윈도우서버 보안지침 [펌]

Posted by 협회장 향수코디
2008.10.13 10:53 컴퓨터 엔지니어/운영체제/컴퓨터

http://cafe136.daum.net/_c21_/bbs_search_read?grpid=e1i7&fldid=8cm&contentval=00006zzzzzzzzzzzzzzzzzzzzzzzzz&nenc=Kb4B3i3_FHzNEYOqNcpA2Q00&dataid=6&fenc=BiNgdzCsmw50&docid=CDb38TZe

 

/////////////////////////////////////////////////////////////////////////////////////////////
///////////////////////// 보안 점검 사항 & 웹 호스팅 서버 설정
//////////////////////////
/////////////////////////////////////////////////////////////////////////////////////////////
참고 : 대림출판사:윈도우 웹서버 보안.
ntfaq :
IIS 5 보안 고려사항(Security Considerations):

;http://www.ntfaq.co.kr/notice/content.asp?tname=ntfaq_security&pid=44&page=5&keyword=&choice=
보안 감사정책 :

;ttp://www.ntfaq.co.kr/notice/content.asp?tname=ntfaq_security&pid=81&page=1&keyword=&choice=
웹호스팅 서버 설정 : http://www.superuser.co.kr/ (NT 쪽 참고)
Database 백업 자동화 구성 : http://sqler.pe.kr/sql2k/102.asp

문서 저장 : Patch폴더

점검후 추가 사항 : iis에서 shell명령어 사용불가(exec 명령어):iis5.0은
기본설정이 불가인지 test해야됨.
;http://www.ntfaq.co.kr/ntfaq_view.asp?faq_no=210

/////////////////////////////////////////////////////////////////////////////////////////////
/////////////////////////////////// 차 례
///////////////////////////////////////////
/////////////////////////////////////////////////////////////////////////////////////////////
< A. 설치순서 >

< DNS 설정법 >

< B. 보안설정 가이드 >
1. NTFS 계정
2. 기초 설정
3. 기본 서버 보안
4. 고급 서버 보안
5. 터미널 서비스 보안 설정
6. IIS 설정(www)
7. IIS 설정(ftp)
8. 로그 크기 및 보유 방법

< C. 웹 호스팅 서버 설정법 >
1. NT웹호스팅가입자그룹 생성하기
2. NT웹호스팅가입자 계정생성하기
3. NT웹호스팅가입자 홈디렉토리 구성하기
4. NT웹호스팅가입자를 위한 가상웹사이트생성하기 (생략가능)
5. NT웹호스팅가입자 웹사이트 등록하기(IIS)
6. NT웹호스팅가입자 FTP사이트 등록하기 (기본 ftp를 그대로 이용해도 된다.)
7. NT서버 데이터베이스사용자를 위한 MS-SQL셋팅하기
8. NT가입자를 위한 특정페이지 인증하는 방법 (보통 가상 디렉토리를 이렇게
사용한다.)

< D. Database 백업 자동화 구성 >

< E. IIS 5.0 실행에 필요한 최소 NTFS 권한 >

< F. 추가 보안 사항 >
1. 기본 NTFS 설정 복원방법
2. IIS의 Content-Location에서 IP 주소를 숨기는 방법은 ?
3. 원격에서 nslookup으로 DNS서버의 데이터 확인 막기
4. 139포트,455포트에 대한 사용 불가능하게 설정하기(네트워크용 파일 프린트
공유 막기)
5. ping 막기(ipsec이용 : 대림출판사 <윈도우 웹서버 보안> 참고)
6. IIS LockDown(v2.1)/URLScan 설치(v2.5) - nttool/iislockdown 문서 참조
7. 서비스 중지시 다시 시작하게 지정하기(필수..)

< G. Q&A >

< H. Mail computer 설정 >


인터넷 서비스를 추가한 후 핫픽스와 서비스 팩을 다시 적용해야 합니까?


Q: Windows 2000 서버에 IIS를 설치하였지만 다른 인터넷 서비스는 설치하지
않았습니다.
그리고는 서버에서 메일을 보내는 웹 응용 프로그램용으로 SMTP 서비스를
추가하려고 합니다.
SMTP 서비스를 추가하면 최신 서비스 팩과 핫픽스를 다시 적용해야 합니까?

A: Windows NT 4.0의 경우 운영 체제에 SMTP 서비스 등의 서비스를 추가할 때마다
서비스 팩과 핫픽스를
다시 설치해야 했습니다.
하지만 Windows 2000에서는 기능이 향상되어서 소프트웨어, 서비스 또는
업데이트를 설치할 때 일반적으로
서비스 팩을 다시 적용하지 않아도 됩니다.
예를 들어, IIS가 없이 Windows 2000을 설치하고 서비스 팩 x(x: 최신 서비스 팩
번호)를 적용한 다음 IIS를
설치하면 바이너리(프로그램)의 버전 번호가 서비스 팩(SP) x와 같아질 것입니다.
따라서 SMTP 등의 서비스를 추가해야 할 때 수행해야 하는 작업량이 상당히
줄어듭니다.
하지만 핫픽스와 롤업의 경우는 이와 다릅니다. SMTP 서비스는 SP x와 같은
수준이 되지만 서비스와 관련된
핫픽스와 롤업은 다시 적용해야 합니다. 예를 들어, IIS를 제거하거나 다시
설치하는 경우 최근에 적용한
서비스 팩 릴리스 이후의 모든 IIS 핫픽스와 롤업을 다시 설치해야 합니다.

이러한 설치를 완벽하게 수행하는 가장 좋은 방법은 시스템에서 HFNetChk 또는
MSBA(Microsoft Security
Baseline Analyzer)를 사용하는 것입니다. 이 두 도구는 서버에 적용해야 할
핫픽스와 업데이트를 결정하는
가장 확실한 방법입니다. 그러므로 SMTP를 설치한 다음 이 도구 중 하나를
실행하면 어떤 핫픽스를 적용해야
하는지 알 수 있습니다.


/////////////////////////////////////////////////////////////////////////////////////////////
////////////////////////////////// A. 설치순서
/////////////////////////////////////////
/////////////////////////////////////////////////////////////////////////////////////////////
1. 윈도우 2000 설치(기본 or Detail하게)
2. 서비스팩
3. 익스플로러 업데이트
4. 미디어 플레이어 업데이트
5. 핫픽스 검사 및 설치(묶음)
6. 핫픽스 검사
7. sql 설치
8. master,msdb,model 백업
8. sql 서비스팩
9. 핫 픽스 검사 및 설치
10. 윈도우 업데이트 사이트 방문(MDAC 2.6, MSXQL2.6)
11. 핫 픽스 검사

 

/////////////////////////////////////////////////////////////////////////////////////////////
/////////////////////////////// B. 보안설정 가이드
//////////////////////////////////////
/////////////////////////////////////////////////////////////////////////////////////////////
[ 차례 ]
1. NTFS 계정
2. 기초 설정
3. 기본 서버 보안
4. 고급 서버 보안
5. 터미널 서비스 보안 설정
6. IIS 설정(www)
7. IIS 설정(ftp)
8. 이벤트 로그 크기 및 보유 방법

***1. NTFS 계정***
1. 모든 드라이버(C,D..)의 root : everyone 제거 ,administrators-system
계정추가(all권한)
, creator owner(all 권한-없어도 됨)
**everyone을 제거하기전 환경은 inetpub의 디렉토리가 everyone에게 모든
권한이 있으며,
단,wwwroot 디렉토리에서만은 everyone에게 [읽기 및 실행,폴더
내용보기,읽기]권한이 주어져 있다.
;everyone의 권한은 드라이버의 root에서 everyone계정을 제거 하더라도
wwwroot 디렉토리에서는 everyone의 권한이 그대로 유지 된다.
**추가 설명 : iis5.0에 필요한 최소권한을 참고

2. inetpub \ ftproot -everyone 그룹 추가 (읽기 및 실행, 폴더
내용보기, 읽기 체크 )
\ mailroot \ pickup -everyone 그룹 (읽기, 쓰기):cdo 콤포넌트를 이용한
asp에서만 메일을 보낼경우..
\ wwwroot -everyone 그룹 (읽기 및 실행, 폴더 내용보기, 읽기)
\ nntproot -everyone 그룹 (읽기 및 실행, 폴더 내용보기, 읽기)
- 차후에nntp를 사용할때 권한을 부여하면 된다.
\ AdminScripts -everyone 그룹 제거

*추가 설명 : 1. IUSR_(Servername) 계정은 Read/Write 권한을 가지고 있지만,
Pickup 폴더에 대해서는 Execute 권한을 거부(Deny)하는 것이
좋다.
2. ftproot는 가상디렉토리를 사용할 경우 everyone에게 읽기 권한만
주어도 된다.

3. 웹사이트의 디렉토리
ejoymart1 \ www - everyone 그룹 (읽기 및 실행, 폴더 내용보기, 읽기),
ftp계정 (모든 권한)

4. DB 저장 디렉토리
Administrators 그룹만 남기고 나머지 모두 제거

---------------------
[현 서버 설정사항]
[NTFS 설정]
1. C:(레이블:system) /운영체제와 sql 서버만 깔려져 있음.
-all권한(administrators,system,creator owner),
읽기-실행/폴더내용보기/읽기(everyone)

\ inetpub \ AdminScripts -everyone 그룹 제거
\ mailroot \ pickup -everyone 그룹(쓰기 권한 추가)

*추가 설명 : 1. IUSR_(Servername) 계정은 Read/Write 권한을 가지고 있지만,
Pickup 폴더에 대해서는 Execute 권한을 거부(Deny)하는 것이
좋다.


2. D:(레이블:Hosting) /웹 페이지 파일 및 www로그 파일 저장
-administrators,system(all권한)

\ ejoymart1(계정 및 db명과 동일) \ Logs
\ WWW -everyone 그룹(읽기 및 실행, 폴더 내용보기, 읽기)
-- [파일 업로드 폴더]은 쓰기 권한을 준다.
** 주의 : 모든 보안 설정이 완료된 후 iislockdown을 설치한 다음에
[파일 업로드 폴더]에 [web anonymous/web applications] 그룹이 쓰기 거부
권한이 되어 있는데
이 2개의 <계정을 제거>


3. E:(레이블:DataBase) /웹 서비스에 필요한 db 저장
-administrators(all권한), 다른 계정은 모두 삭제

\ ejoymart1_DB(계정 및 db명과 동일)


[iis 설정]
1. www : 웹사이트 설명<ejoymart1(ejoymart.com)>
2. ftp : 기본 ftp 사이트 [익명연결 허용 안함] <쓰기
거부><목록스타일:Unix용>
\ ejoymart1(가상디렉토리) <읽기, 쓰기, 방문기록>, 경로 = D:\ejoymart1 \
WWW

3. smtp : 등록정보 -> 엑세스 -> [연결] -> 아래목록만 체크, ip추가(현재 서버
ip)
[릴레이] -> 설정 안함..

-> 메시지 ->다음으로 배달하지 않은 메시지의 보고서 복사본 보내기.. -> 받을
메일주소

 

 


***2. 기초 설정***

1. 탐색기 보기 편하도록

2. 익스플로러 설정
1) 자동 완성 해제
2) 브라우저 닫을때 임시 폴더 비우기 (체크)

3. 화면보호기(암호 설정)/전원관리

4. CD-ROM 드라이브 경로 변경
1) 컴퓨터 관리>>디스크 관리>> Z:
2) 위치 : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
값 : SourcePath>> 경로 변경 Z:

5. 인터넷 익스플로러 에러 보고기능 제거
1) 위치 : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
DWARD 값 : IEWastonEnabled (0) (16진수)

6. 불필요한 서브 시스템 제거
1) 레지스트리 키 삭제
위치 : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session
Manager\SubSystems
값 : Os2,Posix - 삭제

2) 파일 삭제
위치 : %systemroot%/system32 폴더
파일 : posix.exe, psxss.exe, os2.exe, os2srv.exe, os2ss.exe

7. 불필요한 스케줄러 제거
1) 위치 :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RemoteComputer\NameSpace
항목 : {D6277990-4C6A-11CF-8D87-00AA0060F5BF} 항목 삭제

8. 가상 메모리 최적화 -시스템-고급-성능옵션
1) 부트 파티션을 제외한 하드중 사용량이 적고 가장 빠른 하드 디스크로 옮김.
2) 여러곳에 분할
처음 크기 : 메모리의 1.5배(웹서버 기본메모리)
최대 크기 : 메모리의 2.5배(익스체인지서버, SQL서버) 또는 3배 정도

9. 메모리 덤프의 최소화 -시스템-고급-시작및 복구
1) 작은 메모리나 커널 메모리 덤프로 설정


***3. 기본 서버 보안***

1. 모든 사용 파티션의 파일 시스템을 NTFS로 변경
>>데이타가 있을 경우 : CONVERT E: /FS:NTFS

2. 강력한 암호설정 : 영어, 숫자, 기호 조합

3. 계정관리
1) Admin 계정 & Guest 계정 바꾸기
(추가로 1개의 admin 계정 설정하기)

2) 공개로컬 보안 인증에 대한 액세스 제한(익명 계정으로부터의 접근 제어)
위치 : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
값 : restrictanonymous (1) (16진수)

3) guest 계정 및 TsInternetUser 계정 사용 중지.

4.익명 엑세스로부터 레지스트리 보호 (regedt32)
-Hive: HKEY_LOCAL_MACHINE \SYSTEM
-Key: \CurrentControlSet\Control\SecurePipeServers
-Value Name: \winreg
-winreg를 선택하고, "보안" 메뉴를 선택한 다음, "사용 권한"을 선택
-Administrators : 모든권한
-기타 계정및 그룹: 제거함

5. 공유 관리
1) 관리 목적의 공유 제거>>재부팅후 다시 공유 되는것 막기
위치 :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
값 추가 :AutoShareServer (REG_DWORD ,0)
2) IPC$ : 시스템 시작시 마다 별도 제거
2) print$ : print spooler 서비스 사용중지 해야됨.

6. 강력한 보안 정책
1) 계정정책
암호정책 >>복잡성 만족(사용),최근암호기억(6개),최대
암호길이(8문자),최소암호사용기간(1).

2) 계정 잠금 정책
계정 잠금기간 >>30분
계정 잠금 임계값>>5번
다음 ..~~ >>30분

3) 감사 정책
계정 관리 감사 (성공,실패)
계정 로그온 이벤트 감사 (성공)
시스템 이벤트 감사 (성공, 실패)
정책 변경 감사 (성공, 실패)

참고 : Windows 2000 IIS 5.0 웹 서버 감사를 위한 권장 사항(Microsoft 기술
자료 - 300549)
-개체 액세스(감사 없음)
-계정 관리(실패)
-계정 로그온(성공,실패) - 실패에러가 너무 많이 뜨므로 실패는 사용안함으로
하는 것이 좋음.
-권한 사용(실패)
-디렉터리 서비스 액세스(실패) -Active Directory 가 아닐경우 필요 없음.
-로그온(성공,실패)
-시스템(감사 없음)
-정책 변경(성공,실패)
-프로세스 추적(감사 없음)

 

4) 보안 옵션
로그온 스크린에 마지막 사용자 표시 안함
Admin 계정 & guest계정 바꾸기 ->앞에서 했음.

>>보안 정책 저장

 

 


***4. 고급 서버 보안***
1. 서비스 (중첩되는 서비스(ex,services)들은 1개의 서비스를 중지시키면 약
20kb 정도의 메모리사용 감소
1) 사용 중지를 권장하는 서비스들(또는 수동)
.Application Management (수->사용안함)
.Clipbook Service (수->사용안함)
.Computer Browser (자->사용안함)
.DHCP Client (자->사용안함) ; 고정 IP에서는 불필요
.DHCP Server (자->사용안함)
.Distributed File System (자->사용안함) ; (일명 DFS 임: DC 역할에서만 사용)
.FAX (수->사용안함)
.Internet Authentication Service (자동->수동) ; 구성요소중 <com 인터넷
서비스 프록시>
.Messenger (자->사용안함)
.Network DDE (수->사용안함)
.Print Spooler (자->사용안함)
; 사용안함으로 할 경우 터미널 서비스로 접속후 접속을 끊고 나면
이벤트 서비스에서
TermServDevices 에러 발생(무시 가능)
.Remote Registry Service (자->사용안함) <<Emwac 에서는 반드시 필요.>>
.Simple TCP/IP Services (자->사용안함) ; 구성요소중 <단순TCP/IP 서비스>
.Smart Card (수->사용안함)
.Smart Card Helper (수->사용안함)
.Telnet (수->사용안함)
.WINS (수->사용안함)
.Windows Time (수->사용안함)
.Task Scheduler (수->사용안함) ; 제어판의 <예약된 작업>을 사용 못하게 함.
.기타 불필요한 서비스 사용중지(snmp,task scheduler)

** http://support.microsoft.com/default.aspx?scid=kb;KO;189271 참조


**(참고) :서비스 기능 중 필요 없는 기능리스트 및 설명(iis admin service는
web 서비스시 꼭 실행 돼야됨.)
(=>http://www.windowsitsecurity.com/Articles/Index.cfm?ArticleID=16301)
Clipbook Service,Computer Browser Service,IIS Admin Service,Internet
Connection Sharing Service,
Indexing Service,Infared Monitor Service,NetMeeting Remote Desktop Sharing
Service,
Remote Registry Service,Routing and Remote Access Service,Simple TCP/IP
Service,
SMTP Service,FTP Publishing Service,Telnet Service ,Task Scheduler
Service,Terminal Service,
Windows Media Services,World Wide Web Publishing Service

2. TCP/IP 필터링
>>책 참조 (p206)

3. ipSec을 이용한 ping 차단
>>책 참조 (p220)

4. 시스템 실행 파일
1) Admin 그룹,System그룹만 모두 허용
(%systemroo%system32)->기본은Everyone,Power Users,Users(RE,R)
**********************************************************
[!!! IISLockDown 설치시 적용되므로 생략가능 !!!]
**********************************************************
[!!! IISLockDown을 설치하면 <iuser_, iwan_> 계정에 대해서는 <all 거부>
권한이 주어짐.
단,iislockdown은 everyone 그룹과 users 그룹을 제거하지는 않으므로 **여기서
설정해주는 것이 더 안정적이다!!!]

>>arp.exe, at.exe, cmd.exe, drwtsn32.exe, edit.com, edlin.exe, finger.exe,
ftp.exe
>>ipconfig.exe, net.exe, netstat.exe, nslookup.exe, ping.exe, qbasic.exe,
rcp.exe,
>>regedit.exe(Winnt\),regedit32.exe, rexec.exe, route.exe, runas.exe,
rsh.exe, syskey.exe
>>telnet.exe, tracert.exe, tftp.exe, xcopy.exe

2) system32/drwtsn32.exe의 크래쉬 덤프 파일 만들기 해제
등록정보 >>크래쉬 덤프 파일 만들기 체크 해제


***5. 터미널 서비스 보안 설정***
1. TsInternetUser 계정 사용중지

2. 암호화 수준 [높음]으로
터미널 서비스 구성>>연결>>Rdp~~>>등록정보>>일반>>암호화>>[높음]

3. 세션 설정
터미널 서비스 구성>>연결>>Rdp~~>>등록정보>>세션
1) 사용자 설정 무시 체크
:연결 끊긴 세션 끝내기(30분)
:활성세션 제한 (해당없음)
:유휴 세션 제한(10분)

2) 사용자 설정 무시 체크
:세션 제한에 도달하거나 연결이 끊어지면 >>세션 끝내기

4.1 서버의 연결용 포트 변경하기
1) 위치 : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
Server\Wds\rdpwd\Tds\tcp
값 :PortNumber (3d3,16진수,dword)(3389)>>(다른 포트 7003,10진수)로 변경

2) 위치 :HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
Server\WinStations\RDP-Tcp
값 :PortNumber (3d3,16진수,dword)(3389)>>(다른 포트 7003,10진수)로 변경

*****tcp/ip필터링이 적용 됐다면.. tcp포트에 해당 포트를 추가 해야됨.

4.2 클라이언트의 포트 변경
>>터미널 클라이언트 연결관리자 실행.
>>아이콘 생성되면 [내보내기] 실행 >파일 이름을 ???.cns로 저장..
>메모장으로 열어서.
Server Port=설정된 포트로 변경
>>클라이언트 연결관리자 >>가져오기 >>위에서 수정한 파일 가져오기

 

**************************************************************************************************
*** 도메인(www.joymart.com)에서 이름을 따서
[계정],[가상 ftp 별칭],[웹 디렉토리 명],[database 명],[웹사이트 명]으로
사용하면 편리하다.
**단, 계정과 가상 ftp명은 반드시 동일 해야 한다.
**************************************************************************************************


***6. IIS 설정(www)***
*모든 웹서버에 공통 적용되는 것들은 "웹서버"의 "등록정보" [마스터 속성]에서
지정하면 편리(WWW.FTP)


1. 불필요한 가상 디렉토리 삭제 (웹서비스에서 지운다.)
**********************************************************
[!!! IISLockDown 설치시 적용되므로 생략가능 !!!]
**********************************************************
1) iis예제 : 가상 디렉토리 -\iissample :위치 -c\inetpub\iissample
2) 데이터 액세스 : 가상 디렉토리-\msadc :위치 -c\program~\command
files\system\msadc
3) iis 설명서 : 가상 디렉토리 -\iishelp :위치 -c\winnt\help\iishelp(파일은
지우면 안됨.)
**가상 디렉토리 지우기 : IISADMPWD - 암호 재설정 할수 있는것임..

2. 확장자별 권한 할당. (각 분류별 디렉토리 할당 권유) --->위의 ***NTFS 권한
설정****을 적용 권유..
CGI(exe,dll,cmd.pl) >> admin-system(모든권한)
스크립트 파일(asp) >> 위와 동일
include 파일 (inc,shtm,shtml) >> 위와 동일
정적 컨텐트(txt,html,그림파일) >> Everyone(R),Admin-system(모든권한)

>>static,include,script,executable,images 이런 식으로 폴더 생성 유도..

3. 정기적으로 불필요 파일 제거.(data폴더들만,**시스템 드라이브(C:)는 될수
있으면 건들지 말것.)
>>log,tmp,bak등

4. 로그 파일. (변경시 바로 적용되므로 주의..)
>> 웹 사이트의 폴더가 있는 곳에 iislog폴더를 따로 만들어 사이트별 로그
기록요함.
(날짜의 경우는 매일 로그파일을 만들경우는 생략가능)
>www의 경우
:날짜, 시간, 클라이언트 ip,사용자 명,메서드, uri 스템(액세스한 리소스)
:uri 쿼리, 프로토콜상태, win32상태, 사용자 에이젼트(클라이언트 프로그램)

>ftp의 경우
:날짜, 시간, 클라이언트 ip, 사용자 이름, 메서드, uri 스템,프로토콜
상태,win32상태

>smtp의 경우
:날짜, 시간, 클라이언트 ip,사용자 이름, 메서드, 프로토콜
상태,보낸바이트,받은바이트,걸린시간,
win32상태


([Win32 Status 등록정보]는 디버깅 목적으로 사용할 때 유용하다.
로그를 판단할 때, error 5가 있다면 액세스 거부를 나타낸다.
다른 Win32 에러들은 명령 프롬프트에서 [[net helpmsg err]] 을 입력하여 무슨
뜻인지 확인할 수 있다.)


5. IIS 등록정보 환경설정
**********************************************************
[!!! IISLockDown 설치시 적용되므로 생략 !!!]
**********************************************************
1) 스크립트 매핑 제거(**사용하는지 안하는지 확인후 작업 실시)
>>인터넷 서비스 관리자>인터넷 정보 서비스>등록정보>마스터
속성>www서비스>편집>홈 디렉토리>구성
ex) 삭제 대상 (역할)
.htr(웹기반 암호 재설정)
-**중요:.htr 기능을 사용할 중요한 이유가 없다면 .htr extension을 반드시
제거해야한다.
.idc(인터넷 데이터베이스 커넥터:all IIS 5 web sites should use ADO or
similar technology)
.stm, .shtm, .shtml(Server-side includes)
.printer(인터넷 인쇄)
.htw,.ida,.idq(인덱스 서버)
>>>>필요한것들..asp,asa,cer,cdx등..

6. 상위 경로 사용 해제 (".."사용 해제) **보통 ".."를 사용 하는 경우가
많으므로 충분한 검토후 해제 바람.
>>홈디렉토리>>구성>>상위 경로 사용

7. SyncAttack 에 유연한 레지스트리 설정 (p265참고)

 

***7. IIS 설정(ftp)***
**기본 ftp를 그대로 이용해서 모든 계정은 이 디렉토리를 거쳐서 자기 계정으로
갈수 있도록 한다.
** NTFS 권한 :\inetpub\ftproot(ntfs : everyone :읽기) - 가상디렉토리를 다른
곳에 생성할 경우
>>기본 ftp사이트 등록정보
1단계 : ftp 사이트 탭
-로깅사용 체크->등록정보
-로그 파일 디렉토리 : default 유지
-확장 속성 : 날짜, 시간, 클라이언트 ip, 사용자 이름, 메서드, uri
스템,프로토콜 상태,win32상태

2단계 : 보안계정 탭 :익명 연결허용 체크 해제

3단계 : 홈디렉토리 탭
-디렉토리 : (default 경로 유지 : \inetpub\ftproot)
: 읽기, 방문기록(방문기록은 체크 해제해도 된다.wsftp의 log가 샇이지
않는다.)
: 쓰기는 체크 해제
-디렉토리 목록 : UNIX 용 체크(클라이언트에서 rwx보임)
>> 가상디렉토리 생성
-별칭 : 호스팅 가입자 계정명과 동일해야한다.
-디렉토리 : 호스팅 가입자의 웹사이트의 홈 디렉토리(ntfs 권한 : 호스팅
가입자-admin-system:all)
-엑세스 권한 : 읽기,쓰기
(ftp 포트를 다른것으로 바꿔서 사용하는 것을 추천함..)

 

 

***8. 이벤트 로그 크기 및 보유 방법***
1. 로그 크기 권고 사항

로그 도메인 컨트롤러 파일/프린터/데이터베이스/웹
서버 RAS서버 워크스데이션
security 5-10M 2-4M 5-10M 1M
system 1-2M 1-2M 1-2M 1M
application 1-2M 1-2M 1-2M 1M

2. 로그 보유 권고 사항

로그 덮어쓰기 정책 설정
security 최소 21일 이후에 덮어쓰기 (2048KB)
system 최소 15일 이후에 덮어쓰기 (1024KB)
application 필요에 따라 덮어쓰기 (1024KB)
DNS 다음보다 오래된 이벤트(7일) (512KB)

 

/////////////////////////////////////////////////////////////////////////////////////////////
/////////////////////////////////// DNS 설정 절차
///////////////////////////////////////
/////////////////////////////////////////////////////////////////////////////////////////////

회사 dns 서버 : 표준 주 영역
isp 업체 : 표준 보조 영역 (알려줘야 할 것들 : 영영
이름(도메인명:e-joymart.com),dns 서버의 IP주소 )
정방향 영역의 [영역 형식]은 FQDN(ejoymart.com. <-.으로 끝남) 을 사용한다.

[컴퓨터 명 등록]
1. 내컴퓨터->등록정보->네트워크 식별->등록정보
2. ID 변경
- 컴퓨터 이름 : ns
- 작업 그룹 : WORKGROUP
3. DNS 접미사 및 NetBios 컴퓨터 이름
- 이 컴퓨터의 주 DNS 접미사 : e-joymart.com
- 도메인 구성원 자격이 변경되면 주 DNS 접미사 변경 <체크>
- NetBios 컴퓨터 이름 : NS

[정방향 /역방향 조회 영역]
1. [동작] -> [서버구성]
2. 정방향 조회 영역 : 예
3. 영역형식 : 표준 주 영역
4. 영역이름 : e-joymart.com
5. 영역파일 : 다음 이름으로 새 파일 만들기(e-joymart.com.dns)
6. 역방향 조회 영역 : 예
7. 영역형식 : 표준 주 영역
8. 역방향 조회 영역 : 210.182.34
9. 영역파일 : 다음 이름으로 새 파일 만들기 (34.182.210.in-addr.arpa.dns)
10. 마침.

[결과]
정방향 조회 영역 : ns.e-joymart.com
이름 종류 데이터
(부모 폴더와 같음) 권한의 시작 [1], ns., admin.
(부모 폴더와 같음) 이름 서버 ns.

역방향 조회 영역 : 210.182.34.x.Subnet
이름 종류 데이터
(부모 폴더와 같음) 권한의 시작 [1], ns., admin.
(부모 폴더와 같음) 이름 서버 ns.

 

[호스트 및 메일 교환기 등록]
**연결된 포인터 레코드 만들기 : 역방향 조회쪽에 포인터를 등록시키는 것이다.
**ip주소로 도메인을 찾도록 하려면 역방향 조회쪽에 포인터를 등록시켜야 한다.
[!! 역방향향 포인트 레코드는 안만드는 것이 보안상 좋음!!]

1. [새호스트..]
위치 : e-joymart.com(정방향조회 영역)

2. 이름 : 입력 없음
ip : 210.182.34.130
연결된 포인터 레코드 만들기(PPT) : 체크.(ip 주소로 사이트 접속허용일
경우/역방향 생성됨)
호스트 추가...(부모폴더와 같음 : 210.182.34.130)

3. 이름 : ns
ip : 210.182.**.***
호스트 추가...(ns.e-joymart.com : 210.182.34.130)

4. 이름 : www
ip : 210.182.34.130(www서비스를 실행할 서버의 ip 주소)
연결된 포인터 레코드 만들기 : 체크(ip 주소로 사이트 접속허용일
경우/역방향 생성됨)
호스트 추가...

5. 이름 : mail
ip : 210.182.34.XXX(mail 서비스를 실행할 서버의 ip 주소)
호스트 추가...

6. [새 메일 교환기...]

7. 호스트 또는 도메인 : 입력 안함.
메일 서버 : mail.e-joymart.com.(찾아 보기를 이용해서 입력)
메일 서버 우선 순위 : 10( default )

 

[결과]
<<<정방향 조회>>>
이름 종류 데이터
www 호스트 210.182.34.130
ns 호스트 210.182.34.130
mail 호스트 210.182.34.150
(부모 폴더와 같음) 호스트 210.182.34.130
(부모 폴더와 같음) 이름 서버 ns.e-joymart.com.
(부모 폴더와 같음) 메일 교환기 [10] mail.e-joymart.com.
(부모 폴더와 같음) 권한의 시작 [6], ns.e-joymart.com., admin.e-joymart.com.


<<<역방향 조회>>>
이름 종류 데이터
(부모 폴더와 같음) 이름 서버 ns.e-joymart.com.
(부모 폴더와 같음) 권한의 시작 [3], ns.e-joymart.com., admin.e-joymart.com.
210.182.34.130 포인터 www.e-joymart.com.
210.182.34.130 포인터 e-joymart.com.


/////////////////////////////////////////////////////////////////////////////////////////////
////////////////////////////// C. 웹 호스팅 서버 설정법
/////////////////////////////////
/////////////////////////////////////////////////////////////////////////////////////////////
차례
1. NT웹호스팅가입자그룹 생성하기
2. NT웹호스팅가입자 계정생성하기
3. NT웹호스팅가입자 홈디렉토리 구성하기
4. NT웹호스팅가입자를 위한 가상웹사이트생성하기 (생략가능)
5. NT웹호스팅가입자 웹사이트 등록하기(IIS)
6. NT웹호스팅가입자 FTP사이트 등록하기 (기본 ftp를 그대로 이용해도 된다.)
7. NT서버 데이터베이스사용자를 위한 MS-SQL셋팅하기
8. NT가입자를 위한 특정페이지 인증하는 방법 (보통 가상 디렉토리를 이렇게
사용한다.)

 

********
설치 절차
**************************************************************************************************
*** 도메인(www.joymart.com)에서 이름을 따서
[계정],[가상 ftp 별칭],[웹 디렉토리 명],[database 명],[웹사이트 명]으로
사용하면 편리하다.
**단, 계정과 가상 ftp명은 반드시 동일 해야 한다.
**************************************************************************************************

참고 : 하나의 IP address에 여러 개의 웹사이트를 설정해 놓았을 경우:
; IP address로 접근하면 어느 홈페이지가 화면에 나타나는가 ?
>>> 바로 [호스트 헤더 이름이 설정이 안된 웹서버]가 응답을 하게
되는것이다....

**아래의 예에서 사용되는 도메인은 www.joymart.com 의 경우로 한다.

1. NT웹호스팅가입자그룹 생성하기(생략!!)
>그룹 이름 : WebHosting
>설명 : 웹호스팅 가입자 그룹

2. NT웹호스팅가입자 계정생성하기
>이름 : joymart (도메인(www.joymart.com))
>전체이름 : joymart.com
>설명 : joymart 폴더의 www폴더 엑세스
>암호 변경할수 없음. 체크
>암호 제한기간 없음. 체크
>>소속 그룹을 1에서 만들어 놓은 곳으로 한다.

3. NT웹호스팅가입자 홈디렉토리 구성하기
>>하드디스크를 따로 분리(파티션을 나눠서)해서 사용하면 편하다..
>>>없을 경우 :
root
/Hosting(권한설정- admin-system:모든권한)
/joymart(www.joymart.com의 경우)-(또는 가입자 계정과 동일한 디렉토리를
만들어도 됨)
/Database :데이터베이스의 디바이스파일저장됨
/Logs :각종로그파일이 저장됨
/www :홈페이지 디렉토리(권한설정- everyone : 읽기및실행,
폴더내용보기,읽기 허용
호스팅 가입자 계정(joymart):all(ftp사용))

>>디폴트 웹페이지(default.html) 1개 생성 or parking페이지 생성시켜
둔다.

4. NT웹호스팅가입자를 위한 가상웹사이트생성하기 (생략가능)
>>www폴더 ->공유-> 웹공유(기본 또는 현재 실행되고 있는 웹사이트 지정)
->별칭(디폴트:디렉토리명과 동일)
->엑세스 권한 : 읽기
->실행 권한 : 스크립트

>>test방법 : 웹공유에서 지정한 사이트명/별칭/

5. NT웹호스팅가입자 웹사이트 등록하기(IIS)

컴퓨터 관리 실행(인터넷서비스관리자에서 해도 됨) > 인터넷 정보 서비스 >
새로만들기 > web사이트

1단계 : [웹 사이트 설명](다른사이트와 구분될수 있는 설명)
>가입자명(도메인명) : joymartwww(www.e-joymart.com)
>또는 도메인명 : e-joymart.com

2단계 : [IP 주소 및 포트 설정]
>"모두 지정되지 않음" 선택(default)
**참고 : 만약 웹호스팅서비스를 운용하는 방식이
가입자에게 개별적인 IP Address를 부여하는 Virtual IP Address방식이라면
"이 웹 사이트에 사용할 IP 주소 선택"란에서 사용할 IP Address를 지정해
주면된다.
하지만 대부분 한 개의 IP Address를 가입자 모두가 공유하는 Virtual
Domain방식이므로
"모두 지정되지 않음"을 선택해야한다.

3단계 : [웹사이트 홈 디렉토리] ([찾아보기]를 통해서)
>/Hosting/joymart/www 로 설정
>익명사용자 연결허용 체크(default)

4단계 : [웹사이트 액세스 권한] 설정
>읽기, 스크립트 실행 만 체크(default)

5단계 : 웹사이트 등록확인
>인터넷 정보 서비스 > 1단계에서 설정한 것이 나타나는지 확인

6단계 : 웹사이트 등록정보(웹사이트 탭 :6단계~10 단계)
>>방금 등록한 웹사이트에서 [등록정보] > "웹사이트" 탭 > 고급 (고급 복수
웹사이트 구성)

7단계 : [고급 복수 웹사이트 구성] 설정
>"이 웹 사이트의 복수 ID(M)"에서 작업
default설정 -ip 주소 : 모두 할당되지 않음 -TCP 포트 : 80

>>위의 항목을 선택하고서 [편집](고급 웹사이트 확인 창에서)
-> 호스트 헤드 이름 : www.e-joymart.com(도메인)
>>[추가]
-> -ip 주소 : 모두 할당되지 않음
-TCP 포트 : 80
-호스트 헤드 이름 : e-joymart.com(url창에서 e-joymart.com 을 입력해서
사용 가능.)

>>>>>>>실제적으로 여기에서 설정한 것이 홈페이지의 주소가 된다.

8단계 : 도메인정보 등록확인
>"이 웹사이트의 복수 ID(M)" 쪽에 아래와 같이 설정 되었는지 확인
-ip 주소 : 모두 할당되지 않음 -TCP 포트 : 80 -호스트 헤드 이름 :
www.e-joymart.com
-ip 주소 : 모두 할당되지 않음 -TCP 포트 : 80 -호스트 헤드 이름 :
e-joymart.com

9단계 : 웹사이트 로그파일설정
>"로깅사용" 체크 -> 등록정보
- 로그파일 디렉토리 : 3번의 가입자 홈디렉토리 구성에서 만든 곳으로
지정(joymart/logs)
- :날짜, 시간, 클라이언트 ip,사용자 명,메서드, uri 스템(액세스한 리소스)
:uri 쿼리,프로토콜상태,win32상태,사용자 에이젼트

10단계 : 웹사이트 등록정보(운영자 탭) (생략)
( 웹호스팅 전문으로 하는 업체에서는 설정. )
> 호스팅 가입자 추가

11단계 : 웹사이트 등록정보(성능 탭)
> default 설정 유지
12단계 : 웹사이트 등록정보(홈디렉토리 탭)
>읽기, 방문기록, 리소스 색인화(체크 확인)
>>다른 것은 default 설정 유지

참고::::
◎ 이 컴퓨터에 있는 디렉토리
: 현재 사용중인 컴퓨터에 있는 디렉토리를 웹사이트의 홈페이지디렉토리로
사용함.
대부분 이것을 선택한다.

◎ 다른 컴퓨터에 있는 공유디렉토리
: SUN에서 사용할 수 있는 NFS와 비슷한 기능을 흉내낼 수 있는 것으로
다른컴퓨터에 있는 디렉토리를 공유하여 홈페이지 디렉토리로 사용한다.

◎ URL로 방향전환
: 도메인포워딩이 가능한 것으로 URL로 다른곳을 지정 할 수있다.

13단계 : 웹사이트 등록정보(문서탭)
>기본 문서 등록(index.asp)

14단계 : 웹사이트 등록정보(디렉토리보안)
>익명 인증 ,윈도우즈 통합인증 (체크확인)
>default 설정유지

15단계 : 웹사이트 등록정보(사용자정의 오류)
>default 설정유지
>계발용이면,가상 디렉토리를 만들어서 asp에 대한 도움말을 볼수 있도록 한다.
1)가상 디렉토리 별칭 : iishelp
2)경로 :\WINNT\Help\iisHelp\common
3)나머지는 default 설정
4)[해당 사이트]에서 [등록정보] -> [사용자 정의 오류]탭->http오류
-500;100 ->등록정보편집->url->/iishelp/500-100.asp 입력

26단계 : 웹사이트 실행(시작)하기

 

6. NT웹호스팅가입자 FTP사이트 등록하기 (기본 ftp를 그대로 이용해도 된다.)
>>기본 ftp사이트 등록정보
1단계 : ftp 사이트 탭
-로깅사용 체크->등록정보
-로그 파일 디렉토리 : default 유지
-확장 속성 : 날짜, 시간, 클라이언트 ip, 사용자 이름, 메서드, uri
스템,프로토콜 상태,win32상태

2단계 : 보안계정 탭 :***익명 연결허용 체크 [[해제]]***중요

3단계 : 홈디렉토리 탭
-디렉토리 : (default 경로 유지 : \inetpub\ftproot)
: 읽기, 방문기록(방문기록은 체크 해제해도 된다.wsftp의 log가 샇이지
않는다.)
: 쓰기는 체크 해제
-디렉토리 목록 : UNIX 용 체크(클라이언트에서 파일의 권한(rwx) 보임)

>> 가상디렉토리 생성
-별칭 : 호스팅 가입자 계정명과 동일
-디렉토리 : 호스팅 가입자 홈 디렉토리
-엑세스 권한 : 읽기,쓰기
(ftp 포트를 다른것으로 바꿔서 사용하는 것을 추천함..)

 

7. NT서버 데이터베이스사용자를 위한 MS-SQL셋팅하기
**************************************************************************************************
*****************
계정 생성 절차 :
;;로그인 계정 생성 -> 사용자 설정(계정생성시 or 해당 db에서 사용자 추가
이용)
-> 역할 권한 설정 -> 개체에 대한 권한 부여
******************************************
***계정***
** 1. [SQL Server 의 (보안)]
: [로그인 계정]을 관리 하는 곳 - sql 서버에 접속할수 있는 계정
** 2.[특정 database내에서의 (사용자)]
: [사용자 계정]을 관리하는 것 - 해당 db를 사용(select등)할수 있는
계정(로그인에 계정이 있어야 한다.)
**특정 db에 대해서 select의 권한을 얻으려면
>> [로그인 계정]과 해당 db에서 [사용자 계정]이 있어야 되며, 개체에 대한
권한이 부여되어야 한다.


**DB(joymart)를 사용할수 있는 역할(권한) 설정(주로 MCL명령어 관련) -해당
db에서 이 사용자가 할수 있는 작업들을 설정
: 해당 db(joymart)의 [등록정보]에서 작업.(테이블 만들기, 뷰만들기,sp만들기,
등등.. )
>>DB의 관리자 격이다...

**특정 table이나 개체에 대한 권한 부여(DML관련 명령-select ,insert,..)
: [특정 database내에서의 (사용자)] -> 특정 사용자 ->모든 작업-> 사용권한
또는,
: [특정 table나 뷰]에서 [사용권한]을 설정해도 된다.

: 이 작업은 table를 사용하는 사용자 들에게만 해주면 된다.

**************************************************************************************************

1) sa로 로긴

2) db 생성(joymart) ->경로는 database로 설정 - 파일 최대값을 설정하지
않는다.

3) SQL Server 로그인 계정 생성
(- SQL Server 쪽의 [보안](database 내에서의 사용자가 아님.)->[로그인] ->
새로그인 ...)

---[SQL Server 로그인 속성- 새로그인] 창에서
:[일반]탭
- 이름 : 계정명
- 인증 : SQL Server 인증
- 기본값 : 데이터베이스 : 2)에서 생성한 기본값(이 계정으로 접속하면
연결되는 db)
언어 : 기본값(한글 MS-SQL일 경우 default 설치면 korean_ws)

:[데이터베이스 엑세스]탭
- 접근허용할 db 에 체크
(joymart DB의 [사용자] -> [새 데이터베이스 사용자.]에서 추가 해도 된다.)
- [데이터베이스의 역할]은 public 만 유지한다.
(*** 만약 db_owner 에 체크를 하게 되면,
이 계정으로 접근 허용한 db에서 [데이터베이스 사용자]탭이 활성화된다.
**그러나, 해당 사용자를 추가시킬 수는 있지만 [로그인 계정]을 만들
수는 없다.)

4) DB(joymart)를 사용할수 있는 역할(권한) 설정 -<<<해당 db(joymart)의
[등록정보]에서 작업.>>>
**DCL관련 명령어(테이블 만들기,뷰 만들기,..)
**해당 DB의 관리자 격이다.
:해당계정 선택 : 모든 것을 체크(다 해도 상관없다.)
-테이블 만들기, 뷰만들기,sp만들기, 등등..
-***일반 사용자들의 경우는 이작업을 생략해야 된다.

***추가 계정을 만든후 그 계정들은 특정 table 이나 뷰만 사용 하게 할려면:
: [해당 database의 사용자]에서 [모든작업]->[사용권한]을 설정하거나
:아니면 [특정 table나 뷰]에서 [사용권한]을 설정해도 된다.

5)이후 이 db의 작업은 위에서 만들어둔 계정으로 접속을 해서 작업(table
만들기등)

 

8. NT가입자를 위한 특정페이지 인증하는 방법 (보통 가상 디렉토리를 이렇게
사용한다.)
1) 인증에 의한 로긴을 할 [특정 사이트]의 [등록정보]
>[디렉토리 보안] 탭 -> "익명 엑세스 및 인증제어" ->편집
-익명 액세스(A) : 체크 해제
-기본 인증 : 체크
-Windows 통합인증 :체크(default)
('기본인증' 방법:특정사용자만을 ID와 패스워드로 인증하여 접근을 허용할 수
있도록 하는 것.)

2)탐색기 ->인증할 [디렉토리]의 등록정보 -> [보안]탭
: everyone 계정 제거 , 특정사용자 추가 (all권한)

3)해당 사이트입력, -> 시스템 로그온 다이얼 로그 박스 뜸..

 


[ 용어 설명 ]
Virtual IP Address방식 : 가입자에게 개별적인 IP Address를 부여하는 방식의
웹서비스
- "이 웹 사이트에 사용할 IP 주소 선택"란에서 사용할 IP Address를 지정해
주면된다.
Virtual Domain방식 :한 개의 IP Address를 가입자 모두가 공유하는 방식의
웹서비스
- "이 웹 사이트에 사용할 IP 주소 선택"란에서 모두 지정되지 않음"을 선택해야
된다.

/////////////////////////////////////////////////////////////////////////////////////////////
//다른 SQL 서버에서 백업한 데이터베이스를 리스토어 했거나 attach 를 이용하여
데이터를 생성후//
////////////////////// 설정사항 /////////////////////
/////////////////////////////////////////////////////////////////////////////////////////////

--[DB를 백업한다.]
BACKUP DATABASE pubs TO DISK = 'c:\pubs1' WITH INIT

[DB를 detach로 떼어낸다.]

EXEC sp_detach_db 'pubs', 'true'

[다른 SQL 서버에 DB 연결하기]
--1. 기존 db(attach한 db)의 사용자와 동일한 로그인계정을 만든다.
--Add the new login.
USE master
go
EXEC sp_addlogin 'attach한 db의 사용자명' , 'PWD'
go

--2. Attatch 시킨다.
-- 1) MDF 만 존재할 경우 :
EXEC sp_attach_single_file_db 'DB명' ,
'경로명\pubs.mdf'

--2)MDF, LDF 가 존재할 경우
EXEC sp_attach_db @dbname = N'pubs',
@filename1 = N'c:\Program Files\Microsoft SQL
Server\MSSQL\Data\pubs.mdf',
@filename2 = N'c:\Program Files\Microsoft SQL
Server\MSSQL\Data\pubs_log.ldf'

--3. attach한 db의 SQL Server 사용자와 Microsoft?? SQL Server™ 로그인
계정을 일치 시킨다.
[사용자의 로그인 변경]
--Change the user account to link with the 'attach한 db의 사용자명' login.
USE DB명
go
EXEC sp_change_users_login 'Update_One', 'attach한 db의 사용자명', '1번에서
만든 로그인계정'

/////////////////////////////////////////////////////////////////////////////////////////////
/////////////////////////////// D. Database 백업 자동화 구성
////////////////////
/////////////////////////////////////////////////////////////////////////////////////////////
1. 해당 데이터베이스->유지관리 계획

2. 데이터베이스 선택

3. 데이터 최적화 정보 업데이트
-데이터와 인덱스 페이지 다시 구성
-페이지당 빈 공간 비율을 다음으로 변경 (10)
-(1주마다 일요일에, 오전 3:00:00에)

4. 데이터베이스 무결성 검사
-데이터베이스 무결성 검사
-인덱스포함
-백업 실행전에 다음 검사 수행
-(1주마다 일요일에, 오전 2:00:00에)

5. 데이터베이스 백업 계획 지정
-유지관리계획의 일부로 데이터베이스 백업
-완료시 백업 무결성 확인(디스크)
-(1주마다 일요일에, 오전 4:00:00에)

6. 백업 디렉터리 지정
-디렉터리 지정 (e:\BKUP_DataBase\db_back)
-데이터베이스마다 하위 디렉터리 만들기
-다음보다 오래된 파일 제거 (4주)
-백업파일 확장명 (MBK : Masterdb BacKup)

7. 트랜잭션 로그 백업 계획 지정
-유지 관리 계획의 일부로 트랜잭션 로그 백업
-완료시 백업 무결성 확인
-디스크
-(1주마다 월,화,수,목,금,토요일에, 오전 4:00:00에)

8. 트랜잭션 로그 백업 디스크 디렉터리 지정
-디렉터리 지정 (e:\BKUP_DataBase\tlog_back)
-데이터베이스마다 하위 디렉터리 만들기
-다음보다 오래된 파일 제거 (4주)
-백업 파일 확장명 (TRN : 디폴트)

9.생성할 보고서
-보고서를 다음 디렉터리 텍스트 파일로 쓰기 (디폴트 - \Microsoft SQL
Server\MSSQL\LOG)
-다음보다 오래된 텍스트 보고서 파일 삭제 (4주)

10. 유지 관리 계획 기록
-로컬 서버
-이 서버의 msdb.dob.sysdbmaintplan_history 테이블에 기록쓰기
-이 계획의 테이블 행 수를 1000행으로 제한

11. 완료

12. 운영자 등록
-관리 -> SQL Server 에이전트 -> 운영자
-일반탭 : 이름등록, Net Send 등록(ip)
-알림탭 : net send 쪽에 모두 체크,운영자가 알림메시지를 받을 수 있음 체크


/////////////////////////////////////////////////////////////////////////////////////////////
/////////////////////////////// E. IIS 5.0 실행에 필요한 최소 NTFS 권한
///////////////////
/////////////////////////////////////////////////////////////////////////////////////////////

IIS 5.0 실행에 필요한 최소 NTFS 권한

마지막으로 수정한 날짜 : 13-Jun-2001
문서 번호: KR271071
--------------------------------------------------------------------------------
본 문서의 정보는 다음의 제품에 적용됩니다.:
Microsoft Internet Information Services 5.0
--------------------------------------------------------------------------------


**현상
이 문서에서는 IIS 5.0 웹 사이트에 필요한 최소 NTFS 액세스 권한에 대해
설명합니다. IIS를
설치할 때 이미 기본 웹 사이트와 기본 FTP 사이트에 대해 적절한 NTFS 액세스
권한을 갖고
있어야 합니다. 올바른 NTFS 권한이 필요한 폴더가 많이 있습니다. 이러한 폴더
중 하나의 설정이
틀리면 다음 중 하나 이상의 오류가 발생할 수 있습니다.

웹 브라우저의 오류:

You are not authorized to view this page
You do not have permission to view this directory or page using the
credentials you supplied.

HTTP 401.3 - Access denied by ACL on resource
Internet Information Services

-또는-

웹 브라우저의 오류:

Server Application Error
The server has encountered an error while loading an application during
the
processing of your request. Please refer to the event log for more
detailed
information. Please contact the server administrator for assistance.

시스템 로그의 오류 설명:

Event Type: Warning
Event Source: W3SVC
Event Category: None
Event ID: 36
Date: 3/5/2001
Time: 9:59:40 AM
User: N/A
Computer: MACHINE-NAME
Description:
The server failed to load application '/LM/W3SVC/5/Root'. The error was
'General access denied error'.
For additional information specific to this message please visit the
Microsoft
Online Support site located at:
http://www.microsoft.com/contentredirect.asp.

Event Type: Error
Event Source: DCOM
Event Category: None
Event ID: 10001
Date: 3/5/2001
Time: 9:59:40 AM
User: NT AUTHORITY\SYSTEM
Computer: MACHINE-NAME
Description:
Unable to start a DCOM Server: {99169CB1-A707-11D0-989D-00C04FD919C1} as
./IWAM_MACHINE-NAME.
The error: "Access is denied. " Happened while starting this command:
C:\WINNT\System32\dllhost.exe
/Processid:{3D14228D-FBE1-11D0-995D-00C04FD919C1}

-또는-

웹 브라우저의 오류:

Error: Access is Denied.

시스템 로그의 오류 설명:

Event Type: Warning
Event Source: W3SVC
Event Category: None
Event ID: 30
Date: 3/5/2001
Time: 10:01:13 AM
User: N/A
Computer: MACHINE-NAME
Description:
The server was unable to read the file
C:\WINNT\help\iisHelp\common\401-3.htm.
The file does not exist.
For additional information specific to this message please visit the
Microsoft
Online Support site located at:
http://www.microsoft.com/contentredirect.asp.

**원인
NTFS 권한이 기본 설정에서 변경되어 IIS 5.0 실행 권한으로는 충분하지
않습니다.

**해결 방법
참고: 본 문서에서 설명하는 단계를 수행하면 IIS 5.0 컴퓨터에서 관리자만
소프트웨어를 설치하거나
실행할 수 있도록 권한이 제한됩니다. 이 문서에서 지정한대로 권한을 재설정한
후에는 인터넷
서비스 관리자를 통해 각 웹 사이트에 대해 Server Extensions 확인 작업을
수행해야 합니다.
FrontPage 클라이언트가 HTTP 프로토콜을 사용하여 연결될 수 있으려면 이 단계가
필요합니다.

Windows 탐색기를 사용하여 다음과 같이 하십시오.

1. 전체 하드 드라이브를 다음과 같이 설정합니다.


SYSTEM - 모든 권한
ADMINISTRATORS - 모든 권한


이렇게 설정하려면 고급을 누르고 모든 자식 개체의 사용 권한 재설정 및 상속
가능한
사용 권한 전파 허용을 선택합니다.

참고: Pagefile.sys 파일에 사용 권한을 적용하려고 하면 오류 메시지가
나타납니다.
이 오류 메시지와 유사한 모든 오류 메시지에 대해 계속을 누르십시오.

2. Program Files\Common Files의 경우 Everyone을 추가하고 읽기 및 실행, 폴더
내용 보기
및 읽기를 선택합니다.

참고: 부모로부터 상속 가능한 사용 권한을 이 개체로 전파할 수 있음 확인란을
선택 취소하지 마십시오.

3. Inetpub\Wwwroot의 경우 IUSR_MACHINE을 추가하고 읽기 및 실행, 폴더 내용
보기 및 읽기를
선택합니다.

참고: 부모로부터 상속 가능한 사용 권한을 이 개체로 전파할 수 있음 확인란을
선택 취소하지 마십시오.

4. Winnt\System32 폴더에서 Inetsrv 폴더와 Certsrv 폴더를 제외하고 모든
폴더를 선택합니다.

이러한 폴더의 등록 정보 시트를 열고 부모로부터 상속 가능한 사용 권한을 이
개체로 전파할
수 있음을 선택 취소합니다. 나타나는 대화 상자에서 복사를 누릅니다. 확인을
눌러 등록
정보 시트를 종료합니다.

5. Winnt 폴더에서 Downloaded Program Files, Help, IIS Temporary Compressed
Files,
Offline Web Pages, System32, Tasks, Temp 및 Web 폴더를 제외하고 모든
폴더를 선택합니다.

이러한 폴더의 등록 정보 시트를 열고 부모로부터 상속 가능한 사용 권한을 이
개체로
전파할 수 있음을 선택 취소합니다. 나타나는 대화 상자에서 복사를 누릅니다.
확인을 눌러
등록 정보 시트를 종료합니다.

6. Winnt의 경우 Everyone을 추가하고 읽기 및 실행, 폴더 내용 보기 및 읽기를
선택합니다.

참고: 부모로부터 상속 가능한 사용 권한을 이 개체로 전파할 수 있음 확인란을
선택 취소하지 마십시오.

7. Winnt\Temp(ASP 페이지에서 Access 데이터베이스를 볼 수 있게 해줌)의 경우
Everyone 그룹
(이 그룹은 Winnt 폴더에서 상속하여 이미 존재해야 함)을 선택하고 수정을
선택합니다.


**추가 정보
각 시스템 관리자의 필요에 맞게 사용 권한을 특수화할 수도 있지만
IUSR_MACHINE 계정 대신
Everyone 그룹을 사용하는 것이 좋습니다.

Everyone 그룹은 사용자 그룹, IUSR_MACHINE 계정 및 IWAM_MACHINE 계정을
포함합니다.

IIS 5.0에서는 웹 페이지를 실행하는 데 별도의 두 가지 계정을 사용합니다.
익명 인증을 사용할
경우 IIS는 IUSR_MACHINE 계정을 사용하여 해당 페이지를 봅니다. 그러나,
Dllhost.exe라는
별도의 프로세스를 시작할 때는 IWAM_MACHINE을 사용합니다. 모든 ASP(Active
Server Page),
구성 요소 개체 모델(COM) 구성 요소 또는 기타 ISAPI 확장(ASP는 ISAPI
확장으로 간주됨)이
Dllhost.exe 프로세스 내부에서 실행됩니다. 이것은 주로 안정성을 위한
것입니다. ASP 페이지에서
호출된 사용자 지정 COM 구성 요소가 동작하지 않아도 즉, 액세스 위반으로 인해
프로세스가
중단되어도 Inetinfo.exe가 영향을 받지 않아 웹 서비스가 계속 실행됩니다.

IIS 4.0의 두 가지 보호 수준은 아래와 같습니다.

*기본설정: IIS 4.0이 프로세스 내 즉, SYSTEM 계정에 의해 시작되는
Inetinfo.exe
프로세스 내부에서 모든 응용 프로그램을 시작합니다. 웹 페이지가 나타나면
해당 페이지를
서비스하는 특정 스레드가 IUSR_MACHINE 계정의 컨텍스트에서 실행됩니다. HTM,
ASP 및
그 밖의 다른 ISAPI 확장이 Inetinfo.exe 내부에서 실행됩니다.

*구분 메모리 공간에서 실행(격리된 프로세스): 이를 out-of-process라고도
합니다.
IWAM_MACHINE 계정을 사용하여 ASP와 그 밖의 다른 ISAPI 확장을 실행하는
별도의 Mtx.exe
프로세스를 만듭니다.

IIS 5.0의 세 가지 보호 수준은 아래와 같습니다.

*낮음(IIS 프로세스): 이 설정은 IIS 4.0의 기본 설정과 유사합니다. 모든 웹
페이지가
HTM인지 아니면 ASP인지에 관계 없이 Inetinfo.exe 프로세스 내부에서
실행됩니다.

*보통(풀링됨): 이것이 기본값입니다. IIS 4.0에서처럼 이 설정은 모든 ASP 및
COM 구성
요소가 실행되는 Dllhost.exe라는 별도의 프로세스를 시작합니다. 이
프로세스는
IIS 4.0에서처럼 IWAM_MACHINE 계정에 의해 시작됩니다. 또한, 이 설정은
IIS에서
실행하는 모든 웹 사이트가 ASP 페이지를 실행하는 데 이 단일 Dllhost.exe를
공유하므로 풀링됨이라고도 합니다. Windows 2000에서는 Mtx.exe가
Dllhost.exe로
대체됩니다.

*높음(격리됨): 이 설정은 각 웹 사이트나 응용 프로그램에 대해 전용
Dllhost.exe 프로세스를
시작합니다. 5개의 웹 사이트가 있고 각각 높은 수준의 보호로 설정되어 있으면
총 6개의
Dllhost.exe 프로세스 즉, 5개의 Dllhost.exe 프로세스 외에 시스템 응용
프로그램 아래에서
COM+가 시작하는 추가 Dllhost.exe 프로세스 하나가 더 시작됩니다.

 

/////////////////////////////////////////////////////////////////////////////////////////////
////////////////////////////////// F. 추가 보안 사항
//////////////////////////////////
/////////////////////////////////////////////////////////////////////////////////////////////
[ 차례 ]
1. 기본 NTFS 설정 복원방법
2. IIS의 Content-Location에서 IP 주소를 숨기는 방법은 ?
3. 원격에서 nslookup으로 DNS서버의 데이터 확인 막기
4. 필수:**139포트,455포트에 대한 사용 불가능하게 설정하기(네트워크용 파일
프린터 공유 막기)
5. ping 막기(ipsec이용 : 대림출판사 <윈도우 웹서버 보안> 참고)
6. IIS LockDown/URLScan 설치
7. 서비스 중지시 다시 시작하게 지정하기

*** 1. 기본 NTFS 설정 복원방법 ***
Windows 2000
1. MMC.EXE 를 시작한다.
2. 콘솔 메뉴에서 Add/Remove Snap-in을 선택한다.
3. Security Configuration and Analysis Snap-in을 추가한다.
4. Close 를 클릭하고 OK를 클릭한다.
5. Security Configuration and Analysis root에서 오른클릭하고 Open database를
선택한다.
6. 새로운 데이터 베이스의 이름을 입력하고 OK를 클릭한다.
7. “basicwk.inf” 템플릿을 선택하고 OK를 클릭한다.
8. 다시 노드에서 오른클릭하고 “Configure Computer Now”를 선택한다.


*** 2. IIS의 Content-Location에서 IP 주소를 숨기는 방법은 ? (포트 스케닝을
통한 ip누출예방)
(현 서버에서는 설정 안함.)
상황 : Content-Location: http://192.168.0.44/Default.htm
패치후 : Content-Location: http://homer.test.bh.tm/Default.htm

IIS 메타베이스에 있는 W3SVC 키에 UseHostName이라는 값을 추가해 주면 된다.
ADSUTIL은 기본적으로 설치되어 있다.(위치 : ../inetpub/adminscripts)

명령 프롬프트를 열어서 다음과 같이 입력한다.
adsutil set w3svc/UseHostName True


*** 3. 원격에서 nslookup으로 DNS서버의 데이터 확인 막기
DNS서버의 웹사이트의 등록정보에 보면 “영역 전송” 탭에서 체크박스를
체크해주고
아래에 영역을 전송할 서버를 입력하여 주면 됩니다.
>>이름 서버탭에 나열된 서버로만,, 혹은 다음 서버로만..->ip추가
(prompt:>nslookup
>set type=ns :보고자하는 dns정보가 네임서버(ns)라는 것을 알림
>server ns.mcse.co.kr :ns의 위치를 nslookup에 의한 맨 처음의
default서버의 ip에서 ns.mcse.co.kr로 변경
>ls -d mcse.co.kr : 모든 레코드 정보 출력>>>>이 정보가 출력되는것을 막는
것이 목적이다.)


*** 139포트,455포트에 대한 사용 불가능하게 설정하기(널 세션 공유 막기)
(**주의: 1. 단, 파일 프린터 공유를 해제한 컴퓨터는 네트워크 환경에 나타나지
않으며,
컴퓨터 찾기를 통해서도 나타나지 않는다. 공유폴더가 존재해도 연결이
안된다.

2. "서버가 트랜잭션을 구성할수 없읍니다." 및 이벤트 뷰어에
Browser에러가 뜬다
>>>>에러 막는 방법 : 이벤트 뷰어를 참고로 하여 computer
browser service를 중지)

>>[네트워크 환경]->등록정보
->[로컬영역연결]->등록정보->일반탭->네트워크용 파일 프린트 공유 체크 해제

>>또는 [네트워크 환경]->등록정보->메뉴의 [고급]->[고급 설정]
-> [연결]의 설정할 연결 선택->[로컬 영역 연결 바인딩]->MS네트워크용 파일 및
프린터 공유 체크 해제


참고 포트:
139 포트 - NetBIOS 전송포트(client에서 EM으로 SQL 접근시 열려 있어야 한다.)
455 포트 - SMB 파일 전송 프로토콜(Windows 2000 이상의 운영체제에서 139번
포트를 대신한다.)

--------------------------------------
참고 : 139번 만 막고, 445는 유지하기.
--------------------------------------
NetBIOS over TCP/IP 를 사용하지 않으면 된다.
>>>"고급 TCP/IP 설정" -> WINS 에서 TCP/IP에서 NetBIOS 사용 안함. 을 선택.
이렇게 하면 139 포트가 닫힘.
대신에 445 번 포트를 사용. SMB...


5. ping 막기(ipsec이용 : 대림출판사 <윈도우 웹서버 보안> 참고)


6. IIS LockDown/URLScan 설치
참고) IIS LockDown 자동 보안 설정
==============================================================================================
IIS LockDown 보안 설정 설정 보안수칙
a. 인터넷 서비스 enable,disable(http,ftp,smtp,nntp) 수동 설정 권장
b. Scipt Maps설정 사이트별로 Scipt Maps이 설정되어 있음
c. 필요없는 가상디렉토리 제거 수동 설정 권장
d. cmd,tftp,anonymous 실행 거부 보안도구에서 설정 권장
e. 사이트내에 anonymous 쓰기 거부 보안도구에서 설정 권장
f. WebDAV 거부
g. URLScan 설치 패킷 피터링 도구(필수)
==============================================================================================
***설치후 언인스톨하면 원래의 설정으로 되 돌릴 수 있다.
IISLockDown(v2.1) :
iis 보안 자동화 도구(URLScan(v2.5)도 같이 설치됨)
URLScan(v2.5) :
웹서버에 보내지는 모든 요청들을 관리자가 정의한 통과규칙에 근거하여 필터링
할수 있도록 하는 도구

[설치순서]

1) 다운로드 검색 센터
http://www.microsoft.com/downloads/search.asp?LangID = 14&LangDIR=KO

2) IISLockD.exe 설치(언인스톨 할때도 사용하므로 계속 보관해야됨.)

3) 사용자 계약 동의

4) Select Server Template
-View Template Setting 체크박스 선택
-Dynamic WebServer(ASP Enabled) 선택

5)Internet Services
-설치된 서비스만 선택
-Remove Unselected service 는 체크 안함.(만약, 체크하면 서비스가 삭제됨)

6)Script Maps (체크된 스크립트 매핑은 사용 중지됨)
-asp를 제외한 나머지는 모두
체크(idq,htw,ida,shtl,shtm,stm,idc,htr,printer)

7)Additional Security(모두 체크)
-가상 디렉토리 제거(이미 제거 된 것은 활성화 안됨)
-익명 사용자가 시스템 유틸리티(cmd.exe, tftp.exe)를 사용할수 있는 권한
제거
-익명 사용자가 컨텐트 디렉토리에 쓸수 있는 권한 제거
-WebDAV 기능 중지
참고 : WebDAV -원격지 사용자들 간에 인터넷 상에서 파일을 공동 편집하고
관리할 수 있도록 해주는 일련의 HTTP 확장기능
: Additional Security 페이지에서 WebDAV를 설정했지만
URLScan을 설치하려고 결정한 경우 URLScan은 기본적으로 WebDAV 요청을
차단합니다.
URLScan과 함께 WebDAV를 사용하려면 Urlscan.ini 파일을 수정해야 합니다.

:보안 잠금 마법사는 메타베이스를 백업하고 선택한 변경을 수행합니다.
-IIS 보안 잠금 마법사 보고서 파일을 검토하여 해당 도구가
변경한 모든 내용을 확인할 수 있습니다
-%WINDIR%\System32\Inetsrv\Oblt-rep.log를 열어 설치 보고서를 볼 수
있습니다.


8)URLScan 설치
-URLScan 만 설치 할 경우 위의 사항을 건너뛰고 설치하면 된다..


9)설치후 시스템을 재시작

[제거]
iisLockD.exe를 실행

[설치후 문제해결]
<1.> IIS 웹 서버로부터 한글 이름으로 된 파일이 열리지 않을 수 있습니다.

-원인
IIS Lockdown Tool 설치 시 포함된 URLScan ISAPI 필터에 의해 영문 이름이 아닌
다른 파일명에 대한
요청이 차단되었습니다.
URLScan의 설정 파일인 URLScan.ini 파일에서 AllowHighBitCharacters의 기본값은
0 입니다.
이 옵션이 0으로 설정되면 URLScan은 ASCII 문자가 아닌 문자를 포함한 모든
요청을 거부합니다.
이것은 특정 유형의 공격을 막을 수 있지만, 영문 이름이 아닌 특정 파일에 대한
요청도 막을 수 있습니다.

-해결 방법
이 문제를 해결하려면 다음 방법 중 하나를 사용합니다.
URLScan.ini 파일에서 AllowHighBitCharacters를 0이 아닌 값으로 변경하고 IIS를
재시작합니다.
URLScan 필터를 웹 서버의 WWW 서비스 마스터 속성에서 ISAPI 필터에서
제거합니다.

<2.>"HTTP 404 - 파일을 찾을 수 없음" 오류 메시지의 일반적 원인과 해결 방법
URLScan 로그 파일을 검토하여 URLScan이 요청을 차단하고 있는지 확인
(%WINDIR%\System32\Inetsrv\Urlscan\UrlscanMMDDYY.log - MMDDYY는 로그 날짜)
-HOWTO: IIS 보안 잠금 마법사 설치 및 사용 참고

<3.>FTP 또는 SMTP가 작동하지 않을 수도 있습니다
1) 제어판을 엽니다.
2) Windows 2000에서는 관리 도구 폴더를 연 다음 서비스 애플릿을 엽니다.
3) FTP Publishing 또는 Simple Mail Transfer Protocol (SMTP)을 두 번
누릅니다.
4) 시작 유형으로 자동을 선택합니다.
5) 서비스를 즉시 시작하려면 시작을 누릅니다

<4.>IIS 보안 잠금 마법사를 실행할 때 Remove unneeded services를 선택하여
이러한 서비스 중 하나 또는 둘 다 완전히 제거한 경우 다음 단계에 따라 다시
설치하십시오.
1) 제어판을 엽니다.
2) 프로그램 추가/제거 애플릿을 연 다음 왼쪽 창에서 Windows 구성 요소
추가/제거를 누릅니다.
3) 인터넷 정보 서비스(IIS)를 선택하고 자세히를 누릅니다.
4) File Transfer Protocol (FTP) 서버 또는 SMTP Service를 선택합니다.
5) 확인을 누르고 다음을 누릅니다. 선택한 서비스가 설치됩니다.
6) 이전에 설치한 최신 Windows 서비스 팩과 핫픽스를 다시 적용해야 합니다.

[기타 자세한 사항은 MS홈페이지 참조 (KB325864)]
http://support.microsoft.com/default.aspx?scid=kb;KO;325864

***7. 서비스 중지시 다시 시작하게 지정하기***

서비스 명 : DNS , WWW, MSSQLSERVER, SQLSERVERAGENT, 기타 중요한 서비스

1. 서비스 관리자에서
2. 해당 서비스의 등록정보
3. [복구]탭
4. 1차 및 2차 실패 : 서비스 다시 시작.
5. 3차 실패 : 재부팅(비 추천)

 


/////////////////////////////////////////////////////////////////////////////////////////////
////////////////////////////////// G. Q&A
//////////////////////////////////////
/////////////////////////////////////////////////////////////////////////////////////////////
//iis 로그 보는 법
Q . IIS 에 로그 파일을 메모장으로 불러 보니 시간이 틀리더군요 무슨 문제가
있는 것인지요 ?
일반적으로 IIS 로그 파일 형식은 "W3C 확장 로그 파일 형식" 으로 많이 사용
합니다.
이유는 시간은 UTC(그리니치 표준시)로 기록되기 때문이며,
+9 시간을 더 하면 현재의 서버 시간을 아실 수 있습니다.
sc: server 가 client에게 정보 요청
cs: client 가 server에게 정보 요청

***기타 감사 명령어***
net use
netstat -na
net group
net localgroup
net share
net session
at : 스케줄러등록 현황.


/////////////////////////////////////////////////////////////////////////////////////////////
////////////////////////////////// H. Mail computer 설정
//////////////////////////////////////
/////////////////////////////////////////////////////////////////////////////////////////////

Mail computer

1. partation
c:10240MB(system)
d:5120MB(mail)
e:5120MB(data)
f:10240MB(backup)
g:2048MB(etc)
h:나머지(ghost)

2. 계정 정책(www 관련)
e: DATA >>>Hosting(testwww)
e:\ >>>admin-systems (all)
e:\hosting\testwww\www >>>everyone (읽기/실행,폴더
내용보기,읽기),testwww(all)
e:\hosting\testwww\www\admin\product\Uploaded_Files >>>everyone(all)

3. 기타 드라이버
c: root - admin-systems(all),everyone 제거
inetpub\mailroot\pickup -everyone(읽기,쓰기)
emwac와 install은 admin-systems(all))

d,f,g: admin-systems(all)


4. 설치 상황:
기본설치 + 네트워크 서비스 : DNS + iis : www, ftp, smtp, nntp

신고
이 댓글을 비밀 댓글로