FrontPage 서버 확장의 업그레이드 문제
소개
이전 버전의 IIS를 실행하는 컴퓨터를 Windows Vista® 또는 Windows Server® 2008로 업그레이드하는 경우 컴퓨터에 FPSE(FrontPage Server Extensions)가 설치된 경우 IIS 웹 서비스가 비활성화됩니다. 이 동작은 FPSE가 웹 사이트에 대한 메타데이터를 유지하는 파일에 대한 부당한 액세스를 방지하기 위한 보안 조치입니다. FrontPage 서버 확장은 업데이트되지 않았지만 windows Vista 및 Windows Server 2008에서 다운로드할 수 IIS.NET 사용할 수 있습니다. 그러나 업그레이드하는 동안 웹 사이트에 대한 메타데이터 및 기타 콘텐츠 관련 정보가 포함된 파일 및 폴더는 제거되지 않습니다. 이 문서의 목적은 IIS 7.0 이상의 웹 서버에서 웹 서비스를 사용하도록 설정하기 전에 수동으로 제거하거나 보호해야 하는 다양한 파일 및 폴더에 대해 설명하는 것입니다.
참고
이 문서에서는 FrontPage 서버 확장에서 만들고 사용하는 기본 폴더 및 파일에 대한 잠재적 위협에 대해 설명합니다. 관리자/작성자가 이러한 파일 및 폴더의 콘텐츠를 수정한 경우 더 큰 위험이 발생할 수 있습니다. 관리자는 항상 환경을 분석하여 위협이 있는지 확인해야 합니다.
위협 수준 및 권장 작업
잠재적인 보안 위험을 논의할 때 이 문서에서는 다음 위협 수준을 사용합니다.
| 위협 수준 | Description |
|---|---|
| 높음 | 보안에 대한 위협이 높음으로 설정되면 나열된 폴더/파일을 보호하거나 삭제하지 못하면 중요한 정보에 대한 무단 액세스가 발생할 수 있습니다. 관리는 항상 이 문서에서 권장하는 작업을 따라야 합니다. |
| 중간 | 위협 수준을 보통으로 설정하면 나열된 폴더/파일에 관리자가 노출하지 않으려는 정보가 포함될 수 있습니다. 관리자는 환경을 분석하고 일반적으로 이 문서에서 권장하는 작업을 따라야 합니다. |
| 낮음 | 위협이 낮게 설정된 경우 나열된 폴더/파일에는 일반적으로 공용 액세스에 안전한 정보가 포함되어야 합니다. 따라서 일반적으로 추가 작업을 수행할 필요가 없습니다. 관리자는 여전히 콘텐츠를 분석하여 이 문서의 scope 외부에 위협이 있는지 확인해야 합니다. |
관리자를 위한 작업을 권장하는 경우 이 문서에서는 다음과 같은 권장 정의를 사용합니다.
| 권장 작업 | Description |
|---|---|
| 삭제 | 나열된 폴더/파일을 삭제해야 합니다. |
| 보안 | 나열된 폴더/파일을 보호해야 합니다. 일반적으로 IIS 관리 도구를 통해 경로에 대한 읽기 권한을 제거하거나 웹 사이트의 콘텐츠 폴더 외부에 있는 안전한 위치에 콘텐츠를 복사한 다음 웹 사이트에서 콘텐츠를 제거하여 폴더 수준에서 이 작업을 수행할 수 있습니다. |
| 해당 없음 | 일반적으로 추가 작업을 수행할 필요가 없습니다. |
FrontPage 폴더 및 파일 보호
FrontPage 웹 사이트 내에 있는 폴더
다음 표에서는 FrontPage 서버 확장 및 권장 작업에 사용되는 폴더를 나열합니다. 이 표에 나열된 폴더가 추가 기능에 사용된 경우 항상 해당 폴더를 적절하게 보호해야 합니다.
| 폴더 | 위협 | 작업 | 참고 |
|---|---|---|---|
| _파생 | 낮음 | N/A | FrontPage는 생성된 이미지와 같은 파생 파일을 이 폴더에 유지합니다. |
| _fpclass | 중간 | 보안 | 공개적으로 사용할 수 있는 FrontPage 코드를 포함해야 하지만 사용자가 코드를 수정한 경우 보안이 유지되어야 합니다. |
| _오버레이 | 낮음 | N/A | FrontPage는 생성된 이미지와 같은 파생 파일을 이 폴더에 유지합니다. |
| _개인 | 높음 | 보안 | FrontPage 서버 확장은 종종 이 폴더에 중요한 데이터 파일을 유지하므로 검색을 방지하도록 구성해야 합니다. |
| _vti_bin | 높음 | 삭제 | FrontPage 서버 확장 실행 파일의 가상 디렉터리입니다. IIS 보안 설정은 알 수 없는 코드가 이 경로 내에서 실행되지 않도록 차단해야 하지만 이 경로는 실행 파일이 작동할 수 있도록 구성되며, 있는 경우 웹 사이트의 구성에서 제거해야 합니다. |
| _vti_bot | 중간 | 보안 또는 삭제 | 이 폴더는 일반적으로 FrontPage에 대해 존재하지 않아야 하며 사용자가 생성한 FrontPage 웹 봇을 포함합니다. 관리자는 이 폴더에 있는 파일을 검사하고 적절하게 파일을 보호하거나 삭제해야 합니다. |
| _vti_cnf | 높음 | 보안 또는 삭제 | FrontPage 서버 확장은 이 폴더에 중요한 메타데이터 파일을 유지하므로 검색을 방지하도록 삭제하거나 구성해야 합니다. 잠재적인 위협은 도메인/사용자 이름 및 기타 메타데이터의 표시입니다. |
| _vti_log | 중간 | 보안 또는 삭제 | FrontPage 서버 확장은 작성자 로그를 이 폴더에 유지하므로 검색을 방지하도록 삭제하거나 구성해야 합니다. 잠재적인 위협은 도메인/사용자 이름 및 기타 작성자 관련 활동의 공개입니다. |
| _vti_pvt | 높음 | 보안 또는 삭제 | 이 폴더는 웹 사이트에 대한 다양한 메타데이터를 포함하는 여러 파일을 보유하며 보안을 유지해야 합니다. 참고: 자세한 내용은 _vti_pvt 폴더에 있는 파일 섹션을 참조하세요. |
| _vti_script | 중간 | N/A 또는 삭제 | 이 폴더는 FrontPage에서 인덱스 서버를 사용하여 웹 사이트를 검색하는 스크립트에 사용됩니다. 인덱스 서버 검색을 구성하는 관리자는 이 폴더를 유지하거나 삭제하려고 할 수 있습니다. 잠재적인 위협은 IDQ 파일에 나열된 서버의 물리적 파일 경로에 대한 공개입니다. |
| _vti_shm | 낮음 | 삭제 | 이 폴더는 존재하지 않아야 하며 FrontPage 1.x에서 남은 폴더이므로 삭제해도 안전합니다. |
| _vti_txt | 높음 | 삭제 | 이 폴더에는 이전 FrontPage WAIS 검색에 대한 텍스트 인덱스 및 카탈로그가 포함되어 있습니다. 이후 버전의 FrontPage는 인덱스 서버만 사용했기 때문에 이 폴더를 삭제해도 안전합니다. 잠재적인 위협은 웹 사이트 내의 파일에 대한 콘텐츠의 공개입니다. |
| cgi-bin | 중간 | 보안 또는 삭제 | 이 폴더는 FrontPage에 대해 존재하지 않아야 하며 초기 버전의 FrontPage에서 남은 폴더일 수 있습니다. 관리자는 이 폴더에 있는 파일을 검사하고 적절하게 보호하거나 삭제해야 합니다. 잠재적인 위협은 더 이상 안전하지 않을 수 있는 콘텐츠 영역 내에서 실행할 수 있는 레거시 FrontPage 또는 기타 CGI 애플리케이션입니다. |
| Fpdb | 높음 | 보안 | FrontPage는 데이터베이스를 이 폴더에 유지하므로 검색을 방지하도록 구성해야 합니다. 잠재적인 위협은 웹 사이트의 데이터베이스에 대한 무단 액세스입니다. |
| images | 낮음 | N/A | FrontPage는 이미지 파일을 이 폴더에 유지합니다. |
_vti_pvt 폴더 내에 있는 파일
다음 표에서는 FrontPage 웹 사이트의 _vti_pvt 폴더 내에 있는 파일을 나열합니다. 이러한 파일은 FrontPage 서버 확장에서 웹 사이트에 대한 다양한 메타데이터를 저장하는 데 사용되며 일반적으로 폴더 수준에서 보호되거나 삭제되어야 합니다.
| 파일 | 위협 | 작업 | 참고 |
|---|---|---|---|
| _x_browsers.xml | 낮음 | N/A | 웹 브라우저에 대한 사용 정보를 포함합니다. |
| _x_domains.xml | 낮음 | N/A | 도메인에 대한 사용 정보를 포함합니다. |
| _x_pagehits.xml | 낮음 | N/A | 개별 페이지에 대한 사용 정보를 포함합니다. 공개적으로 사용할 수 없는 페이지가 없는 경우 대부분 안전합니다. |
| _x_systems.xml | 낮음 | N/A | 운영 체제에 대한 사용 정보를 포함합니다. |
| _x_todo.htm | 높음 | 삭제 | 사용자에 대한 할 일 목록을 포함합니다. 잠재적인 위협은 도메인/사용자 이름의 공개입니다. |
| _x_todoh.htm | 높음 | 삭제 | 사용자에 대한 할 일 기록을 포함합니다. 잠재적인 위협은 도메인/사용자 이름의 공개입니다. |
| _x_users.xml | 높음 | 삭제 | 특정 사용자에 대한 사용 정보를 포함합니다. 잠재적인 위협은 도메인/사용자 이름의 공개입니다. |
| access.cnf | 높음 | 삭제 | FrontPage 웹 사이트에 대한 액세스 정보를 포함합니다. |
| botinfs.cnf | 낮음 | N/A | FrontPage 웹 사이트에 대한 FrontPage WebBot 정보를 포함합니다. |
| bots.cnf | 낮음 | N/A | FrontPage 웹 사이트에 대한 FrontPage WebBot 정보를 포함합니다. |
| deptodoc.btr | 중간 | 삭제 | 문서 종속성 데이터베이스 - 삭제해도 안전합니다. |
| doctodep.btr | 중간 | 삭제 | 문서 종속성 데이터베이스 - 삭제해도 안전합니다. |
| frontpg.lck | 낮음 | 삭제 | 파일 잠금 - 삭제해도 안전합니다. |
| linkinfo.btr | 중간 | 삭제 | 문서 종속성 데이터베이스 - 삭제해도 안전합니다. |
| service.cnf | 높음 | 보안 | FrontPage 웹 사이트에 대한 메타데이터를 포함합니다. 잠재적인 위협은 도메인/사용자 이름, 로컬 파일 경로 및 기타 메타데이터의 표시입니다. |
| service.lck | 낮음 | 삭제 | 파일 잠금 - 삭제해도 안전합니다. |
| services.cnf | 낮음 | N/A | FrontPage 하위 사이트 정보를 포함합니다. 참고: 이 항목을 삭제하면 FrontPage 웹 사이트/하위 사이트 계층 구조가 손실되고 하위 사이트는 부모 FrontPage 웹 사이트의 일부가 됩니다. |
| structure.cnf | 낮음 | N/A | FrontPage 웹 사이트 구조를 포함합니다. |
| svcacl.cnf | 중간 | 삭제 | FrontPage 웹 사이트에 대한 최종 사용자 권한에 대한 정보를 포함합니다. (예: 하위 사이트마다 고유한 사용 권한 및 IP 주소 제한이 있는지 여부) |
| usage.lck | 낮음 | 삭제 | 파일 잠금 - 삭제해도 안전합니다. |
| writeto.cnf | 높음 | 삭제 | 쓸 수 있는 파일 목록을 포함합니다. (예: 양식 처리기 결과 파일) |
FrontPage 웹 사이트의 루트 폴더 내에 있는 파일
다음 표에서는 FrontPage 웹 사이트의 루트 폴더 내에 있는 파일을 나열합니다.
| 파일 | 위협 | 작업 | Description |
|---|---|---|---|
| _vti_inf.html | 낮음 | 삭제 | 이 파일에는 FrontPage 서버 확장 실행 파일에 대한 가상 경로가 포함되어 있으며 FrontPage 서버 확장과 통신하는 모든 클라이언트에서 사용됩니다. |
| postinfo.html | 낮음 | 삭제 | 이 파일에는 Windows 웹 게시 마법사에 대한 정보가 포함되어 있습니다. |
요약
이 문서에서는 Windows Vista 및 Windowa Server 2008용 FrontPage Server Extensions 2002를 찾을 수 있는 위치를 안내했습니다. 또한 FrontPage 설치와 관련한 데이터 및 이 데이터를 정확하게 보호하는 방법을 자세히 알아보았습니다.