W-21: 암호화되지 않는 FTP 서비스 비활성화
분류: Windows
중요도: 상
개요
점검 내용
시스템 내 FTP 서비스 구동 여부 점검
점검 목적
인증정보가 기본적으로 평문 전송되는 취약한 프로토콜인 FTP의 사용을 제한하기 위함
보안 위협
OS에서 제공하는 기본적인 FTP 서비스를 사용할 경우 계정과 패스워드가 암호화되지 않은 채로 전송되어 Sniffer에 의한 계정정보의 노출 위험이 존재함
참고
Sniffer
네트워크 트래픽을 감시하고 분석하는 프로그램
관련 점검항목
W-22(상), W-23(상), W-24(상)
점검 대상 및 판단 기준
대상
Windows NT, 2000, 2003, 2008, 2012, 2016, 2019, 2022
판단 기준
✅ 양호: FTP 서비스를 사용하지 않는 경우 또는 Secure FTP 서비스를 사용하는 경우
❌ 취약: 암호화되지 않는 FTP 서비스를 사용하는 경우
조치 방법
FTP 서비스가 필요하지 않다면 서비스 중지 또는 Secure FTP 응용 프로그램 사용
조치 시 영향
일반적인 경우 영향 없음
점검 및 조치 사례
Windows NT, 2000, 2003, 2008, 2012, 2016, 2019, 2022
- 시작 > 실행 >
SERVICES.MSC> FTP Publishing Service(Windows 2012 이상 : Microsoft FTP Service) > 속성 - 시작 유형을 "사용 안 함"으로 설정한 후, FTP 서비스 중지
[ FTP 서비스 사용 안 함 설정 ]