[window/윈도우 서버] 웹 프로세스 권한 제한

 

 

W-15 웹 프로세스 권한 제한

 

■ 점검영역 : 서비스 관리

 

■ 항목 중요도 : 상

 

■ 점검내용

 

웹 프로세스 권한 제한 설정 여부 점검

 

■ 점검목적

 

웹 프로세스가 웹 서비스 운영에 필요한 최소한의 권한만을 갖도록 제한하여 웹사이트 방문자가 웹 서비스의 취약점을 이용해 시스템에 대한 어떤 권한도 획득할 수 없도록 하기 위함

 

■ 보안위협

 

웹 프로세스 권한을 제한하지 않은 경우 웹 사이트 방문자가 웹 서비스의 취약점을 이용하여 시스템 권한을 획득할 수 있으며, 웹 취약점을 통해 접속권한을 획득한 경우에는 관리자 권한을 획득하여 서버에 접속 후 정보의 변경, 훼손 및 유출 할 우려가 있음

 

■ 참고

 

※ 참고로 최소 권한의 계정으로 IIS를 구동 시키는 것 이외에 ‘웹 사이트 등록정보’ > ‘홈 디렉토리’ > 응용프로그램 보호(IIS 프로세스 권한 설정)에서도 프로세스 권한을 설정할 수 있음 (점검 및 조치 사례 하단 참조)

 

 

점검대상 및 판단기준(윈도우 서버, window)

 

■ 대상 : Windows NT, 2000, 2003, 2008, 2012, 2016, 2019

 

양호

웹 프로세스가 웹 서비스 운영에 필요한 최소한 권한으로 설정되어 있는 경우

 

취약

웹 프로세스가 관리자 권한이 부여된 계정으로 구동되고 있는 경우

 

■ 조치방법

 

시작> 제어판> 관리 도구> 로컬 보안 정책에서 nobody 계정 설정
2008 R2 (IIS 7.5) 이상은 Default로 ApplicationPoolIdentity가 적용되어 양호

 

 

점검 및 조치 방법

 

■ Windows NT, 2000, 2003

Step 1) 시작> 제어판> 관리도구> 컴퓨터 관리> 로컬 사용자 및 그룹> 사용자 선택

Step 2) nobody 계정 추가(nobody 계정의 소속 그룹에 정해진 User가 있으면 제거)

 

Step 3) 시작> 제어판> 관리도구> 로컬 보안 정책> 로컬 정책> 사용자 권한 할당 선택, "서비스 로그온"에 "nobody" 계정 추가

 

Step 4) 시작> 실행> SERVICES.MSC> IIS Admin Service> 속성> [로그온] 탭의 계정 지정에 nobody 계정 및 패스워드 입력

 

Step 5) 시작> 프로그램> 윈도우 탐색기> IIS 가 설치된 폴더 속성> [보안] 탭에서 nobody 계정을 추가하고 모든 권한 체크

 

※ ‘웹 사이트 등록정보’ > ‘홈 디렉토리 > 응용프로그램 보호(IIS 프로세스 권한 설정)
낮음(IIS 프로세스): IIS 프로세스는 시스템 권한을 가짐
보통(풀링됨): IIS 프로세스를 실행과 동시에 일반 권한의 계정으로 권한 강하(falling)
높음(격리됨): IIS 프로세스를 Guest 권한에 준하는 권한으로 실행시킴

세 가지 권한 중 '낮음‘으로 되어 있는 경우, IIS 프로세스는 시스템 권한을 가지게 되므로 해커가 IIS 프로세스의 권한을 획득하면 관리자에 준하는 권한을 가질 수 있으므로 주의 해야 함

■ Windows 2008(IIS 7.0), 2012(IIS 8.5), 2016(IIS 10.0), 2019(IIS 10.0)

※ Windows 2008 R2 (IIS 7.5) 이상은 기본적으로 ApplicationPoolIdentity 권한이 적용되어 양호

Step 1) 제어판> 관리도구> 인터넷 정보 서비스(IIS) 관리자> 해당 웹사이트> 고급 설정> ’응용프로그램 풀 이름(DefaultAppPool)‘ 확인

Step 2) 제어판> 관리도구> 인터넷 정보 서비스(IIS) 관리자> 응용 프로그램 풀> ’용용 프로그램 풀 이름(DefaultAppPool)’ 선택> 고급 설정> ID> ApplicationPoolIdentity 선택

 

 

■ 조치 시 영향 : 일반적인 경우 영향 없음