내보내기(0) 인쇄
모두 확장

Windows Server 2008 운영 체제 강화 및 무결성을 위한 새로운 기능

업데이트 날짜: 2010년 3월

적용 대상: Windows Server 2008

강화 및 무결성 향상 기능은 Windows Server® 2008 운영 체제의 기본 제공 안전 및 보안 수준을 제공하는 다양한 커널 및 운영 체제 기능으로 구성됩니다.

커널에 대한 보안 향상 기능

Windows Server 2008 및 Windows Vista®에는 메모리 및 힙 관리, 관리 메커니즘, 응용 프로그램 지원 메커니즘 및 전원 관리를 향상시키기 위한 기능을 비롯하여 많은 커널 향상 기능이 포함되어 있습니다. 다음은 커널에 대한 보안 향상 기능입니다.

64비트 버전용 커널 패치 보호

커널 패치 보호는 인증되지 않은 프로그램이 Windows 커널에 패치를 적용하지 못하도록 방지합니다. 커널 패치 보호는 커널 메모리의 핵심 부분에 대한 변경 내용을 감지합니다. 지원되지 않는 방식으로 항목이 변경된 경우(예: 사용자 모드 응용 프로그램이 적합한 운영 체제 기능을 호출하지 않는 경우) 커널 패치 보호 기능이 중지 오류를 생성하여 운영 체제를 중지합니다. 이렇게 하면 커널 모드 드라이버가 확장되거나 다른 커널 서비스를 대체하지 않도록 방지하고 Microsoft 이외의 소프트웨어가 커널의 일부를 패치하지 못하도록 방지할 수 있습니다.

커널 패치 보호는 인증된 Microsoft 업데이트를 통한 경우를 제외하고는 드라이버가 다음과 같은 작업을 수행하지 못하도록 방지합니다.

  • 시스템 서비스 테이블 수정

  • IDT(인터럽트 발송 테이블) 수정

  • GDT(Global Descriptor Table) 수정

  • 커널에서 허용되지 않은 커널 스택 사용

  • 커널 일부에 패치 적용(AMD64 기반 시스템에서만 검색)

커널 패치 보호는 Windows Server® 2003 SP1(서비스 팩 1) 운영 체제의 x64 기반 버전 및 Windows® XP Professional x64 Edition 운영 체제에서 최초로 구현되었습니다. Windows Server 2008 및 Windows Vista 운영 체제에서 커널 패치 보호에는 큰 변화가 없었습니다. 하지만 이 보안 기능은 비교적 새로운 기능이기 때문에 기능을 더욱 잘 이해하고 드라이버 및 응용 프로그램 개발자에게 잠재적으로 미칠 수 있는 영향을 확인하기 위해 여기에서 다룹니다.

힙 관리자에 대한 보안 향상 기능

힙 관리자에서 변경된 일부 보안 기능에는 블록 메타데이터 인코딩, 블록 헤더에 대한 무결성 검사 및 임의 헤드 기준 설정(Random Head Rebasing)이 포함됩니다. 또한 힙 관리자는 힙 손상에 대한 향상된 조기 감지 기능과 힙 손상 발생 시 응용 프로그램 종료 기능을 제공하여 취약점을 악용하는 무차별 대입 공격(brute-force attack)을 억제합니다.

레지스트리에 대한 보안 향상 기능

레지스트리 가상화 지원은 이전에 관리자 권한이 필요했던 응용 프로그램을 비관리자 계정으로도 실행할 수 있도록 합니다. 레지스트리 가상화는 전체 레지스트리에 영향을 주는 쓰기 작업을 사용자별 위치로 격리시킵니다. 이러한 쓰기 작업에 대한 리디렉션은 기존 응용 프로그램에 영향을 주지 않으며 소프트웨어 하이브(HKLM\Software)의 키에 대한 작업에만 적용 가능합니다. 다른 모든 키는 가상화로 인한 영향을 받지 않습니다.

코드 무결성

Windows Server 2008 및 Windows Vista의 경우 x64 기반 컴퓨터에서 실행하려면 커널 모드 소프트웨어가 디지털로 서명되어야 합니다. x86 시스템의 특정 구성에서는 콘텐츠 보호 정책에 따라 HD-DVD나 AACS(Advanced Access Content System) 표준으로 보호되는 기타 형식의 고화질 콘텐츠에 액세스하려면 커널 모드 소프트웨어에 디지털 서명이 포함되어야 합니다.

코드 무결성은 x64 기반 시스템에서 커널 모드 드라이버에 대한 필수 코드 서명 정책을 강제로 적용합니다. 또한 코드 무결성은 보호된 프로세스에 로드되는 모든 코드의 무결성을 검증합니다. 이미지 유효성 검사에 실패할 경우 실수든 바이러스나 침입에 의한 의도적인 경우든 해당 코드가 손상되었음을 나타내기 때문에 코드 이미지가 로드되지 않습니다. 유효성 검사에 사용되는 이미지 및 페이지 해시를 저장하는 데에는 시스템 카탈로그가 사용됩니다.

보호된 프로세스

Windows Vista 운영 체제에는 보호된 프로세스라 하는 새로운 유형의 프로세스가 도입되었습니다. 보호된 프로세스는 Windows Server 2008 및 Windows Vista에서 디지털 권한 관리 기능을 효과적으로 지원합니다. 이러한 보호된 프로세스는 일반적인 프로세스와 별개로 존재합니다.

일반적인 Windows 프로세스와 보호된 프로세스의 주요 차이점은 시스템의 다른 프로세스가 보호된 프로세스에 대해 가질 수 있는 액세스 수준입니다.

Windows Vista 이전 버전의 Windows 운영 체제 프로세스 모델에서는 부모 프로세스가 자신이 만드는 모든 자식 프로세스에 대한 핸들을 얻고 자식 프로세스의 상태를 조작할 수 있습니다. 이와 비슷하게 권한이 충분한(예: 시스템 관리자) 사용자가 만드는 프로세스는 시스템의 모든 프로세스에 액세스하고 상태를 조작할 수 있습니다. 이러한 동작은 일반적인 Windows 프로세스의 경우에도 마찬가지입니다. 하지만 Windows Vista 및 Windows Server 2008에서는 보호된 프로세스 및 해당 프로세스 내부의 스레드에 대한 액세스 수준을 크게 제한할 수 있습니다.

보호된 프로세스에 대한 추가 리소스

디지털 서명

Windows Server 2008 및 Windows Vista의 64비트 버전에서는 디지털로 서명된 커널 모드 드라이버가 필요합니다.

Windows 기반 소프트웨어를 설치 중인 관리자 또는 사용자는 디지털 서명을 통해 해당 소프트웨어 패키지를 제공한 게시자가 적법한 게시자인지 여부를 확인할 수 있습니다.

보호된 콘텐츠를 스트리밍하는 장치용 드라이버에는 서명이 필요합니다. 여기에는 PUMA(Protected User Mode Audio) 및 PAP(Protected Audio Path)를 사용하는 오디오 드라이버, PVP-OPM(Protected Video Path-Output Protection Management) 명령을 처리하는 비디오 장치 드라이버가 해당합니다.

서명되지 않은 커널 모드 소프트웨어는 x64 기반 시스템에서 로드 및 실행되지 않습니다.

관리자 권한이 있는 사용자라도 x64 기반 시스템에서는 서명되지 않은 커널 모드 코드를 로드할 수 없습니다. 이러한 제한은 장치 드라이버, 필터 드라이버 및 커널 서비스를 포함하여 커널 모드로 로드되는 모든 소프트웨어 모듈에 적용됩니다.

필수 커널 모드 코드 서명 정책은 Windows Server 2008 및 Windows Vista를 실행하는 x64 기반 시스템의 모든 커널 모드 소프트웨어에 적용됩니다. 32비트 시스템의 경우 커널 모드 드라이버 서명은 필수가 아닙니다. 하지만 게시자는 32비트 및 64비트 플랫폼의 두 버전을 모두 지원하는 장치 드라이버를 포함하여 모든 소프트웨어에 디지털로 서명해야 합니다. Windows Server 2008 및 Windows Vista는 보호된 미디어 콘텐츠를 지원하기 위해 x86 기반 시스템에서 커널 모드 서명 확인을 수행합니다.

드라이버 서명에 대한 추가 리소스

데이터 실행 방지

DEP(데이터 실행 방지)는 프로그램을 모니터링하여 프로그램에서 시스템 메모리를 안전하게 사용하는지 확인하는 방식으로 컴퓨터를 보호할 수 있습니다. DEP가 컴퓨터에서 메모리를 부적절하게 사용하는 프로그램을 검색한 경우 해당 프로그램을 종료하고 이를 사용자에게 알려 줍니다. Windows Server 2008 및 Windows Vista의 32비트 버전에 포함된 DEP 소프트웨어 구현은 실행 가능하도록 표시되지 않은 메모리 실행을 방지할 수 있습니다. Windows Server 2008 및 Windows Vista의 64비트 버전은 64비트 프로세서의 기본 제공 DEP 기능을 사용하여 공격자가 우회하기 어렵도록 하드웨어 계층에 이러한 보안을 강제 적용합니다. DEP는 Windows Server 2008 및 Windows Vista의 32비트 및 64비트 버전 모두에서 기본적으로 사용하도록 설정됩니다.

주소 공간 레이아웃 불규칙화

ASLR(주소 공간 레이아웃 불규칙화)은 시스템 기능을 악용하는 악성 코드를 제한하도록 설계되었습니다. Windows Server 2008 및 Windows Vista를 실행하는 컴퓨터가 시작되면 ASLR이 운영 체제의 일부로 포함된 실행 가능한 이미지(.dll 및 .exe 파일)를 메모리에 있는 256개의 가능한 위치 중 하나에 임의로 할당합니다. 이렇게 하면 악용 코드가 실행 가능한 이미지 내에서 기능을 찾아내 악용하기가 더 어려워집니다.

Windows 리소스 보호

WRP(Windows 리소스 보호)는 Windows Server 2008 및 Windows Vista의 일부로 설치된 중요 시스템 파일, 폴더 및 레지스트리 키가 바뀌지 않도록 방지합니다. 이러한 리소스는 시스템 및 기타 응용 프로그램에서 사용되기 때문에 응용 프로그램에서 덮어쓰면 안됩니다. 이렇게 리소스를 보호하면 응용 프로그램 및 운영 체제의 오류를 방지할 수 있습니다. WRP는 WFP(Windows 파일 보호)의 새로운 이름입니다.

Windows 서비스에 대한 보안 향상 기능

Windows 서비스 보안 강화

Windows 서비스 보안 강화는 중요 Windows 서비스가 비정상적으로 수행되어 맬웨어가 파일 시스템, 레지스트리, 네트워크 또는 기타 리소스를 이용하여 다른 컴퓨터를 공격하거나 스스로를 설치할 수 없도록 제한합니다. 예를 들어 RPC(원격 프로시저 호출) 서비스가 시스템 파일을 바꾸거나 레지스트리를 수정하지 못하도록 제한할 수 있습니다.

Windows Server 2008 및 Windows Vista는 기본적으로 실행되고 작동하는 많은 서비스를 제한합니다. Windows Server 2008 및 Windows Vista 이전 버전의 Windows에서는 많은 시스템 및 비 Microsoft 서비스가 LocalSystem 계정으로 실행되며, 그로 인해 디스크 포맷, 사용자 데이터 액세스 또는 드라이버 설치 등 로컬 컴퓨터에 손상을 일으킬 수 있습니다.

Windows 서비스 보안 강화는 다음과 같은 기능을 통해 손상된 서비스가 줄 수 있는 잠재적인 손상을 줄여 줍니다.

  • 서비스별 SID(보안 식별자) 추가. 이 기능은 서비스별 ID를 지원하여 모든 개체 및 리소스 관리자가 ACL(액세스 제어 목록)을 사용하는 기존 Windows 액세스 제어 모델을 통해 이후에 액세스 제어를 분할할 수 있도록 합니다. 이제 서비스는 서비스에 전용으로 제공되는 명시적 ACL을 리소스에 적용하여 다른 서비스는 물론 사용자가 리소스에 액세스하지 못하도록 방지할 수 있습니다.

  • LocalSystem에서 LocalService 또는 NetworkService와 같은 수준이 낮은 권한 계정으로 서비스 이동. 이 기능은 서비스의 전반적인 권한 수준을 낮춰서 UAC(사용자 계정 컨트롤)와 비슷한 이점을 제공합니다.

  • 서비스별 기준으로 불필요한 Windows 권한 제거

  • 서비스 프로세스에 쓰기 제한된 액세스 토큰 적용. 이 액세스 토큰은 일련의 개체에 대한 쓰기를 수행하는 서비스가 바인드되고 구성 가능할 때 사용할 수 있습니다. 서비스 SID 액세스를 명시적으로 부여하지 않은 리소스에 대한 쓰기 시도는 실패합니다.

서비스에는 네트워크 방화벽 정책이 할당되어 네트워크 액세스가 정상적인 서비스 프로그램 경계를 벗어나지 않도록 방지합니다. 방화벽 정책은 서비스별 SID에 직접 연결됩니다.

세션 0 격리

Windows Server 2003, Windows XP 및 이전 버전의 Windows 운영 체제에서 모든 서비스는 컴퓨터에 로그온된 첫 번째 사용자와 동일한 세션에서 실행됩니다. 이 세션을 세션 0이라고 합니다. 세션 0에서 서비스와 사용자 응용 프로그램을 함께 실행하면 상승된 권한으로 서비스가 실행되어 자신의 고유 권한 수준을 높이려는 악의적인 에이전트의 대상이 될 수 있기 때문에 보안 위험이 발생할 수 있습니다.

Windows Server 2008 및 Windows Vista 운영 체제는 세션 0의 서비스를 격리하고 세션 0을 사용할 수 없도록 표시하여 이러한 보안 위험을 완화합니다. 세션 0에서는 시스템 프로세스 및 서비스만 실행됩니다. 첫 번째 사용자는 세션 1에 로그온하고 이후 사용자는 이후 세션에 로그온합니다. 즉, 서비스는 사용자의 응용 프로그램과 동일한 세션에서 실행되지 않으므로 응용 프로그램 코드에서 발생하는 공격으로부터 보호됩니다.

명명된 파이프 강화

Windows Server 2008 및 Windows Vista에서는 많은 서비스가 LocalSystem보다 낮은 권한을 갖는 계정(예: NetworkService 및 LocalService)으로 실행됩니다. 서비스 강화는 서비스 간의 구획 분할을 향상시켜 한 서비스가 손상될 경우 해당 서비스를 이용해서 시스템의 다른 서비스를 쉽게 공격할 수 없도록 합니다. Windows Server 2008 및 Windows Vista는 RPC 서버에 사용되는 명명된 파이프를 강화하여 다른 프로세스가 이를 제어할 수 없도록 방지합니다.

Windows 무결성 메커니즘

Windows 무결성 메커니즘은 권한이 상승된 프로세스에 대한 보안 방어막을 제공하는 Windows Server 2008 및 Windows Vista의 새로운 보안 모델입니다. MIC(Mandatory Integrity Control) 및 UIPI(사용자 인터페이스 권한 격리)는 이 모델의 일부입니다. MIC에서 가장 두드러진 효과는 현재 권한이 특정 작업을 수행하는 데 충분하지 않을 경우 UAC를 표시한다는 점입니다.

MIC는 보안 개체에 대한 액세스를 제어할 수 있는 메커니즘을 제공합니다. 이 메커니즘은 임의 액세스 제어에 대한 추가 기능으로 개체의 DACL(임의 액세스 제어 목록)에 대한 액세스 검사를 평가하기 전의 무결성 수준을 사용하여 액세스를 평가합니다. 보안 주체 및 보안 개체에는 보호 또는 액세스 수준을 결정하는 무결성 수준이 할당됩니다. 이에 대한 예는 Internet Explorer의 보호 모드로 실행되는 Internet Explorer® 7입니다.

UIPI는 프로세스 격리 메커니즘으로 창 메시지에서 Windows 방패 아이콘으로 표시됩니다. 프로세스에서 더 높은 수준의 무결성 개체로는 메시지를 보낼 수 없기 때문에 UIPI는 동일 세션의 여러 프로세스에 대한 코드 주입 방식으로 권한 상승을 악용할 수 없도록 방지합니다.

Windows Internet Explorer 7

Windows Internet Explorer 7에는 이전 버전에서 향상된 다음과 같은 보안 기능이 포함되며, 이러한 기능은 Windows Vista 및 Windows Server 2008의 보안 향상 기능에 통합되어 있습니다.

보호 모드

보호 모드는 소프트웨어 취약점을 통해 악의적인 소프트웨어를 자동으로 설치할 수 없도록 하여 Internet Explorer 7 및 확장 기능에 대한 보안 위협을 줄입니다. Windows Server 2008에서 보호 모드는 운영 체제의 다른 응용 프로그램과 격리된 상태로 실행됩니다. 보호 모드는 악용 기능 및 악의적인 소프트웨어가 명시적인 사용자 동의 없이는 임시 인터넷 파일을 벗어난 어떤 위치에도 쓰기를 수행하지 못하도록 제한합니다. 보호 모드에서는 더 높은 무결성 수준을 사용하여 프로세스, 파일 및 레지스트리 키에 대한 액세스를 제한하는 Windows Server 2008 및 Windows Vista의 무결성 메커니즘이 사용됩니다. 보호 모드에 관리자로 로그온한 경우 ActiveX® 컨트롤 또는 추가 기능을 설치할 수 있습니다. 보호 모드는 인터넷, 로컬 인트라넷 및 제한된 사이트 영역에서 기본적으로 설정되고 상태 표시줄에 보호 모드가 실행 중임을 나타내는 아이콘이 표시됩니다.

확장된 유효성 검사 SSL 인증서

Internet Explorer 7은 EV(확장된 유효성 검사) SSL(Secure Sockets Layer) 인증서를 인식하여 온라인 사용자에게 웹 사이트에 대한 향상된 ID 인식 및 신뢰도를 제공합니다. 이러한 새로운 인증서를 사용하려면 기업 내에서 철저한 문서화 프로세스를 이행하고 현재 업무용 라이선스 및 기업 문서 작업을 확인해야 하며 EV 인증서에 명명된 엔터티에서 EV SSL 인증서 발행을 허가했는지 확인해야 합니다. Internet Explorer 7은 이러한 프로세스를 완료한 기업의 EV SSL 인증서를 인식하여 인증서를 주소 표시줄에 시각적으로 표시합니다.

Internet Explorer 관리 키트 7

IEAK(Internet Explorer 관리 키트) 7을 사용하면 웹 사이트를 쉽게 배포 및 관리할 수 있습니다. 새로운 기능은 다음과 같습니다.

  • Internet Explorer 7 사용자 지정 마법사 또는 프로필 관리자를 사용하여 웹 피드, 여러 홈 페이지, 검색 공급자 및 기업 설치 옵션을 사용자 지정할 수 있습니다.

  • 사용자가 Internet Explorer에서 새로운 피싱 방지 필터를 관리할 수 있는지 여부를 지정할 수 있습니다.

  • Internet Explorer 7 사용자 지정 마법사의 페이지 및 텍스트가 개선되었습니다.

  • 자동 완성 및 피드 검색 설정에 대한 액세스가 향상되었습니다.

  • Internet Explorer 7 사용자 지정 마법사의 자동 버전 동기화(AVS) 페이지가 간소화되었습니다.

IEAK 7에 대한 추가 리소스

확장 가능한 로그온 아키텍처

Windows Server 2008 및 Windows Vista에서는 개발자가 새로운 자격 증명 공급자를 만들어 사용자 지정 인증 방법을 제공할 수 있습니다. 또한 새로운 아키텍처에서는 자격 증명 공급자를 사용자 환경 전반에서 이벤트 중심으로 통합할 수 있습니다. Windows 로그온 사용자 인터페이스는 여러 자격 증명 공급자를 동시에 사용할 수 있으므로, 각 사용자마다 인증 요구 사항이 다를 수 있는 환경에서 뛰어난 유연성을 제공합니다.

확장 가능한 로그온 아키텍처에 대한 추가 리소스

CNG(Cryptography Next Generation)

Windows Server 2008의 CNG(Cryptography Next Generation)는 IT 전문가가 AD CS(Active Directory® 인증서 서비스), SSL 및 IPsec(인터넷 프로토콜 보안)과 같은 암호화 관련 응용 프로그램에서 사용자 지정 암호화 알고리즘을 만들고 업데이트 및 사용할 수 있도록 유연한 암호화 개발 플랫폼을 제공합니다. CNG는 암호화, 디지털 서명, 키 교환 및 해시에 대한 알고리즘을 포함하는 미국 정부의 Suite B 암호화 알고리즘을 구현합니다.

CNG에 대한 추가 리소스

인증 프로토콜 향상 기능

Windows Kerberos 프로토콜 구현

Windows Server 2008 및 Windows Vista의 Kerberos v5(버전 5)는 AES(Advanced Encryption Standard) 암호화 구현으로 인해 미국 정부의 FIPS(Federal Information Processing Standards) 140-2와 호환됩니다.

note참고
Microsoft에 대한 FIPS 인증 모듈 유효성 검사 목록은 NIST(National Institute of Standards and Technology) 웹 사이트(http://go.microsoft.com/fwlink/?LinkID=116489)(페이지는 영문일 수 있음)에서 제공됩니다.

또한 지점 도메인 컨트롤러에 있는 KDC(키 배포 센터)에 대한 보안이 향상되었습니다.

Windows Server 2008의 Kerberos 프로토콜은 이전 버전의 Windows와 호환되지만 AES를 준수하는 컴퓨터에 대해서만 향상된 암호화 보안 기능을 추가적으로 제공합니다.

Kerberos에 대한 추가 리소스

TLS/SSL 암호화 향상 기능

새로운 TLS(Transport Layer Security) 확장이 추가되어 AES 및 새로운 ECC(Elliptic Curve Cryptography) 암호화 모음을 모두 지원할 수 있습니다. 또한 Windows에서 사용자 지정 암호화 모음으로 구현된 TLS/SSL인 Schannel을 통해 암호화 메커니즘을 구현 및 사용할 수 있습니다.

TLS/SSL에 대한 추가 리소스

참고 항목

이 정보가 도움이 되었습니까?
(1500자 남음)
의견을 주셔서 감사합니다.

커뮤니티 추가 항목

추가
표시:
© 2014 Microsoft