내보내기(0) 인쇄
모두 확장
확장 최소화

Internet Explorer 네트워크 프로토콜 잠금

적용 대상: Windows 7, Windows Server 2003 with SP1, Windows Vista, Windows XP

note참고
Microsoft Windows Server 2003 Internet Explorer 보안 강화 구성의 구성 요소(Microsoft Internet Explorer 강화라고도 함)를 사용하면 보다 제한적인 Internet Explorer 보안 설정이 적용되어 스크립트, ActiveX 구성 요소 및 인터넷 보안 영역의 리소스 파일 다운로드 등을 사용할 수 없게 되므로 웹 콘텐츠를 이용한 공격에 대한 서버의 보안 취약성이 줄어듭니다. 따라서 Internet Explorer의 최신 릴리스에 포함되어 있는 대부분의 보안 강화 기능은 Windows Server 2003 서비스 팩 1에서는 크게 차이가 없습니다. 예를 들어 해당 사이트가 스크립트를 허용하는 보안 설정 영역에 포함되는 경우에만 새 Internet Explorer 알림 표시줄 및 팝업 차단 기능이 사용됩니다. 서버에서 고급 보안 구성을 사용하고 있지 않으면 이러한 기능은 Windows XP 서비스 팩 2에서와 같이 동작합니다.

네트워크 프로토콜 잠금의 기능은 무엇입니까?

로컬 컴퓨터 영역뿐 아니라 추가 영역에서도 특정 네트워크 프로토콜의 HTML 콘텐츠를 잠그도록 Internet Explorer를 구성할 수 있습니다. 이 기능을 통해 관리자는 이 문서에서 앞서 설명한 로컬 컴퓨터 영역 잠금의 동일한 제한을 모든 보안 영역에서 임의의 모든 프로토콜의 모든 콘텐츠에 적용되도록 확장할 수 있습니다. 예를 들어 관리자는 Shell: 프로토콜로 호스팅되는 HTML 콘텐츠가 인터넷 영역에 있는 경우 이 콘텐츠를 잠그도록 Internet Explorer를 구성할 수 있습니다. Shell: 프로토콜은 인터넷 콘텐츠가 아닌 로컬 콘텐츠에 대해 가장 흔하게 사용되므로 이런 완화는 HTTP보다 덜 사용되는 프로토콜에서 가능한 취약성에 대해 브라우저의 공격 면을 줄일 수 있습니다.

이 기능의 적용 대상은 누구입니까?

기본적으로 네트워크 프로토콜 잠금은 어느 응용 프로그램에도 사용되지 않습니다.

모든 응용 프로그램 개발자가 이 기능을 검토해야 합니다. 관리자가 추가 제한을 적용하도록 선택하는 조직에서는 Internet Explorer에서 HTML 파일을 HTTP가 아닌 프로토콜로 호스팅하는 응용 프로그램이 영향을 받을 수 있습니다. Internet Explorer를 호스팅하는 독립 실행형 응용 프로그램 개발자가 네트워크 프로토콜 잠금을 사용하도록 응용 프로그램을 수정하려 할 수도 있습니다.

네트워크 프로토콜 잠금에 대해 옵트인을 선택한 개발자는 변경 사항을 활용하도록 응용 프로그램을 등록해야 합니다. 이 방지 기능을 사용하지 않는 응용 프로그램에서는 응용 프로그램에 대해 임의의 프로토콜 지원을 독립적으로 검토해야 합니다.

Internet Explorer를 호스팅하는 응용 프로그램을 사용하는 소프트웨어 개발자는 이 문서 뒷부분에 나오는 설명과 같이 레지스트리에 해당 프로세스 이름을 추가하여 이 기능을 사용할 수 있습니다. 향후에는 Microsoft에서 현재의 "옵트인" 응용 프로그램 정책보다는 "옵트아웃" 응용 프로그램 정책과 일반적으로 사용되지 않아 기본적으로 제한되는 특정 프로토콜과 함께 이 기능을 구현할 수도 있습니다. Internet Explorer를 호스팅하는 응용 프로그램을 테스트하여 해당 프로세스에 사용되는 네트워크 프로토콜 잠금과 제대로 작동하는지 확인해야 합니다.

네트워크 관리자는 관리된 데스크톱 컴퓨터에서 제한된 프로토콜 목록에 사용하지 않는 프로토콜을 추가할 것을 고려해야 합니다. 네트워크 관리자가 이 제한을 사용하도록 설정하면 HTML 파일이 영향을 받을 수도 있습니다.

HTTP 프로토콜로 호스팅되는 웹 사이트 개발자는 다른 프로토콜에 대한 제한으로 인해 영향을 받아서는 안 됩니다.

네트워크 관리자가 사용자의 데스크톱에 대해 특정 프로토콜을 제한하도록 선택하면 사용자가 이러한 엄격한 제한의 영향을 가장 많이 받게 됩니다.

기존 기능 중 Windows Server 2003 서비스 팩 1에서 변경된 기능은 무엇입니까?

제한된 프로토콜의 보안 설정 변경 내용

자세한 설명

Windows?Server?2003 서비스 팩 1에서는 제한된 프로토콜 중 하나에서 지원되는 네트워크 프로토콜 잠금 기능을 사용하도록 "옵트인"한 응용 프로그램의 HTML 콘텐츠가 더 높은 보안 수준에서 실행되도록 제한됩니다. 제한된 프로토콜 콘텐츠가 ActiveX 컨트롤 같은 제한된 기능을 사용하려고 할 때마다 Internet Explorer의 알림 표시줄에 다음과 같은 내용이 나타납니다. 내용은 다른 차단된 URL 동작에 따라 다를 수 있습니다.

Internet Explorer가 이 사이트에서 안전하지 않은 ActiveX 컨트롤을 사용하는 것을 차단했습니다. 그 결과로 이 페이지가 올바르게 표시되지 않을 수도 있습니다.

사용자는 알림 표시줄을 클릭하여 제한된 콘텐츠에서 잠금을 제거할 수 있습니다. 해당 정책이 레지스트리에서 변경되지 않는 한 알림 표시줄을 사용하는 설정의 변경은 세션 하나에만 해당됩니다.

제한된 프로토콜의 콘텐츠에 대해 잠겨진 보안 설정은 이 문서 앞부분에서 설명한 로컬 컴퓨터 영역 잠금에 적용된 설정과 동일합니다. 제한된 프로토콜의 콘텐츠에 대해 적용되는 보안 설정을 정확하게 검토하려면 해당 부분을 참조하십시오.

제한된 프로토콜 기능은 Internet Explorer와 모든 응용 프로그램에 대해 기본적으로 해제됨

자세한 설명

네트워크 프로토콜 잠금의 동작은 새로운 Internet Explorer 기능 조절 설정에 따라 프로세스별로 제어됩니다. 이 기능은 철저한 방어를 위한 추가 계층을 네트워크 관리자에게 제공하기 위한 것이므로 기본 Internet Explorer 프로세스인 IExplore.exe와 Explorer.exe는 기본적으로 옵트인되지 않습니다. 네트워크 프로토콜 잠금에 옵트인하려면 네트워크 관리자나 개발자가 DWORD를 다음 위치 중 하나에 추가해야 합니다. 여기서 이름은 해당 프로세스 이름이고 값은 1로 설정되어 위치에 완화가 적용되도록 합니다. 강제로 옵트아웃하려면 키 값을 0으로 설정합니다. 관리자가 정책 하이브에 이 설정을 넣으려고 하는 경우 DWORD 대신 REG_SZ를 설정합니다.

  • HKEY_LOCAL_MACHINE\Software\(Policies)\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_PROTOCOL_LOCKDOWN

  • HKEY_CURRENT_USER\Software\(Policies)\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_PROTOCOL_LOCKDOWN

와일드카드를 사용하여 완화 기능을 옵트아웃 모드에 적용할 때 응용 프로그램은 완화가 적용되지 못하도록 미리 옵트아웃할 수도 있습니다.

응용 프로그램이 옵트인된 경우의 영역별 동작

옵트인된 프로세스의 경우 네트워크 프로토콜 잠금의 동작이 새로운 Internet Explorer 보안 설정 또는 URLACTION_ALLOW_RESTRICTEDPROTOCOLS라는 URL 동작에 의해 영역별로 제어되기도 합니다. 이 URL 동작은 다음 값으로 설정됩니다.

 

보안 영역 제한된 프로토콜에 대한 기본 동작 예제 사용자 상황

제한된 사이트 영역

허용 안 함

ActiveX는 제한된 사이트 영역에서 기본적으로 사용할 수 없으므로 제한된 프로토콜이 발생하면 알림 표시줄이 나타나지 않습니다. 알림 표시줄은 이전에 제한된 사이트 영역에서 허용된 URL 동작이 현재 네트워크 프로토콜 잠금으로 인해 허용되지 않는 경우 표시될 수도 있습니다. 이런 경우 사용자는 알림 표시줄을 클릭하여 동작을 허용할 수 없습니다.

인터넷 영역

확인

관리자가 file:// 프로토콜을 잠그면 file:// 프로토콜로 스크립트를 사용하는 HTML이 제한되지만 사용자가 알림 표시줄을 클릭하여 HTML을 허용할 수 있습니다.

인트라넷 영역

확인

관리자가 local:// 프로토콜을 잠그면 local:// 프로토콜로 Java를 사용하는 HTML이 제한되지만 사용자가 알림 표시줄을 클릭하여 HTML을 허용할 수 있습니다.

신뢰할 수 있는 사이트 영역

확인

관리자가 Shell:// 프로토콜을 잠그면 Shell:// 프로토콜로 바이너리 동작을 사용하는 HTML이 제한되지만 사용자가 알림 표시줄을 클릭하여 HTML을 허용할 수 있습니다.

로컬 컴퓨터 영역

확인

로컬 컴퓨터 잠금이 사용 가능한 경우 해당 설정은 네트워크 프로토콜 잠금 설정 대신 사용됩니다.

영역별 프로토콜 잠금

프로토콜에 따라 특정 영역에서는 잠길 수 있지만 다른 영역에서는 제한 없이 실행되도록 하기 위해 제한되는 프로토콜 목록이 영역마다 별도로 정의됩니다. 특정 보안 영역에 대한 제한 목록에 프로토콜 이름을 기록하여 주어진 영역에 대해 프로토콜을 제한할 수 있습니다.

 

보안 영역 영역별로 제한된 프로토콜 목록의 레지스트리 위치 제한된 프로토콜 콘텐츠에 적용되는 보안 설정

제한된 사이트 영역

HKEY_LOCAL_MACHINE

-또는-

HKEY_CURRENT_USER

\Software\(Policies) \Microsoft\Windows \CurrentVersion\Internet Settings \RestrictedProtocols\4

HKEY_CURRENT_USER \Software\Microsoft \Windows\CurrentVersion \Internet Settings \Lockdown_Zones\4

인터넷 영역

HKEY_LOCAL_MACHINE

-또는-

HKEY_CURRENT_USER

\Software\(Policies) \Microsoft\Windows \CurrentVersion\Internet Settings \RestrictedProtocols\3

HKEY_CURRENT_USER \Software\Microsoft \Windows\CurrentVersion \Internet Settings \Lockdown_Zones\3

인트라넷 영역

HKEY_LOCAL_MACHINE

-또는-

HKEY_CURRENT_USER

\Software\(Policies) \Microsoft\Windows \CurrentVersion\Internet Settings \RestrictedProtocols\2

HKEY_CURRENT_USER \Software\Microsoft \Windows\CurrentVersion \Internet Settings \Lockdown_Zones\2

신뢰할 수 있는 사이트 영역

HKEY_LOCAL_MACHINE

-또는-

HKEY_CURRENT_USER

\Software\(Policies)

\Microsoft\Windows \CurrentVersion\Internet Settings

\RestrictedProtocols\1

HKEY_CURRENT_USER \Software\Microsoft \Windows\CurrentVersion \Internet Settings \Lockdown_Zones\1

로컬 컴퓨터 영역

HKEY_LOCAL_MACHINE

또는

HKEY_CURRENT_USER

\Software\(Policies)

\Microsoft\Windows \CurrentVersion\Internet Settings

\RestrictedProtocols\0

HKEY_CURRENT_USER \Software\Microsoft \Windows\CurrentVersion \Internet Settings \Lockdown_Zones\0

잠금을 고려할 프로토콜

제한된 프로토콜의 기본 목록은 비어 있습니다. 네트워크 관리자는 조직에서 특정 영역에 대해 필요 없는 것으로 파악되는 추가 프로토콜을 잠금에 추가해야 합니다. 네트워크 관리자는 조직에서 액티브 콘텐츠를 통한 HTML 렌더링에 필요 없는 기타 프로토콜을 제한해야 하며 관리된 데스크톱 컴퓨터에서 다음과 같은 몇 가지 기본 Windows 프로토콜도 제한해야 합니다.

  • local://

  • file://

  • shell://

  • hcp://

  • ftp://

이 변경 사항이 중요한 이유는 무엇입니까?

자주 사용하지는 않는 프로토콜의 문제점을 전체적으로 철저히 방지할 수 있습니다. 예를 들어 local:// 프로토콜을 통해 실행 중인 ActiveX 컨트롤이 로컬 컴퓨터 영역에 로드된 것으로 가정하고 호스팅 페이지에 높은 권한을 부여하는 경우도 있습니다.

작동 방식의 차이는 무엇입니까?

주어진 영역에 대해 제한된 프로토콜로 제공되는 웹 페이지에서 ActiveX 같은 제한된 콘텐츠를 사용하는 경우 앞에서 설명한 바와 같이 Internet Explorer에 알림 표시줄이 나타납니다.

이러한 문제를 해결하는 방법은 무엇입니까?

웹 페이지에서 인트라넷에 대해 제한되어야 하는 프로토콜로 ActiveX 또는 스크립팅을 실행해야 할 경우 HTML에 대한 도메인을 관리된 데스크톱 컴퓨터의 신뢰할 수 있는 사이트 영역으로 옮기면 해당 HTML이 올바르게 렌더링될 수 있습니다. 장기적인 해결책으로는 해당 콘텐츠를 제한된 프로토콜에서 분리하는 방법을 찾을 수 있습니다. 이 방법이 불가능할 경우에는 Active Server Page 같은 서버 측 스크립트를 통해 서버에서 필요한 계산을 수행하여 제한된 프로토콜 페이지에서 액티브 콘텐츠를 완전히 제거할 수도 있습니다.

Windows Server 2003 서비스 팩 1을 사용하려면 코드를 변경해야 합니까?

이 기능은 기본적으로 사용되지 않으므로 네트워크 관리자가 조직에 대해 제한한 프로토콜로 실행하는 경우가 아니라면 HTML 콘텐츠를 변경하지 않아도 됩니다.

이 정보가 도움이 되었습니까?
(1500자 남음)
의견을 주셔서 감사합니다.

커뮤니티 추가 항목

추가
표시:
© 2014 Microsoft