윈도우 서버 W-63 DNS 서비스 구동 점검

윈도우 서버 W-63 DNS 서비스 구동 점검

항목중요도 : 중

1. 취약점 개요

▶ 점검내용 : DNS 서비스의 동적 업데이트 설정 여부 점검

▶ 점검목적 : DNS 동적 업데이트를 비활성화 함으로 신뢰할 수 없는 원본으로부터 업데이트를 받아들이는 위험을 차단하기 위함

▶ 보안위협

 · DNS 서버에서 동적 업데이트를 사용할 경우 악의적인 사용자에 의해 신뢰 할 수 없는 데이터가 받아들여질 위험이 존재함

▶ 참고

※ 동적 업데이트: DNS 정보에 변경 사항이 있을 때마다 DNS 클라이언트 컴퓨터가 자신의 리소스 레코드(zone 파일)를 DNS 서버에 자동으로 업데이트하는 기능으로 영역 레코드 수동 관리 작업을 줄일 수 있음

2. 점검대상 및 판단 기준

▶  대상 :  Windows 2000, 2003, 2008, 2012, 2016, 2019

▶  판단기준

 · 양호 : DNS 서비스를 사용하지 않거나 동적 업데이트 “없음(아니오)”으로 설정되어 있는 경우

 · 취약 : 서비스를 사용하며 동적 업데이트가 설정되어 있는 경우

▶  조치방법 : 일반적으로 동적 업데이트 기능이 필요 없으나 확인 필요

3. 윈도우서버 초기 설정값

※ 테스트한 윈도우 서버의 버전은 windows server 2022 입니다.

 

확인방법

1) 시작> 실행> DNSMGMT.MSC> 각 조회 영역> 해당 영역> 속성> 일반

 

저는 DNS 서비스를 사용하지 않아서 DNSMGMT.MSC가 존재하지 않습니다.

설치하고 진행해보겠습니다. 

 

2) 동적 업데이트 → 없음(또는, 아니오) 선택이 되어있는지 확인합니다

 

**참고 : 일단 기본적으로 dns를 생성하면 동적업데이트 없음으로 우선 설정되어있습니다.

4. 조치

저는 별도로 조치할 사항이 없지만 조치 내용이 있다면 아래와 같이 해주시면 됩니다.

 

1) 시작> 실행> DNSMGMT.MSC> 각 조회 영역> 해당 영역> 속성> 일반
2) 동적 업데이트 → 없음(또는, 아니오) 선택

 

정방향, 역방향이 모두 있다면 둘다 해주어야합니다.

5. 결과

이렇게 조치해주면 양호입니다!

윈도우서버를 마스터하는 그날까지

화이팅!