윈도우 서버 W-30 RDS(Remote Data Services)제거

윈도우 서버 W-30 RDS(Remote Data Services)제거

항목중요도 : 상

1. 취약점 개요

▶ 점검내용 : RDS(Remote Data Services) 비활성화 여부 점검

▶ 점검목적 :  취약한 RDS 서비스를 제거하여 불법적인 원격 공격을 차단하기 위함

▶ 보안위협

 · 취약한 플랫폼의 RDS가 사용되는 경우 서비스 거부 공격이나 원격에서 관리자 권한으로 임의의 명령을 실행할 수 있는 위험이 존재함

▶ 참고

※ MDAC 2.7 미만의 버전에서 웹 서버와 웹 클라이언트는 모두 이 취약점으로 인해 위험해질 수 있으므로 RDS가 불필요할 경우 제거하는 것이 안전함
※ RDS(Remote Data Services): MDAC(Microsoft Data Access Components)의 한 컴포넌트로 클라이언트에 있는 데이터를 다룰 수 있도록 하는 서비스

2. 점검대상 및 판단 기준

▶  대상 : Windows NT, 2000, 2003 

▶  판단기준

 · 양호 : 다음 중 한 가지라도 해당되는 경우(2008 이상 양호)
             1. IIS를 사용하지 않는 경우
             2. Windows 2000 서비스팩 4, Windows 2003 서비스팩 2 이상 설치되어 있는 경우
             3. 디폴트 웹 사이트에 MSADC 가상 디렉토리가 존재하지 않는 경우
             4. 해당 레지스트리 값이 존재하지 않는 경우

 · 취약 : 양호 기준에 한 가지도 해당되지 않는 경우

▶  조치방법 : 사용하지 않는 경우 IIS 서비스 중지/사용 안 함, 사용할 경우 레지스트리 키 값 제거 또는 관련 패치 적용 점검 

3. 윈도우서버 초기 설정값

※ 테스트한 윈도우 서버의 버전은 windows server 2022 입니다.

 

이 항목의 경우 대상이 Windows NT, 2000, 2003 입니다. 저는 2022 버전이라 해당이 없습니다.

 

확인방법

1)  시작> 실행> INETMGR> 웹 사이트 선택 후 오른쪽 디렉토리에서 msadc 존재 여부 확인

 

4. 조치

저는 조치할 내용이 없어서 가이드를 참고했습니다.

 

1) 웹 사이트로부터 “/msadc” 가상 디렉토리 제거 
시작> 실행> INETMGR> 웹 사이트 선택 후 오른쪽 디렉토리에서 msadc 제거

 

2) 다음의 레지스트리 키/디렉토리 제거
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\ADCLaunch\RDSServer.DataFactory
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\ADCLaunch\AdvancedDataFactory
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\ADCLaunch\VbBusObj.VbBusObjCls

5. 결과

위에 두가지를 하셨다면 조치 완료입니다!

 

윈도우서버를 마스터하는 그날까지

화이팅!