본문 바로가기
취약점 진단/WINDOWS 취약점 진단

윈도우 서버 W-29 DNS Zone Transfer 설정

by 게으른 피글렛 2024. 8. 7.
반응형

윈도우 서버 W-29 DNS Zone Transfer 설정

항목중요도 : 상

1. 취약점 개요

▶ 점검내용 : DNS Zone Transfer 차단 설정 여부 점검

 점검목적 : DNS Zone Transfer 차단 설정을 적용하여 도메인 정보의 불법 외부 유출을 막고자 함

 보안위협

 · DNS Zone Transfer 차단 설정이 적용되지 않은 경우 DNS 서버에 저장되어 있는 도메인 정보를 승인된 DNS 서버가 아닌 외부로 유출 위험 존재

 참고

※ zone-transfer: zone(영역) 전송이라고 하며 master와 slave간에 또는 primary와 secondary DNS간에 zone 파일을 동기화하기 위한 용도로 사용되는 기술

2. 점검대상 및 판단 기준

  대상  Windows NT, 2000, 2003, 2008, 2012, 2016, 2019

  판단기준

 · 양호 : 아래 기준에 해당될 경우
             1. DNS 서비스를 사용 않는 경우
             2. 영역 전송 허용을 하지 않는 경우
             3. 특정 서버로만 설정이 되어 있는 경우

 · 취약 : 위 3개 기준 중 하나라도 해당 되지 않는 경우

  조치방법 : 불필요 시 서비스 중지/사용 안 함, 사용하는 경우 영역 전송을 특정 서버로 제한하거나 “영역 전송 허용”에 체크 해제

3. 윈도우서버 초기 설정값

※ 테스트한 윈도우 서버의 버전은 windows server 2022 입니다.

 

확인방법

1)  시작> 실행> DNSMGMT.MSC> 각 조회 영역> 해당 영역> 속성> 영역 전송 을 확인하라고 되어있습니다.

DNSMGMT.MSC을 찾을 수 없다고 뜹니다. DNS  서비스를 사용하지 않아서 그런 것 같습니다.

 

2) 시작> 실행> SERVICES.MSC> DNS 서버가 있는지 확인해보겠습니다.

 DNS Client만 있는데 이건 DNS서버랑은 상관이 없습니다.

 

 DNS 서버가 없으므로 양호입니다!

4. 조치

저는 조치할 내용이 없어서 가이드를 참고했습니다.

 

1) 시작> 실행> DNSMGMT.MSC> 각 조회 영역> 해당 영역> 속성> 영역 전송 >  “다음 서버로만” 선택 후 전송할 서버 IP 추가

 

2) 불필요한 시스템일 경우 제거 하시면됩니다.
시작> 실행> SERVICES.MSC> DNS 서버> 속성 [일반] 탭에서 "시작 유형"을 "사용 안 함"으로 설정한 후, DNS 서비스 중지

5. 결과

위에 두가지 중 하나를 하셨다면 조치 완료입니다!

 

윈도우서버를 마스터하는 그날까지

화이팅!

 

반응형