Windows 2000 과 IIS 관리자들을 위한 점검사항 리스트

1.OS System 측면

1. International English 버전으로 설치
   Windows OS 의 HotFix(Patch 또는 Update)가 1주일에 거의 1번 꼴로 발생한다.
   그러나, 대부분이 영어버전용이고 다국어 버전에서는 어떻다는 말이 없다. 특수한 경우에는 다국어 버전의 파일을 별도로 제공하고는 있지만 나머지는 다국어 버전에서 그냥 사용해도되는지 알 수 없다. 사용하다 문제가 발생하면 누구의 책임이겠는가? 모든 것이 관리자의 책임이다.
   따라서, 이런 고민을 하지 않으려면 영어버전(국내에서 판매되는 International English)버전을 사용하기 바란다.
   
   
2. 버전관리
   Boot Script 를 활용하여 서비스팩과 핫픽스을 업데이트
   
   
   
3. 계정 관리
   - 계정별 권한관리.
   Perms.exe : 사용자별 파일/디렉토리 액세스권한을 확인할 수 있다.
   
   
4. 계정암호 관리
   - 최소길이 7자 추천(최대 127자)
   - 특정 단어사용하지 말것(사전에 나오는 문자사용불가)
   - 영문자(대소문자 혼용)+숫자+기호(!$%& 등의 특수 문자)
   - 원격 암호변경 불가능하도록 설정 : 해커가 관리자의 암호를 마음대로 수정하는 것을 방지한다.
   - 암호사용기간 및 암호기록 횟수 지정 : 일반적으로 사용자들은 한 번 정한 암호를 바꾸지 않는다. 이 것을 방지한다.
   
   
5. Storage 관리
   - NTFS 파티션 : 적어도 Web 관련된 부분만큼은 NTFS 로 지정되어 있어야 한다.
   
6. 로그관리 - 이벤트 표시기를 통한 보안/시스템/응용프로그램 로그를 항상 주시하여 언제 발생할지 모르는 사고와 사태에 대비하여야 한다. 노란색으로 표시되는 경고메시지는 잠재된 에러를 뜻하므로 경계를 게을리하면 안된다.
   
   
7. 로그온감사 : 사용자 로그온 기록을 남기자
   - ID 사용을 감시할 수 있으므로 불법 ID 확인이 가능하다.
   
   
8. 보안관리 : Microsoft 보안 알림서비스 메일링리스트 가입
   - 제목, 내용없이 메일을 보내면 가입을 확인하는 메일이 오는데, 이 메일에 회신하면 가입축하메일이 온다.
   
   

2.네트워크 측면

1. Ping 받지않기(ICMP 패킷 차단하기)
   Windows 2000 의 경우, IPSec 을 사용하여 ICMP 패킷을 차단할 수 있다.
   
2. Web 서비스 전용기기로 설치하기
   웹 서버를 파일서버등과 분리하는 것은 보안적 측면이나 속도를 고려해서 추천할 만한 방법일 것이다.
   
3. 네트워크에서 분리하기
   웹 서비스 기기는 다른 업무용 기기와 분리되는 것이 좋으나, 하나의 기기로 여러 개의 작업을 하는 경우라면 서버측에 랜카드를 두개 설정하고 IP 주소를 분리하는 방법도 고려해 볼만하다.
   
4. Qos 를 이용한 대역폭관리
   
5. 방화벽이용
   방화벽을 이용할 경우, Windows 의 서비스들은 각각의 port 를 사용한다.
   \\…\system32\drivers\etc\service.txt 를 참조한다.
   

3.DNS 측면

1. 외부에서 nslookup 으로 DNS 정보를 볼 수 없게 설정한다.
   DNS서버의 웹사이트의 등록정보에 보면 “영역 전송” 탭에서 체크박스를 체크해주고 아래에 영역을 전송할 서버를 입력하여 주면 됩니다.
   이 것을 "아무서버로" 라 설정하면 말 그대로 영영정보를 요청하는 모든 곳에 영역을 전송하게 됩니다. 즉, 이를 막는 방법을 사용하려면 특정서버(연결된 ISP 의 DNS 서버 권장)로의 연결만을 허락하는 것이 좋습니다.
   

4.IIS 측면

1. 버전관리
   - HFCheck : HotFix 적용확인 도구
   
2. 보안관리
   - IISCONFIG :
   - IISLock : IIS 5.0 설정을 쉽게 해준다.
   - What If : IIS 보안 확인도구(시나리오를 이용한 보안성 확인)
   - 보안체크리스트(원문)
   
3. 응용프로그램보안
   - IIS 응용프로그램레벨의 보안방화벽 Secure IIS 추천
   
4. IIS 무응답상태 : ASP Queue 관리
   - set objVar = nothing
   - IIS 서비스가 무응답으로 빠지는 문제는 대부분 ASP에서 Object 변수를 Nothing 처리를 하지 않았기 때문입니다.
   - 퍼포먼스관리자의 ASP Requested Queue 의 수가 0 이어야 한다. ASP 가 하나씩 실행될 때마다 1 씩 증가하며, 종료되면 1 씩 감소한다. 따라서 정상적인 ASP 코드의 경우에는 늘어난 만큼 감소하여 나중에는 0이 되어야한다.
   
5. webroot 보안 십계명
   
6. unicode 문제
   - 디렉토리/파일의 이름에 유니코드등 2 바이트문자를 사용하지 않는다.(영문만 사용한다)
   - 가급적 실행권한을 주지 않는다.
   - 필요한 경우가 아니라면, IIS 설치시 기본적으로 설치되는 IISAdmin, IISSample 등의 디렉토리를 지운다.
   
7. 웹용량 분석
   - MS Web Capacity Analysis Tool
   
8. 웹캐쉬제어
   
9. ASP 성능향상
   - Tip 1
   - Tip 2
   

5.사이트관리측면
- 관리자와 서버간 통신은 VPN / SSL 등으로 보호하자.
- Terminal Service 보안


6. 참고 list 및 문헌
윈도우 NT서버 및 IIS 보안 관리
- http://www.ntfaq.co.kr
- http://www.ntsecurity.com
- http://www.ntsecurity.net
- http://www.microsoft.com/security
- http://www.microsoft.com/technet/security
- 공짜로 경험하는 강력한 네트워크관리