내보내기(0) 인쇄
모두 확장

Windows Server 2003 보안 가이드

11장: 인증서 서비스 서버 역할

업데이트 날짜: 2005년 12월 27일

이 페이지에서

개요
감사 정책 설정
사용자 권한 할당
보안 옵션
이벤트 로그 설정
추가 레지스트리 항목
추가 보안 설정
SCW를 사용하여 정책 만들기
요약

개요

이 장에서는 작업 환경에서 Microsoft Windows Server2003 SP1(서비스 팩 1)과 Microsoft 인증서 서비스가 실행되는 서버의 보안 강화에 도움이 되는 지침을 제공합니다. 이 장에는 이러한 종류의 서버에 대해 보안을 유지하는 데 필요한 모든 정보가 포함되어 있지만 작업 환경에서 보안 인증서 서비스 인프라를 만드는 방법이나 CA(인증 기관)를 배포하는 방법은 자세히 설명되어 있지 않습니다. 이러한 내용은 WindowsServer2003 제품 설명서에 자세히 나와 있습니다. 또한 Windows Server 2003 Resource Kit와 Microsoft 웹 사이트에 포함되어 있는 백서에서도 이러한 정보를 찾을 수 있습니다. 그 밖의 정보는 관련 가이드인 인증서 서비스를 사용한 무선 LAN 보안(http://www.microsoft.com/korea/technet/security/prodtech/windowsserver2003/pkiwire/swlan.asp)에서 찾을 수 있습니다.

이 장의 설정은 그룹 정책을 통해 구성 및 적용됩니다. MSBP(구성원 서버 기준 정책)를 보완하는 GPO(그룹 정책 개체)는 CA 서버를 포함하는 해당 OU(조직 구성 단위)에 연결되어 이러한 서버 역할에 대한 필수 보안 설정 변경 내용을 제공할 수 있습니다. 이 장에서는 MSBP와 다른 정책 설정만 다룹니다.

가능한 경우 이러한 설정은 CA Servers OU에 적용되는 점진적인 그룹 정책 템플릿에 수집됩니다. 이 장에 나오는 일부 설정은 그룹 정책을 통해 적용할 수 없습니다. 이러한 설정을 수동으로 구성하는 방법에 대한 자세한 내용이 제공됩니다.

EC 환경에 대한 CA 서버 보안 템플릿의 이름은 EC-CA Server.inf입니다. 이 템플릿은 해당 환경의 CA Servers OU에 연결되는 새 GPO를 만드는 데 사용되는 점진적 CA 서버 템플릿입니다. 2장 "Windows Server 2003 보안 강화 메커니즘"에서는  OU 및 그룹 정책을 만든 후 해당 보안 템플릿을 각 GPO로 가져오는 데 도움을 주기 위한 단계별 지침이 제공됩니다.

MSBP의 설정에 대한 자세한 내용은 4장 “구성원 서버 기준 정책”을 참조하십시오. 모든 기본 설정에 대한 자세한 내용은 관련 가이드인 위협 및 대책 - Windows Server 2003 및 Windows XP용 보안 설정을 참조하십시오. 이 가이드는http://www.microsoft.com/korea/technet/security/topics/serversecurity/tcg/tcgch00.mspx 사이트에서 다운로드할 수 있습니다.

참고: 인증서 서비스 서버 역할에 대한 정책 권장 설정은 엔터프라이즈 클라이언트 환경에서만 테스트되었습니다. 따라서 이 가이드에 나오는 대부분의 다른 서버 역할에 대해 지정된 DoS(서비스 거부) 정보는 이 장에 나와 있지 않습니다.

CA 인증서 및 CRL(인증서 해지 목록)을 배포할 수 있도록 작업 환경의 일부 인증서 서비스 서버에 Microsoft 인터넷 정보 서비스(IIS)를 설치할 수 있습니다. 또한 IIS를 사용하면 인증서 서비스 서버 웹 등록 페이지를 호스팅하여 Microsoft Windows 운영 체제 이외의 운영 체제 클라이언트가 인증서를 등록할 수 있습니다. 이 장의 지침대로 작업하기 전에 9장 "웹 서버 역할"에 설명된 IIS를 안전하게 설치하는 방법을 이해해야 합니다. CA에 IIS를 설치할 경우 이 장에서 설명하는 규정된 설정을 구성하기 전에 9장을 위해 개발된 보안 구성 템플릿을 인증서 서비스 서버에 적용해야 합니다.

참고: 단순 환경에서 CA 서버를 발급하면 웹 서버, CA 인증서 및 CRL 다운로드 지점 등을 호스팅할 수 있습니다. 그러나 사용자 CA의 보안성을 향상시키려면 자신의 환경에 있는 별도의 웹 서버를 사용해야 합니다.

IIS는 인증서 서버 등록 페이지를 호스팅하고 Windows 이외의 클라이언트를 위한 CA 인증서와 CRL 다운로드 지점을 배포하는 데 사용됩니다. 루트 CA 서버에는 IIS를 설치하지 않는 것이 좋습니다. 또한 사용자 환경에서 CA 발급 도중에 IIS를 실행하는 것은 가능한 피해야 합니다. CA 서버 이외의 다른 서버에서 CA 인증서 및 CRL에 대한 웹 다운로드 지점을 호스팅하는 것이 더욱 안전합니다. CRL 또는 CA 체인 정보를 검색해야 하지만 CA에 대한 액세스가 불가피하게 허용되지 않은 인증서 사용자(내부 및 외부)가 다수 있을 수 있습니다. 그러나 다운로드 지점이 호스팅된 CA로부터 사용자를 격리시킬 수는 없습니다.

감사 정책 설정

엔터프라이즈 클라이언트 환경의 인증서 서비스 서버에 대한 감사 정책 설정은 MSBP를 통해 구성됩니다. MSBP에 대한 자세한 내용은 4장 "구성원 서버 기준 정책"을 참조하십시오. MSBP 설정은 관련된 모든 보안 감사 정보가 모든 인증서 서비스 서버에 로그온되도록 합니다.

사용자 권한 할당

엔터프라이즈 클라이언트 환경에서 인증서 서비스 서버의 사용자 권한 할당 설정 또한 MSBP를 통해 구성됩니다. MSBP에 대한 자세한 내용은 4장 "구성원 서버 기준 정책"을 참조하십시오. MSBP 설정은 인증서 서비스 서버에 대한 올바른 액세스 권한이 엔터프라이즈 전체에서 일관되게 구성되도록 합니다.

보안 옵션

그룹 정책의 보안 옵션 섹션은 데이터의 디지털 서명, Administrator 및 Guest 계정 이름, 플로피 디스크 드라이브 및 CD-ROM 드라이브 액세스, 드라이버 설치 동작, 로그온 프롬프트 등의 컴퓨터 보안 설정을 사용하거나 사용하지 않도록 지정하는 데 사용됩니다.

그룹 정책 개체 편집기 내의 다음 위치에서 Windows Server 2003의 보안 옵션 설정을 구성할 수 있습니다.

컴퓨터 구성\Windows 설정\보안 설정\로컬 정책\
보안 옵션

다음 표는 엔터프라이즈 클라이언트 환경의 인증서 서비스 서버 역할에 대해 권장되는 보안 옵션 설정을 보여 줍니다. 설정에 대한 자세한 정보는 표 다음에 나와 있습니다.

표 11.1 보안 옵션 권장 설정

설정

엔터프라이즈 클라이언트

시스템 암호화: 암호화, 해시, 서명에 FIPS 호환 알고리즘 사용

사용

시스템 암호화: 암호화, 해시, 서명에 FIPS 호환 알고리즘 사용

이 정책 설정은 TLS/SSL(Transport Layer Security/Secure Sockets Layer) 보안 공급자가 TLS_RSA_WITH_3DES_EDE_CBC_SHA 암호 모음만 지원할지 여부를 결정합니다. 실제로 이러한 암호 모음을 지원하는 것은 공급자가 TLS 프로토콜을 클라이언트 및 서버로서 지원함을 의미합니다(적용 가능한 경우).

TLS/SSL 보안 공급자는 다음 알고리즘을 사용합니다.

  • TLS 트래픽 암호화를 위한 3DES(삼중 데이터 암호화 표준) 암호화

  • TLS 키 변경 및 인증을 위한 RSA(Rivest, Shamir, Adelman) 공용 키 알고리즘 RSA는 RSA Data Security, Inc.에서 개발한 공용 키 암호화 기술입니다.

  • TLS 해시 요구 사항을 위한 SHA-1 해시 알고리즘

EFS(Encrypting File System Service)의 경우, TLS/SSL 보안 공급자는 삼중 DES 암호화 알고리즘만 지원하여 Windows NTFS 파일 시스템에 저장되는 파일 데이터를 암호화합니다. 기본적으로 EFS는 DESX 알고리즘을 사용하여 파일 데이터를 암호화합니다.

이 정책 설정을 활성화하면 작업 환경에서 이 서버 역할을 수행하는 컴퓨터는 디지털 암호화, 해시 및 서명에 사용할 수 있는 가장 강력한 알고리즘을 사용합니다. 이러한 알고리즘을 사용하면 허가되지 않은 사용자가 디지털로 암호화되었거나 서명된 데이터를 손상시키지 못하므로 보안 위험이 최소화됩니다.

이러한 이유로 엔터프라이즈 클라이언트 환경에서 시스템 암호화: 암호화 , 해시 , 서명에 FIPS 호환 알고리즘 사용 설정은 사용으로 구성됩니다.

참고: 이 정책 설정이 활성화된 클라이언트 컴퓨터는 디지털 암호화 또는 서명 프로토콜을 통해 이러한 알고리즘을 지원하지 않는 서버와 통신할 수 없습니다. 이러한 알고리즘을 지원하지 않는 네트워크 클라이언트 컴퓨터는 그러한 알고리즘을 사용해 네트워크 통신 알고리즘을 필요로 하는 서버를 사용할 수 없습니다. 예를 들어 Apache 기반의 여러 웹 서버는 TLS를 지원하도록 구성되지 않습니다.

이 설정을 사용하는 경우 Internet Explorer에서도 TLS를 사용하도록 구성해야 합니다. 이렇게 하려면 Internet Explorer 도구 메뉴에서 인터넷 옵션 대화 상자를 열고 인터넷 옵션 대화 상자에서 고급 탭을 클릭한 후 설정 목록 아래로 스크롤한 다음 TLS 1.0 사용 확인란을 클릭합니다. 이 작업은 그룹 정책을 사용하거나 Internet Explorer Administrators Kit를 사용하여 구성할 수도 있습니다.

이벤트 로그 설정

엔터프라이즈 클라이언트 환경의 인증서 서비스 서버에 대한 이벤트 로그 설정은 MSBP를 통해 구성됩니다. MSBP에 대한 자세한 내용은 4장 "구성원 서버 기준 정책"을 참조하십시오.

추가 레지스트리 항목

EC-CA Server.inf 템플릿 파일에 대한 추가 레지스트리 항목이 작성되었습니다. 이러한 항목은 이 가이드에 정의된 엔터프라이즈 클라이언트 환경의 관리 템플릿(.adm) 파일에는 정의되어 있지 않습니다. .adm 파일은 데스크톱과 셸에 대한 제한 사항 및 시스템 정책을 비롯하여 WindowsServer2003 SP1에 대한 보안 설정을 정의합니다.

이러한 추가 레지스트리 항목은 자동 구현을 위해 보안 템플릿 내에 구성됩니다. 따라서 이 환경에 대한 Incremental Certificate Services 그룹 정책을 제거하면 해당 설정도 자동으로 제거되므로 Regedt32.exe와 같은 레지스트리 편집 도구를 사용하여 수동으로 변경해야 합니다.

Windows Server 2003에서는 그룹 정책 개체 편집기의 다음 위치에서 레지스트리 설정을 구성할 수 있습니다.

MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration

추가 보안 설정

다음 ACL이 제안되며 이 ACL은 그룹 정책을 통해 할당할 수 있습니다. 그러나 이러한 ACL은 데이터베이스 및 로그의 경로가 서버마다 다르므로 이 가이드에 제공된 보안 템플릿에는 나와 있지 않습니다. 예를 들어 인증서 서비스 서버에 드라이브 C:\, D:\ 및 E:\가 있을 수 있습니다. 이러한 정책 설정을 수동으로 구현하는 자세한 방법은 다음 섹션에 요약되어 있습니다.

파일 시스템 ACL

ACL(액세스 제어 목록)의 보호를 받지 않는 파일은 로컬로 또는 네트워크를 통해 액세스할 수 있는 권한이 없는 사용자가 쉽게 보거나 변경하거나 삭제할 수 있습니다. ACL을 사용하면 이러한 파일을 보호할 수 있지만 암호화는 더욱 강력한 보호 기능을 제공하므로 단일 사용자에게만 액세스되는 파일을 보호하기 위한 실용적인 선택입니다.

다음 표에는 엔터프라이즈 클라이언트 환경의 WindowsServer2003 기반 인증서 서비스 서버에 대한 파일 시스템 ACL이 포함되어 있습니다. 이 환경에서 인증서 서비스 서버는 인증서 데이터베이스 디렉터리로 D:\CertSrv를 사용하며 데이터베이스 로그는 기본 폴더인 %SystemRoot%\system32\CertLog에 저장됩니다. 또한 시스템 드라이브에 있는 로그를 실제로 분리된 미러 드라이브(예: E:\CertLog)로 이동할 수 있습니다. 데이터베이스와 로그를 다른 물리적 디스크 드라이브에 분리하는 것은 보안 고려 사항에 해당되지 않지만 디스크 오류를 방지하고 성능을 향상시킬 수 있으므로 권장됩니다. 인증서 서비스 기본 설치 폴더 %SystemRoot%\system32\CertLog%SystemRoot%\system32\CertSrv에는 기본적으로 다음 표에 나오는 올바른 ACL이 포함되어 있습니다.

표 11.2 파일 시스템 ACL

UI의 ACL 경로

엔터프라이즈 클라이언트

%SystemRoot%\system32\CertLog (모든 하위 폴더로 전파)

Administrators(모든 권한)

SYSTEM(모든 권한)

%SystemRoot%\system32\CertSrv (모든 하위 폴더로 전파)

Administrators(모든 권한)

SYSTEM(모든 권한)

Users(읽기 및 실행, 폴더 내용 보기, 읽기)

D:\CertLog

Administrators(모든 권한)

SYSTEM(모든 권한)

D:\CertSrv

Administrators(모든 권한)

SYSTEM(모든 권한)

Users(읽기 및 실행, 폴더 내용 보기, 읽기)


보안에 민감한 CA의 특성상, 이전 표에 나열된 인증서 서비스 폴더에는 파일 감사 기능이 사용되도록 설정됩니다. 감사 항목은 다음 표와 같이 구성됩니다.

표 11.3 인증서 서비스 파일 및 레지스트리 감사 구성

파일 경로 또는 레지스트리 경로

감사 유형

감사 설정

%SystemRoot%\system32\CertLog

실패

Everyone(모든 권한)

%SystemRoot%\system32\CertSrv

성공

Everyone(수정)

D:\CertSrv

성공

Everyone(수정)

D:\CertLog

성공

Everyone(수정)


이러한 정책 설정은 모든 사용자에 의한 모든 유형의 실패 액세스(읽기 또는 수정)와 성공적인 모든 수정 사항을 감사합니다.

잘 알려진 계정의 보안 설정

WindowsServer2003 SP1에는 삭제할 수는 없지만 이름을 바꿀 수는 있는 다수의 기본 제공 사용자 계정이 있습니다. WindowsServer2003에서 가장 잘 알려진 두 가지 기본 제공 계정은 Guest 와 Administrator입니다.

Guest 계정은 구성원 서버와 도메인 컨트롤러에서 기본적으로 사용하지 않도록 설정됩니다. 이 구성은 변경하면 안 됩니다. 변형된 대부분의 악성 코드는 서버를 손상시키려는 초기 시도에서 기본 제공 Administrator 계정을 사용합니다. 따라서 공격자가 이러한 잘 알려진 계정을 사용하여 원격 서버를 손상시키지 못하도록 기본 제공 Administrator 계정의 이름이 바뀌고 설명도 변경되어야 합니다.

기본 제공 Administrator 계정의 SID(보안 식별자)를 지정하여 해당 계정의 실제 이름을 확인함으로써 서버 침입을 시도하는 공격 도구가 등장한 이후 지난 몇 년 동안 이 구성 변경 값은 감소했습니다. SID는 네트워크의 각 사용자, 그룹, 컴퓨터 계정 및 로그온 세션을 고유하게 식별하는 값입니다. 기본 제공 계정의 SID는 변경할 수 없습니다. 그러나 이 SID를 고유한 이름으로 바꾸면 작업 그룹에서 Administrator 계정에 대해 시도된 공격을 모니터링하기 쉬워집니다.

CA 서버의 잘 알려진 계정을 보호하려면

  • 모든 도메인 및 서버에 대해 Administrator 및 Guest 계정의 이름을 변경하고 암호를 길고 복잡한 값으로 변경합니다.

  • 각 서버에 서로 다른 이름과 암호를 사용합니다. 모든 도메인 및 서버에 사용된 계정 이름과 암호가 동일하면 하나의 구성원 서버에 액세스한 공격자가 다른 모든 서버에도 액세스할 수 있게 됩니다.

  • 계정을 쉽게 식별할 수 없도록 계정 설명을 기본값이 아닌 다른 값으로 변경합니다.

  • 이러한 변경 내용을 안전한 위치에 기록합니다.

    참고: 그룹 정책을 사용하여 기본 제공 Administrator 계정의 이름을 변경할 수 있습니다. 모든 조직에서는 이 계정의 고유한 이름을 선택해야 하므로 이 가이드에 제공된 보안 템플릿에는 이 정책 설정이 구현되지 않았습니다. 그러나 EC 환경에서 Administrator 계정의 이름을 바꾸도록 계정: Administrator 계정 이름 바꾸기 설정을 구성할 수 있습니다. 이 정책 설정은 GPO의 보안 옵션 설정에 포함됩니다.

서비스 계정 보안 설정

꼭 필요한 경우가 아니면 서비스가 도메인 계정의 보안 컨텍스트에서 실행되도록 구성하지 않습니다. 서버가 물리적으로 손상되면 LSA 기밀 정보를 덤프하여 도메인 계정 암호를 알아낼 수 있습니다. 서비스 계정에 대해 보안을 설정하는 방법에 대한 자세한 내용은 서비스 및 서비스 계정 보안 계획 가이드(www.microsoft.com/korea/technet/security/topics/serversecurity/serviceaccount/default.mspx)를 참조하십시오.

SCW를 사용하여 정책 만들기

필요한 보안 설정을 배포하려면 SCW(보안 구성 마법사 도구)와 이 가이드의 다운로드 가능 버전에 포함되어 있는 보안 템플릿을 사용하여 서버 정책을 만들어야 합니다.

자체의 정책을 만든 경우 "레지스트리 설정" 및 "감사 정책" 섹션을 건너뛰십시오. 이러한 설정은 선택한 환경에 대한 보안 템플릿에서 제공합니다. 이 방법은 템플릿에서 제공한 정책 요소가 SCW에 의해 구성된 정책보다 우선적으로 적용되도록 하는 데 필요합니다.

이전 구성에서 가져온 레거시 설정이나 소프트웨어가 없도록 운영 체제를 새로 설치하여 구성 작업을 시작해야 합니다. 가능한 경우 호환성이 최대한 보장되도록 배포에 사용된 하드웨어와 비슷한 하드웨어를 사용해야 합니다. 새 설치를 참조 시스템이라고 합니다.

서버 정책 생성 단계 중에 검색된 역할 목록에서 파일 서버 역할을 제거할 수 있습니다. 이 역할은 일반적으로 이 역할을 필요로 하지 않는 서버에 구성되며 보안 위험으로 간주될 수 있습니다. 파일 서버 역할을 필요로 하는 서버에 대해 이 역할을 활성화하려는 경우 다음 프로세스 뒷부분에서 또 다른 정책을 적용할 수 있습니다.

인증서 서비스 서버 정책을 만들려면

  1. 새 참조 컴퓨터에서 Windows Server 2003 SP1을 새로 설치합니다.

  2. 제어판, 프로그램 추가/제거, Windows 구성 요소 추가/제거를 통해 컴퓨터에 보안 구성 마법사 구성 요소를 설치합니다.

  3. 컴퓨터를 도메인에 가입시킵니다. 그러면 부모 OU의 모든 보안 설정이 적용됩니다.

  4. 이 역할을 공유하는 모든 서버에 반드시 필요한 응용 프로그램만 설치하고 구성합니다. 예제에는 역할별 서비스, 소프트웨어 및 관리 에이전트, 테이프 백업 에이전트 및 바이러스 백신이나 스파이웨어 백신 유틸리티가 포함되어 있습니다.

  5. SCW GUI를 시작하고 새 보안 정책 만들기를 선택한 후 참조 컴퓨터를 가리키도록 지정합니다.

  6. 검색된 서버 역할(예: 인증서 서비스 역할)이 작업 환경에 적절한지 확인합니다.

  7. 검색된 클라이언트 기능이 작업 환경에 적절한지 확인합니다.

  8. 검색된 관리 옵션이 작업 환경에 적절한지 확인합니다.

  9. 백업 에이전트나 바이러스 백신 소프트웨어와 같이 기준 정책에 필요한 추가 서비스가 검색되는지 확인합니다.

  10. 작업 환경에 있는 미지정 서비스의 처리 방법을 결정합니다. 보안 강화를 위해 이 정책 설정을 사용 안 함으로 구성할 수도 있습니다. 프로덕션 서버가 참조 컴퓨터와 중복되지 않는 추가 서비스를 실행할 경우 문제가 발생할 수 있으므로 먼저 구성을 철저히 테스트한 후에 프로덕션 네트워크에 배포해야 합니다.

  11. "네트워크 보안" 섹션에서 현재 영역 건너뛰기 확인란의 선택을 취소한 후 다음을 클릭합니다. 앞에서 식별된 특정 포트 및 응용 프로그램이 Windows 방화벽에 대한 예외로 구성됩니다.

  12. "레지스트리 설정" 섹션에서 현재 영역 건너뛰기 확인란을 클릭한 후 다음을 클릭합니다 이러한 정책 설정은 제공된 INF 파일에서 가져옵니다.

  13. "레지스트리 설정" 섹션에서 현재 영역 건너뛰기 확인란을 클릭한 후 다음을 클릭합니다 이러한 정책 설정은 제공된 INF 파일에서 가져옵니다.

  14. 적절한 보안 템플릿(예: EC-CA Server.inf)을 포함시킵니다.

  15. 적절한 이름(예: Certificate Services.xml)을 지정하여 정책을 저장합니다.

SCW를 사용하여 정책 테스트

정책을 만들어 저장한 후에는 반드시 테스트 환경에 배포해 보십시오. 이상적으로는 테스트 서버가 프로덕션 서버와 동일한 하드웨어 및 소프트웨어 구성을 갖는 것이 좋습니다. 이렇게 하면 특정 하드웨어 장치에 필요한 예상치 못한 서비스가 존재하는 경우와 같은 잠재적인 문제를 찾아 해결할 수 있습니다.

정책을 테스트하기 위해서는 두 가지 방법을 사용할 수 있습니다. 바로 네이티브 SCW 배포 기능을 사용하는 방법과 GPO를 통해 정책을 배포하는 것입니다.

정책 감사를 시작할 경우에는 네이티브 SCW 배포 기능을 사용해야 합니다. SCW를 사용하여 한 번에 한 서버에 정책을 밀어 넣거나 Scwcmd를 사용하여 서버 그룹에 정책을 밀어 넣을 수 있습니다. 네이티브 배포 방법을 사용하면 배포된 정책을 SCW 내에서 쉽게 롤백할 수 있습니다. 이 기능은 테스트 프로세스 중에 정책을 많이 변경해야 할 경우에 특히 유용합니다.

정책을 대상 서버에 적용했을 때 중요한 기능이 영향을 받지 않는지 확인하기 위해 정책을 테스트합니다. 구성 변경 내용을 적용한 후에는 컴퓨터의 핵심 기능을 확인해야 합니다. 예를 들어 서버가 CA(인증 기관)로 구성된 경우 클라이언트에서 인증서를 요청하고 얻을 수 있는지, 인증서 해지 목록을 다운로드할 수 있는지 등을 확인해야 합니다.

만든 정책 구성에 문제가 없으면 다음 절차에 표시된 대로 Scwcmd를 사용하여 정책을 GPO로 변환합니다.

SCW 정책을 테스트하는 방법에 대한 자세한 내용은 보안 구성 마법사에 대한 배포 가이드 (영문) (www.microsoft.com/technet/prodtechnol/windowsserver2003/
library/SCWDeploying/5254f8cd-143e-4559-a299-9c723b366946.mspx)및 보안 구성 마법사 설명서 (영문) (http://go.microsoft.com/fwlink/?linkid=43450)를 참조하십시오.

정책 변환 및 배포

정책을 철저히 테스트한 후에는 다음 단계를 완료하여 정책을 GPO로 변환한 후 배포합니다.

  1. 명령 프롬프트에서 다음 명령을 입력합니다.

    scwcmd transform /p:<PathToPolicy.xml> /g:<GPODisplayName>
    

    그런 후 Enter 키를 누릅니다. 예를 들면 다음과 같습니다.

    scwcmd transform /p:"C:\Windows\Security\msscw\Policies\
    Certificate Services.xml" /g:"Certificate Services Policy"
    

    참고: 여기서는 표시상의 문제 때문에 명령 프롬프트에 입력할 정보가 여러 줄로 표시됩니다. 실제로 이 정보는 모두 한 줄로 입력해야 합니다.

  2. 그룹 정책 관리 콘솔을 사용하여 새로 만든 GPO를 해당 OU에 연결합니다.

SCW 보안 정책 파일에 Windows 방화벽 설정이 포함되어 있을 경우 이 절차가 성공적으로 완료되려면 로컬 컴퓨터에서 Windows 방화벽이 활성 상태여야 합니다. Windows 방화벽이 활성 상태인지 확인하려면 제어판을 열고 Windows 방화벽을 두 번 클릭합니다.

이제 최종 테스트를 수행하여 GPO가 원하는 설정을 적용하는지 확인합니다. 이 절차를 완료하려면 적절한 설정이 구성되었으며 기능에 영향을 주지 않는지 확인합니다.

요약

이 장에서는 이 가이드에 정의된 엔터프라이즈 클라이언트 환경에서 Windows Server 2003 SP1이 실행되는 인증서 서비스 서버의 보안을 강화하는 데 사용할 수 있는 정책 설정에 대해 설명했습니다. 설정은 MSBP를 보완하는 GPO(그룹 정책 개체)를 통해 구성 및 적용됩니다. GPO는 인증서 서비스 들어 있는 해당 OU(조직 구성 단위)에 연결되어 추가적인 보안을 제공할 수 있습니다.

추가 정보

다음 링크는 보안 및 Windows Server 2003 SP1과 인증서 서비스가 실행되는 서버의 보안 강화와 관련된 항목에 대한 추가 정보를 제공합니다.


다운로드

Windows Server 2003 보안 가이드 받기 (영문)

업데이트 알림

업데이트 및 최신 릴리스 정보 수신 등록 (영문)

사용자 의견 보내기

의견 및 제안 보내기



이 정보가 도움이 되었습니까?
(1500자 남음)
의견을 주셔서 감사합니다.
Microsoft는 MSDN 웹 사이트에 대한 귀하의 의견을 이해하기 위해 온라인 설문 조사를 진행하고 있습니다. 참여하도록 선택하시면 MSDN 웹 사이트에서 나가실 때 온라인 설문 조사가 표시됩니다.

참여하시겠습니까?
표시:
© 2014 Microsoft