Windows Vista 보안 가이드

  • 아티클

3장: 중요한 데이터 보호

게시 날짜: 2006년 11월 8일

전세계적으로 해마다 적절한 보안 장치를 갖추지 않은 수많은 컴퓨터가 분실 또는 도난 당하거나 부주의하게 중고 처분되고 있습니다. 2006년 CSI/FBI 컴퓨터 범죄와 보안 조사 보고서에 따르면 데이터 손실에 따른 비용이 전년 대비 65퍼센트나 증가했습니다.

Microsoft에 고객들이 주로 요청했던 것 중 하나는 데이터 도난이나 노출의 위험을 막는 데 도움이 되는 기능과 서비스를 갖춘 효과적인 기술을 Windows Vista™에 포함해 달라는 것이었습니다. 악의적인 사용자가 클라이언트 컴퓨터에서 다른 운영 체제를 실행하거나, 디스크 드라이브를 다른 컴퓨터로 이동하거나, 분실되거나 도난 당한 컴퓨터의 데이터를 기타 오프라인 공격 방법을 통해 볼 수 있는 경우가 잦았기 때문입니다. 최근에는 고객 정보와 개인 정보를 안전하게 지킬 것을 요구하는 법률과 정부 규정이 제정되어 데이터 보호를 법적으로 요구하는 경우도 많아지고 있습니다.

이러한 보안 요구 사항을 충족하기 위해 Microsoft에서는 조직이 클라이언트 컴퓨터에 있는 데이터를 더 안전하게 보호하는 데 도움이 되는 기능 및 서비스를 새로 개발하거나 기존 기능과 서비스를 더욱 향상시켰습니다. 이 장에서 설명하는 기능과 서비스는 엔터프라이즈 클라이언트 환경에서 Windows Vista가 실행되는 클라이언트 컴퓨터의 데이터를 보호할 수 있도록 설계되었습니다. 이러한 기능의 구성은 사용자의 특정 요구 사항과 환경에 따라 달라질 수 있습니다. 이 장에서는 데이터를 보호하는 데 필요한 요구 사항을 더 완벽하게 충족할 수 있도록 다음과 같은 기능 및 서비스를 어떻게 구성할지 결정하는 데 도움이 되는 설계 프로세스를 제공합니다.

  • BitLocker™ 드라이브 암호화

  • EFS(파일 시스템 암호화)

  • RMS(권한 관리 서비스)

  • 장치 제어

BitLocker, EFS, RMS 및 장치 제어를 사용하여 엔터프라이즈 환경에서 중요한 데이터를 더 안전하게 보호할 수 있습니다. 그러나 각 기술과 방법은 데이터를 보호하는 데 도움이 되는 특정 기능만 수행합니다. 사실, 이러한 기술은 모두 데이터를 보호하는 데 있어 상호 보완적 역할을 하는 요소들이며, 엔터프라이즈의 전반적인 보안 전략을 수립할 때는 이들 요소를 함께 사용하는 것이 좋습니다. 물론 조직의 보안 요구 사항에 따라 각 기술을 별도로 사용하거나 함께 사용할 수 있습니다. 다음 표에는 엔터프라이즈 내에서 각기 다른 시나리오를 보호하기 위해 이러한 기술과 방법을 사용하는 방법의 예가 나와 있습니다.

표 3.1 Windows Vista의 데이터 보호 기술 비교

시나리오     BitLocker         EFS         RMS 장치 제어
랩톱 데이터 보호                                   
지점 서버 데이터 보호                          
로컬 단일 사용자 파일 및 폴더 보호                          
데스크톱 데이터 보호                                   
공유 컴퓨터 파일 및 폴더 보호                 
원격 파일 및 폴더 보호                 
신뢰할 수 없는 네트워크 관리자 보호                 
원격 문서 정책 강화                 
전송 중인 콘텐츠 보호                 
공동 작업 중인 콘텐츠 보호                 
데이터 도난 방지                 
##### 이 페이지에서 [](#eeaa)[BitLocker 드라이브 암호화](#eeaa) [](#edaa)[파일 시스템 암호화](#edaa) [](#ecaa)[권한 관리 서비스](#ecaa) [](#ebaa)[장치 제어](#ebaa) [](#eaaa)[추가 정보](#eaaa) ### BitLocker 드라이브 암호화 BitLocker 드라이브 암호화를 사용하면 클라이언트 컴퓨터에서 데이터를 보호하는 데 도움이 됩니다. Windows 볼륨 전체가 암호화되므로 다른 사용자가 무단으로 Windows 파일 및 시스템의 보호망를 뚫거나 보안이 적용된 드라이브의 정보를 오프라인으로 보지 못하도록 막을 수 있습니다. 시작 프로세스의 초기 단계에서 BitLocker는 클라이언트 컴퓨터의 시스템 및 하드웨어 무결성을 검사합니다. 시스템 파일이나 데이터를 훼손하려는 시도가 있었음을 BitLocker에서 발견하면 클라이언트 컴퓨터의 시작 프로세스가 완료되지 않습니다. BitLocker를 사용하면 다른 운영 체제를 시작하거나 소프트웨어 공격 도구를 실행하여 Windows Vista 파일 및 시스템 보호망을 우회하려는 시도와 보호 대상 드라이브에 저장되어 있는 파일을 오프라인으로 보려는 시도를 차단하는 데 도움이 됩니다. BitLocker 드라이브 암호화를 사용하면 사용자가 PIN(개인 ID 번호)을 입력하거나 적절한 키가 포함된 USB  플래시 드라이브를 삽입하기 전까지는 정상적인 부트 시퀀스를 잠글 수 있습니다. 사용자 데이터를 보호하고 시스템이 오프라인 상태일 때 Windows Vista가 실행되는 클라이언트 컴퓨터가 훼손되지 않도록 TPM(신뢰할 수 있는 플랫폼 모듈) 1.2를 컴퓨터에 함께 사용하면 보호 효과를 극대화할 수 있습니다. TPM 기술에 대한 자세한 내용은 [TCG(Trusted Computing Group) (영문)](https://www.trustedcomputinggroup.org/) 웹 사이트에 있는 사양과 자료를 참조하십시오. TPM을 사용할 수 없는 경우라도 BitLocker를 사용하여 데이터를 보호하는 데 도움을 얻을 수는 있지만, 이 경우 시스템 무결성에 대한 유효성 검사는 수행되지 않습니다. BitLocker는 클라이언트 컴퓨터의 운영 체제로 Windows Vista Enterprise 및 Ultimate 버전을 실행하는 경우에 사용할 수 있습니다. **참고**   BitLocker는 Windows 파티션을 보호합니다. BitLocker가 EFS를 대신하지는 않습니다. BitLocker는 Windows 파티션 외부에 저장된 데이터를 암호화하지 않는 대신, Windows 파티션 내에 EFS 키를 암호화하여 EFS에 대한 추가 보안 계층을 제공합니다. #### 위험 평가 모바일 컴퓨터는 일반적으로 분실이나 도난 사고가 발생할 위험이 높고 비교적 안전하지 않은 환경에 노출되는 경우가 많습니다. 악의적인 사용자가 이 시스템을 손에 넣으면 시스템과 데이터를 보호하기 위해 설계된 여러 가지 보안 조치를 우회하여 무력화시킬 수 있습니다. 공유 환경이나 공용 환경에서 사용되는 데스크톱 컴퓨터의 경우도 마찬가지로 큰 위험에 처할 수 있습니다. BitLocker는 도난 당하거나 분실된 모바일 컴퓨터에서 데이터를 함부로 빼내지 못하도록 이와 관련된 위험을 완화하는 것을 주 목적으로 합니다. 공격자가 컴퓨터를 손에 넣으면 다음과 같은 결과가 발생할 수 있습니다. - 공격자가 Windows Vista에 로그온하여 파일을 복사할 수 있습니다. - 공격자가 클라이언트 컴퓨터를 다른 운영 체제로 다시 시작하여 다음과 같은 작업을 할 수 있습니다. - 파일 이름을 볼 수 있습니다. - 파일을 복사할 수 있습니다. - 최대 절전 모드 파일이나 페이지 파일의 내용을 읽고 사용자가 작업 중이던 문서를 일반 텍스트 형식으로 복사할 수 있습니다. - 최대 절전 모드 파일의 내용을 읽고 소프트웨어 개인 키를 일반 텍스트 형식으로 복사할 수 있습니다. EFS를 사용하여 파일을 암호화했더라도 사용자가 암호화된 위치에서 암호화되지 않은 위치로 부주의하게 파일을 옮기거나 복사한 경우에는 파일의 정보가 일반 텍스트 형식으로 저장될 수 있습니다. 숨겨진 폴더를 IT 직원이 부주의로 암호화하지 않을 수도 있습니다. 이러한 폴더에는 일반적으로 응용 프로그램에서 작업 중인 파일의 백업 복사본이 저장됩니다. 권한이 없는 직원이 시스템 및 부트 파일을 훼손하거나 수정하는 등과 같은 운영 상의 위험이 발생할 수도 있습니다. 이 경우 시스템이 정상적으로 작동하지 않을 수 있습니다. #### 위험 완화 이러한 위험을 완화하기 위해서는 컴퓨터의 부트 시퀀스를 보호하여 시스템을 승인된 경우에만 시작할 수 있도록 해야 합니다. 또한 운영 체제 및 데이터 파일을 안전하게 보호해야 합니다. #### 완화 고려 사항 BitLocker를 사용하면 앞의 "위험 평가" 섹션에서 설명한 위험을 완화할 수 있습니다. 그러나 BitLocker를 사용하려면 먼저 다음과 같은 요구 사항을 살펴보고 이 데이터 보호 기능을 가장 효율적으로 활용하려면 어떻게 해야 하는지 미리 점검하는 것이 중요합니다. - BitLocker를 최적의 구성으로 사용하려면 Trusted Computing Group 호환 BIOS를 구현하는 TPM 1.2 칩이 클라이언트 컴퓨터의 마더보드에 장착되어 있어야 합니다. 또한 인증 요소를 추가로 제공하려면 선택 사항인 시작 키가 필요합니다. 시작 키는 사용자가 설정한 PIN 항목이거나 물리적으로 추가해야 하는 키(컴퓨터에서 해독 가능한 키가 기록되어 있는 USB 플래시 드라이브)입니다. 강력한 사용자 로그온 및 암호 프로토콜도 필요합니다. - BitLocker를 사용할 수 있도록 컴퓨터 하드 드라이브의 파티션을 올바르게 나눠야 합니다. BitLocker를 사용하려면 두 개의 NTFS 드라이브 볼륨이 필요합니다. 그 중 하나는 시스템 볼륨이고, 다른 하나는 운영 체제 볼륨으로 사용됩니다. 시스템 볼륨은 최소 1.5GB 이상이어야 합니다. - 외부 키 인증을 사용하지 않은 채 BitLocker를 구성하면 하드웨어를 기반으로 한 공격을 받을 수 있습니다. - BitLocker를 USB 키나 PIN과 함께 사용하는 경우에는 키를 분실하거나 PIN을 잊어버리는 경우에 대비한 조치를 마련해 둬야 합니다. - BitLocker는 시스템 성능에 약간 영향을 주기는 하지만 일반적으로 무시할 수 있는 수준입니다. 그러나 서버 등과 같이 시스템 성능이 중요한 부분을 차지한다면 구성을 철저히 테스트하여 BitLocker로 인해 발생하는 오버헤드가 성능에 큰 영향을 주지 않는지 확인해야 합니다. - 컴퓨터 공급업체에 따라서는 빌드 과정에서 BIOS 관리자 암호와 TPM 장치 상태를 수동으로 구성하는 단계에 TPM 관리 도구가 필요할 수 있습니다. 이 경우 스크립트를 사용하거나 완전히 자동화된 시스템 배포 및 업그레이드가 불가능할 수 있습니다. - TPM 장치를 사용하려면 EK(인증 키) 자격 증명을 적용해야 합니다. EK는 컴퓨터 공급업체나 VAR(부가가치 재판매 업체)를 통해 얻을 수 있습니다. 또는 IT 지원 담당자가 시스템을 구축한 후 제공할 수도 있습니다. EK를 안전하게 저장해야 하며 컴퓨터를 사용하는 동안 계속 추적해야 합니다. - 컴퓨터에서 TPM을 사용할 수 없는 경우에는 부트 시퀀스를 진행하는 동안 볼륨의 잠금을 해제할 수 있도록 시작 키를 사용하는 데 필요한 USB 장치를 컴퓨터가 지원해야 합니다. - 소프트웨어나 시스템 업데이트를 원격으로 야간에 배포하고 사용자가 없는 상태에서 사용자 컴퓨터를 다시 시작하는 경우에는 BitLocker가 소프트웨어 배포 절차에 영향을 줄 수 있습니다. 예를 들면 다음과 같습니다. - 컴퓨터에 TPM 및 PIN 유형이나 TPM 및 시작 키 유형의 보호 장치가 마련되어 있는 경우 새벽 2시에 컴퓨터를 다시 시작해야 하는 소프트웨어 업데이트를 배포하면 PIN 또는 시작 키가 없으므로 컴퓨터를 시작할 수 없습니다. - 유지 관리를 목적으로 컴퓨터를 시작하는 데 Wake-on-LAN 또는 BIOS 자동 전원 켜기 기능을 사용하고 있다면 이러한 컴퓨터도 TPM 및 PIN 또는 시작 키 보호 장치의 영향을 받을 수 있습니다. - OEM 배포 BIOS/TPM 펌웨어 업데이트가 BitLocker를 사용하는 컴퓨터에 영향을 줄 수도 있습니다. OEM 설치 지침을 검토하여 업데이트 후에도 복구 정보(복구 암호 및 키)가 보존되는지 여부와 추가 보호 장치(PIN 또는 시작 키)도 보존되는지 여부를 확인할 필요가 있습니다. - 응용 프로그램 업데이트가 BitLocker를 사용하는 컴퓨터에 영향을 줄 수도 있습니다. 응용 프로그램을 설치하거나 업데이트하는 과정에서 BitLocker의 검사 대상인 부트 관리자나 파일이 변경되면 시스템이 부팅되지 않고 컴퓨터의 복구 모드가 강제로 시작될 수 있습니다. Windows Vista 부트 환경에 영향을 주는 응용 프로그램 설치 또는 업데이트 작업을 수행할 때는 먼저 BitLocker를 사용하는 컴퓨터에서 테스트를 거쳐야 합니다. - 도메인에 포함된 모든 도메인 컨트롤러에서 Microsoft® Windows Server® 2003 SP1(서비스 팩 1) 이상을 실행해야 합니다. **참고**   Windows Server 2003의 경우 Active Directory® 디렉터리 서비스에서 BitLocker 복구 정보를 저장할 수 있도록 스키마를 확장해야 합니다. #### 완화 프로세스 관리 대상인 클라이언트 컴퓨터의 중요한 데이터를 보호하는 데 도움이 되도록 BitLocker를 구성하는 최적의 방법을 확인하려면 다음과 같은 위험 완화 프로세스를 사용합니다. **이 완화 프로세스를 사용하려면** 1. BitLocker 기술과 기능을 미리 숙지합니다. **참고**   BitLocker에 대한 자세한 내용은 Microsoft TechNet®에서 [BitLocker 드라이브 암호화 (영문)](https://www.microsoft.com/technet/windowsvista/security/bitlockr.mspx) 웹 페이지를 참조하십시오. 2. 현재 환경에서 BitLocker에 대한 요구 사항을 평가합니다. 3. 조직에서 사용하는 하드웨어, 펌웨어 및 소프트웨어가 BitLocker 요구 사항을 충족하는지 확인합니다. 4. 조직에서 BitLocker 보호가 필요한 시스템을 확인합니다. 5. 시스템에 필요한 보호 수준을 확인합니다. 운영 체제를 시작하려면 암호화 키가 포함된 PIN 또는 USB 키가 필요할 수 있습니다. 이러한 키가 없으면 운영 체제가 시작되지 않을 수 있습니다. 6. 테스트 시스템에 필수 드라이버를 설치합니다. 7. GPO(그룹 정책 개체)를 사용하여 테스트 시스템에서 BitLocker를 구성합니다. 8. 테스트를 성공적으로 마쳤으면 프로덕션 시스템에 드라이버를 설치하고 BitLocker를 구성합니다. ##### 그룹 정책을 사용하여 BitLocker의 위험 완화 BitLocker의 구성을 관리하는 데 사용할 수 있는 권장 그룹 정책 템플릿에는 두 가지가 있습니다. 이러한 템플릿을 사용하면 BitLocker의 나머지 부분과 별도로 TPM 구성을 관리할 수 있습니다. 다음 표에는 VolumeEncryption.admx 템플릿에서 BitLocker에 대해 사용할 수 있는 그룹 정책 설정의 간략한 설명이 나와 있습니다. 그룹 정책 개체 편집기의 다음 위치에서 이러한 설정을 구성할 수 있습니다. **컴퓨터 구성\\관리 템플릿\\Windows 구성 요소\\BitLocker 드라이브 암호화** **표 3.2 BitLocker 드라이브 암호화 설정**

정책 설정 설명 Windows Vista 기본값
Active Directory 도메인 서비스에 대한 BitLocker 백업 사용 Active Directory에서 BitLocker 복구 정보를 백업합니다. 이 복구 정보에는 복구 암호를 비롯하여 몇 가지 고유한 식별 데이터가 포함됩니다. 구성되지 않음
제어판 설정: 복구 폴더 구성 BitLocker 설정 마법사에서 복구 키를 폴더에 저장하도록 사용자에게 요청할지 여부를 지정합니다. 복구 키를 저장할 폴더의 위치를 입력하도록 BitLocker 설정 마법사에서 요청할 때 표시할 기본 경로를 지정합니다. 구성되지 않음
제어판 설정: 복구 옵션 구성 BitLocker 설정 마법사에서 복구 암호를 만들도록 사용자에게 요청할지 여부를 지정합니다. 복구 암호는 무작위로 생성되는 48자리 시퀀스입니다. 구성되지 않음
제어판 설정: 고급 시작 옵션 사용 BitLocker 설정 마법사에서 컴퓨터에 PIN을 만들도록 사용자에게 요청할지 여부를 지정합니다. PIN은 사용자가 컴퓨터를 시작할 때마다 입력하는 4–20자리 시퀀스입니다. 정책을 사용하여 이 자릿수를 설정할 수는 없습니다. 구성되지 않음
암호화 방법 구성 BitLocker에 사용되는 암호화 알고리즘과 키 크기를 구성합니다. 이 정책 설정은 완전히 해독된 디스크에 적용됩니다. 디스크가 이미 암호화되어 있거나 암호화가 진행 중인 경우에는 암호화 방법을 변경해도 결과가 달라지지 않습니다. 구성되지 않음
TPM 플랫폼 유효성 검사 프로필 구성 TPM를 통해 디스크 볼륨의 암호화 키를 보호하는 방법을 구성합니다. 컴퓨터에 호환되는 TPM이 없으면 이 정책 설정이 적용되지 않으며, 이 정책을 변경해도 암호화 키의 기존 복사본은 영향을 받지 않습니다. 구성되지 않음
이 표에는 각 설정에 대한 아주 간단한 설명만 나와 있습니다. 특정 설정에 대한 자세한 내용을 보려면 그룹 정책 개체 편집기에서 설정의 **설명** 탭을 참조하십시오. 다음 표에는 TPM.admx 템플릿에서 TPM에 대해 사용할 수 있는 그룹 정책 설정의 간략한 설명이 나와 있습니다. 그룹 정책 개체 편집기의 다음 위치에서 이러한 설정을 구성할 수 있습니다. **컴퓨터 구성\\관리 템플릿\\시스템\\신뢰할 수 있는 플랫폼 모듈 서비스** **표 3.3 신뢰할 수 있는 플랫폼 모듈 설정**

정책 설정 설명 Windows Vista 기본값
Active Directory 도메인 서비스에 대한 TPM 백업 사용 Active Directory에서 TPM 복구 정보의 백업을 관리합니다. 이 복구 정보에는 TPM 소유자 암호의 암호화 버전이 포함됩니다. 구성되지 않음
차단된 TPM 명령 목록 구성 Windows에 의해 차단된 TPM 명령의 그룹 정책 목록을 관리합니다. 구성되지 않음
차단된 TPM 명령의 기본 목록 무시 컴퓨터에서 차단된 TPM 명령의 기본 목록을 적용할지 여부를 관리합니다. 구성되지 않음
차단된 TPM 명령의 로컬 목록 무시 컴퓨터에서 차단된 TPM 명령의 로컬 목록을 적용할지 여부를 관리합니다. 구성되지 않음
이 표에는 각 설정에 대한 아주 간단한 설명만 나와 있습니다. 특정 설정에 대한 자세한 내용을 보려면 그룹 정책 개체 편집기에서 설정의 **설명** 탭을 참조하십시오. BitLocker 암호 및 키 관리를 효율적으로 지원할 수 있도록 보안 정책을 수립해야 합니다. 이러한 정책은 정보를 안전하게 보호할 수 있도록 충분히 포괄적이어야 하지만 BitLocker를 지원하기가 어려울 정도로 제한적이지 않아야 합니다. 다음 목록에는 몇 가지 정책의 예가 나와 있습니다. - Active Directory에서 항상 복구 암호를 백업해야 합니다. - Active Directory에서 항상 TPM 소유자 정보를 백업해야 합니다. - 백업 또는 대체 복구 방법으로 복구 키를 복구 암호와 함께 사용합니다. - TPM과 PIN 또는 USB 시작 키를 사용하는 경우 이들을 정기적으로 변경합니다. - TPM을 사용하는 컴퓨터에서 BIOS 관리자 암호를 사용하여 무단 액세스를 차단합니다. - 사용자가 USB 시작 키 같은 키 자료를 컴퓨터에 저장하지 않도록 합니다. - 지원 및 재해 복구를 위해 복구 키를 중앙의 한 곳에 보관합니다. - 복구 자료를 백업하여 오프라인 저장소를 안전하게 보호합니다. [](#mainsection)[페이지 위쪽](#mainsection) ### 파일 시스템 암호화 EFS(파일 시스템 암호화)를 사용하면 파일과 폴더를 암호화하여 무단 액세스로부터 데이터를 보호할 수 있습니다. EFS는 NTFS 파일 시스템에 통합되어 있으며 그 작동 과정이 응용 프로그램에 전혀 노출되지 않습니다. 사용자나 프로그램이 암호화된 파일에 액세스하면 그 내용을 보는 데 필요한 암호 해독 키를 요구하는 메시지가 자동으로 표시되고, 암호화 및 암호 해독 과정이 자동으로 수행됩니다. 승인된 키를 갖고 있는 사용자는 일반적인 다른 파일의 경우와 마찬가지로 암호화된 파일에 액세스하여 작업할 수 있는 반면, 다른 사용자는 그러한 파일에 액세스할 수 없습니다. Windows Vista에는 EFS와 관련된 여러 가지 새로운 보안, 성능 및 관리 기능이 추가되었습니다. EFS와 관련하여 Windows Vista에 새로 추가된 기능은 다음과 같습니다. - 사용자 키를 스마트 카드에 저장할 수 있습니다. - 복구 키를 스마트 카드에 저장할 수 있습니다. 이렇게 하면 복구 전용 스테이션이 없더라도 심지어 원격 데스크톱 세션을 통해 보안 데이터를 복구할 수 있습니다. - 시스템을 시작할 때 생성되는 키와 함께 EFS를 사용하여 Windows 페이지 파일을 암호화할 수 있습니다. 이 키는 시스템을 종료할 때 삭제됩니다. - EFS를 사용하여 오프라인 파일 캐시를 암호화할 수 있습니다. Windows Vista에서는 이 암호화 기능에 시스템 키 대신 사용자의 키를 사용합니다. 따라서 오프라인 파일 캐시의 각 파일에는 그 파일을 캐시한 사용자만이 액세스할 수 있습니다. - 엔터프라이즈 정책을 적용하는 데 도움이 되는 여러 가지 새로운 구성 옵션을 그룹 정책에서 제공합니다. - EFS가 지원하는 사용자 인증서와 키의 범위가 더 넓어졌습니다. 관리자가 EFS에 대한 조직의 정책을 정의하고 구현하는 데 도움이 되는 여러 가지 새로운 그룹 정책 옵션이 Windows Vista에 추가되었습니다. EFS에 대한 스마트 카드 요구, 페이지 파일 암호화 적용, EFS에 대한 최소 키 길이 규정, 사용자의 문서 폴더에 대한 암호화 적용 등과 같은 기능이 여기에 해당합니다. **참고**   데이터 보호 효과를 극대화하려면 BitLocker와 EFS를 함께 사용하는 것이 좋습니다. #### 위험 평가 데이터에 대한 무단 액세스를 방치하면 업무 프로세스와 수익에 부정적인 영향을 줄 수 있습니다. 특히 여러 명의 사용자가 동일한 시스템에 액세스하거나 모바일 컴퓨터 시스템을 사용하는 경우 데이터가 노출될 위험이 큽니다. EFS는 모바일 컴퓨터를 분실하거나 도난 당한 경우 또는 내부 직원이 데이터를 빼돌린 경우 데이터의 도난이나 노출을 완화할 목적으로 설계되었습니다. 공유 컴퓨터도 이러한 데이터 위험에서 예외가 아닙니다. 공격자의 손에 들어간 컴퓨터의 데이터가 암호화되어 있지 않으면 다음과 같은 결과가 발생할 수 있습니다. - 공격자가 컴퓨터를 다시 시작하고 사용자 권한을 로컬 관리자 수준으로 높여 사용자의 데이터에 액세스할 수 있습니다. 공격자가 무작위 공격을 시도하는 도구를 다운로드하여 사용자의 암호를 얻은 후 해당 사용자로 로그온하여 사용자 데이터에 액세스할 수도 있습니다. - 공격자가 Windows Vista에 로그온하여 사용자에게 제공되는 모든 데이터를 이동식 장치로 복사하거나, 전자 메일로 보내거나, 네트워크를 통해 복사하거나, FTP를 사용하여 원격 서버로 전송할 수 있습니다. - 공격자가 컴퓨터를 다른 운영 체제로 다시 시작한 후 하드 드라이브에서 직접 파일을 복사할 수 있습니다. - 공격자가 훔친 컴퓨터를 다른 네트워크에 연결한 후 이 컴퓨터를 시작하고 원격으로 로그온할 수 있습니다. - 사용자가 네트워크 파일을 오프라인 파일로 캐시한 경우 공격자가 자신의 권한을 Administrator/LocalSystem으로 높인 후 오프라인 파일 캐시의 내용을 볼 수 있습니다. - 공유 컴퓨터의 다른 사용자가 소유한 중요한 파일을 호기심 많은 동료가 열어 볼 수 있습니다. - 공격자가 대체 운영 체제를 사용하여 컴퓨터를 다시 시작하고 페이지 파일을 열어 원래 사용자가 작업 중이었던 문서의 복사본을 일반 텍스트 형식으로 볼 수 있습니다. #### 위험 완화 하드 디스크에 저장할 때 데이터를 암호화하면 이와 같이 데이터가 노출되는 위험을 완화할 수 있습니다. Windows Vista에서 더욱 향상된 EFS 기술을 사용하면 다음과 같은 상황에서 문제를 해결하는 데 도움이 됩니다. - EFS를 사용하면 공격자가 다른 운영 체제를 사용하더라도 암호화된 파일을 읽지 못하게 할 수 있습니다. 공격자가 파일 내용을 읽으려면 암호 해독에 필요한 키가 있어야 하기 때문입니다. 그러한 키를 스마트 카드에 저장하면 보안을 더욱 강화할 수 있습니다. - EFS에 사용되는 암호화 강도를 그룹 정책을 통해 적용할 수 있습니다. - 사용자의 EFS 키를 스마트 카드에 저장하거나 EFS와 함께 BitLocker를 사용하여 사용자의 암호 해시 및 캐시된 자격 증명에 대한 공격자의 액세스를 거부하면 사용자의 데이터에 액세스하려는 공격자의 시도를 차단할 수 있습니다. - 그룹 정책을 통해 사용자의 문서 폴더에 암호화를 적용하면 사용자의 인증서 데이터에 액세스하는 공격자를 막을 수 있습니다. 또는 로그온 스크립트를 통해 사용자의 전체 데이터 파티션이나 기타 위치에 암호화를 적용할 수 있습니다. - EFS를 사용하여 여러 드라이브와 네트워크 공유 위치를 암호화할 수 있습니다. - EFS를 사용하여 시스템 페이지 파일과 오프라인 파일 캐시의 내용을 보호할 수 있습니다. #### 완화 고려 사항 Windows Vista에서 EFS를 사용하면 앞서 위험 평가 섹션에서 언급한 여러 가지 위험을 완화할 수 있습니다. 그러나 EFS를 배포하려면 먼저 다음 사항을 고려해야 합니다. - 키 관리 및 데이터 복구 요구 사항에 대한 절차를 테스트해야 합니다. 신뢰할 수 있고 잘 정의된 절차를 준비하지 않으면 키를 잃어버린 경우 중요한 데이터에 액세스하지 못할 수 있습니다. - 일반적인 작업 환경에서 EFS로 인한 오버헤드는 무시할 수 있는 수준입니다. 그러나 시스템 성능이 중요한 경우에는 철저한 테스트를 통해 EFS가 성능에 부정적인 영향을 주지 않는지 확인해야 합니다. - 특정 볼륨에 대해 EFS를 사용하는 경우 동일한 볼륨의 파일은 압축할 수 없습니다. - 필요한 경우 중요한 파일 위치를 암호화하는 스크립트를 추가로 배포하고 테스트합니다. - 사용자와 IT 담당자들은 다음 사항과 관련하여 문제를 일으키지 않도록 적절한 교육을 받아야 합니다. - 암호화된 위치에서 암호화되지 않은 위치로 파일을 복사하거나 이동하면 파일이 일반 텍스트 형식으로 남을 수 있습니다. - 응용 프로그램에서 작업 중인 파일의 백업 복사본을 유지 관리하는 위치인 숨겨진 폴더를 실수로 암호화하지 않는 경우가 발생할 수 있으므로 주의해야 합니다. - EFS  구성을 철저히 테스트하여 문서, 바탕 화면 및 임시 폴더를 비롯한 모든 중요한 파일 위치에 암호화를 설정해야 합니다. **참고**   EFS는 Windows Vista의 Business, Enterprise 및 Ultimate 버전에만 배포할 수 있습니다. #### 완화 프로세스 관리 대상인 클라이언트 컴퓨터의 중요한 데이터를 보호하는 데 도움이 되도록 EFS를 구성하는 최적의 방법을 확인하려면 다음과 같은 위험 완화 프로세스를 사용합니다. **이 완화 프로세스를 사용하려면** 1. EFS 기술과 기능을 미리 숙지합니다. **참고**   자세한 내용은 Microsoft.com에서 "[Best practices for the Encrypting File System](https://support.microsoft.com/kb/223316/ko)" 문서를 참조하십시오. 2. 현재 환경에서 EFS에 대한 요구 사항을 평가합니다. 3. 그룹 정책을 사용하여 EFS의 구성을 조사합니다. 4. EFS가 필요한 컴퓨터 시스템과 사용자를 확인합니다. 5. 필요한 보호 수준을 확인합니다. 예를 들어, 조직에서 EFS와 함께 스마트 카드를 사용해야 하는지 여부를 조사합니다. 6. 그룹 정책을 사용하여 사용자의 환경에 적합한 EFS를 구성합니다. ##### EFS의 완화 단계 그룹 정책을 사용하여 EFS를 관리하려면 다음 위치에서 여러 가지 보안 설정을 구성해야 합니다. **컴퓨터 구성\\Windows 설정\\보안 설정\\공개 키 정책\\파일 시스템 암호화** DRA(데이터 복구 에이전트)를 추가하거나 만들려면 **파일 시스템 암호화**을 마우스 오른쪽 단추로 클릭한 후 **속성**을 클릭하여 **파일 시스템 암호화 속성** 대화 상자를 엽니다. [![](images/Bb629455.VSGF0301(ko-kr,MSDN.10).gif)](https://technet.microsoft.com/ko-kr/bb629455.vsgf0301_big(ko-kr,msdn.10).gif) **그림 3.1 파일 시스템 암호화 속성 대화 상자** EFS 설정이 포함된 그룹 정책 템플릿에는 네 가지가 있습니다. 다음 표에는 이들 템플릿이 나와 있습니다. **표 3.4 EFS 그룹 정책 설정**

템플릿 및 설정 경로 및 설명 Windows Vista 기본값
GroupPolicy.admx
EFS 복구 정책 처리 중		 컴퓨터 구성\
관리 템플릿\
시스템\그룹 정책
암호화 정책을 언제 업데이트할지 결정합니다.		 구성되지 않음
EncryptFilesonMove.admx
암호화된 폴더로 이동한 파일을 자동으로 암호화 안 함		 컴퓨터 구성\
관리 템플릿\
시스템\
Windows 탐색기에서 암호화된 폴더로 이동한 파일을 암호화하지 못하도록 합니다.		 구성되지 않음
OfflineFiles.admx
오프라인 파일 캐시를 암호화		 컴퓨터 구성\
관리 템플릿\
네트워크\오프라인 파일\
이 설정은 오프라인 파일을 암호화할지 여부를 결정합니다. 참고   Windows XP의 경우 이러한 파일을 암호화하는 데는 시스템 키가 사용되는 반면, Windows Vista에서 이들 파일을 암호화하는 데는 사용자의 키가 사용됩니다.		 구성되지 않음
Search.admx
암호화된 파일의 색인 기능 사용		 컴퓨터 구성\
관리 템플릿\
Windows 구성 요소\
검색\
이 설정을 사용하면 Windows 검색에서 암호화된 항목을 찾을 때 색인 기능을 사용할 수 있습니다. 참고   암호화된 파일에 색인 기능을 사용하면 데이터 보안 문제가 발생할 수 있으며, 이 색인은 EFS나 기타 수단을 통해 제대로 보호할 수 없습니다.		 구성되지 않음
이 표에는 각 설정에 대한 아주 간단한 설명만 나와 있습니다. 특정 설정에 대한 자세한 내용을 보려면 그룹 정책 개체 편집기에서 설정의 **설명** 탭을 참조하십시오. [](#mainsection)[페이지 위쪽](#mainsection) ### 권한 관리 서비스 RMS(권한 관리 서비스)는 중요한 전자 메일, 문서, 웹 콘텐츠 및 기타 유형의 정보에 대한 보안을 강화하고 사용 정책을 적용할 목적으로 설계되었습니다. RMS를 사용하면 엔터프라이즈나 인터넷에서 파일이나 전자 메일 메시지를 전송할 때 정보를 지속적으로 암호화하여 안전하게 보호할 수 있습니다. 이렇게 하면 인증된 사용자와 명시적 권한이 부여된 사용자만 파일이나 메시지에 액세스할 수 있습니다. RMS는 세 가지 구성 요소로 이루어져 있습니다. - **RMS 서버**. Windows Vista에는 Windows Server 2003 이상에 대한 Windows 권한 관리 서비스가 필요합니다. - **RMS 클라이언트**. Windows Vista에 포함되어 있습니다. - **RMS 플랫폼 또는 응용 프로그램**. 관리 대상인 정보를 암호화하고 사용을 제어할 수 있도록 설계된 플랫폼이나 응용 프로그램입니다. #### 위험 평가 RMS를 사용하면 조직에서 적법한 권한이 없는 직원이 중요한 정보를 볼 수 없도록 이러한 위험을 방지할 수 있습니다. 이 정보는 실수나 고의로 권한이 없는 사용자에게 배포되거나 이러한 사용자의 손에 들어갈 수 있습니다. 이 유형의 위험에 속하는 구체적인 예로는 다음과 같은 것이 있습니다. - 무단 사용자가 네트워크를 스니핑하거나, USB 플래시 및 이동식 하드 드라이브에 액세스하거나, 제대로 보호되지 않은 서버 공유 위치 및 저장소에 액세스할 수 있습니다. - 무단 사용자가 조직 내부나 외부의 다른 불법 수신자에게 중요한 정보를 보낼 수 있습니다. - 무단 사용자가 중요한 데이터를 승인된 장치에서 이동식 저장 장치 같은 승인되지 않은 장치로 또는 승인되지 않은 위치나 응용 프로그램으로 복사하거나 이동할 수 있습니다. - 권한이 있는 사용자가 P2P(피어-투-피어) 기술이나 인스턴트 메시징을 통해 실수로 중요한 정보에 대한 액세스 권한을 적법하지 않은 사용자에게 제공할 수 있습니다. - 권한이 있는 사용자가 중요한 파일을 인쇄해 둔 경우 무단 사용자가 인쇄된 문서를 발견하여 이를 배포 또는 복사하거나 팩스 또는 전자 메일 등으로 보낼 수 있습니다. #### 위험 완화 사용자가 어떤 메커니즘을 채택했는지와 상관없이 공유 및 공동 작업에 사용하는 정보를 효과적으로 보호하려면 RMS를 통해 직접 정보를 보호하는 것이 좋습니다. 이렇게 하면 호스트, 장치 및 공유 위치 사이에 정보를 전송할 때 완벽하게 보호할 수 있습니다. #### 완화 고려 사항 RMS를 사용하면 앞서 "위험 평가" 섹션에서 언급한 여러 가지 위험을 완화할 수 있습니다. 그러나 RMS를 배포하려면 먼저 다음 사항을 고려해야 합니다. - RMS에는 Windows Server 2003 이상에 대한 Windows 권한 관리 서비스가 RMS 서버로 필요하고, 클라이언트 컴퓨터에 권한을 활성화한 응용 프로그램이 설치되어 있어야 합니다. - SharePoint 사이트에 있는 문서와 정보를 RMS로 보호할 수 있도록 SharePoint-RMS 통합 기능을 사용하려면 Microsoft SharePoint® 서버가 있어야 합니다. - 선택 사항인 스마트 카드를 RMS 솔루션과 통합하여 함께 사용하려면 콘텐츠에 액세스하는 데 사용하려는 각 클라이언트 컴퓨터에서 해당 스마트 카드를 사용할 수 있어야 합니다. - OWA(Outlook Web Access) 같은 웹 기반 응용 프로그램을 RMS와 함께 사용하려면 Internet Explorer용 권한 관리 추가 기능이 필요합니다. - IT 직원은 RMS를 성공적으로 배포 및 지원하고 문제를 해결하는 데 필요한 교육을 받아야 합니다. #### 완화 프로세스 관리 대상인 클라이언트 컴퓨터의 중요한 데이터를 보호하는 데 도움이 되도록 RMS를 구성하는 최적의 방법을 확인하려면 다음과 같은 위험 완화 프로세스를 사용합니다. **이 완화 프로세스를 사용하려면** 1. 권한 관리 서비스 기술과 기능을 미리 숙지합니다. **참고**   RMS(권한 관리 서비스)에 대한 자세한 내용은 [Windows 권한 관리 서비스](https://www.microsoft.com/korea/windowsserver2003/technologies/rightsmgmt/) 기술 센터를 참조하십시오. 2. 사용자의 환경에서 권한 관리 서비스가 필요한지 여부를 평가합니다. 3. 권한 관리 서비스에 대한 응용 프로그램 및 서비스의 지원 여부를 확인합니다. 4. 다음과 같은 잠재적 RMS 배포 아키텍처를 평가합니다. - 단일 서버(또는 단일 클러스터) - 단일 인증, 단일 라이센스 - 단일 인증, 다중 라이센스 - 다중 인증, 단일 라이센스 - 다중 인증, 다중 라이센스 5. 권한 관리 서비스를 사용하여 보호하려는 정보를 확인합니다. 6. 특정 정보에 액세스해야 하는 사용자와 그룹을 확인합니다. 7. 정보에 대해 필요한 액세스만 허용하도록 권한 관리 서비스를 구성합니다. #### 그룹 정책을 사용하여 RMS 관리 RMS의 구성을 위한 그룹 정책 설정은 Windows Vista 설치 항목에 포함되어 있지 않습니다. 기본적으로 RMS는 서버 기반 솔루션이므로 서비스 동작을 RMS 서버에서 구성해야 합니다. 또한 RMS 지원 응용 프로그램에 개별 설정을 구성하여 RMS로 보호되는 콘텐츠를 어떻게 처리할지 제어할 수 있습니다. 예를 들어, Microsoft Office 2003 이상이나 Microsoft Outlook® 및 Microsoft Word 같은 응용 프로그램에는 RMS 관련 설정이 있습니다. 이러한 설정에 대한 자세한 내용은 [Office 2003 Policy Template Files and Deployment Planning Tools (영문)](https://office.microsoft.com/en-us/assistance/ha011513711033.aspx)를 참조하십시오. [](#mainsection)[페이지 위쪽](#mainsection) ### 장치 제어 사용자가 USB 키 드라이브나 기타 이동식 저장 장치 같은 새 PnP(플러그 앤 플레이) 하드웨어를 자신의 클라이언트 컴퓨터에 마음대로 추가할 수 있는 경우에는 IT 관리자의 입장에서 볼 때 심각한 보안 문제가 발생할 수 있습니다. 이러한 유형의 장치는 사용자가 지원되지 않는 하드웨어를 설치한 결과로 클라이언트 컴퓨터를 유지 관리하기가 더 힘들게 만들 뿐만 아니라 데이터 보안에도 위협을 가할 수 있습니다. 악의적인 사용자가 이동식 저장 장치를 사용하여 회사의 지적 자산을 훔칠 수도 있습니다. 공격자가 "자동 실행" 스크립트를 포함한 악성 소프트웨어가 구성되어 있는 이동식 저장 장치를 사용하여 담당자가 자리를 비운 사이 클라이언트 컴퓨터에 악성 소프트웨어를 설치할 수도 있습니다. Windows Vista에서는 IT 관리자가 그룹 정책을 사용하여 지원되지 않거나 승인되지 않은 장치에 대한 설치를 관리할 수 있습니다. 예를 들어, 사용자가 프린터 같은 전체 클래스의 장치를 설치할 수는 있지만 이동식 저장 장치는 어떠한 종류도 설치할 수 없도록 구성할 수 있습니다. 관리자는 이러한 정책에 구애되지 않은 채 승인된 하드웨어를 설치할 수도 있습니다. 그러나 장치는 특정 사용자가 아니라 컴퓨터에 대해 설치되는 것임을 이해할 필요가 있습니다. 사용자가 어떤 장치를 설치한 후에는 일반적으로 그 컴퓨터의 모든 사용자가 이 장치를 사용할 수 있습니다. Windows Vista에서는 설치된 장치에 대한 읽기 및 쓰기 액세스 권한과 관련하여 사용자 수준의 액세스 제어를 지원합니다. 예를 들어, 한 사용자 계정에 대해서는 USB 플래시 드라이브 같은 설치된 장치에 대한 모든 읽기 및 쓰기 권한을 허용하고 다른 사용자 계정에 대해서는 동일한 컴퓨터의 읽기 권한만 허용할 수 있습니다. 장치 제어 및 이를 구성하는 방법에 대한 자세한 내용은 [*Step-By-Step Guide to Controlling Device Installation and Usage with Group Policy (영문)*](https://www.microsoft.com/technet/windowsvista/library/9fe5bf05-a4a9-44e2-a0c3-b4b4eaaa37f3.mspx)를 참조하십시오. #### 위험 평가 장치를 무단으로 추가하거나 제거하면 공격자가 악성 소프트웨어를 실행하고, 데이터를 제거하고, 엉뚱한 데이터를 추가할 수 있으므로 보안이 크게 위협을 받을 수 있습니다. 다음은 몇 가지 예입니다. - 권한이 있는 사용자가 의도적으로 또는 모르는 사이에 승인된 장치에서 승인되지 않은 이동식 저장 장치로 중요한 파일을 복사할 수 있습니다. 암호화된 위치에서 이동식 장치의 암호화되지 않은 위치로 파일을 복사하는 경우도 여기에 해당할 수 있습니다. - 공격자가 Windows Vista에 로그온하여 데이터를 이동식 저장 장치로 복사할 수 있습니다. - 공격자가 자동 실행 스크립트를 사용하는 악성 소프트웨어가 포함된 이동식 저장 장치를 사용하여 담당자가 자리를 비운 사이 클라이언트 컴퓨터에 악성 소프트웨어를 설치할 수 있습니다. - 공격자가 무단으로 키 로깅 장치를 설치하고 이를 통해 사용자 계정을 확보한 후 이 정보를 활용하여 추가 공격을 감행할 수 있습니다. #### 위험 완화 이러한 위험을 완화하려면 승인되지 않은 장치를 설치하여 사용하지 못하도록 관리 대상 컴퓨터 시스템을 보호하는 것이 좋습니다. 그룹 정책 설정을 사용하여 USB 플래시 드라이브 및 기타 이동식 저장 장치 같은 PnP 장치의 사용을 제어할 수 있습니다. #### 완화 고려 사항 Windows Vista의 그룹 정책을 사용하면 장치 설치 설정을 통해 앞의 "위험 평가" 섹션에서 설명한 위험을 완화할 수 있습니다. 그러나 사용자의 환경에서 클라이언트 컴퓨터에 장치 제어를 배포하려면 먼저 다음과 같은 완화 고려 사항을 살펴보아야 합니다. - 장치를 제한하면 적법한 파일 공유가 차단될 수 있고 이동이 잦은 사용자가 효율적으로 작업하기 어려울 수도 있습니다. - 장치를 제한하면 BitLocker 드라이브 암호화 프로세스의 일부로 USB 키를 사용하지 못할 수도 있습니다. 예를 들어, 이동식 디스크: 쓰기 액세스 거부 정책 설정을 사용자에게 적용하면 그 사용자가 관리자일지라도 BitLocker 설정 프로그램이 시작 키를 USB 플래시 드라이브에 쓸 수 없습니다. - 부팅 가능한 일부 USB 플래시 드라이브 같은 몇몇 장치는 "이동식 저장소" 및 "로컬 저장소" ID를 모두 갖고 있으므로 이 정책 설정의 영향을 받지 않을 수 있습니다. 따라서 GPO를 철저히 테스트하여 올바른 장치가 제한 및 허용되었는지 확인하는 것이 중요합니다. #### 완화 프로세스 관리 대상인 클라이언트 컴퓨터의 중요한 데이터를 보호하는 데 도움이 되도록 장치 제어를 구성하는 최적의 방법을 확인하려면 다음과 같은 위험 완화 프로세스를 사용합니다. **이 완화 프로세스를 사용하려면** 1. Windows Vista의 장치 제어 기능을 숙지합니다. **참고**   자세한 내용은 [*Step-By-Step Guide to Controlling Device Installation and Usage with Group Policy (영문)*](https://www.microsoft.com/technet/windowsvista/library/9fe5bf05-a4a9-44e2-a0c3-b4b4eaaa37f3.mspx)를 참조하십시오. 2. 현재 환경에서 장치 제어에 대한 요구 사항을 평가합니다. 3. 장치 제어를 위한 그룹 정책 설정을 조사합니다. 4. 현재 환경에서 필요한 이동식 장치를 확인하고 이러한 장치에 필요한 하드웨어 또는 호환 ID를 기록해 둡니다. 5. 이동식 장치가 필요한 컴퓨터 시스템 및 사용자를 확인합니다. 6. 특별히 필요한 장치 클래스를 설치할 수 있도록 그룹 정책을 구성합니다. 7. 특정 기능이 필요한 컴퓨터 시스템에 장치를 설치할 수 있도록 그룹 정책을 구성합니다. ##### 그룹 정책을 사용하여 장치 설치 제어 장치 설치의 제어를 관리하려면 DeviceInstallation.admx 그룹 정책 템플릿을 사용하는 것이 좋습니다. 표 3.5에는 이 템플릿에 사용할 수 있는 그룹 정책 설정에 대한 간략한 설명이 나와 있습니다. 그룹 정책 개체 편집기의 다음 위치에서 이러한 설정을 구성할 수 있습니다. **컴퓨터 구성\\관리 템플릿\\시스템\\장치 설치\\장치 설치 제한** **표 3.5 USB 장치 제어 설정**

정책 설정 설명 Windows Vista 기본값
관리자가 장치 설치 정책을 무시할 수 있도록 허용 Administrators 그룹의 구성원은 다른 정책 설정과 상관없이 모든 장치에 대한 드라이버를 설치 및 업데이트할 수 있도록 허용합니다. 이 설정을 사용하지 않으면 관리자도 장치 설치를 제한하는 모든 정책의 적용을 받습니다. 구성되지 않음
다음 장치 설치 클래스와 일치하는 드라이버를 사용하여 장치를 설치할 수 있도록 허용 다음과 같은 정책 설정을 통해 별도로 금지하는 경우가 아니면 사용자가 설치할 수 있는 장치를 설명하는 장치 설치 클래스 GUID의 목록을 지정합니다.
다음 장치 ID와 일치하는 장치를 설치할 수 없도록 제한
다음 장치 클래스에 대한 장치를 설치할 수 없도록 제한
이동식 장치를 설치할 수 없도록 제한.
이 설정은 다른 정책 설정을 통해 설명하지 않은 장치를 설치할 수 없도록 제한 설정을 활성화한 경우에만 사용해야 합니다.		 구성되지 않음
다음 장치 설치 클래스와 일치하는 드라이버를 사용하여 장치를 설치할 수 없도록 제한 이 정책으로 장치의 설치가 제한된 경우 알림 풍선의 제목을 통해 사용자에게 표시할 사용자 지정 메시지를 구성합니다. 구성되지 않음
정책을 통해 설치가 제한된 경우 사용자 지정 메시지 표시(풍선 제목) 이 설정은 정책 설정으로 설치가 제한된 경우 알림 풍선의 제목을 통해 사용자에게 표시할 사용자 지정 메시지를 구성합니다. 구성되지 않음
정책을 통해 설치가 제한된 경우 사용자 지정 메시지 표시(풍선 텍스트) 이 설정은 정책으로 장치의 설치가 제한된 경우 알림 풍선의 텍스트를 통해 사용자에게 표시할 사용자 지정 메시지를 구성합니다. 구성되지 않음
다음 장치 ID와 일치하는 장치를 설치할 수 있도록 허용 다음과 같은 설정을 통해 별도로 금지하는 경우가 아니면 설치할 수 있는 장치를 설명하는 플러그 앤 플레이 하드웨어 ID와 호환 ID의 목록을 지정합니다.
다음 장치 ID와 일치하는 장치를 설치할 수 없도록 제한
다음 장치 클래스에 대한 장치를 설치할 수 없도록 제한
이동식 장치를 설치할 수 없도록 제한.
이 설정은 다른 정책 설정을 통해 설명하지 않은 장치를 설치할 수 없도록 제한 설정을 활성화한 경우에만 사용해야 합니다.		 구성되지 않음
다음 장치 ID와 일치하는 장치를 설치할 수 없도록 제한 사용자가 설치할 수 없는 장치에 대한 플러그 앤 플레이 하드웨어 ID와 호환 ID의 목록을 지정합니다.
참고   이 정책 설정은 장치를 설치할 수 있도록 허용하는 다른 모든 정책 설정보다 우선 순위가 높습니다.		 구성되지 않음
이동식 장치를 설치할 수 없도록 제한 이 설정을 활성화하면 사용자가 이동식 장치를 설치할 수 없고 기존의 이동식 장치 드라이버를 업데이트할 수 없습니다.
참고   이 정책 설정은 장치를 설치할 수 있도록 허용하는 다른 모든 정책 설정보다 우선 순위가 높습니다.
이 정책을 적용하려면 장치의 드라이버를 통해 해당 장치가 이동식인지 올바르게 식별할 수 있어야 합니다. 자세한 내용은 Step-By-Step Guide to Controlling Device Installation and Usage with Group Policy (영문)를 참조하십시오.		 구성되지 않음
다른 정책 설정을 통해 설명하지 않은 장치를 설치할 수 없도록 제한 이 설정을 활성화하면 다음과 같은 설정을 통해 설명하지 않은 어떠한 장치에 대해서도 드라이버를 업데이트할 수 없습니다.
다음 장치 ID와 일치하는 장치를 설치할 수 있도록 허용
다음 장치 클래스에 대한 장치를 설치할 수 있도록 허용.		 구성되지 않음
이 표에는 각 설정에 대한 아주 간단한 설명만 나와 있습니다. 특정 설정에 대한 자세한 내용을 보려면 그룹 정책 개체 편집기에서 설정의 **설명** 탭을 참조하십시오. ##### 그룹 정책을 사용하여 장치 사용 제어 Windows Vista에서는 장치의 설치를 쉽게 제어할 수 있을 뿐만 아니라 장치를 설치한 후에도 특정 장치 클래스에 대한 사용자의 액세스 권한 수준을 제어할 수 있습니다. 다음 표에서는 장치의 동작에 영향을 줄 수 있는 설정이 포함된 두 가지 템플릿에 대해 설명하고 있습니다. RemovableStorage.admx에는 이동식 저장 장치에 대한 다음과 같은 설정이 포함되어 있습니다. 이 템플릿은 그룹 정책 개체 편집기의 다음 위치에서 찾을 수 있습니다. **컴퓨터 구성\\관리 템플릿\\시스템\\이동식 저장소 액세스** **표 3.6 장치 설정**

정책 설정 설명 Windows Vista 기본값
모든 이동식 저장소 클래스: 모든 액세스 거부 모든 이동식 저장 장치 클래스에 대한 액세스 권한을 구성합니다. 구성되지 않음
모든 이동식 저장소: 원격 세션에서 직접 액세스 허용 이 설정은 원격 세션에서 표준 사용자 계정으로 이동식 저장 장치에 액세스할 수 있도록 합니다. 기본 구성에서는 원격 세션에 대해 이와 같은 액세스를 허용하지 않습니다. 구성되지 않음
CD 및 DVD: 읽기 액세스 거부 이 설정은 CD 및 DVD 이동식 저장소 클래스에 대한 읽기 액세스를 거부합니다. 기본 설정에서는 읽기 액세스를 허용합니다. 구성되지 않음
CD 및 DVD: 쓰기 액세스 거부 이 설정은 CD 및 DVD 이동식 저장소 클래스에 대한 쓰기 액세스를 거부합니다. 기본 설정에서는 이 장치 클래스에 대한 쓰기 액세스를 허용합니다. 구성되지 않음
사용자 지정 클래스: 읽기 액세스 거부 이 설정에서는 사용자 지정 장치 클래스에 대한 읽기 액세스를 거부합니다. 기본 설정에서는 읽기 액세스를 허용합니다. 구성되지 않음
사용자 지정 클래스: 쓰기 액세스 거부 이 설정에서는 사용자 지정 장치 클래스에 대한 쓰기 액세스를 거부합니다. 기본 설정에서는 이 장치 클래스에 대한 쓰기 액세스를 허용합니다. 구성되지 않음
플로피 드라이브: 읽기 액세스 거부 이 설정은 플로피 드라이브에 대한 읽기 액세스를 거부합니다. 기본 설정에서는 읽기 액세스를 허용합니다. 구성되지 않음
플로피 드라이브: 쓰기 액세스 거부 이 설정은 플로피 드라이브에 대한 쓰기 액세스를 거부합니다. 기본 설정에서는 이 장치 클래스에 대한 쓰기 액세스를 허용합니다. 구성되지 않음
이동식 디스크: 읽기 액세스 거부 이 설정은 이동식 드라이브에 대한 읽기 액세스를 거부합니다. 기본 설정에서는 읽기 액세스를 허용합니다. 구성되지 않음
이동식 디스크: 쓰기 액세스 거부 이 설정은 이동식 드라이브에 대한 쓰기 액세스를 거부합니다. 기본 설정에서는 이 장치 클래스에 대한 쓰기 액세스를 허용합니다. 구성되지 않음
테이프 드라이브: 읽기 액세스 거부 이 설정은 테이프 드라이브에 대한 읽기 액세스를 거부합니다. 기본 설정에서는 읽기 액세스를 허용합니다. 구성되지 않음
테이프 드라이브: 쓰기 액세스 거부 이 설정은 테이프 드라이브에 대한 쓰기 액세스를 거부합니다. 기본 설정에서는 이 장치 클래스에 대한 쓰기 액세스를 허용합니다. 구성되지 않음
WPD 장치: 읽기 액세스 거부 이 설정은 미디어 플레이어나 휴대폰 같은 Windows 이동식 장치에 대한 읽기 액세스를 거부합니다. 기본 설정에서는 읽기 액세스를 허용합니다. 구성되지 않음
WPD 장치: 쓰기 액세스 거부 이 설정은 미디어 플레이어나 휴대폰 등과 같은 Windows 이동식 장치에 대한 쓰기 액세스를 거부합니다. 기본 설정에서는 이 장치 클래스에 대한 쓰기 액세스를 허용합니다. 구성되지 않음
이 표에는 각 설정에 대한 아주 간단한 설명만 나와 있습니다. 특정 설정에 대한 자세한 내용을 보려면 그룹 정책 개체 편집기에서 설정의 **설명** 탭을 참조하십시오. ##### 그룹 정책을 사용하여 자동 재생 및 자동 실행 제어 Autoplay.admx 템플릿에는 Windows Vista에서 이동식 미디어와 이동식 저장 장치에 대한 자동 재생 및 자동 실행 동작에 영향을 주는 다음과 같은 설정이 포함되어 있습니다. 이 템플릿의 설정은 그룹 정책 개체 편집기의 다음 위치에서 찾을 수 있습니다. **컴퓨터 구성\\관리 템플릿\\Windows 구성 요소\\자동 실행 정책** **표 3.7 자동 실행 정책 설정**

정책 설정 설명 Windows Vista 기본값
자동 실행 사용 안 함 CD, DVD-ROM 및 이동식 드라이브를 비롯한 모든 드라이브에 대해 자동 실행 기능을 비활성화할 수 있습니다. 구성되지 않음 ‡
자동 실행의 기본 동작 이 설정은 자동 실행 명령의 기본 동작을 구성합니다. 기본적으로 Windows Vista에서는 자동 실행 명령을 실행할지 여부를 사용자에게 묻습니다. 구성되지 않음
이 표에는 각 설정에 대한 아주 간단한 설명만 나와 있습니다. 특정 설정에 대한 자세한 내용을 보려면 그룹 정책 개체 편집기에서 설정의 **설명** 탭을 참조하십시오. 이러한 설정은 그룹 정책 개체 편집기의 다음 위치에 있는 사용자 구성 아래에서도 확인할 수 있습니다. **사용자 구성\\관리 템플릿\\Windows 구성 요소\\자동 실행 정책** 장치 제어 설정이 충돌하는 경우에는 컴퓨터 구성의 설정이 사용자 구성 설정보다 우선 순위가 높습니다. **참고**   일부 정책 설정에서는 장치 설정 클래스 GUID의 사용을 지정하는 반면, 다른 설정에서는 플러그 앤 플레이 장치 설정 클래스 GUID를 사용합니다. 자세한 내용은 [How Setup Selects Drivers (영문)](https://go.microsoft.com/fwlink/?linkid=54881)를 참조하십시오. [](#mainsection)[페이지 위쪽](#mainsection) ### 추가 정보 Windows Vista에서 중요한 데이터를 보호하는 데 도움이 되도록 새로 추가되었거나 강화된 보안 기능과 기술에 대한 자세한 내용은 다음 리소스를 참조하십시오. - "[Best practices for the Encrypting File System](https://support.microsoft.com/kb/223316/ko)" (Microsoft.com) - [BitLocker 드라이브 암호화 (영문)](https://www.microsoft.com/technet/windowsvista/security/bitlockr.mspx) (TechNet) - [*Step-By-Step Guide to Controlling Device Installation and Usage with Group Policy (영문)*](https://www.microsoft.com/technet/windowsvista/library/9fe5bf05-a4a9-44e2-a0c3-b4b4eaaa37f3.mspx)의 장치 제어 관련 부분 (TechNet) - [*Step-By-Step Guide to Controlling Device Installation and Usage with Group Policy (영문)*](https://www.microsoft.com/technet/windowsvista/library/9fe5bf05-a4a9-44e2-a0c3-b4b4eaaa37f3.mspx)의 DMI(장치 관리 및 설치) 관련 부분 (TechNet) - "[First Look: New Security Features in Windows Vista (영문)](https://www.microsoft.com/technet/technetmag/issues/2006/05/firstlook/default.aspx)" 문서에서 설명하는 Windows Vista의 보안 기능 관련 일반 정보 (TechNet) - Windows Vista Security and Data Protection Improvements 웹 페이지의 "[Data Protection (영문)](https://www.microsoft.com/technet/windowsvista/evaluate/feat/secfeat.mspx#etg)" 섹션 (TechNet) - "[The Encrypting File System (영문)](https://www.microsoft.com/technet/security/topics/cryptographyetc/efs.mspx)" 문서 (TechNet) - [Trusted Computing Group (영문)](https://www.trustedcomputinggroup.org/) 웹 사이트 - [Office 2003 Policy Template Files and Deployment Planning Tools (영문)](https://office.microsoft.com/en-us/assistance/ha011513711033.aspx) (Microsoft.com) - [Windows 권한 관리 서비스](https://www.microsoft.com/korea/windowsserver2003/technologies/rightsmgmt/default.mspx) 기술 센터 [](#mainsection)[페이지 위쪽](#mainsection) **다운로드** [Windows Vista 보안 가이드 받기 (영문)](https://go.microsoft.com/fwlink/?linkid=74028) **업데이트 알림** [업데이트 및 최신 릴리스 정보 수신 등록 (영문)](https://go.microsoft.com/fwlink/?linkid=54982) **사용자 의견** [의견 및 제안 보내기](mailto:secwish@microsoft.com?subject=windows%20vista%20security%20guide) [](#mainsection)[페이지 위쪽](#mainsection)