W-25: DNS Zone Transfer 설정
분류: Windows
중요도: 상
개요
점검 내용
DNS Zone Transfer 차단 설정 여부 점검
점검 목적
DNS Zone Transfer 차단 설정을 적용하여 도메인 정보의 불법 외부 유출을 방지하기 위함
보안 위협
DNS Zone Transfer 차단 설정이 적용되지 않는 경우 DNS 서버에 저장된 도메인 정보를 승인된 DNS 서버가 아닌 외부로 유출 위험이 존재함
참고
Zone Transfer
영역(zone) 전송이라고 하며 master와 slave 간에 또는 primary와 secondary DNS 간에 zone 파일을 동기화하기 위한 용도로 사용되는 기술
점검 대상 및 판단 기준
대상
Windows NT, 2000, 2003, 2008, 2012, 2016, 2019, 2022
판단 기준
✅ 양호: 아래 기준에 해당하는 경우 1. DNS 서비스가 비활성화인 경우 2. 영역 전송 허용을 하지 않는 경우 3. 특정 서버로만 설정이 되어있는 경우
❌ 취약: 위 3개 기준 중 하나라도 해당하지 않는 경우
조치 방법
불필요 시 서비스 중지/사용 안 함 설정, 사용하는 경우 영역 전송을 특정 서버로 제한하거나 "영역 전송 허용"에 체크 해제
조치 시 영향
영역 전송 시 서버를 지정할 경우 영향 없음
점검 및 조치 사례
Windows NT
- 시작 > 프로그램 > 관리 도구 > DNS 관리자 > 각 조회 영역 > 해당 영역 > 등록 정보 >알림
- "알림 목록에 있는 보조 영역에서만 액세스 허용" 선택 후 서버 IP 추가
Windows 2000, 2003, 2008, 2012, 2016, 2019, 2022
- 시작 > 제어판 > 관리 도구 > DNS > 각 조회 영역 > 해당 영역 > 속성 > 영역 전송
- "다음 서버로만" 선택 후 전송할 서버 IP 추가
[ 영역 전송 IP주소 지정 ]
- 불필요 시 해당 서비스 중지
시작 > 실행 > SERVICES.MSC > DNS 서버 > 속성[일반] 탭에서 "시작 유형"을 "사용 안 함"으로 설정 한 후, DNS 서비스 중지
[ DNS Server 사용 안 함 설정 ]