[window/윈도우 서버] IIS WebDAV 비활성화
- 정보보안/Windows 서버
- 2022. 8. 15.
W-23 IIS WebDAV 비활성화
■ 점검영역 : 서비스 관리
■ 항목 중요도 : 상
■ 점검내용
IIS WebDAV 비활성화 여부 점검
■ 점검목적
WebDAV 서비스를 비활성화 하여, IIS WebDAV에서 발견되는 다수의 인증 우회 취약점을 제거하고자 함
■ 보안위협
WebDAV가 활성화 되어 있는 경우 IIS에 악의적으로 작성된 HTTP 요청을 이용하여 인증을 우회함으로써 패스워드로 보호된 WebDAV의 자원에 접근 (디렉토리 열람, 파일 다운로드 등)이 가능
WebDAV에 의해 호출된 일부 구성 요소에 매개 변수를 정확하게 점검하지 않는 결함이 존재하여, 이로 인해 버퍼 오버런이 발생 가능
■ 참고
※ WebDAV(Web Distributed Authoring and Versioning): 사용자가 원격 World Wide Web 서버를 이용하여 파일을 수정하거나 처리할 수 있도록 하는 HTTP의 확장 서비스
웹상의 공동개발을 지원하기 위한 IETF 표준안(RFC 2518)으로써, 원격지 사용자들 간에 인터넷상에서 파일을 공동 편집하고 관리할 수 있도록 함
점검대상 및 판단기준(윈도우 서버, window)
■ 대상 : Windows NT, 2000, 2003, 2008, 2012, 2016, 2019
양호
다음 중 한 가지라도 해당하는 경우
1. IIS 서비스를 사용하지 않는 경우
2. DisableWebDAV 값이 1로 설정되어 있는 경우
3. Windows NT, 2000은 서비스팩 4 이상이 설치되어 있는 경우
4. Windows 2003 이상은 WebDAV가 금지 되어 있는 경우
취약
양호 기준에 한 가지라도 해당하지 않는 경우(2003, 2008은 1,4번만)
■ 조치방법
IIS 서비스를 사용하지 않는 경우 IIS 서비스 중지, 사용할 경우 해당 레지스트리 값을 1로 설정함
(Windows NT, 2000 서비스팩 4 이상 양호, Windows 2003 이상 WebDAV금지 시 양호)
점검 및 조치 방법
■ Windows NT, 2000
Step 1) 시작> 실행> SERVICES.MSC> World Wide Web Publishing Service> 속성
Step 2) 시작 유형 -> 사용 안 함 / 서비스 상태 -> 중지
< IIS를 사용하지만 WebDAV를 사용하지 않는 경우 >
1. 시작> 실행> REGEDIT 실행
2. HKLM\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters
3. 마우스 우클릭> 새로 만들기 DWORD 값을 선택
4. DisableWebDAV 입력 (Default 값인 “0”을 “1”로 변경)
<IIS를 사용하고, WebDAV도 필요한 경우 >
1. Windows NT 인 경우 windows update 실행
2. Windows 2000 서비스팩 버전이 2, 3인 경우 windows update 실행
3. Windows 2000 서비스팩 버전이 4인 경우 - 취약점 없음
※ 시스템 재시작 후 적용됨
■ Windows 2003
Step 1) 시작> 실행> INETMGR> 웹 사이트> 웹 서비스 확장
Step 2) WebDAV 금지
■ Windows 2008, 2012, 2016, 2019
Step 1) 인터넷 정보 서비스(IIS) 관리자> 서버 선택> IIS> "ISAPI 및 CGI 제한" 선택, WebDAV 사용여부 확인 (허용됨일 경우 취약)
Step 2) 인터넷 정보 서비스(IIS) 관리자> 서버 선택> IIS> "ISAPI 및 CGI 제한" 선택 WebDAV 항목 선택> [작업]에서 제거하거나, 편집> "확장 경로 실행 허용(A)" 체크 해제
■ 조치 시 영향 : 일반적인 경우 영향 없음