내보내기(0) 인쇄
모두 확장
확장 최소화

Internet Explorer 로컬 컴퓨터 영역 잠금

업데이트 날짜: 2009년 1월

적용 대상: Windows Server 2003 with SP1

note참고
Microsoft Windows Server 2003 Internet Explorer 보안 강화 구성의 구성 요소(Microsoft Internet Explorer 강화라고도 함)를 사용하면 보다 제한적인 Internet Explorer 보안 설정이 적용되어 스크립트, ActiveX 구성 요소 및 인터넷 보안 영역의 리소스 파일 다운로드 등을 사용할 수 없게 되므로 웹 콘텐츠를 이용한 공격에 대한 서버의 보안 취약성이 줄어듭니다. 따라서 Internet Explorer의 최신 릴리스에 포함되어 있는 대부분의 보안 강화 기능은 Windows Server 2003 서비스 팩 1에서는 크게 차이가 없습니다. 예를 들어 해당 사이트가 스크립트를 허용하는 보안 설정 영역에 포함되는 경우에만 새 Internet Explorer 알림 표시줄 및 팝업 차단 기능이 사용됩니다. 서버에서 보안 강화 구성을 사용하고 있지 않으면 이러한 기능은 Windows XP 서비스 팩 2에서와 같이 작동합니다.

로컬 컴퓨터 영역 잠금의 기능은 무엇입니까?

Internet Explorer에서 웹 페이지를 열면 해당 페이지의 Internet Explorer 보안 영역을 기반으로 페이지가 수행할 수 있는 기능에 대한 제한이 할당됩니다. 각각 서로 다른 제한이 할당된 보안 영역이 몇 가지 있을 수 있습니다. 페이지의 보안 영역은 그 위치에 따라 결정됩니다. 예를 들어 인터넷에 위치한 페이지는 일반적으로 좀더 제한된 인터넷 보안 영역에 있게 됩니다. 이 경우 로컬 하드 드라이브 액세스와 같은 일부 작업을 수행하는 것이 허용되지 않을 수 있습니다. 회사 네트워크에 위치한 페이지는 일반적으로 인트라넷 보안 영역에 있으므로 덜 제한적입니다. 이러한 대부분의 영역에 관련된 세부적인 제한 사항은 도구 메뉴의 인터넷 옵션을 통해 사용자가 구성할 수 있습니다.

Windows XP 서비스 팩 2 이전에는 로컬 파일 시스템의 내용이 Internet Explorer에 의해 캐시된 것을 제외하고는 안전한 것으로 간주되어 로컬 컴퓨터 보안 영역에 할당되었습니다. 이 보안 영역에서는 일반적으로 콘텐츠가 Internet Explorer에서 비교적 덜 제한적으로 실행될 수 있습니다. 그러나 공격자는 로컬 컴퓨터 영역을 이용하여 권한을 올리거나 컴퓨터를 손상시키려고 시도하는 경우가 많습니다.

로컬 컴퓨터 영역에서 발생하는 문제 중 많은 경우가 Windows XP SP 2의 Internet Explorer에서 변경된 다른 내용으로 해결되었으며 이러한 변경 내용은 Windows Server 2003 서비스 팩 1의 Internet Explorer에 통합되었습니다. 그러나 공격자는 여전히 로컬 컴퓨터 영역을 이용하는 방법을 알아낼 수 있습니다. 현재 Internet Explorer에서 로컬 컴퓨터 영역을 기본적으로 잠금으로써 사용자를 더욱 보호합니다. 다른 응용 프로그램에서 호스팅되는 로컬 HTML은 해당 응용 프로그램에서 로컬 컴퓨터 영역 잠금을 사용하지 않을 경우 Internet Explorer의 이전 버전에서 사용된 로컬 컴퓨터 영역의 덜 제한적인 설정으로 실행됩니다.

관리자는 그룹 정책을 사용하여 로컬 컴퓨터 영역 잠금을 관리하고 컴퓨터 그룹에 더욱 쉽게 적용할 수 있습니다.

이 기능의 적용 대상은 누구입니까?

모든 응용 프로그램 개발자가 이 기능을 검토해야 합니다. Internet Explorer에서 로컬 HTML 파일을 호스트하는 응용 프로그램이 영향을 받는 경우가 많습니다. Internet Explorer를 호스트하는 독립 실행형 응용 프로그램 개발자는 로컬 컴퓨터 영역 잠금을 이용하도록 응용 프로그램을 수정하게 됩니다.

기본적으로 로컬 컴퓨터 영역 잠금만을 Internet Explorer에 사용할 수 있습니다. 개발자는 변경 내용을 이용하도록 자신의 응용 프로그램을 등록해야 합니다. 이러한 방지 기능을 사용하지 않는 응용 프로그램에서는 해당 응용 프로그램의 로컬 컴퓨터 영역 공격 방향을 독립적으로 검토해야 합니다.

Internet Explorer를 호스팅하는 응용 프로그램이 있는 소프트웨어 개발자는 이 문서 뒷부분에 나오는 대로 레지스트리에 프로세스 이름을 추가하여 이 기능을 사용해야 합니다. 향후 Microsoft에서는 “옵트인” 정책보다는 “옵트아웃” 정책을 사용하여 이 기능을 구현할 수도 있습니다. Internet Explorer를 호스팅하는 응용 프로그램이 해당 프로세스에 대해 사용하는 로컬 컴퓨터 영역 잠금에 대해 올바르게 작동하도록 응용 프로그램을 테스트해야 합니다.

네트워크 관리자는 이러한 제한의 영향을 받는 로컬 스크립트를 사용할 수 있습니다. 관리자는 사용 가능한 솔루션을 검토하여 사용자의 클라이언트 컴퓨터 보안을 손상시키지 않으면서 로컬 스크립트를 사용할 수 있도록 해야 합니다.

인터넷 또는 로컬 인트라넷 영역에서 호스트되는 웹 사이트의 개발자는 로컬 컴퓨터 영역의 변경 내용에 영향을 받아서는 안 됩니다. 단, 개발하는 동안 로컬 컴퓨터에서 이러한 파일을 로드하는 경우는 예외입니다.

사용자는 더욱 엄격한 이러한 제한 사항과 호환되지 않는 응용 프로그램의 영향을 받을 수 있습니다.

기존 기능 중 Windows Server 2003 서비스 팩 1에서 변경된 기능은 무엇입니까?

로컬 컴퓨터 영역 보안 설정의 변경 내용

자세한 설명

로컬 컴퓨터 영역은 인터넷 영역보다 더 제한적입니다. 콘텐트가 이 영역에서 다음 작업 중 하나를 시도할 때마다 Internet Explorer에 다음과 같은 텍스트와 함께 알림 표시줄이 나타납니다.

보안을 위해 Internet Explorer가 이 파일에서 사용자의 컴퓨터를 액세스할 수 있는 액티브 컨텐트를 표시하는 것을 차단했습니다. 옵션을 보려면 여기를 클릭하십시오.

사용자는 알림 표시줄을 클릭하여 제한된 콘텐츠에서 잠금을 제거할 수 있습니다.

로컬 컴퓨터 영역에서 실행되는 콘텐츠에 부여된 권한을 제어하는 보안 설정을 URL 동작이라고 합니다. 주어진 프로세스에 로컬 컴퓨터 영역 잠금을 적용하면 URL 동작이 로컬 컴퓨터 잠금의 이전 설정인 사용에서 사용 안 함으로 바뀝니다. 따라서 스크립트와 Active X 컨트롤이 실행되지 않습니다. 변경된 기본 URL 동작은 다음과 같습니다.

  • URLACTION _SCRIPT_RUN

  • URLACTION_DOWNLOAD_UNSIGNED_ACTIVEX

  • URLACTION_ACTIVEX_RUN

  • URLACTION_ACTIVEX_OVERRIDE_OBJECT_SAFETY(사용 안 함 대신 확인으로 설정)

  • URLACTION_CLIENT_CERT_PROMPT

  • URLACTION_BEHAVIOR_RUN

  • URLACTION_JAVA_PERMISSIONS

  • URLACTION_BEHAVIOR_RUN(사용 안 함 대신 관리자 승인으로 설정)

  • URLACTION_FEATURE_MIME_SNIFFING

  • URLACTION_FEATURE_WINDOWS_RESTRICTIONS

  • URLACTION_AUTOMATIC_DOWNLOAD_UI

  • URLACTION_AUTOMATIC_ACTIVEX_UI

note참고
URLACTION_FEATURE_ZONE_ELEVATION은 이 기능 유무에 관계없이 로컬 컴퓨터 영역에서 사용 안 함으로 설정됩니다.

로컬 컴퓨터 영역 잠금의 경우 이러한 설정이 별도의 레지스트리 키 아래 저장됩니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\0

기본 로컬 컴퓨터 영역 URL 동작 설정은 다음 위치에 있습니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0

이 변경 사항이 중요한 이유는 무엇입니까?

이 변경을 통해 사용자 컴퓨터의 콘텐츠 권한이 높아지는 것을 방지할 수 있습니다. 이렇게 권한이 높아진 코드는 ActiveX 컨트롤을 통해 원하는 코드를 실행하거나 스크립트로 정보를 읽을 수 있습니다.

작동 방식의 차이는 무엇입니까?

앞에 나열된 제한된 유형의 콘텐트를 웹 페이지에서 사용하는 경우 앞에서 설명한 바와 같이 Internet Explorer에 알림 표시줄이 나타납니다.

로컬 컴퓨터의 res: 프로토콜로 호스팅되는 HTML 파일은 자동으로 인터넷 영역의 보안 설정 하에 실행됩니다. 이러한 템플릿이 허용하는 내용에 대한 자세한 내용은 MSDN 웹 사이트(http://go.microsoft.com/fwlink/?LinkId=26003)에서 "Introduction to URL Security Zones"를 참조하십시오.

이러한 문제를 해결하는 방법은 무엇입니까?

다음과 같은 메시지가 나타날 때 “예”를 클릭하면 Active X와 스크립트가 CD에서 시작한 웹 페이지에서 항상 실행되도록 허용할 수 있습니다.

액티브 컨텐트는 사용자의 컴퓨터에 손상을 주거나 개인 정보를 유출시킬 수도 있습니다. CD에 있는 액티브 컨텐트를 사용자의 컴퓨터에서 실행하도록 허용하시겠습니까?

웹 페이지에 ActiveX 또는 스크립팅이 필요할 경우 HTML 코드로 웹 설명 표시를 추가할 수 있습니다. 이 Internet Explorer 기능을 통해 설명에 나온 URL에 적용되는 보안 템플릿을 기반으로 스크립트나 ActiveX 코드를 실행할 수 있도록 로컬 컴퓨터 영역 외의 다른 영역에 HTML 파일을 지정할 수 있습니다. 예를 들어 지정한 URL이 www.contoso.com이고 이 URL이 신뢰할 수 있는 사이트 목록에 들어 있다면 해당 페이지에는 신뢰할 수 있는 사이트 영역의 보안 템플릿이 사용됩니다. 이 설정은 Internet Explorer 4 이상에서 작동합니다. 웹 설명 표시를 HTML 파일에 삽입하려면 다음 설명 중 하나를 추가합니다.

<!-- saved from url= (0022)http://www.example.com -->

이 설명은 도메인이 식별된 페이지에 웹 표시를 삽입하여 http://www.example.com을 페이지를 호스팅하는 인터넷 또는 인트라넷 도메인의 URL로 바꿀 때 사용합니다. 웹 표시에 사용한 URL의 길이를 (0022)와 같이 괄호로 묶어 URL 앞에 표시합니다.

웹 페이지가 항상 인터넷 영역의 일부인 것처럼 처리되도록 하려면 다음과 같은 웹 표시를 사용하면 됩니다.

<!-- saved from url=(0014)about:internet -->

이 설명은 일반적으로 웹 표시를 삽입해야 할 때 사용합니다. about:internet 부분은 페이지를 인터넷 영역에 배치합니다.

Windows Server 2003 서비스 팩 1 및 Windows XP 서비스 팩 2부터는 이 HTML 설명을 여러 부분으로 나누어진 HTML 또는 .xml 파일로 알려진 .mht 파일과 함께 사용할 수도 있습니다. 이전 버전의 Internet Explorer에서는 웹 표시가 .mht 또는 .xml 파일과 관련되지 않습니다.

또 다른 옵션으로는 Internet Explorer 웹 개체 컨트롤(WebOC)의 HTML 콘텐츠를 호스팅하는 별도의 응용 프로그램을 만드는 방법이 있습니다. HTML은 Internet Explorer에서 실행되는 콘텐츠에 적용되는 동일한 규칙을 준수하지 않게 됩니다. HTML 콘텐츠가 다른 프로세스에서 실행될 때는 개발자나 해당 프로세스에 대한 영역 정책이 정의하는 대로 모든 권한을 가질 수 있습니다.

이 작업을 쉽게 수행하는 방법은 콘텐츠를 .hta(HTML 응용 프로그램) 파일로 저장하고 파일을 로컬 컴퓨터 영역에서 다시 실행하는 것입니다. .hta 파일은 다른 프로세스에서 호스트되므로 방지 기능의 영향을 받지 않습니다. 그러나 .hta 파일은 모든 권한으로 실행되므로 신뢰할 수 없는 코드의 경우 이러한 방식으로 실행되는 것을 허용해서는 안 됩니다.

Windows Server 2003 서비스 팩 1을 사용하려면 코드를 변경해야 합니까?

개발자는 응용 프로그램을 테스트하고 보안 수준을 높이기 위해 잠금을 사용해야 합니다. 독립 실행형 응용 프로그램 개발자는 Internet Explorer를 호스트하는 응용 프로그램에 이러한 변경 내용을 적용할 것을 계획해야 합니다.

이전에 로컬 컴퓨터 영역에서 권한을 높일 수 있도록 허용한 ActiveX 컨트롤 개발자는 다른 영역에서 권한을 높일 수 있도록 컨트롤을 변경해서는 안 됩니다. 대신에 HTML 응용 프로그램(.hta 파일) 또는 로컬 컴퓨터 영역 잠금 밖에서 실행되는 독립 실행형 응용 프로그램에서만 실행되도록 이러한 컨트롤을 변환해야 합니다.

기본적으로 로컬 컴퓨터 영역 잠금은 Internet Explorer가 아닌 프로세스에 대해 사용할 수 없습니다. 개발자는 변경 내용을 이용하도록 자신의 응용 프로그램을 명시적으로 등록해야 합니다. 이러한 방지 기능을 사용하지 않는 응용 프로그램 개발자는 해당 응용 프로그램의 로컬 컴퓨터 영역 공격 방향을 독립적으로 검토해야 합니다. 응용 프로그램에 대해 로컬 컴퓨터 영역 잠금을 사용하려면 다음 레지스트리 키로 이동합니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LOCALMACHINE_LOCKDOWN

REG_DWORD 값을 응용 프로그램에 대해 명명된 이 키(예: MyApplication.exe)에 추가하고 1로 설정합니다. 이 값에 다른 설정을 사용하는 경우 모두 응용 프로그램에 대한 로컬 컴퓨터 영역 잠금이 비활성화됩니다.

로컬 컴퓨터 영역 잠금이 CD에서 시작된 웹 페이지에 적용되는지 여부를 제어하려면 다음 레지스트리 키 및 값으로 이동하십시오.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LOCALMACHINE_LOCKDOWN\Settings\LOCALMACHINE_CD_UNLOCK

이 값을 1로 설정하면 사용자 컴퓨터의 CD에서 시작한 웹 페이지에서 이 기능을 사용할 수 없습니다.

이 정보가 도움이 되었습니까?
(1500자 남음)
의견을 주셔서 감사합니다.

커뮤니티 추가 항목

추가
표시:
© 2014 Microsoft