주요정보통신기반시설 윈도우 서버 W-26 FTP 디렉토리 접근권한 설정

■ 개념

주요정보통신기반시설 취약점 분석 및 평가 중 점검대상 윈도우 서버의 W-26 FTP 디렉토리 접근권한 설정 점검항목에 대해 알아보겠습니다. 해당 포스팅은 윈도우 서버(Windows Server 2012 R2)를 기준으로 진단 및 실습합니다.

항목명		FTP 디렉터리 접근권한 설정
항목코드		W-26
위험도		상
점검내용		FTP 홈디렉토리의 접근 권한 적절성 점검
점검목적		FTP 서비스 디렉토리의 접근 권한을 적절하게 설정하여 의도치 않은 정보유출 등의 보안 사고를 방지하고자 함

보안위협		FTP 홈디렉토리에 과도한 권한(예. Everyone Full Control)이 부여된 경우 임의의 사용자가 쓰기, 수정이 가능하여 정보유출, 파일 위‧변조 등의 위험 존재 ※ 기반시설 시스템은 FTP 서비스를 사용하지 않는 것이 원칙이나, 조직 내에서 해당 서비스를 부득이 사용해야 하는 경우 관련 보호 대책을 수립 및 적용하여 활용하여야 함
판단기준	양호	FTP 홈 디렉토리에 Everyone 권한이 없는 경우
	취약	FTP 홈 디렉토리에 Everyone 권한이 있는 경우
조치방법		FTP 홈 디렉토리에서 Everyone 권한 삭제, 각 사용자에게 적절한 권한 부여

 

■ 실습

해당 점검항목은 윈도우 서버의 FTP 서비스 디렉터리의 접근 권한 설정 확인하여 양호/취약을 판단합니다. 특히, 진단원 입장에서 확인해야 하는 것이 FTP 홈 디렉토리의 권합니다. 아래 메뉴를 통해 확인하시기 바랍니다.

1. 제어판> 관리 도구> 인터넷 정보 서비스(IIS) 관리> 사이트 > 해당 FTP 사이트> FTP 권한 부여 규칙 선택
2. 허용 권한 부여 규칙에서 [지정한 사용자] 지정

FTP 권한 부여 규칙

위 사진과 같이 모든 사용자에게 읽기, 쓰기의 권한을 부여할 경우 취약입니다. 허용 권한 부여 규칙에서 [지정한 사용자]를 지정하여 권한 및 사용자를 변경해야 합니다

■ 진단 스크립트 결과 확인

[FTP 홈 디렉토리]  NT AUTHORITY\SYSTEM:(OI)(CI)F                                BUILTIN\Administrators:(OI)(CI)F                                WIN-S6CJU8NT589\laikit:(OI)(CI)F

위 표와 같이 관리자, SYSTEM 외 타 계정이 홈 디렉터리 접근권한에 Everyone(F) 계정이 존재한다면 취약으로 볼 수 있습니다.

 

 

본 포스팅 내용은 한국인터넷진흥원(KISA)에서 발행한 주요정보통신기반시설 평가기준을 바탕으로 작성했습니다.

수고하셨습니다.

궁금한 사항은 댓글로 남겨주세요.