2007 Office system 보안 설정 및 개인 정보 옵션의 배포 도구 선택

업데이트 날짜: 2009년 2월

적용 대상: Office Resource Kit

 

마지막으로 수정된 항목: 2015-03-09

2007 Microsoft Office 시스템의 보안을 효율적으로 계획하려면 먼저 조직의 보안 설정을 구성, 배포 및 관리하는 데 사용할 도구를 식별해야 합니다. 일부 경우에는 단일 도구만으로도 설정을 구성, 배포 및 관리할 수 있습니다. 반면 초기 구성을 구성하고 배포하기 위한 도구와 사용 중 지속적으로 설정을 관리하기 위한 도구 등 여러 도구를 함께 사용해야 하는 경우도 있습니다. 이러한 도구는 계획한 보안 설정이 조직 전체에 실제로 배포 및 적용되도록 하는 데 유용하므로 적절한 도구를 선택하는 것은 보안 계획 과정에서 매우 중요한 단계입니다. 적절한 도구를 사용하면 초기 배포 후 보안 설정을 수정하여 갑작스러운 보안 위협에 효과적으로 대처할 수도 있습니다.

엔터프라이즈 환경에서 데스크톱 응용 프로그램을 배포하고 관리하는 데 사용할 수 있는 도구는 다양하게 있지만 2007 Office System의 보안 설정을 구성, 배포 및 관리하는 데는 OCT(Office 사용자 지정 도구)와 2007 Office System의 그룹 정책 관리 템플릿(.adm 파일)만 사용하는 것이 좋습니다. 이 두 도구는 각기 다른 요구 사항 및 제한 사항이 있으며 각기 다른 기능을 제공합니다. 올바른 도구를 선택하려면 조직의 기존 배포 및 관리 인프라, 조직의 보안 아키텍처, 조직의 보안 요구 사항을 주의 깊게 확인해야 합니다. 조직에 적합한 도구를 결정하려면 다음 섹션에 제공된 최상의 방법 및 권장 사항에 따라 각 도구를 평가하십시오.

Office 사용자 지정 도구

OCT는 구성 파일(.msp)을 만드는 데 유용한 새로운 그래픽 사용자 인터페이스 도구입니다. 구성 파일에는 설치 지침 및 라이선스 정보와 보안 설정이나 개인 정보 옵션 같은 응용 프로그램 설정을 비롯하여 광범위한 정보가 포함될 수 있습니다. 구성 파일은 다음과 같은 두 가지 방법으로 사용할 수 있습니다.

  • 대규모 배포 시 설치 프로그램과 함께 사용하여 설치 프로세스를 사용자 지정합니다.

  • 소프트웨어 수명 주기의 작업 단계 동안 Windows Installer 3.1과 함께 사용하여 구성 설정을 업데이트하거나 유지 관리합니다.

구성 파일을 사용하여 설치 프로세스를 사용자 지정하려면 다음 작업을 수행합니다.

  1. OCT 그래픽 사용자 인터페이스를 사용하여 설치 옵션 및 응용 프로그램 설정을 구성합니다.

  2. 설정 및 옵션을 .msp 파일에 저장합니다.

  3. 명령줄 매개 변수로 설치 프로그램에서 사용할 .msp 파일을 지정하여 클라이언트 컴퓨터에서 설치 프로그램을 실행합니다.

구성 파일을 사용하여 기존 설치를 업데이트하거나 유지 관리하려면 다음 작업을 수행합니다.

  1. OCT 그래픽 사용자 인터페이스를 사용하여 기존 또는 새 .msp 파일에서 응용 프로그램 설정을 구성합니다.

  2. 새 응용 프로그램 설정을 .msp 파일에 저장합니다.

  3. 명령줄 매개 변수로 Windows Installer에서 사용할 .msp 파일을 지정하여 클라이언트 컴퓨터에서 Windows Installer를 실행합니다.

OCT를 사용하는 방법에 대한 자세한 내용은 2007 Office System의 Office 사용자 지정 도구2007 Office system 사용자 지정을 참조하십시오.

요구 사항 및 제한 사항

OCT는 새로운 기능이지만 특별한 인프라 향상이 필요하지 않습니다. 예를 들어 OCT를 사용하기 위해 기존 하드웨어, 소프트웨어, 네트워크 토폴로지 또는 보안 아키텍처를 수정할 필요가 없습니다. 그러나 OCT에는 다음과 같은 요구 사항이 있습니다.

  • OCT는 Office 설치 프로그램과 함께 사용해야 합니다. OCT에서는 단지 .msp 파일을 생성할 뿐이며 컴퓨터에 보안 설정을 적용하지는 않습니다. 따라서 설치 프로그램을 사용하여 2007 Office System을 설치하고 .msp 파일에 저장된 보안 설정을 적용해야 합니다.

  • OCT에서 생성된 .msp 파일의 데이터를 읽고 레지스트리에 보안 설정 및 기타 설정을 적용할 수 있는 설치 프로그램은 2007 Office System에 포함된 설치 프로그램뿐이므로 이 설치 프로그램을 사용해야 합니다.

  • 설치 프로그램과 OCT를 실행하는 컴퓨터에는 Windows Installer 3.1이 설치되어 있어야 합니다.

  • OCT와 Office 설치 프로그램을 실행하려면 로컬 컴퓨터에서 Administrators 그룹의 구성원이어야 합니다.

OCT를 사용하여 보안 설정을 구성 및 관리할지 여부를 결정할 때는 OCT의 다음 두 가지 제한 사항을 고려해야 합니다.

  • OCT를 사용하여 보안 설정을 잠그거나 적용할 수는 없습니다. OCT에서는 HKEY_CURRENT_USER/Software/Microsoft/Office/12.0과 같이 공용으로 액세스할 수 있는 레지스트리 부분에서 응용 프로그램 설정을 구성합니다. OCT를 사용하여 2007 Office System의 보안 설정을 구성하거나 관리하는 경우 배포 중 사용자가 보안 설정을 수정할 수 있습니다. 이러한 설정은 사용자가 변경할 수 있으므로 관리되는 설정이 아니라 사용자 기본 설정으로 간주됩니다. 보안 설정을 적용하려는 경우에는 그룹 정책을 사용합니다.

  • OCT에서는 파일 형식 차단 설정을 하나만 구성할 수 있습니다. 파일 형식 차단 설정은 사용자가 특정 파일 형식을 열거나 저장할 수 없도록 하는 데 사용할 수 있습니다. 이러한 설정은 사용자가 이전 파일 형식을 사용할 수 없도록 하거나 제로 데이 공격을 방지하려는 경우에 유용합니다.

일반적인 시나리오

다양한 IT 환경에서 OCT와 설치 프로그램을 사용하여 보안 설정을 구성, 배포 및 관리할 수 있습니다. 다음 섹션에서는 OCT와 설치 프로그램이 특히 유용한 경우에 대해 설명합니다.

관리되지 않는 환경

OCT는 일반적으로 데스크톱 응용 프로그램을 중앙에서 관리하지 않거나 데스크톱 환경을 원격으로 관리하지 않는 조직에서 사용합니다. 이러한 경우 OCT와 설치 프로그램을 사용하면 Microsoft Systems Management Server 2003과 같은 원격 관리 도구나 그룹 정책과 같은 정책 기반 도구를 사용하지 않고도 보안 설정을 구성, 배포 및 관리할 수 있습니다.

초기 보안 구성

OCT는 일반적으로 초기 보안 구성을 설정하는 데 사용하는 반면 그룹 정책은 보안 설정을 잠그거나 적용하는 데 사용합니다. OCT는 초기 배포 중일 때와 첫 번째 정책 업데이트가 발생하기 전에 보안 설정을 구성하는 데 유용합니다. OCT를 사용하여 초기 보안 구성을 만들 경우 초기 구성 파일을 다시 적용하여 컴퓨터의 보안 설정을 다시 설정할 수도 있습니다.

부분적으로 잠긴 환경

OCT는 부분적으로 잠긴 환경, 즉 중요한 일부 보안 설정은 그룹 정책을 통해 잠겼지만 다른 보안 설정은 잠기지 않아 사용자가 구성할 수 있는 환경에서 유용합니다. 이 경우 대부분의 보안 설정은 초기 설정 중 OCT에서 생성된 구성 파일(.msp 파일)을 사용하여 구성되며, 중요한 보안 설정은 초기 설치가 완료된 후 그룹 정책을 통해 배포되고 관리됩니다.

그룹 정책 관리 템플릿

2007 Office System에는 로컬 또는 도메인 기반 그룹 정책을 통해 보안 설정을 관리하는 데 사용할 수 있는 15개의 관리 템플릿이 포함되어 있습니다. 관리 템플릿은 그룹 정책에서 레지스트리 기반 정책 설정이 저장되는 레지스트리 위치를 지정하는 데 사용되는 유니코드 텍스트 파일입니다. 모든 레지스트리 기반 정책 설정은 그룹 정책 개체 편집기의 관리 템플릿 노드에 표시되며 여기에서 구성할 수 있습니다. 관리 템플릿은 정책 설정을 적용하지는 않으며 단지 그룹 정책 개체 편집기에서 정책 설정을 볼 수 있게 해 줍니다. 그러면 관리자는 사용할 정책 설정이 들어 있는 GPO(그룹 정책 개체)를 만들 수 있습니다. 예를 들어 ActiveX 컨트롤, 추가 기능 및 매크로를 관리하기 위한 다양한 정책 설정이 포함된 하나의 GPO를 만들 수 있습니다.

그룹 정책 설정에 사용되는 레지스트리 값은 그룹 정책에 대한 승인된 레지스트리 키에 저장됩니다. 사용자는 이러한 설정을 변경하거나 해제할 수 없습니다. 관리자가 완전히 관리할 수 있는 그룹 정책 설정을 "실제 정책"이라고 합니다. 실제 레지스트리 정책 설정에는 사용자가 설정을 변경할 수 없도록 하는 ACL 제한이 있습니다. 승인된 그룹 정책 레지스트리 키는 다음과 같습니다.

컴퓨터 정책 설정의 경우:

  • HKEY_LOCAL_MACHINE\Software\Policies(기본 위치)

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies

사용자 정책 설정의 경우:

  • HKEY_CURRENT_USER\Software\Policies(기본 위치)

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies

관리 템플릿과 그룹 정책 및 OCT에 대한 자세한 내용은 그룹 정책 개요(2007 Office System)관리 템플릿 확장Office 사용자 지정 도구와 그룹 정책을 참조하십시오. 관리 템플릿을 사용하여 보안 설정을 구성, 배포 및 관리하는 방법에 대한 자세한 내용은 2007 Office System에서 그룹 정책을 사용하여 설정 적용을 참조하십시오.

요구 사항 및 제한 사항

Microsoft Windows XP, Microsoft Windows Server 2003 또는 Windows Vista 운영 체제를 실행하는 컴퓨터에 2007 Office System을 설치할 경우 다음 요구 사항을 충족해야 관리 템플릿을 사용할 수 있습니다.

  • 도메인 기반 그룹 정책 설정을 통해 보안 설정을 구성, 배포 및 관리하려면 조직에 Active Directory 디렉터리 서비스가 배포되어 있어야 합니다.

  • 로컬 그룹 정책 설정을 통해 보안 설정을 구성, 배포 및 관리하려면 로컬 컴퓨터에서 Administrators 그룹의 구성원이어야 합니다.

관리 템플릿을 사용하여 보안 설정을 구성 및 관리할지 여부를 결정할 때는 관리 템플릿의 다음 두 가지 제한 사항을 고려해야 합니다.

  • 그룹 정책에서는 설정을 초기 구성으로 롤백하기 위한 메커니즘을 제공하지 않습니다. 그룹 정책을 사용하여 초기 구성 설정을 배포하고 이후에 그룹 정책 설정을 변경한 경우 초기 구성으로 되돌리려면 이후의 각 변경 내용을 다시 구성해야 합니다. 설정이 포함된 그룹 정책 개체를 사용하지 않도록 설정하거나 삭제하면 모든 설정이 구성되지 않음으로 변경됩니다.

  • 그룹 정책을 사용하여 신뢰할 수 있는 게시자 설정을 구성할 수는 없습니다. 신뢰할 수 있는 게지자 목록에 디지털 인증서를 추가하려면 OCT를 사용해야 합니다.

  • 조직이 소규모이고 Active Directory를 아직 사용하지 않는 경우 Active Directory 환경에서 그룹 정책을 이해하고 구현하려면 상당히 많은 관리 작업이 필요하므로 도메인 기반 그룹 정책을 구현하기가 어려울 수 있습니다.

일반적인 시나리오

다양한 IT 환경에서 그룹 정책을 사용하여 보안 설정을 구성, 배포 및 관리할 수 있습니다. 다음 섹션에서는 관리 템플릿이 특히 유용한 경우에 대해 설명합니다.

관리되는 환경

관리 템플릿은 그룹 정책을 사용하여 데스크톱 환경을 관리하는 조직에 유용합니다. 이는 Active Directory를 배포한 상태에서 도메인 기반 그룹 정책을 사용하여 데스크톱 환경을 관리하는 경우나 Active Directory가 아직 설치되어 있지 않지만 로컬 그룹 정책을 사용하여 데스크톱 환경을 관리하는 경우 모두에 해당됩니다.

잠긴 환경

관리 템플릿은 잠긴 환경, 즉 사용자가 데스크톱 구성을 거의 제어할 수 없는 환경에서 유용합니다. 이 경우 모든 보안 설정은 그룹 정책을 통해 배포되고 관리됩니다. 초기 설치 중에 구성된 모든 보안 설정은 그룹 정책 설정에 의해 재정의됩니다.

파일 형식 차단 설정 구현

관리 템플릿은 파일 형식 차단 설정을 효율적으로 구현하는 유일한 방법으로, 사용자가 특정 파일 형식을 열 수 없도록 하는 데 사용할 수 있습니다. 이러한 설정은 조직에 위험할 수 있는 특정 파일 형식을 알고 있는 경우 제로 데이 공격을 방지하는 데 유용합니다. 또한 이러한 설정은 사용자가 이전 파일 형식을 사용할 수 없도록 동일한 파일 형식을 사용하도록 하는 데 유용합니다.

도구 선택

다음 표에서는 2007 Office System에서 보안 설정을 구성하는 데 사용할 수 있는 두 가지 권장 도구의 기능을 비교합니다. 이 표의 정보를 사용하여 각 도구를 평가하고 조직에 가장 적합한 도구를 결정할 수 있습니다.

기능 관리 템플릿 OCT + 설치 프로그램

Active Directory 필요

예(도메인 기반 그룹 정책)

아니요(로컬 그룹 정책)

아니요

Windows Installer 3.1 필요

아니요

클라이언트 컴퓨터에 관리 자격 증명 필요

예(로컬 그룹 정책)

아니요(도메인 기반 그룹 정책)

보안 설정을 잠그는 데 사용할 수 있음

아니요

초기 설치 후 보안 설정을 관리하는 데 사용할 수 있음

초기 보안 구성을 설정하는 데 사용할 수 있음

예(이상적이지 않음)

파일 형식 차단 설정을 구성하는 데 사용할 수 있음

예(모든 설정)

예(한 가지 설정만)

신뢰할 수 있는 게시자 목록에 게시자를 추가하는 데 사용할 수 있음

아니요

이 문서의 다운로드

이 항목은 다운로드 가능한 다음 문서에도 포함되어 있어 더 쉽게 읽고 인쇄할 수 있습니다.

사용 가능한 문서의 전체 목록은 Office Resource Kit 정보를 참조하십시오.