본문 바로가기
주요정보통신기반시설 취약점 진단/윈도우서버

주요정보통신기반시설 윈도우 서버 W-20 IIS 데이터 파일 ACL 적용

by 쏠-티 2026. 1. 14.

■ 개념

주요정보통신기반시설 취약점 분석 및 평가 중 점검대상 윈도우 서버의 W-20 IIS 데이터 파일 ACL 적용 점검항목에 대해 알아보겠습니다.

 

항목명
IIS 데이터 파일 ACL 적용
항목코드 W-20
위험도
점검내용
IIS 데이터 파일 ACL 적용 여부 점검
점검목적
웹 데이터 파일에 ACL을 부여함으로써 권한 없는 사용자로부터의 실행 및 읽기를 방지하고자 함

보안위협
웹 데이터 파일에 ACL을 부여되지 않은 경우 권한 없는 사용자로부터의 읽기 및 실행이 가능

※ 향후 필요에 의해 IIS를 설치하여 운용한다면 웹 데이터 파일에 대한 ACL을 부여하는 것이 바람직하며 ACL을 설정할 때에는 다음과 같은 사항을 참고하여 설정하여야 함
1) 가능한 파일의 종류끼리 분류하여 폴더에 저장
2) 홈 디렉토리(기본: c:\inetpub\wwwroot)내에 적절한 ACL 권한 부여

※ ACL(Access Control List): 접근이 허가된 주체들과 허가받은 접근 종류들이 기록된 목
판단기준
 양호
홈 디렉토리 내에 있는 하위 파일들에 대해 Everyone 권한이 존재하지 않는 경우(정적 콘텐츠 파일은 Read 권한만)
취약
홈 디렉토리 내에 있는 하위 파일들에 대해 Everyone 권한이 존재하는 경우(정적 콘텐츠 파일은 Read 권한 제외)
※ 조치 시 마스터 속성과 모든 사이트에 적용함
조치방법
IIS 서비스를 사용하지 않는 경우 IIS 서비스 중지, 사용할 경우 홈 디렉토리에 Administrators, System 권한만 설정 후, 하위 디렉토리에 존재하는 모든 Everyone 권한 제거(정적 콘텐츠 파일에 경우 Read 권한 허용)

 

■ 실습

해당 점검항목은 윈도우 서버의 웹 데이터 파일의 ACL 적용 여부를 확인하여 양호/취약을 판단합니다. 

웹사이트 홈디렉터리 내 everyone 권한 확인(SYSTEM)
웹사이트 홈디렉터리 내 everyone 권한 확인(SYSTEM)

웹사이트 홈디렉터리 내 everyone 권한 확인(Users)
웹사이트 홈디렉터리 내 everyone 권한 확인(Users)

 

■ 확인 메뉴

  • 시작> 실행> INETMGR> 사이트> 해당 웹사이트> 기본 설정> 홈 디렉터리 실제 경로 확인
  • 탐색기를 이용하여 홈 디렉토리의 등록 정보> [보안] 탭에서 Everyone권한 확인
  • 아래와 같은 파일들에 대한 불필요한 Everyone 권한 제거
파일 형식 엑세스 제어 목록
CGI (.exe, .dll, .cmd, .pl) 모든 권한(Everyone 권한) 제거, 관리자/시스템은 전체 제어
스크립트 파일(.asp) 모든 권한(Everyone 권한) 제거, 관리자/시스템은 전체 제어

 

■ 진단 스크립트 확인

아래 표처럼 관리자(Administrators)/시스템(SYSTEM)은 전체 제어를 하고 있습니다. 그리고 일반 유저(Users) 같은 경우에 모든 권한(Everyone)은 설정되어 있지 않으며 읽기 및 실행(GENERIC_READ, GENERIC_EXCUTE), 폴더 내용 보기, 읽기(R)만 적용되어 있습니다. 각각의 권한에 대해 말씀드리겠습니다. R=읽기, W=쓰기, C=변경(쓰기), F=모든 권한(Everyone), OI=개체 상속, CI=컨테이너 상속, IO=상속 전용, I=부모 컨테이너에서 상속된 권한

C:\inetpub\wwwroot BUILTIN\IIS_IUSRS:R 
                   BUILTIN\IIS_IUSRS:(OI)(CI)(IO)(특별 액세스:)
                                                 GENERIC_READ
                                                 GENERIC_EXECUTE
 
                   NT SERVICE\TrustedInstaller:(ID)F 
                   NT SERVICE\TrustedInstaller:(OI)(CI)(IO)(ID)F 
                   NT AUTHORITY\SYSTEM:(ID)F 
                   NT AUTHORITY\SYSTEM:(OI)(CI)(IO)(ID)F 
                   BUILTIN\Administrators:(ID)F 
                   BUILTIN\Administrators:(OI)(CI)(IO)(ID)F 
                   BUILTIN\Users:(ID)R 
                   BUILTIN\Users:(OI)(CI)(IO)(ID)(특별 액세스:)
                                                 GENERIC_READ
                                                 GENERIC_EXECUTE
 
                   CREATOR OWNER:(OI)(CI)(IO)(ID)F

 


본 포스팅 내용은 한국인터넷진흥원(KISA)에서 발행한 주요정보통신기반시설 평가기준을 바탕으로 작성했습니다.

수고하셨습니다.

궁금한 사항은 댓글로 남겨주세요.

반응형
저작자표시 비영리 변경금지 (새창열림)

'주요정보통신기반시설 취약점 진단 > 윈도우서버' 카테고리의 다른 글

주요정보통신기반시설 윈도우 서버 W-22 IIS Exec 명령어 쉘 호출 진단  (0) 2026.01.20
주요정보통신기반시설 윈도우 서버 W-21 IIS 미사용 스크립트 매핑 제거  (0) 2026.01.17
주요정보통신기반시설 윈도우 서버 W-19 IIS 가상 디렉토리 삭제  (0) 2026.01.13
주요정보통신기반시설 윈도우 서버 W-18 IIS DB 연결 취약점 점검  (0) 2026.01.12
주요정보통신기반시설 윈도우 서버 W-17 IIS 파일 업로드 및 다운로드 제한  (0) 2026.01.11

관련글

댓글

티스토리툴바