MS, 윈도우 x64로 64비트 컴퓨팅 시대 개막

현재 일본에서 DSP버젼으로 판매중이라고 합니다.

국내에는 조만간 한글버젼으로 판매가 될듯 합니다.

기사원본 : http://www.kbench.com/news/?cc=0&no=27714&pg=1

IIS 6에서 서버 배너 제거

먼저 IIS 6에서 클라이언트에 반환하는 내용을 확인하십시오. Microsoft.com에 요청을 보내면 서버는 다음과 유사한 내용을 반환합니다.

    HTTP/1.1 200 OK
    Cache-Control: public
    Content-Length: 13073
    Content-Type: text/html
    Expires: Fri, 08 Oct 2004 18:23:35 GMT
    Last-Modified: Fri, 08 Oct 2004 15:36:55 GMT
    Server: Microsoft-IIS/6.0
    X-AspNet-Version: 1.1.4322
    P3P: CP="ALL IND DSP COR ADM CONo CUR CUSo IVAo IVDo PSA _
    PSD TAI TELo OUR SAMo CNT COM INT NAV ONL PHY PRE PUR UNI"
    X-Powered-By: ASP.NET
    Date: Fri, 08 Oct 2004 15:56:26 GMT

굵은 글꼴로 표시된 서버 배너는 이름 그대로 명확하게 IIS 6.0 서버를 나타냅니다. 일부 보안 전문가는 공격자가 연결을 시도할 때 웹 서버의 종류를 쉽게 파악할 수 없도록 이 배너를 제거할 것을 권장합니다. 이렇게 하면 배너를 수집한 후 되돌아가서 해당 배너의 서버를 공격하는 스크립트 키디 엔진(script kiddie engine)으로부터 어느 정도 서버를 보호할 수 있습니다.

위의 서버 응답에는 X-ASPNet-Version 번호와 X-Powered-by: ASP.NET을 포함해 Microsoft 서버로 식별하는 많은 항목이 포함되어 있습니다.

이러한 태그는 ASP.net이 설치될 때 추가되어 IIS 5와 IIS 6 서버에 표시됩니다. 또한 FrontPage Server Extensions를 설치한 경우에는 Microsoft Office Web Server에 액세스했음을 알려주는 헤더가 표시됩니다.

이러한 추가 헤더는 IIS 콘솔의 HTTP 헤더 탭에서 제거할 수 있습니다. 이로 인해 FrontPage에 문제가 발생할 수 있는지 여부는 테스트해 보지 않았지만 무엇보다 기능에 영향을 주지 않아야 합니다.

서버 헤더와 추가 기능 태그를 제거하면 공격자는 Asp 또는 ASP.net 페이지를 제공한다는 사실로 IIS 서버임을 추측해야 합니다. 그러나 이러한 추측 작업은 어렵지 않습니다. 이 외에도 사용 중인 서버의 종류를 쉽게 파악할 수 있는 방법이 있습니다.

따라서 여기서는 서버 배너를 제거하거나 모호하게 하는 데 큰 의미를 두지 않습니다.

IIS 6에서 서버 배너를 제거하려면 다음 레지스트리 값을 1로 설정하면 됩니다.

HKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parpameters\
DisableServerHeader

IIS 5에서 배너를 제거할 때는 URLScan을 사용해 URLScan.ini 파일의 RemoveServerHeader 설정을 조정하면 됩니다.

wwwroot의 보안 권한

웹폴더에는 iuser_호스트명에 읽기만 주시면 됩니다..

iuser_호스트명은 IIS의 해당 웹 등록정보의 보안에 보시면 익명가장
계정입니다..

이 계정을 다른것으로 바꾸면 그 계정에 읽기만 주시면 되며, 그 계정은
user그룹에서빼야 합니다..

만약 업로드 컴포넌트를 통해서 업로드되는 폴더 또는 특정컴포넌트는 업로드시

임시폴더를 이용하기 하는데요. 이 때 업로드되어 저장되는 폴더와 임시폴더에
쓰기권한을 주시면 됩니다. 그런데, 웹 자료실같은데서는 삭제도 하기 때문에수정권한까지 주셔야 합니다. 이게 최소한의 권한설정입니다.

업로드 컴포넌트를 이용안하는게 좋기하지만..

그리고 업로드 기능이 있는 게시판은 asp파일이나 js , exe등 실행가능한 파일을

업로드 하지 못하게 제한하는 루틴이 들어가 있어야 합니다..

그런 파일이 업로드되었을때, 그 파일은 iuser_ 계정의 권한으로 실행이 되므로시스템드라이브등은 iuser_ 를 아예 보안계정목록에서 없애야 합니다..

일반적으로 대부분 default상태인 everyone full 상태로 운영하므로 문제가 되는것이죠...

웹상에 올린실행파일로 포맷까지 가능합니다... 위험하죠...^^;

--

--------------------------------------------------------------
http://www.serverinfo.pe.kr
help@serverinfo.pe.kr.korea
--------------------------------------------------------------

"김경환" <kkhigh@hanmail.net.korea> wrote in message
news:cc1801c48a68$33125d90$a401280a@phx.gbl...
> 안녕하세요.
> IIS로 웹서비스를 운영하고 있습니다.
>
> 다름이 아니라.. wwwroot 디렉토리의 보안 권한을 어떻게 설정
> 해야 할지 조언을 듣고 싶어서요..
>
> 현재 Everyone 에 모든 권한으로 셋팅이 되어있는데, 안심이
> 좀 안되네요.. ^^
>
> Administrators 그룹과 System에만 '모든 권한'을 허용하고
>
> Everyone에는 '읽기 및 실행', '폴더내용 보기', '읽기' 에만
> 허용을 하려고 하는데요.
>
> 쓰기 권한은 없어도 되는건가요.?
>
>
> 궁금한게.. 만약 업로드 기능이 있는 웹싸이트일 경우에
>
> 사용자가 업로드를 한내용이 wwwroot에 쓰기 권한이 없기때문
> 에 안써질지 하는 의문입니다.
>
> 이건 업로드 컴포넌트가 올리는거라서 Everyone과는 상관이 없
> 는지..
>
>
> 고수님들의 조언을 기다립니다.
>
> 권한을 어떻게 주는것이 좋을까요...?