DetailPage-MSS-KB

기술 자료

기술 자료: 325864 - 마지막 검토: 2006년 8월 31일 목요일 - 수정: 5.0

이 문서는 이전에 다음 ID로 출판되었음: KR325864

이 페이지에서

요약

이 문서는 Internet Information Services(IIS) 보안 잠금 마법사를 사용하여 웹 서버를 보호하는 방법을 단계별로 설명합니다. 또한 마법사 실행 후에 발생하는 문제를 해결하는 방법에 대한 정보도 포함하고 있습니다.

IIS 보안 잠금 마법사 실행 준비

IIS 보안 잠금 마법사에서 IIS의 여러 가지 선택적 기능을 해제하여 IIS 서버를 공격으로부터 보호할 수 있습니다. 마법사를 실행하기 전에 도움말 파일을 읽어 마법사가 제공하는 옵션을 숙지하십시오. 도움말 파일에 액세스하려면 다음과 같이 하십시오.
  1. IIS 보안 잠금 마법사를 다운로드합니다. 마법사를 다운로드하려면 아래의 Microsoft 웹 사이트를 방문하십시오.
  2. 실행 파일에서 보안 잠금 마법사 파일의 압축을 풉니다. 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
    • 315522  (http://support.microsoft.com/kb/315522/EN-US/ ) HOW TO: Extract the URLScan Tool and Lockdown Template Files from the IIS Lockdown Tool
  3. 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오. 파일 압축을 풀 때 지정한 폴더를 찾은 다음 Iislockd.chm 파일을 두 번 누릅니다.
보안 잠금 마법사를 사용하면 Exchange와 FrontPage 등의 다른 응용 프로그램이 올바로 작동하는 데 필요한 IIS의 특정한 선택적 기능을 해제할 수 있습니다. 보안 잠금 마법사를 실행할 때 올바른 옵션을 선택하지 않으면 이러한 응용 프로그램의 기능을 사용하지 못할 수 있습니다. 문제를 최소화하려면 보안 잠금 마법사를 실행하기 전에 사용자 시스템 구성에 해당하는 Microsoft 기술 자료 문서를 주의 깊게 검토하십시오.
  • Exchange 및 Outlook Web Access(OWA)
    309508  (http://support.microsoft.com/kb/309508/KO/ ) XCCC: Exchange 환경의 IIS 잠금 및 URLscan 구성
  • Microsoft Mobile Information Server
    311595  (http://support.microsoft.com/kb/311595/EN-US/ ) XCCC: How to Install and Configure Microsoft Security Tool Kit On a Microsoft Mobile Information Server
  • Microsoft Small Business Server
    311862  (http://support.microsoft.com/kb/311862/EN-US/ ) How to Use The IIS Lockdown Tool with Small Business Server
  • Microsoft Project, Project Server 및 Project Web Access
    321357  (http://support.microsoft.com/kb/321357/EN-US/ ) PSRV2002: Error Messages When You View a Microsoft Project Web Access Page That Contains Grids
    316398  (http://support.microsoft.com/kb/316398/EN-US/ ) PRJ2000: Configuring the IIS Lockdown Tool and URLScan Security Tool with Microsoft Project Central
  • Microsoft SharePoint Portal Server
    309675  (http://support.microsoft.com/kb/309675/EN-US/ ) SPS: IIS Lockdown Tool Affects SharePoint Portal Server
    319633  (http://support.microsoft.com/kb/319633/EN-US/ ) SPS: "Script Execution Error: Error Executing INVOKE" Error Message After You Install IIS Lockdown Wizard
  • Microsoft Visual Studio .NET
    310588  (http://support.microsoft.com/kb/310588/EN-US/ ) PRB: Security Toolkit Breaks ASP.NET Debugging in Visual Studio .NET
    315904  (http://support.microsoft.com/kb/315904/KO/ ) BUG: .aspx 페이지에서 WebServices를 호출하면 "ExternalException: 프로그램을 실행할 수 없습니다" 오류 메시지
  • Microsoft FrontPage
    317390  (http://support.microsoft.com/kb/317390/EN-US/ ) FP2002: "HTTP/1.1 404 Object Not Found" Error Message Occurs When a User of Your Web Page Performs a Search
    307976  (http://support.microsoft.com/kb/307976/EN-US/ ) FP: Error Message When You Use FrontPage with URLScan
  • Microsoft Proxy Server
    311675  (http://support.microsoft.com/kb/311675/EN-US/ ) Cannot Search Proxy Server 2.0 Online Help After the IIS Lockdown Wizard Is Installed

IIS 보안 잠금 마법사 다운로드 및 설치

  1. IIS 보안 잠금 마법사 실행 준비 절에서 다운로드한 실행 파일을 두 번 눌러 마법사를 실행합니다.
  2. 시작 화면에서 설명 텍스트를 읽고 다음을 누릅니다.
  3. 사용권 계약 페이지에서 사용 계약을 읽고 I Agree를 누르고 다음을 누릅니다.
  4. Select Server Template 페이지에서 이 서버의 역할과 가장 일치하는 템플릿을 선택한 다음 View Template Settings를 선택합니다. 다음 페이지에는 이전 페이지에서 사용자가 선택한 서버의 역할에 따라 이미 옵션이 선택되어 있으므로 모든 기본 선택을 사용할 수 있습니다.

    서버에 여러 역할이 있는 경우(예: 프록시 서버의 역할도 하는 동적 웹 서버) Other (Server that does not match any of the listed roles)를 선택하고 기본 선택이 해당 서버에 적합하지 않을 수 있으므로 다음 페이지에 나타나는 모든 옵션을 주의 깊게 검토해야 합니다. 적절한 설정을 선택했으면 다음을 누릅니다.
  5. Internet Services 페이지에서 서버에 제공할 서비스를 선택합니다. 대부분의 서버에는 웹 서비스가 필요합니다. 서버에 파일 전송 프로토콜(FTP)이나 SMTP(Simple Mail Transfer Protocol) 서비스(즉, 파일 전송이나 전자 메일 서비스)를 제공하지 않으려면 이러한 옵션을 선택하지 않을 수 있습니다. Exchange 또는 Small Business Server를 실행 중인 경우에는 SMTP를 선택해야 합니다.

    이 페이지에서 선택하지 않는 서비스는 사용 안함으로 설정되며 시작할 수 없습니다. IIS 5.0에서 보안 잠금 마법사를 실행하는 경우 Remove unselected services를 선택하여 시스템에서 선택하지 않은 서비스를 완전히 제거할 수도 있습니다. 적절한 설정을 선택했으면 다음을 누릅니다.
  6. Script Maps 페이지에서 서버에 제공할 파일 형식 옆의 확인란 선택을 취소합니다. 무엇을 해제할지 잘 모르겠으면 콘텐트 디렉터리를 검색하여 해당 파일 확장명이 있는지 확인할 수 있습니다. 대부분의 서버에는 Active Server Pages(.asp)가 필요하므로 이 서버가 ASP 페이지를 서비스할 경우에는 해당 확인란 선택을 취소해야 합니다. 다음을 누릅니다.
  7. Additional Security 페이지에서는 이 서버에서 제거할 가상 디렉터리를 선택합니다. 이러한 가상 디렉터리는 IIS에 기본적으로 설치되어 공격자의 대상이 되기 쉬우므로 프로덕션 컴퓨터에서 이 가상 디렉터리를 제거하거나 이름을 바꿀 수 있습니다. IIS에서 이 가상 디렉터리를 제거해도 디스크에 있는 실제 디렉터리는 제거되지 않으므로 이 옵션을 선택해도 데이터는 손실되지 않습니다.
  8. 인터넷 게스트 계정(기본값은 IUSR_ computername)에서 Windows 디렉터리의 실행 파일에 대한 권한을 갖지 못하도록 하려면 Running system utilities를 선택합니다. 이 옵션은 대부분의 시스템에서 선택해야 합니다.
  9. 인터넷 게스트 계정에서 웹 콘텐트가 포함된 디렉터리에 대한 쓰기 권한을 갖지 못하도록 하려면 Writing to content directories를 선택합니다. 이 서버에서 FrontPage Server Extensions를 사용 중이거나 이 서버가 프록시 서버의 기능을 수행하는 경우 이 옵션은 선택하지 않습니다.
  10. 이 서버에서 웹 콘텐트를 만들고 배포하기 위해 WebDAV를 사용하지 않는 경우 Disable Web Distributed Authoring and Versioning (WebDAV)을 선택합니다. 이 서버에서 Exchange 2000용 Outlook Web Access(OWA)를 실행하는 경우 이 옵션을 선택하지 않습니다.
    참고: 이 옵션을 선택하면 보안 잠금 마법사가 WebDAV 기능(Httpext.dll)을 구현하는 DLL에 대한 권한을 설정하여 실행 권한을 거부합니다. 이렇게 해도 특정 WebDAV 요청은 계속 실행할 수 있습니다. 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
    307934  (http://support.microsoft.com/kb/307934/EN-US/ ) Locking Down WebDAV Through ACL Still Allows PUT and DELETE Requests
  11. 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오. 다음을 누릅니다.
  12. 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오. URLScan 페이지에서 URLScan을 사용하여 들어오는 요청을 규칙 모음에 따라 필터링하려면 URLScan 설치 옵션을 선택합니다. 클라이언트가 URLScan 규칙에 따라 유효하지 않은 요청을 시도하는 경우 IIS는 "404 파일을 찾을 수 없습니다"라는 오류로 응답하고 URLScan 로그 파일에 요청을 기록합니다. 기본적으로 이 파일은 %WINDIR%\System32\Inetsrv\Urlscan\Urlscan.log에 있습니다.

    참고: Additional Security 페이지에서 WebDAV를 설정했지만 URLScan을 설치하려고 결정한 경우 URLScan은 기본적으로 WebDAV 요청을 차단합니다. URLScan과 함께 WebDAV를 사용하려면 Urlscan.ini 파일을 수정해야 합니다.
  13. 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오. Ready to Apply Settings 페이지에서 변경될 내용을 검토하고 다음을 누릅니다.
  14. 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오. 보안 잠금 마법사는 메타베이스를 백업하고 선택한 변경을 수행합니다. 이 프로세스가 완료되면 View Report를 눌러 마법사가 수행한 변경을 설명하는 보고서를 확인합니다. 다음을 눌러 계속합니다.

    참고: 메모장에서 %WINDIR%\System32\Inetsrv\Oblt-rep.log를 열어 설치 보고서를 볼 수 있습니다.
  15. 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오. 마침을 눌러 IIS 보안 잠금 마법사를 닫습니다.
  16. 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오. 서버에서 모든 기능을 완벽하게 테스트합니다. 이 단계는 매우 중요합니다. 서버에 필요한 기능을 실수로 해제한 것이 발견되면 보안 잠금 마법사가 변경한 내용을 즉시 롤백한 다음 마법사를 다시 실행하여 올바른 옵션을 선택합니다. 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
    317052  (http://support.microsoft.com/kb/317052/EN-US/ ) HOW TO: Undo Changes Made by the IIS Lockdown Wizard

URLScan 구성

IIS 보안 잠금 마법사를 실행할 때 URLScan을 설치할 수 있습니다. URLScan은 구성 가능한 규칙 모음에 따라 HTTP 요청을 차단하는 ISAPI 필터입니다. 예를 들어, 특정 파일 확장명에 대한 모든 요청을 차단하거나 특정 HTTP 동사(예: GET 또는 POST)를 차단하거나 웹 서버 공격에 자주 포함되는 문자가 들어 있는 요청을 차단하도록 URLScan을 구성할 수 있습니다.

URLScan을 구성하려면 메모장 같은 텍스트 편집기를 사용하여 %WINDIR%\System32\Inetsrv\Urlscan\Urlscan.ini 파일을 편집합니다. 이 파일에는 각 구성 옵션을 설명하는 확장된 설명이 포함되어 있습니다. .ini 파일 편집이 완료되었으면 파일을 저장하고 IIS를 다시 시작합니다.

URLScan을 구성하는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
312376  (http://support.microsoft.com/kb/312376/KO/ ) HOWTO: IIS에서 Null 확장명을 포함하는 요청을 허용하도록 URLScan 구성

IIS 보안 잠금 마법사 실행 후 문제 해결

IIS 보안 잠금 마법사를 실행한 후에 발생하는 가장 일반적인 문제는 잠긴 사이트를 열 때 "404 파일을 찾을 수 없습니다"라는 예기치 않은 오류 메시지가 나타나는 것입니다. 파일이 있는 경우에도 이 오류 메시지가 나타날 수 있습니다. 보안 잠금 마법사나 URLScan이 차단한 파일을 클라이언트가 요청할 때 이 문제가 발생합니다. 이 경우 보안을 위해 IIS는 파일이 없다는 메시지를 표시합니다. 서버에 보안 문제가 있는 서비스가 차단되어 있다는 것을 악의의 사용자가 알게 되면 차단을 우회하여 보안 문제를 이용하는 방법을 계속 찾을 수 있습니다. 그러나 이 서비스가 설치되어 있지 않다고 생각하면 보안 문제를 이용하려고 시도하지 않을 것입니다.

IIS 보안 잠금 마법사를 실행한 후에 404 오류 메시지가 나타나면 다음 단계에 따라 문제를 해결하십시오.
  1. 요청하는 파일이 서버에 있는지 확인합니다. 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
    248033  (http://support.microsoft.com/kb/248033/KO/ ) "HTTP 404 - 파일을 찾을 수 없음" 오류 메시지의 일반적 원인과 해결 방법
  2. 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오. URLScan 로그 파일을 검토하여 URLScan이 요청을 차단하고 있는지 확인합니다. 이 파일은 %WINDIR%\System32\Inetsrv\Urlscan\UrlscanMMDDYY.log에 있습니다. 여기서 MMDDYY는 로그 날짜를 나타냅니다. URLScan이 요청을 차단하고 있다는 것이 확인되면 URLScan 구성 절을 참조하여 이러한 요청을 허용하도록 URLScan을 구성합니다.
  3. 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오. ASP 페이지나 서버쪽 포함 사용 가능 파일 같은 비 HTML 파일을 요청하는 경우 인터넷 서비스 관리자에서 파일 형식에 대한 응용 프로그램 매핑을 확인합니다.
    1. 마우스 오른쪽 단추로 해당 웹 사이트를 누른 다음 등록 정보를 누릅니다.
    2. 홈 디렉터리 탭에서 구성을 누릅니다.
    3. 응용 프로그램 매핑 탭을 누릅니다.
    4. 액세스하려는 파일의 확장명에 해당하는 줄을 누릅니다.
    5. 실행 경로가 %WINDIR%\System32\Inetsrv\404.dll로 설정된 경우 편집을 누른 다음 실행 경로를 해당 파일 확장명의 기본 실행 경로로 설정합니다. 기본값을 잘 모르겠으면 보안 잠금 마법사를 실행할 때 만들어진 %WINDIR%\System32\Inetsrv\oblt-log.log 파일을 엽니다. SMAP로 시작하고 다음에 파일 확장명이 있는 줄을 찾습니다. 이 줄에는 해당 파일 형식에 대한 기본 실행 경로도 포함되어 있습니다.
Exchange나 SharePoint 같이 IIS에 의존하는 서비스에 문제가 있는 경우 IIS 보안 잠금 마법사 실행 준비 절에 나열된 Microsoft 기술 자료 문서를 참조하십시오.

IIS 보안 잠금 마법사를 실행한 후에 해당 FTP 또는 SMTP가 작동하지 않을 수도 있습니다. 이 서비스를 해제하거나 제거한 경우 이 문제가 발생합니다. 서비스를 해제한 경우 다음 단계에 따라 서비스를 다시 설정하십시오.
  1. 제어판을 엽니다.
  2. Windows NT 4.0에서 서비스 애플릿을 엽니다. Windows 2000이나 Windows XP에서는 관리 도구 폴더를 연 다음 서비스 애플릿을 엽니다.
  3. FTP Publishing 또는 Simple Mail Transfer Protocol (SMTP)을 두 번 누릅니다.
  4. 시작 유형으로 자동을 선택합니다.
  5. 서비스를 즉시 시작하려면 시작을 누릅니다.
IIS 5.0에서 IIS 보안 잠금 마법사를 실행할 때 Remove unneeded services를 선택하여 이러한 서비스 중 하나 또는 둘 다 완전히 제거한 경우 다음 단계에 따라 다시 설치하십시오.
  1. 제어판을 엽니다.
  2. 프로그램 추가/제거 애플릿을 연 다음 왼쪽 창에서 Windows 구성 요소 추가/제거를 누릅니다.
  3. 인터넷 정보 서비스(IIS)를 선택하고 자세히를 누릅니다.
  4. File Transfer Protocol (FTP) 서버 또는 SMTP Service를 선택합니다.
  5. 확인을 누르고 다음을 누릅니다. 선택한 서비스가 설치됩니다. Windows CD-ROM을 넣으라는 메시지가 나타날 수도 있습니다.
  6. 이전에 설치한 최신 Windows 서비스 팩과 핫픽스를 다시 적용해야 합니다.
이러한 방법으로 해결되지 않으면 IIS 보안 잠금 마법사 보고서 파일을 검토하여 해당 도구가 변경한 모든 내용을 확인할 수 있습니다. 그러면 어떤 변경으로 문제가 발생하게 되었는지 확인하는 데 도움이 될 수 있습니다. 이 보고서 파일은 %WINDIR\System32\Inetsrv\Oblt-rep.log에 저장됩니다.

IIS 보안 잠금 마법사가 수행한 변경을 실행 취소하는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
317052  (http://support.microsoft.com/kb/317052/EN-US/ ) HOW TO: Undo Changes Made by the IIS Lockdown Wizard

참조

IIS 보안 잠금 마법사 및 IIS 서버를 보호하는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
310725  (http://support.microsoft.com/kb/310725/KO/ ) HOWTO: IIS에서 IIS 보안 잠금 마법사 자동 실행
311350  (http://support.microsoft.com/kb/311350/KO/ ) HOWTO: IIS 보안 잠금 마법사에서 사용할 수 있도록 사용자 지정 서버 형식 만들기
282060  (http://support.microsoft.com/kb/282060/EN-US/ ) Resources for Securing Internet Information Services

본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Services 5.1
  • Microsoft Internet Information Server 4.0
키워드: 
kbhowto kbhowtomaster KB325864
공유
추가 지원 옵션
Microsoft Community 지원 포럼
직접 문의하기
Microsoft Certified Partner 찾기
Microsoft Store
소기업이 아닙니까?
다음에서 팔로우하십시오.