Windows Server 2008이 나오면… (54) – 권한 부여 규칙 in IIS 7.0


image

웹 사이트의 보안 관리를 하실 경우, 개개별 가상 디렉터리 or 폴더에 대해서 사용자별 or 그룹별 접근을 제한하기 위해서는 NTFS 권한을 이용하여 셋팅하곤 했습니다.

위의 사진과 같이 pix라는 폴더에 대해서 Administrators 그룹만 접근하게 하려면, Windows 탐색기를 이용하여, 보안 설정에서 일반 사용자의 읽기 권한을 해제하고, Administrators에 대한 읽기 권한만 설정했었죠. 차후 설정을 원복하기도 쉽지 않고, 조금의 실수만으로도 큰 보안 이슈로 이어지게 됩니다.

image

실제 웹 서버를 운영하시는 관리자 분들을 만나뵈면, 이러한 보안 설정이 매우 귀찮고, 난해하다는 피드백을 많이 들었습니다. 바로 IIS 7.0에서 이를 더욱 편리하게 바꿔주었습니다. 바로 권한 부여 규칙입니다. IIS 7 관리 도구에서 직접 설정을 할 수 있고, Windows 계정 뿐만 아니라, IIS 계정을 이용하여 권한을 설정할 수 있습니다. 또한! 특정 동사에 대해서 거부할 수 있는 기능도 내장하고 있습니다. 이를 거꾸로 살펴보면, 아예 웹 서버로 요청이 들어오지 않을 요청에 대해서는 미리 막아놓아, 보안 사고를 미연에 방지할 수 있습니다.

image image

웹 사이트내 원하는 폴더 또는 가상 디렉터리에서 권한 부여 규칙을 사용하게 되면, 위의 그림과 같은 화면을 보실 수 있습니다. 물론 해당 창을 들어오기 전에, 허용 규칙인지, 거부 규칙인지를 선택해줘야겠죠?

지정한 역할 또는 사용자 그룹이라고 하는 것은 Windows 계정을 의미하며, 지정한 사용자라고 함은 IIS에서 생성한 계정을 의미합니다. IIS에서 계정 생성하는 방법에 대해서는 바로 이전 포스팅에서 다루었습니다. ^^ 원천적으로 접근할 수 없는 사용자들을 막아두는 것도 좋은 습관이겠죠? 또한 거부가 허용보다 우선하게 됩니다.(보안 설정과 동일합니다.)

아주 작은 기능이지만, IIS 7에서는 매우 유용하면서 강력한 기능입니다. Windows 탐색기가 아닌 IIS 관리 도구에서 모든 설정을! 또하나의 IIS의 모토 같습니다.

Comments (7)

  1. Anonymous says:

    2007년 12월 7일 업데이트 – 해당 포스팅에 많은 분들께서 정기적으로 방문하실 수 있도록 포스팅 후, 바로바로 업데이트를 하도록 하겠습니다. 금년 초부터 포스팅해왔던 Windows

  2. eye2eyes says:

    좋은 정보 잘 보고있습니다. ^^;

    IIS의 보안관련 질문이 있어서 여쭙니다.

    IIS 7.0의 경우 WebDAV와 MSADC의 보안취약점이

    해결됐는지 알고싶습니다.

    사실 6.0에서 이미 해결된 부분인지도 모르겠습니다만..

    현재까진 2003 서버에서 해당 기능을 비활성화하고

    폴더를 삭제하는등의 조치를 취해왔습니다만,

    7.0에서는 어떻게 해야하는지 궁금합니다.

  3. Seung Joo Baek says:

    eye2eyes님 안녕하세요.

    WebDav에 대해서는 IIS 7.0에서 새롭게 WebDav 모듈을 개발함에 따라, 걱정하시던 보안 부분이 해결되었을 거라 생각합니다. (솔직히 개인적으로는 어떤 보안 문제점이 있었는지.. 궁금합니다. 만약 모듈 자체의 보안상 문제점이 있다면 당연히 업데이트가 나왔을 거라 생각하기에.. 다만 설정을 통한 보안 문제가 생길 수 있기에.. MBSA 툴에서 사용을 자제시켰다고 생각합니다.)

    관련된 사항은 IIS.NET 사이트를 이용하시면 새 모듈을 다운로드하실 수 있습니다.

    방문해주셔서 감사합니다.

  4. 김석영 says:

    안녕하세요. 폴더 권한 설정에 대해 궁금 한것이 있어서 몇자 적어 봅니다.

    위에 이야기 하신 사항에 대해 별도의 콘솔 이나 스크립트를 통해서 권한설정이 가능한 방법이 있는지 궁금합니다.

  5. Seung Joo Baek says:

    김석영님 안녕하세요.

    위의 방법이 아닌 IIS 6.0 이하 버전에서 하시려면, 탐색기를 이용하셔서 폴더 권한(Permission)을 설정하셔야 합니다. 스크립트나 명령어 프롬프트를 이용하시려면 icacls 툴을 쓰셔야겠죠. 방문해주셔서 감사합니다!

  6. 김경돈 says:

    위에 그림이 안보이는데, 그림을 볼 수 없을까요?

    제가 보고 있는 IIS7.0 화면에는 권한부여규칙이라는 메뉴가 안나타납니다.

    버전이 다른건지…

  7. Seung Joo Baek says:

    김경돈님 // 안녕하세요.

    이미지는 본사 서버의 이슈인지 저도 지금 어떻게 고칠 방안이 없네요 ㅜㅜ

    권한 부여 규칙이 안보이신다면, 먼저 권한 부여 규칙 기능이 IIS 세부 설치에서 다 설치되었는지, 서버 관리자를 통해 확인해보시기 바랍니다. 권한 부여 규칙 기능이 설치되어져 있다면 보여야 하는데..

Skip to main content