내보내기(0) 인쇄
모두 확장

원격 액세스 차단

적용 대상: Windows Server 2003 with SP1

원격 액세스 차단의 기능은 무엇입니까?

원격 액세스 차단 컨트롤을 사용하면 네트워크 관리자는 원격 클라이언트 컴퓨터가 회사 네트워크에 액세스하도록 허용되기 전에 해당 컴퓨터 구성의 유효성을 검사할 수 있습니다. 일반 원격 액세스 연결은 원격 액세스 사용자 자격 증명의 유효성만 검사합니다. 따라서 개인 네트워크에 연결하는 데 사용되는 컴퓨터는 해당 구성이 조직 네트워크 정책을 따르지 않을 때에도 네트워크 리소스에 액세스할 수 있는 경우가 자주 있습니다. 예를 들어 유효한 자격 증명이 있는 원격 액세스 사용자가 다음 컴퓨터가 아닌 컴퓨터로 네트워크에 연결할 수 있습니다.

  • 올바른 서비스 팩이나 최신 보안 패치가 설치된 컴퓨터

  • 올바른 바이러스 백신 소프트웨어와 서명 파일이 설치된 컴퓨터

  • 라우팅이 사용되지 않는 컴퓨터. 라우팅이 사용되는 원격 액세스 클라이언트 컴퓨터는 보안 위험을 초래하여 악의적인 사용자에게 개인 네트워크에 대해 인증된 연결이 있는 클라이언트 컴퓨터를 통해 회사 네트워크 리소스에 액세스할 기회를 제공할 수 있습니다.

  • 방화벽 소프트웨어가 설치되어 인터넷 인터페이스에서 활성화된 컴퓨터

  • 적절한 대기 시간이 있는 암호로 보호된 화면 보호기를 갖춘 컴퓨터

내부에서 사용되는 컴퓨터가 네트워크 정책을 따르도록 하려는 조직 내의 노력에도 불구하고 직원의 집에서 원격 액세스에 사용되는 컴퓨터는 여전히 상당한 네트워크 위험을 초래할 수 있습니다.

Windows Server 2003 서비스 팩 1의 새로운 기능인 원격 액세스 차단은 연결 설정에 포함된 관리자가 구성한 스크립트로 원격 액세스 컴퓨터의 구성을 확인하고 유효성을 검사할 때까지 개인 네트워크에 대한 일반 원격 액세스를 지연합니다. 원격 액세스 컴퓨터가 원격 액세스 서버에 대한 연결을 시작하면 사용자가 인증되고 원격 액세스 컴퓨터에 IP 주소가 할당됩니다. 하지만 연결은 네트워크 액세스가 제한되는 차단 모드로 설정됩니다. 관리자가 구성한 스크립트는 원격 액세스 컴퓨터에서 실행됩니다. 스크립트가 성공적으로 실행되었고 원격 액세스 컴퓨터가 현재 네트워크 정책을 따른다는 것이 원격 액세스 서버에 알려지면 차단 모드 액세스 제한 사항이 제거되고 원격 액세스 컴퓨터에 일반 원격 액세스 권한이 부여됩니다.

개별 원격 액세스 연결에 설정되는 차단 제한 사항은 다음으로 구성됩니다.

  • 차단된 원격 액세스 클라이언트에 보내고 받을 수 있는 트래픽을 제한하는 일련의 차단 패킷 필터

  • 연결이 끊기기 전에 클라이언트가 차단 모드로 연결된 상태를 유지할 수 있는 시간을 제한하는 차단 세션 타이머

필요에 따라 두 제한 사항 중 하나를 사용하거나 둘 다 사용할 수 있습니다. 관리자가 유효성 검사 스크립트를 통해 바이러스 백신 소프트웨어의 서명 파일을 업데이트하도록 지정하여 클라이언트가 구성을 수정하도록 도울 수도 있습니다.

이 원격 액세스 차단 솔루션에 필요한 구성 요소에는 다음과 같은 것들이 있습니다.

  • 차단 제한 사항의 제거를 위해 원격 클라이언트의 요청을 수신하는 RRAS(라우팅 및 원격 액세스) 서버에서 실행될 원격 액세스 차단 서비스(RQS 또는 수신기)

  • 원격 연결에 IP 필터나 세션 시간 초과를 적용하기 위해 차단 정책을 정의할 수 있는 RADIUS 서버 또는 RRAS 서버 자체

  • 원격 액세스 클라이언트 컴퓨터가 회사 네트워크에 액세스하는 데 필요한 최소 보안 지침을 따르는지 확인하기 위한 유효성 검사를 수행하는 구성 유효성 검사 스크립트

  • RQC(원격 액세스 차단 클라이언트)를 원격 클라이언트 컴퓨터에서 연결 후 작업으로 실행하도록 구성된 연결 관리자 프로필. 차단 CM 프로필은 관리자가 지정한 공유 경로에서 유효성 검사 스크립트를 업데이트하고 유효성 검사 스크립트를 실행합니다. 스크립트에서 최소 요구 사항이 충족되었다고 확인하면 RQC가 RQS에 알리고 차단 제한 사항의 제거를 요청합니다.

  • 원격 액세스 차단 클라이언트와 유효성 검사 스크립트(연결 관리자 프로필을 통해 배포됨)를 실행하도록 구성된 원격 액세스 클라이언트

Caution주의
원격 액세스 차단은 보안 솔루션이 아니며 개인 네트워크를 유효한 자격 증명 집합을 받은 악의적인 사용자로부터 보호하도록 설계된 것이 아니라 안전하지 않은 구성이 있는 컴퓨터가 개인 네트워크에 연결하지 못하게 하도록 설계되었습니다.

이 기능의 적용 대상은 누구입니까?

이 기능의 적용 대상은 다음과 같습니다.

  • Windows Server 2003 서비스 팩 1을 실행하는 원격 액세스 서버

  • Windows 2000 또는 Windows XP를 실행하여 원격 위치에서 회사 네트워크에 연결하는 원격 액세스 클라이언트 컴퓨터

  • 클라이언트 컴퓨터가 회사 네트워크에 액세스하도록 허용되기 전에 해당 컴퓨터 구성의 유효성을 검사하려는 네트워크 관리자

이 변경 사항이 중요한 이유는 무엇입니까?

원격 액세스 차단은 개인 네트워크의 제한된 부분에 대한 VPN 액세스를 제공하고 관리자가 컴퓨터가 최소 보안 요구 사항을 충족하는지 확인할 수 있도록 함으로써 네트워크 관리자에게 원격 액세스 클라이언트를 차단하는 메커니즘을 제공합니다. 컴퓨터가 네트워크 액세스에 필요한 지침을 충족한다고 확인되면 차단 제한 사항이 제거되어 클라이언트 컴퓨터가 네트워크 리소스에 대한 일반 액세스 권한을 부여받을 수 있습니다.

따라서 원격 위치에 있거나 도메인에 가입되어 있지 않아서 관리자의 범위 밖에 있는 취약한 클라이언트 컴퓨터가 개인 또는 회사 네트워크에 미치는 위협이 줄어듭니다.

Windows Server 2003 서비스 팩 1에서 변경되거나 추가된 설정은 무엇입니까?

 

설정 이름 위치 이전 기본값 기본값 사용 가능한 값

AllowedSet, REG_MULTI_SZ

HKEY_LOCAL_MACHINE \System \CurrentControlSet \Services\Rqs

N/A

RASQuarantineConfigPassed

N/A

Port, REG_DWORD

HKEY_LOCAL_MACHINE \System \CurrentControlSet \Services\Rqs

N/A

설정 안 됨

이 키가 설정되어 있지 않으면 서버는 포트 7250에서 클라이언트 알림을 수신합니다.

수신할 포트 번호

Authenticator, REG_SZ

HKEY_LOCAL_MACHINE \System \CurrentControlSet \Services\Rqs

N/A

설정 안 됨

NULL

Verifier, REG_SZ

HKEY_LOCAL_MACHINE \System \CurrentControlSet \Services\Rqs

N/A

설정 안 됨

NULL

이 정보가 도움이 되었습니까?
(1500자 남음)
의견을 주셔서 감사합니다.

커뮤니티 추가 항목

표시:
© 2014 Microsoft