IIS Lockdown Tool 2.1

최근 우리회사 윈도우즈 서버의 보안에 문제가 생겨서 Microsoft IIS LockDown Tool을 설치했다. 많이 늦은감이 있는것 같다. 다음은 IIS LockDown 툴에 대한 설명이다.

마이크로소프트의 NT 4.0 또는 Windows 2000에 포함된 IIS 4.0, IIS 5.0의 보안 헛점을 미리 방지할 수 있도록 웹서버 운영자가 손쉽게 보안 옵션을 수정할 수 있게 도와주는 IIS 보안 관리 프로그램인 Microsoft IIS Lockdown Tool의 새로운 2.1 새버전입니다.

IIS는 다양한 기능을 제공하는 웹서버인 만큼 여러가지 개방된 서버 구조를 가지고 있는데, 이러한 구조를 악용하여 Code Red와 같은 각종 웹서버 공격이나 해킹을 받고 있는 것이 사실입니다.

하지만 이런 강력한 기능의 상당수는 실제 서비스를 위해 필요하지 않은 기능이기 때문에 이들 기능을 사용하지 않는다면 잠재적인 보안 위협에 대처할 수 있습니다.

Microsoft IIS Lockdown Tool은 이런 목적을 위해 IIS의 다양한 기능 중 해킹에 노출될 수 있는 기능들을 간단한 마법사 형태의 선택을 통해 필요없는 기능을 사용하지 않게 해주는 일종의 IIS 설정 프로그램입니다.

이전 버전은 Express Lockdown과 Advanced Lockdown의 두가지로 선택하여 프로그램을 설정하였으나, 새로운 2.1 버전은 IIS와 관련된 어플리케이션의 설정에 잘못된 영향을 주지 않도록 Microsoft Exchange 5.5/2000, Commerce Server, BizTalk, Small Business Server 4.5/2000, SharePoint Portal Server, FrontPage Server Extensions 및 SharePoint Team Server 등의 IIS를 이용하는 서버를 선택하여 손쉽게 설정값을 불러올 수 있도록 템플릿을 제공하고 있습니다.

만일 이러한 다른 서버와의 연동이 없는 IIS만으로 웹서비스만 하는 경우나, 웹서비스하지 않는데 기본으로 IIS가 설치되어 있는 경우까지 이 템플릿에서 선택만 하면 가장 기본적인 보안 설정이 적용되어집니다.

또한 새롭게 HTTP 프로토콜 뿐 아니라 FTP, SMTP, NNTP 프로토콜과 서비스에 대한 작동 여부를 설정할 수 있도록 메뉴가 추가되었습니다.

가장 중요한 IIS 부분의 설정 중 Script Mapping 옵션은 잠재적인 프로그램 실행을 서버 레벨에서 가능하게 하는 스크립트 기능을 종류별로 지정 가능한데, 다음과 같은 것들을 선택적으로 지원을 제거할 수 있습니다.


  • Active Server Pages (.asp)
  • Server Web Interface (.idq, .htw, .ida)
  • Server Side Includes (.shtml, .shtm, .stm)
  • Internet Data Connector (.idc)
  • Internet Printing (.printer)
  • .HTR Scripting (.htr)

추가적으로는 기타 액션에 대한 지정이 가능한데, 기본으로 포함된 샘플 웹 파일의 삭제나 가상 디렉토리인 /Scripts 폴더의 삭제, /MSADC 가상 폴더의 삭제와 같은 필요없거나 보안상 노출 가능한 알려진 가상 폴더의 삭제 기능을 제공합니다.

그밖에 Distributed Authoring and Versioning 기능인 WebDAV 기능을 Disable 하는 기능, cmd.exe나 tftp.exe와 같은 시스템 프로그램을 익명 사용자가 실행할 수 있는 기능을 Disable 하는 기능, 그리고 컨텐트 디렉토리에 익명 사용자가 파일을 쓸 수 있는 기능을 함께 제공하고 있습니다.

또한 마이크로소프트가 별도로 배포하고 있는 또다른 IIS용 보안툴인 URLScan 2.0을 함께 포함하게 되어, 비정상적인 서버 요청을 걸러낼 수 있는 URLScan 필터를 설치하는 기능도 함께 제공합니다.

잘 찾아보면 일일히 설정 가능한 것들이긴 하지만, 주요한 보안 문제에 노출된 기능을 하나의 프로그램에서 간단히 체크하는 것만으로 설정을 변경할 수 있게 해주는 웹서버 관리자에게는 매우 유용한 프로그램입니다.

새로운 기능 – 새로운 2.1 버전은 서버의 종류별로 제공되는 템플릿 제공과 URLScan 2.0과의 통합, IIS의 HTTP, FTP, SMTP, NNTP 서비스에 대한 관리 기능 추가, UI 개선과 버그 수정 등이 포함되었습니다.



IIS LockDown 다운로드

IIS LockDown 설명서
1300516073.pdf

MSDN F.A.Q.

How To Add Error Logging for Low Disk Space in System Monitor in Windows 2000

How to enable and apply security auditing in Windows 2000

How to set required NTFS permissions and user rights for an IIS 5.0 Web server

Required NTFS permissions and user rights for IIS 4.0