PRB: RDS 1.5, IIS 3.0 또는 4.0 및 ODBC의 보안 관련 사항

기술 자료 번역 기술 자료 번역
기술 자료: 184375 - 이 문서가 적용되는 제품 보기.
이 문서는 이전에 다음 ID로 출판되었음: KR184375
중요: 이 문서에서는 레지스트리 편집 방법을 설명합니다. 레지스트리를 편집하려면 문제가 발생한 경우 복원하는 방법을 알고 있어야 합니다. 복원 방법에 대한 자세한 내용은 Regedit.exe의 "레지스트리 복원" 도움말 항목 또는 Regedt32.exe의 "레지스트리 키 복원" 도움말 항목을 참조하십시오.
모두 확대 | 모두 축소

이 페이지에서

현상

RDS Datafactory(RDS의 단일 구성 요소)를 사용하면 기본적으로 데이터 액세스 요청의 암시적 원격 조정이 가능하므로 이를 이용하여 권한 없는 인터넷 클라이언트가 서버가 사용할 수 있는 OLE DB 데이터 원본에 액세스할 수도 있습니다.

Microsoft Remote Data Services가 설치된 IIS(Internet Information Server) 4.0에 연결되어 있으면 악의 있는 사용자가 Microsoft SQL Server나 Microsoft Access에 보관되어 있는 데이터 같은 ODBC 데이터에 액세스할 수도 있습니다.

해결 방법

방법 1: 원격 RDS 기능 제거

경고: 레지스트리 편집기를 잘못 사용하면 심각한 문제가 발생할 수 있으며 문제를 해결하기 위해 운영 체제를 다시 설치해야 할 수도 있습니다. Microsoft는 레지스트리 편집기를 잘못 사용하여 발생하는 문제에 대해 해결을 보증하지 않습니다. 레지스트리 편집기의 사용에 따른 모든 책임은 사용자에게 있습니다.

레지스트리 편집 방법에 대한 자세한 내용은 레지스트리 편집기(Regedit.exe)의 "키와 값 바꾸기" 도움말 항목이나 Regedt32.exe의 "레지스트리의 정보 추가 및 삭제"와 "레지스트리 데이터 편집" 도움말 항목을 참조하십시오. 레지스트리를 편집하기 전에 레지스트리 파일을 백업해야 합니다.

RDS 기능을 모두 허용하지 않으려면 IIS를 운영하는 서버에서 다음 레지스트리 항목을 제거해야 합니다.


  1. 레지스트리 편집기(Regedt32.exe)를 실행합니다.
  2. 아래의 레지스트리 키와 하위 키를 제거합니다.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \W3SVC\Parameters\ADCLaunch\RDSServer.DataFactory
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \W3SVC\Parameters\ADCLaunch\AdvancedDataFactory
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services W3SVC\Parameters\ADCLaunch\VbBusObj.VbBusObjCls

참고: 앞에서 설명한 레지스트리 키는 한 줄로 입력해야 하지만 여기서는 읽기 쉽도록 두 줄로 표시했습니다.

데이터베이스 연결을 위해 ADO(ActiveX Data Object)에 의존하는 ASP(Active Server Page)는 계속 실행됩니다.

이 변경 내용이 적용되면 IIS 4.0 샘플 사이트, Exploration Air의 Benefits 부분이 올바르게 기능하지 못할 수도 있습니다. IIS 4.0에는 이외에 RDS를 필요로 하는 다른 표준 기능이 없습니다.


방법 2: 올바른 보안 정책 강제 설정

다음은 ASP 페이지에서 데이터를 게시할 모든 웹 개발자가 따라야 할 권장 사항입니다.

  • 중요하지 않은 ODBC 드라이버를 모두, 특히 Microsoft Text Driver를 제거합니다.
  • 액세스를 신뢰하는 사용자로만 제한하도록 NTFS 사용 권한(ACL)을 강화합니다.
  • SQL Server를 사용 중인 경우 다음과 같은 강력한 보안 수단을 강제합니다.
  • 권한이 적은 사용자 계정으로서 SQL Server를 실행합니다.
  • 확장 저장 프로시저(extended stored procedures)를 허용하지 않습니다.

추가 정보

RDS Datafactory에 대한 설명


RDS(Remote Data Services)는 Windows NT 4.0 옵션 팩과 IIS 4.0에서 기본적으로 설치되는 Data Access Components의 일부입니다. RDS를 사용하면 웹 서버에서 호스트되는 OLE DB 데이터 원본에 클라이언트 기반 SQL 쿼리를 실행할 수 있습니다.

DataFactory 개체는 지정된 사용자 ID와 암호를 사용하여 지정된 데이터 원본(예: SQL Server)에 연결하고, 해당 서버에 대해 쿼리를 실행한 다음 결과를 해당 클라이어트에 다시 반환할 수 있게 합니다.

데이터 원본, 사용자 ID, 암호 및 SQL 문이 DataFactory 개체에 노출된 메서드에 매개 변수로서 전달됩니다. 그러나 앞에서 설명한 레지스트리 키를 제거하면 개체를 만들 수 없으므로 악용 가능성이 없어집니다.

속성

기술 자료: 184375 - 마지막 검토: 2004년 1월 23일 금요일 - 수정: 3.0
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Internet Information Server 4.0
  • Microsoft Remote Data Services 1.1
  • Remote Data Service for ADO 1.1, 2.0
  • Microsoft Data Access Components 2.5
키워드:?
kbprb kbgrpdsmdac kbatm kbgrpdsaspdb KB184375

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com