KB909444 (MS05-051) 패치 주의...

SQL Server를 사용하는 경우 다음의 윈도우 패치를 조심하라고 하는군요.

 

>> 원문: http://support.microsoft.com/kb/909444/ko

 

%windir%\registration 디렉터리의 기본 액세스 제어 목록 사용 권한을 변경한 시스템에 COM+ 및 MS DTC용 Microsoft 보안 공지 MS05-051을 설치한 후 여러 가지 문제가 발생할 수 있다
이 문서가 적용되는 제품 보기.
기술 자료 ID : 909444 
마지막 검토 : 2006년 1월 23일 월요일 
수정 : 11.0 
이 페이지에서

현상

원인

해결 방법

추가 정보

이 문제를 재현하는 방법
현상
Microsoft Windows XP, Microsoft Windows 2000 또는 Windows Server 2003을 실행하는 컴퓨터에서 Microsoft 보안 공지 MS05-051에 설명된 중요 업데이트를 설치한 후 다음과 같은 문제가 하나 이상 발생할 수 있습니다. ? Windows Installer 서비스가 시작되지 않을 수 있습니다. 
? Windows 방화벽 서비스가 시작되지 않을 수 있습니다. 
? 네트워크 연결 폴더가 비어 있습니다. 
? Windows Update 웹 사이트에서 Microsoft Internet Explorer의 사용자 데이터 보존 설정을 변경하라고 잘못 권장할 수 있습니다. 
? Microsoft Internet Information Services(IIS)에서 실행 중인 ASP(Active Server Pages) 페이지에 “HTTP 500 ? 내부 서버 오류” 오류 메시지가 반환됩니다.  
? Microsoft COM+ EventSystem 서비스가 시작되지 않습니다. 
? COM+ 응용 프로그램이 시작되지 않습니다. 
? Microsoft 구성 요소 서비스 MMC 트리의 컴퓨터 노드가 확장되지 않습니다. 
? 10월 보안 업데이트를 적용한 후 인증된 사용자가 로그온할 수 없으며 빈 화면이 나타납니다. 
? 서버 클러스터 구성에서 클러스터 서비스가 시작되지 않을 수 있습니다. 클러스터 로그 파일에 다음 이벤트가 기록됩니다.
ERR [NM] Couldn't establish connection point with Net Connection Manager, status 80070005. WARN [NM] Couldn't initialize Net Connection Manager advise sink, status 80070005 ERR [NM] Initialization failed -2147024891
 
? 시스템 로그에 다음과 비슷한 이벤트가 기록됩니다.
이벤트 ID: 512
원본: CryptSvc
설명:
암호화 서비스에서 VSS 백업 "System Writer" 개체를 초기화하는 데 실패했습니다.

자세한 내용:
System Writer 개체가 VSS에 등록하는 데 실패했습니다.

시스템 오류:
치명적인 오류입니다.
 
? 스크립트, WBEMTest.exe 유틸리티 또는 다른 유틸리티를 사용하여 Windows Management Instrumentation(WMI)에 연결하려고 하는 경우 액세스 거부 오류가 발생할 수 있습니다. 실패 발생 시 다음 오류와 비슷한 오류가 %windir%\system32\wbem\logs\wbemprox.log 파일에 포함되어 있습니다.
ConnectViaDCOM, CoCreateInstanceEx resulted in hr = 0x80070005

 위로 가기

원인
COM 응용 프로그램이나 COM+ 응용 프로그램에서 COM+ 카탈로그 파일을 액세스할 수 없는 경우 이런 문제가 발생할 수 있습니다. COM+ 카탈로그 디렉터리와 파일에 대한 기본 사용 권한이 기본 설정에서 변경되었으므로 응용 프로그램에서 COM+ 카탈로그 파일을 액세스할 수 없습니다. Microsoft 보안 공지 MS05-051 이전에는 COM+ 카탈로그에 대한 명시적 사용 권한이 필요 없었습니다. COM+ 카탈로그 파일은 .clb 파일이며 %windir%\registration 폴더에 있습니다. 기본적으로 COM+ 카탈로그 디렉터리와 파일은 다음과 같은 사용 권한을 갖습니다.  Administrators System Everyone Authenticated users Server operators 
Windows 2000 비 도메인 컨트롤러 Full Control Full Control 읽기   
Windows 2000 도메인 컨트롤러 Full Control Full Control  Modify 읽기 및 실행 
Windows Server 2003 비 도메인 컨트롤러 Full Control Full Control 읽기   
Windows Server 2003 도메인 컨트롤러 Full Control Full Control 읽기 및 실행  

 위로 가기

해결 방법
MS05-051에서 구현된 보안 변경을 기반으로 %windir%\registration 폴더에 읽기 수준 NTFS 파일 시스템 권한이 필요합니다. 기본 권한은 Everyone 그룹에 대한 읽기 권한을 포함합니다. 이 구성이 변경되는 경우 응용 프로그램 및 서비스에서 예기치 않은 문제가 발생할 수 있습니다. 더욱 제한적인 NTFS 보안 권한을 구현하도록 선택한 조직에서는 COM 기능 액세스가 필요한 요구하는 사용자, 응용 프로그램 및 서비스에 대해 그룹 구성원을 통한 읽기 수준 권한 부여를 고려해야 합니다. 폴더에 대한 기본 설정을 사용하여 잠재적인 응용 프로그램 호환을 피하는 것이 좋습니다. 폭넓은 응용 프로그램 호환성 검사는 기본 설정 이외의 설정을 구현하고자 하는 관리자가 사용하는 것이 좋습니다. 시스템 폴더에서 사용 권한을 변경할 때 발생할 수 있는 문제에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오. 
885409 (http://support.microsoft.com/kb/885409/) 보안 구성 가이드 지원 
NTFS 사용 권한 외에도 트래버스 통과 사용 권한이 필요합니다. 기본적으로 이 권한은 Everyone 그룹에 부여됩니다. NFTS 사용 권한에서 설명한 것처럼 사용자, 응용 프로그램 및 서비스에는 그룹 구성원을 통해 이 권한이 부여됩니다. 트래버스 통과 사용자 권한에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오. 
823659 (http://support.microsoft.com/kb/823659/) 보안 설정과 사용자 권한 할당을 수정할 때 발생할 수 있는 클라이언트, 서비스 및 프로그램 비호환성 
이 문제를 해결하려면 COM+ 카탈로그에 대한 기본 사용 권한을 복원해야 합니다.

Windows 2000 또는 Windows Server 2003을 실행하지만 도메인 컨트롤러로 실행되지 않는 컴퓨터의 경우 다음과 같이 하십시오. 1. %windir%/registration 폴더에서 Everyone 그룹에 읽기 권한이 있어야 합니다. 
2. %windir%/registration 폴더에서 SYSTEM 계정에 모든 권한이 있어야 합니다. 
3. %windir%/registration 폴더에서 Administrators 그룹에 모든 권한이 있어야 합니다. 
4. %windir%/registration 폴더에 있는 .clb 파일의 고급 보안 속성에서 상속 가능한 감사 항목을 부모 개체에서 이 개체 및 모든 자식 개체에 전파할 수 있음 (여기에서 명시적으로 정의한 항목을 가진 개체 포함) 옵션이 선택되어 있어야 합니다. 
5. Everyone 그룹에 다음 중 하나의 사용 권한이 있어야 합니다. ? %systemdrive%, %windir%, %windir%\registration이 속해 있는 모든 상위 디렉터리에 대한 트래버스 권한(“폴더 내용 보기”) 
? 트래버스 확인 통과 사용자 권한 
Everyone 그룹에 트래버스 확인 통과 사용자 권한을 할당하려면 다음과 같이 하십시오. 1. 시작, 실행을 차례로 누르고 gpedit.msc를 입력한 다음 확인을 누릅니다.  
2. 컴퓨터 구성, Windows 설정, 보안 설정, 로컬 정책을 차례로 확장한 다음 사용자 권한 할당을 확장합니다. 
3. 트래버스 확인 통과를 마우스 오른쪽 단추로 누른 다음 속성을 누릅니다. 
4. 사용자 또는 그룹 추가를 누릅니다. 
5. Everyone을 입력하고 확인을 누릅니다.

참고 "Users"라는 개체를 찾을 수 없다는 메시지가 나타나는 경우 개체 유형을 누르고 그룹 확인란을 선택한 다음 확인을 차례로 두 번 누릅니다. 
 
Windows 2000을 실행하는 도메인 컨트롤러의 경우 다음과 같이 하십시오. 1. %windir%/registration 폴더에서 Authenticated Users 그룹에 읽기 및 실행 권한이 있어야 합니다. 
2. %windir%/registration 폴더에서 Server Operators 그룹에 수정 권한이 있어야 합니다. 
3. %windir%\registration 폴더에서 SYSTEM 계정에 모든 권한이 있어야 합니다. 
4. %windir%\registration 폴더에서 Administrators 그룹에 모든 권한이 있어야 합니다. 
5. %windir%/registration 폴더에 있는 .clb 파일의 고급 보안 속성에서 이 개체를 전파하도록 부모로부터 사용 권한 상속 허용 옵션이 선택되어 있어야 합니다. 
Windows Server 2003을 실행하는 도메인 컨트롤러의 경우 다음과 같이 하십시오. 1. %windir%/registration 폴더에서 Everyone 그룹에 읽기 및 실행 권한이 있어야 합니다. 
2. %windir%/registration 폴더에서 SYSTEM 계정에 모든 권한이 있어야 합니다. 
3. %windir%/registration 폴더에서 Administrators 그룹에 모든 권한이 있어야 합니다. 
4. %windir%/registration 폴더에 있는 .clb 파일의 고급 보안 속성에서 상속 가능한 감사 항목을 부모 개체에서 이 개체 및 모든 자식 개체에 전파할 수 있음 (여기에서 명시적으로 정의한 항목을 가진 개체 포함) 옵션이 선택되어 있어야 합니다. 
5. Everyone 그룹에 다음 중 하나의 사용 권한이 있어야 합니다. ? %systemdrive%, %windir%, %windir%\registration이 속해 있는 모든 상위 디렉터리에 대한 트래버스 권한(“폴더 내용 보기”) 
? 트래버스 확인 통과 사용자 권한 
Everyone 그룹에 트래버스 확인 통과 사용자 권한을 할당하려면 다음과 같이 하십시오.1. 시작, 실행을 차례로 누르고 gpedit.msc를 입력한 다음 확인을 누릅니다.  
2. 컴퓨터 구성, Windows 설정, 보안 설정, 로컬 정책을 차례로 확장한 다음 사용자 권한 할당을 확장합니다. 
3. 트래버스 확인 통과를 두 번 누른 다음 속성을 누릅니다. 
4. 사용자 또는 그룹 추가를 누릅니다. 
5. Everyone을 입력하고 확인을 누릅니다.

참고 "Users"라는 개체를 찾을 수 없다는 메시지가 나타나는 경우 개체 유형을 누르고 그룹 확인란을 선택한 다음 확인을 차례로 두 번 누릅니다. 
 
참고 나중에 시스템이 %windir%/registration 폴더에 .clb 파일을 추가로 만들 수 있습니다. 추가로 만드는 .clb 파일에 적절한 사용 권한이 있도록 하려면 읽기 권한을 현재 있는 .clb 파일에 직접 부여하지 말고 전체 디렉터리에 부여합니다. Cacls.exe 파일을 사용하면 관련 컴퓨터에서 이러한 사용 권한을 자동으로 변경하거나 변경 내용을 여러 대의 컴퓨터에 간편하게 적용할 수 있습니다.

Windows 2000 또는 Windows Server 2003을 실행하지만 도메인 컨트롤러로 실행되지 않는 컴퓨터의 경우 다음 명령을 사용하십시오. echo y| cacls %windir%\registration /G everyone:R system:F administrators:F
echo y| cacls %windir%\registration\*.clb /G everyone:R system:F administrators:F
Windows 2000을 실행하는 도메인 컨트롤러의 경우 다음 명령을 사용하십시오. echo y| cacls %windir%\registration /G "Authenticated Users":R "Server Operators":R system:F administrators:F
Windows 2000을 실행하는 도메인 컨트롤러의 경우 다음 명령을 사용하십시오. echo y| cacls %windir%\registration /G everyone:R system:F administrators:F
echo y| cacls %windir%\registration\*.clb /G everyone:R system:F administrators:F
참고 y 문자와 파이프(|) 문자 사이에 공백이 없어야 합니다. 이 문자 사이에 공백이 있으면 명령이 제대로 실행되지 않습니다.
 위로 가기

추가 정보
이 문제가 발생하면 이벤트 로그에 다음 이벤트 중 하나 이상이 나타날 수도 있습니다. ? 네트워크 서비스 계정에 올바른 사용 권한이 없는 경우 이벤트 로그에 다음과 같은 내용의 EventSystem 이벤트가 기록될 수 있습니다.
이벤트 종류: 오류
이벤트 원본: EventSystem
이벤트 범주: (50)
이벤트 ID: 4609
날짜: <Date>
시간: <Time>
사용자: N/A
컴퓨터: Server
설명: 내부 프로세스를 하는 중 잘못된 반환 코드를 감지했습니다. HRESULT was 80070005 from line xx of d:\qxp_slp\com\com1x\src\events\tier1\eventsystemobj.cpp. Microsoft 고객기술지원부로 이 오류를 보고하십시오.
 
? 네트워크 서비스 계정에 올바른 사용 권한이 없는 경우 이벤트 로그에 다음과 같은 내용의 COM+ 이벤트가 기록될 수 있습니다.
이벤트 종류: 정보
이벤트 원본: COM+
이벤트 범주: (117)
이벤트 ID: 778
날짜: <Date>
시간: <Time>
사용자: N/A
컴퓨터: Server
설명: Application image dump failed.
서버 응용 프로그램 ID: <GUID>
서버 응용 프로그램 인스턴스 ID: <GUID>
서버 응용 프로그램 이름: COM+ Explorer
오류 코드 = 0x80004005 : 지정되지 않은 오류입니다.
COM+ 서비스 내부 정보: 파일: d:\qxp_slp\com\com1x\src\shared\util\svcerr.cpp, 줄: 1259 Comsvcs.dll 파일 버전: ENU 2001.12.4414.308 shp
자세한 내용은 http://go.microsoft.com/fwlink/events.asp에 있는 도움말 및 지원 센터를 참조하십시오.
 
? 네트워크 서비스 계정에 올바른 사용 권한이 없는 경우 이벤트 로그에 다음 COM+ 이벤트가 기록될 수 있습니다.
이벤트 종류: 오류
이벤트 원본: COM+
이벤트 범주: 알 수 없음
이벤트 ID: 4689
날짜: <Date>
시간: <Time>
사용자: N/A
컴퓨터: Server
설명: The run-time environment has detected an inconsistency in its internal state. This indicates a potential instability in the process that could be caused by the custom components running in the COM+ application, the components they make use of, or other factors. d:\qxp_slp\com\com1x\src\comsvcs\package\cpackage.cpp(1184)의 오류, hr = 80070005: InitEventCollector 실패
자세한 내용은 http://go.microsoft.com/fwlink/events.asp에 있는 도움말 및 지원 센터를 참조하십시오. 
 
? IIS 서비스에서 실행 중인 ASP 페이지를 탐색하고 Internet Explorer에서 HTTP 오류 메시지 표시 옵션이 선택되어 있지 않은 경우 다음과 같은 오류 메시지가 나타날 수 있습니다.
Server Application Error.
The server has encountered an error while loading an application during the processing of your request. Please refer to the event log for more detail information. Please contact the server administrator for assistance. HTTP 500 - 내부 서버 오류 Internet Explorer
이벤트 로그에 아래와 비슷한 이벤트가 기록될 수 있습니다.
이벤트 종류: 오류
이벤트 원본: DCOM
이벤트 범주: 없음
이벤트 ID: 10010
날짜: <Date>
시간: <Time>
사용자: NT AUTHORITY\SYSTEM
컴퓨터: Server
설명: <GUID> 서버가 요구된 초과 시간 안에 DCOM으로 등록하지 않았습니다.
 
? 구성 요소 서비스에서 COM+ 응용 프로그램을 수동으로 시작하려는 경우 다음과 같은 오류 메시지가 나타날 수 있습니다.
Catalog Error: An error occurred while processing the last operation. 오류 코드 80080005 - 서버 실행이 실패했습니다. The event log may contain additional troubleshooting information.
이벤트 로그에 아래와 비슷한 이벤트가 기록될 수 있습니다.
이벤트 종류: 오류
이벤트 원본: DCOM
이벤트 범주: 없음
이벤트 ID: 10010
날짜: <Date>
시간: <Time>
사용자: NT AUTHORITY\SYSTEM
컴퓨터: Server
설명: <GUID> 서버가 요구된 초과 시간 안에 DCOM으로 등록하지 않았습니다.
이벤트 종류: 경고
이벤트 원본: W3SVC
이벤트 범주: 없음
이벤트 ID: 36
날짜: <Date>
시간: <Time>
사용자: N/A
컴퓨터: Server
설명: 서버가 '/LM/W3SVC/1/ROOT' 응용 프로그램을 로드하지 못했습니다. 오류는 '서버 실행이 실패했습니다.'입니다.
이 메시지에 대한 추가 정보를 보려면 다음 Microsoft 온라인 지원 사이트를 방문하십시오. http://www.microsoft.com/contentredirect.asp

자세한 내용은 http://go.microsoft.com/fwlink/events.asp에 있는 도움말 및 지원 센터를 참조하십시오.

 
? 응용 프로그램을 설치하려고 하거나 Windows Installer 서비스를 수동으로 시작하려는 경우 다음과 같은 오류 메시지가 나타날 수 있습니다.
Windows Installer 서비스에 액세스할 수 없습니다. Windows를 안전 모드에서 실행하거나 Windows Installer가 올바르게 설치되지 않은 경우에 이 문제가 발생할 수 있습니다. 기술지원부에 도움을 요청하십시오. 
? 다음 오류 코드가 나타나면서 Windows 방화벽 서비스가 시작되지 않을 수 있습니다.
Error Result : 0x80070005 ( -2147024891 ) ID Defined as : E_ACCESSDENIED 메시지 내용 : 액세스가 거부되었습니다.

 위로 가기

이 문제를 재현하는 방법
*.clb 파일에 대한 파일 사용 권한에서 System 계정과 Everyone 계정을 제거합니다. 파일 사용 권한에서 해당 계정을 제거하려면 다음과 같이 하십시오. 1. 시작, 실행을 차례로 누르고 Explorer.exe c:\winnt\registration을 입력한 다음 확인을 누릅니다. 
2. Windows 탐색기에서 마우스 오른쪽 단추를 누르고 속성을 누른 다음 보안 탭을 누릅니다. 
3. Registration 등록 정보 대화 상자에서 그룹 또는 사용자 이름 아래에 있는 SYSTEM을 누른 다음 고급을 누릅니다. 
4. Registration 고급 보안 설정 대화 상자에서 제거를 누른 다음 확인을 누릅니다. 
5. Everyone 계정으로 .clb 파일을 액세스하지 못하게 하려면 3-4 단계를 반복합니다.

 

Microsoft 제품 관련 기술 전문가들과 온라인으로 정보를 교환하시려면 Microsoft 뉴스 그룹 (http://support.microsoft.com/newsgroups/default.aspx)에 참여하시기 바랍니다.
 위로 가기

--------------------------------------------------------------------------------

본 문서의 정보는 다음의 제품에 적용됩니다.
? Microsoft Windows Server 2003 Datacenter Edition 
? Microsoft Windows Server 2003 Enterprise Edition 
? Microsoft Windows Server 2003 Standard Edition 
? Microsoft Windows Server 2003 Service Pack 1 
? Microsoft Windows XP Professional Edition 
? Microsoft Windows XP Professional Edition 
? Microsoft Windows 2000 Advanced Server 
? Microsoft Windows 2000 Advanced Server 
? Microsoft Windows 2000 Datacenter Server 
? Microsoft Windows 2000 Professional Edition 
? Microsoft Windows 2000 서비스 팩 4

 위로 가기

키워드:  kbtshoot kbprb KB909444

 위로 가기