[window/윈도우 서버] DNS Zone Transfer 설정
- 정보보안/Windows 서버
- 2022. 8. 14.
W-29 DNS Zone Transfer 설정
■ 점검영역 : 서비스 관리
■ 항목 중요도 : 상
■ 점검내용
DNS Zone Transfer 차단 설정 여부 점검
■ 점검목적
DNS Zone Transfer 차단 설정을 적용하여 도메인 정보의 불법 외부 유출을 막고자 함
■ 보안위협
DNS Zone Transfer 차단 설정이 적용되지 않은 경우 DNS 서버에 저장되어 있는 도메인 정보를 승인된 DNS 서버가 아닌 외부로 유출 위험 존재
■ 참고
※ zone-transfer: zone(영역) 전송이라고 하며 master와 slave간에 또는 primary와 secondary DNS간에 zone 파일을 동기화하기 위한 용도로 사용되는 기술
점검대상 및 판단기준(윈도우 서버, window)
■ 대상 : Windows NT, 2000, 2003, 2008, 2012, 2016, 2019
양호
아래 기준에 해당될 경우
1. DNS 서비스를 사용 않는 경우
2. 영역 전송 허용을 하지 않는 경우
3. 특정 서버로만 설정이 되어 있는 경우
취약
위 3개 기준 중 하나라도 해당 되지 않는 경우
■ 조치방법
불필요 시 서비스 중지/사용 안 함, 사용하는 경우 영역 전송을 특정 서버로 제한하거나 “영역 전송 허용”에 체크 해제
점검 및 조치 방법
■ Windows NT
Step 1) 시작 > 프로그램 > 관리 도구 > DNS 관리자 > 각 조회 영역 > 해당 영역 > 등록 정보 > 알림
Step 2) “알림 목록에 있는 보조 영역에서만 액세스 허용” 선택 후 서버 IP 추가
■ Windows 2000, 2003, 2008, 2012, 2016, 2019
Step 1) 시작> 실행> DNSMGMT.MSC> 각 조회 영역> 해당 영역> 속성> 영역 전송
Step 2) “다음 서버로만” 선택 후 전송할 서버 IP 추가
Step 3) 불필요 시 해당 서비스 제거
시작> 실행> SERVICES.MSC> DNS 서버> 속성 [일반] 탭에서 "시작 유형"을 "사용 안 함"으로 설정한 후, DNS 서비스 중지
■ 조치 시 영향 : 영역 전송할 경우 서버를 지정해 주면 영향 없음