[MSIT] W-63. DNS 서비스 구동 점검

점검 목적

 

DNS 동적 업데이트 비활성화함으로써 신뢰할 수 없는 원본으로부터 업데이트를 받아들이는 위험을 차단함.

 

※ 동적 업데이트 ?  DNS 변경 사항 존재 시, DNS 클라이언트 컴퓨터가 자신의 리소스 레코드(zone 파일)를 DNS 서버에 자동으로 업데이트 하는 기능.

 

 

보안 위협

 

DNS 서버에서 동적 업데이트 사용 시 악의적인 사용자에 의해 신뢰할 수 없는 데이터가 받아들여질 위험이 존재함.

 

 

판단기준

 

양호 : DNS 서비스 사용하지 않음 or 동적 업데이트 "없음"으로 설정된 경우

취약 : DNS 서비스 사용하며 동적 업데이트가 설정된 경우

 

 

점검 방법

 

1. DNS 관리자(dnsmgmt.msc) > 각 조회 영역 >  속성 > "동적 업데이트" 설정 확인할 것.

- 보안되지 않음 및 보안됨 즉, 동적 업데이트가 설정되어 있으므로 취약

 

 

2. 또는 레지스트리 AllowUpdate 값 확인할 것.

- AllowUpdate 값이 1("동적 업데이트 설정")이므로 취약

 

 

3. 또는 DNS 설정 파일에서 AllowUpdate 확인할 것.

- cmd(관리자 권한) 실행

- dnscmd /ExportSettings  명령어 입력

- %systemroot%￦system32￦dns￦DnsSetting.txt 파일 확인할 것.

- AllowUpdate 값이 1이므로 취약

 

 

 

조치방안

 

1. DNS 관리자(dnsmgmt.msc) > 각 조회 영역 >  속성 > "동적 업데이트" 설정을 "없음"으로 변경할 것.

 

 

2. 또는 레지스트리 AllowUpdate 값 0으로 변경할 것.