내보내기(0) 인쇄
모두 확장
확장 최소화

Internet Explorer 바이너리 동작 보안 설정

적용 대상: Windows Server 2003 with SP1

note참고
Microsoft Windows Server 2003 Internet Explorer 보안 강화 구성의 구성 요소(Microsoft Internet Explorer 강화라고도 함)를 사용하면 보다 제한적인 Internet Explorer 보안 설정이 적용되어 스크립트, ActiveX 구성 요소 및 인터넷 보안 영역의 리소스 파일 다운로드 등을 사용할 수 없게 되므로 웹 콘텐츠를 이용한 공격에 대한 서버의 보안 취약성이 줄어듭니다. 따라서 Internet Explorer의 최신 릴리스에 포함되어 있는 고급 보안 설정의 대부분은 Windows Server 2003 서비스 팩 1에서 크게 영향을 미치지는 않습니다. 예를 들어 해당 사이트가 스크립트를 허용하는 보안 설정 영역에 포함되는 경우에만 새 Internet Explorer 알림 모음 및 팝업 차단 기능이 사용됩니다. 서버에서 고급 보안 구성을 사용하고 있지 않으면 이러한 기능은 Windows XP 서비스 팩 2에서와 같이 동작합니다.

바이너리 동작 보안 설정의 기능은 무엇입니까?

Internet Explorer에는 구성 요소가 연결되었던 HTML 요소에 대한 특정 기능을 캡슐화하는 구성 요소인 동적 바이너리 동작이 포함되어 있습니다. 이러한 바이너리 동작은 제한된 사이트 영역의 웹 페이지에서 작동할 수 있도록 허용하는 Internet Explorer 보안 설정으로는 제어되지 않습니다. Windows Server 2003 서비스 팩 1에는 바이너리 동작에 대한 새로운 Internet Explorer 보안 설정이 있습니다. 이 설정은 기본적으로 제한된 사이트 영역의 바이너리 동작을 비활성화합니다. 로컬 컴퓨터 잠금 보안 기능과 결합하여 바이너리 동작이 기본적으로 로컬 컴퓨터 영역에서 실행되도록 하려면 관리 승인도 필요합니다. 또한 이 새로운 바이너리 동작 보안 설정은 Internet Explorer 바이너리 동작의 취약점을 전체적으로 방지해 줍니다.

바이너리 동작의 작동 방식과 구현 방법 같은 바이너리 동작에 대한 자세한 내용은 Microsoft 웹 사이트(http://go.microsoft.com/fwlink/?LinkId=21862)의 "Cutting Edge: Binary Behaviors in Internet Explorer 5.5"를 참조하십시오. C++로 정의되고 컴파일된 바이너리 동작은 스크립트로 정의한 연결된 동작(Attached Behaviors) 및 요소 동작(Element Behaviors)과 다릅니다.

이 기능의 적용 대상은 누구입니까?

제한된 사이트 또는 로컬 컴퓨터 영역에서 Internet Explorer 기능을 사용하는 응용 프로그램의 응용 프로그램 개발자는 이 기능을 검토하여 변경 내용을 응용 프로그램에 적용해야 합니다. 예를 들어 제한된 사이트 영역에서 HTML 전자 메일을 제공하는 전자 메일 응용 프로그램의 경우 이를 수정해야 할 수도 있습니다.

이 새 설정으로 HTML 내용을 완전히 나타내지 못하는 응용 프로그램만이 사용자에게 영향을 미칠 수 있습니다. 이러한 응용 프로그램은 일반적으로 사용자에게 현재 동작의 표시가 차단되었음을 알려 줍니다. 예를 들어 Outlook Express에서 이러한 상황이 발생하면 전자 메일에 제한된 액티브 콘텐츠가 있음을 사용자에게 알려 줍니다.

Windows Server 2003 서비스 팩 1에서 이 기능에 추가된 새로운 기능은 무엇입니까?

새로운 Internet Explorer 보안 설정

자세한 설명

새로운 URL 동작 설정인 바이너리 및 스크립트 동작은 각 Internet Explorer 보안 영역에 있습니다. 제한된 사이트 영역 및 로컬 컴퓨터 영역 잠금을 제외한 모든 영역에 대해 이 설정의 기본값은 사용입니다. 제한된 사이트 영역에서는 기본값이 사용 안 함입니다. 로컬 컴퓨터 영역 잠금에서 기본값은 관리자 승인입니다.

이 변경 사항이 중요한 이유는 무엇이며 이로 인해 줄어드는 위협은 무엇입니까?

이 새로운 설정은 바이너리 동작이 악의적으로 이용되는 공격을 줄여 주며 사용자가 바이너리 동작 사용을 영역 단위로 제어하는 것을 허용합니다.

작동 방식의 차이는 무엇입니까?

제한된 사이트 영역에서 제공되는 HTML에 대한 모든 바이너리 동작 사용이 차단됩니다.

이러한 문제를 해결하는 방법은 무엇입니까?

제한된 사이트 영역으로부터 바이너리 동작을 사용하려면 응용 프로그램에서 사용자 지정 보안 관리자를 구현해야 합니다. 자세한 내용은 Microsoft 웹 사이트(http://go.microsoft.com/fwlink/?LinkId=21863)의 "Introduction to URL Security Zones"에서 "Creating a Customized URL Security Manager"를 참조하십시오.

사용자 지정 보안 관리자에서 바이너리 동작을 실행하면 응용 프로그램 호환성의 필요에 따라 해당 사용자 지정 보안 관리자가 활성화할 수 있는 특정 바이너리 동작에 대한 문자열 표시로 URL 동작이 전달됩니다. 이 URL 동작이 실행될 경우 다음과 같은 프로세스가 발생합니다.

  • Internet Explorer에서 URLACTION_BEHAVIOR_RUNdwAction과 함께 ProcessUrlAction 메서드를 사용하여 사용자 지정 보안 관리자(사용 가능한 경우)를 호출합니다.

  • pContext 매개 변수는 정책이 쿼리될 대상 동작이 포함된 LPCWSTR을 가리킵니다. 예를 들면 #default#time입니다.

  • 사용자 지정 보안 관리자에서 SmartTag 동작에 대해 *pPolicy =URLPOLICY_ALLOW를 적절히 설정합니다.

사용자 지정 보안 관리자가 없을 경우 기본 동작은 제한된 사이트 영역에서 동작 실행을 금지하고 로컬 컴퓨터 영역에서 대부분의 동작 실행을 금지하는 것입니다.

데스크톱 관리자라면 로컬 컴퓨터 영역 잠금에서 허용할 바이너리 동작을 결정할 수 있습니다. 로컬 컴퓨터 영역 잠금에서 동작을 사용할 수 있도록 하려면 관리자가 승인한 동작 목록에 다음과 같이 해당 동작을 추가하여 현재 환경에 맞게 네임스페이스 및 동작 변수를 바꾸면 됩니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\AllowedBehaviors

#% 네임스페이스 %#% 동작 %=dword:00000001

이 목록에 정의되어 있는 동작은 바이너리 동작 제한 설정이 “Admin-Allowed”(65536)로 구성된 다른 영역에서도 사용됩니다.

기존 기능 중 Windows Server 2003 서비스 팩 1에서 변경된 기능은 무엇입니까?

없습니다. 이것은 기존 바이너리 동작 기능을 설정하거나 해제하기 위한 설정일 뿐입니다.

Windows Server 2003 서비스 팩 1에서 변경되거나 추가된 설정은 무엇입니까?

Internet Explorer 바이너리 동작 설정

설정 이름 위치 이전 기본값 기본값 가능한 값

*

HKEY LOCAL MACHINE [또는 Current User] \Software\Microsoft \Internet Explorer\Main \Feature Control \FEATURE_BEHAVIORS

없음

1

0 - 해제

1 - 설정

2000

HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Internet Settings\Zones [또는 Lockdown_Zones] \*\

없음

3 - 사용 안 함(제한된 사이트 영역)

65536 - 관리자 승인(로컬 컴퓨터 영역 잠금)

0 - 사용함(기타 모든 영역용)

3 - 사용 안 함

65536 - 관리자 승인

0 - 사용함

note참고
*는 위의 표에서 모든 프로세스가 기본적으로 이 기능 조절 설정에 대해 옵트인되어 있음을 나타내는 데 사용됩니다.

바이너리 동작 설정은 그룹 정책을 통해 Internet Explorer 보안 영역 및 콘텐츠 등급 설정의 일부로도 수정할 수 있습니다.

Windows Server 2003 서비스 팩 1을 사용하려면 코드를 변경해야 합니까?

코드에서 제한된 사이트 영역의 바이너리 동작을 사용하는 경우에는 응용 프로그램에 대해 사용자 지정 보안 관리자를 구현하여 코드를 변경해야 합니다. 코드에서 로컬 컴퓨터 영역의 바이너리 동작을 사용하면 사용자 지정 보안 관리자를 구현하거나 승인된 동작 목록에 해당 동작을 추가하거나 웹 표시를 사용하여 낮은 보안 수준의 영역에 페이지를 로드해야 합니다. 자세한 내용은 Microsoft 웹 사이트(http://go.microsoft.com/fwlink/?LinkId=21863)의 "Introduction to URL Security Zones"에서 "Creating a Customized URL Security Manager"를 참조하십시오.

이 정보가 도움이 되었습니까?
(1500자 남음)
의견을 주셔서 감사합니다.

커뮤니티 추가 항목

추가
표시:
© 2014 Microsoft