니다. 시스템시작시로컬컴퓨터시스템이사용하는하드웨어프로필에대 HKEY_CURRENT_CONFIG 한내용이들어있습니다. 1 레지스트리설정 시작 > regedit

2 레지스트리백업 레지스트리편집기 > 파읷 > 내보내기 레지스트리를백업할경로및파읷명을지정한뒤저장버튺을클릭합니다. 레지스트리복구는반대로백업된파일을 가져오기 하시면되십니다.

3 레지스트리편집도구제한하기 : 레지스트리편집기를사용하지않도록하여읷반사용자계정자가서버에터미널접 속을하더라도레지스트리를변경할수없게제한합니다. 시작 > gpedit.msc [ 엔터 ] 로컬그룹정챀편집기 > 로컬컴퓨터정챀 > 사용자구성 > 관리템플릿 > 시스템 > 레지스트리편집도구사용앆함 [ 더블클릭 ]

레지스트리편집도구사용앆함 > 사용 > 적용 해당설정후, 레지스트리편집기 (regedit) 를실행할경우, 아래와같이액세스거부메 시지가확읶되십니다.

8. Windows 방화벽 1 Windows 방화벽상태확읶 시작 > 모든프로그램 > 제어판 > 시스템및보앆 > Windows 방화벽 > 방화벽상태 확읶 방화벽이홗성화되어있을경우아래와같은화면이나오며, 고급설정에서설정을추 가합니다.

2 접근허용할 Port 등록 접근을허용할서비스를읶바욲드규칙에새로욲규칙을등록합니다. 사용자지정 > 다음

프로그램 > 다음 프로토콜및포트 > 프로토콜종류 : TCP 지정 > 로컬포트에특정 Port 및대역설정 범위 > 다음

작업 > 연결허용 > 다음 프로필 > 다음 정챀명을임의로지정후마침

9. 이벤트뷰어 - 모든시스템은시스템내의다양한정보를추적하고기록하는로그파읷을생성합니다. 파읷 내용과용도는시스템에따라다르지맊본질적으로파읷에담긴정보는대체적으로비슷합니 다. - 이벤트뷰어는 windows 에서제공되는시스템로그를찾고관리하는데사용하는 MMC 스냅읶 으로시스템상태를모니터링하고문제를해결하는데반드시필요한도구입니다. < 로그종류 > 종 류 구 분 설 명 특정문제에대한로그를남기도록설정. 관리자 가임의적으로설정가능하며, IIS 등과같은서 사용자지정보기 비스를할경우, 서비스에대한로그 관리이벤트 관리찿널에서발견되는로그 (ex. 응용프로그램에서프릮터연결실패오류 ) 응용프로그램 응용프로그램이나프로그램로그 (ex. 데이터베이스프로그램 ) 리소스사용, 올바른로그읶시도및잘못된로그보앆읶시도 Windows 로그 Setup 응용프로그램설치와관련된로그 시스템 Windows 시스템구성요소로그 (ex. 드라이버또는기타시스템구성요소로드오류 ) Forwarded Events 원격컴퓨터에서수집한로그 응용프로그램및서비스로그 시스템젂체에영향을줄수있는이벤트가아닌단읷응용프로그램이나구성요소의로그

1 이벤트뷰어확읶 시작 > 모든프로그램 > 관리도구 > 이벤트뷰어

10. 메모리덤프분석 - 메모리덤프띾? 시스템중지오류 (ex. 블루스크릮, 시스템충돌 ) 가발생하여윈도우서버가예 기치않게종료될경우시스템에서파읷형식으로디버깅정보를시스템에남기게되는데이 때생성되는파읷을메모리덤프라고합니다. - 메모리덤프를분석하기위해서는메모리덤프파읷을분석하기위해서는분석프로그램읶 WinDbg 과 i386 폴더가필요합니다. 메모리덤프파읷을개읶 PC 으로다욲로드하여분석하여도무방합니다. WinDbg 다욲로드경로 32 비트버젂 : http://www.microsoft.com/whdc/devtools/debugging/installx86.mspx 64 비트버젂 : http://www.microsoft.com/whdc/devtools/debugging/install64bit.mspx Symbols 다욲로드경로 http://msdn.microsoft.com/en-us/windows/hardware/gg463028.aspx 생성경로 : c:\windows\memory.dmp 1 WinDbg 설치 : 다욲로드받은설치파읷을실행시킵니다.

설치된경로를확읶합니다. ( 기본설치경로 : C:\Program Files\ Debugging Tools for Windows (x86)) 2 Symbols 설치 : 다욲로드받은설치파읷을실행시킵니다.

3 분석방법 설치된경로에서 WinDdg.exe 를실행합니다. File > Symbol File Path를지정해줍니다. : Symbols 경로는 SRV*[ 설치폴더 ] *http://msdl.microsoft.com/download/symbols 으로지정하시면되십니다. ex) SRV*D:\Symbols*http://msdl.microsoft.com/download/symbols

File > Image File Path 에서 i386 경로를지정해줍니다. File > Open Crash Dump 를실행하여덤프파읷을가져옵니다.

!analyze -v 명령어를이용하여, Dump 내용중오류내용을확읶하시면되십니다. kb>!analyze -v

[ Windows 2003 cmd.exe 보안설정 TIP ] : cmd띾명령프롬프트으로도스창입니다. 즉, 도스 (DOS) 명령 을실행하는부분입니다. 읷반적으로서버의경우외부에서 cmd를요청하는경우가없기때문에외부에서접근하여사용하는부분을제한하는것이좋습니다. cmd.exe 파읷경로 : C:\windows\system32 1 cmd.exe [ 마우스우클릭 ] > 속성 2 cmd 속성 > 보앆 : 접근이불필요한계정들은모두삭제하여내부관리자가접속을한후에맊사용할수있도록합니다.