이 부록은 ipsec을 사용하는 격리 그룹을 지원하는 데 필요한 인프라 구축에 대한 완벽한 지침을 제공합니다. 이 지침에서는 Microsoft® Windows Server™ 2003, Active Directory® 디렉터리 서비스 준비 및 IPsec 정책 구성 등을 다룹니다.
또한 가이드의 앞 부분에서 설명한 바 있는 Woodgrove 은행 시나리오에서 기본 IPsec 정책을 실행하는 데 사용한 구현 지침도 제공합니다.
이 부록은, 여기서 사용한 구현 결정의 배경이 되는 설계 프로세스와 이론을 다루고 있는 가이드의 다른 장과 함께 사용하도록 제작되었습니다. 또한 기본 IPsec 정책 인프라를 성공적으로 만들고 구현하는 데 필요한 작업 및 프로세스도 설명합니다. 이 부록을 진행하기 전에 먼저 이전 장들을 읽어 보는 것이 좋습니다. 또한 이 부록의 지침을 구현하기 전에 6장, "서버 및 도메인 격리 환경"에서 상세히 설명한 지원 요구 사항의 내용을 읽고 이해해야 합니다.
이 절은 사용자의 기업의 솔루션을 구현할 준비가 되었는지 판단하는 데 도움이 되는 정보를 제공합니다.
지식 전제 조건
IPsec, 네트워킹, 네트워크 아키텍처 등의 개념에 대해 잘 알고 있어야 합니다. 다음을 수행하기 위해서는 Windows Server 2003에도 익숙해야 합니다.
운영 체제 설치
Active Directory 개념(Active Directory 구조 및 도구, 사용자, 그룹 및 기타 Active Directory 개체 조작, 그룹 정책 사용 포함)
Windows 시스템 보안(사용자, 그룹, 감사 및 액세스 제어 목록(ACL), 보안 템플릿 활용, 그룹 정책 또는 명령줄 도구를 사용한 보안 템플릿 응용 프로그램 등의 보안 개념 포함)
이 부록을 계속하기 전에 이 안내서에서 제공하는 기획 지침을 읽고 솔루션의 아키텍처와 설계를 제대로 이해해야 합니다.
조직 전제 조건
이 솔루션을 구현하는 데 연관되어야 하는 조직 내 다른 사람들과의 의논이 필요합니다. 여기에는 다음과 같은 사람들이 포함될 수 있습니다.
비즈니스 스폰서
보안 및 감사 인력
Active Directory 엔지니어링, 관리, 운영 인력
DNS(Domain Name System), 웹 서버 및 네트워크 엔지니어링의 관리 및 운영 인력
참고: IT 조직은 여러 사람이 이 역할을 수행할 것인지 또는 이보다 소수의 사람이 여러 역할을 나눌 것인지 결정할 것입니다.
IT 인프라 전제 조건
또한 이 부록에서는 다음 IT 인프라가 있다고 가정합니다.
혼합 또는 기본 모드에서 실행되는 Windows Server 2003 Active Directory 도메인 이 솔루션은 그룹 정책 개체(GPO) 응용 프로그램에 유니버설 그룹을 사용합니다. 조직이 혼합 또는 기본 모드에서 실행되지 않는 경우에도 표준 글로벌 및 로컬 구성을 사용하여 GPO를 적용할 수 있습니다. 그러나 이 옵션은 관리가 복잡하므로 이 솔루션에서는 사용되지 않았습니다.
IP 보안 정책 관리 콘솔 이 도구를 통해 관리자는 IPsec 정책, 필터 작업 및 필터 목록을 생성, 확인 또는 수정할 수 있습니다. Microsoft 관리 콘솔(MMC) 스냅인이지만 컴퓨터에서 관리 도구 기본 목록에 나타나지는 않습니다. 이 도구를 사용하려면 명령 프롬프트에서 mmc.exe를 실행하여 스냅인을 직접 추가하십시오.
IP 보안 모니터 관리 콘솔 이 도구를 통해 관리자는 컴퓨터에 적용되는 여러 규칙과, 연결된 기본 모드 및 빠른 모드 보안 연결(SA)을 볼 수 있습니다. IP 보안 관리 콘솔처럼 이 도구도 관리 도구 메뉴에 기본적으로 나타나지 않으므로 mmc.exe 프로그램을 통해 직접 로드해야 합니다.
이러한 도구를 구현 팀 워크스테이션에 가져오고 설치하여, 구현에 앞서 팀 구성원들이 각 도구 기능에 익숙해질 수 있도록 하는 것이 좋습니다.
Woodgrove 은행은 점진적 방법을 통해 우선 모든 컴퓨터를 경계 격리 그룹으로 이동하여 배포를 구현하도록 선택했습니다. 이러한 접근을 통해 관리자는 천천히 단계적으로 구현을 진행하여 컴퓨터 간의 통신에 큰 영향을 미치지 않고도 중대한 문제를 해결할 수 있었습니다. 먼저 보안 서브넷 없이 정책을 배포하여 관리자 팀이 할당된 로컬 IPsec 정책을 가진 모든 컴퓨터를 식별하고 이러한 정보를 고려할 수 있었습니다. 서브넷이 정책에 추가되면서 발생하는 추가적인 충돌을 해결했습니다.
컴퓨터를 경계 격리 그룹 정책 하에서 운영한 후, 팀은 표준, 아웃바운드 지우기 허용 및 암호화 격리 그룹으로 이동했습니다. 이러한 고립 그룹은 이 가이드의 4장, "고립 그룹 설계 및 계획"에서 설명한 "그룹별 배포"를 통해 배포되었습니다. 테스트로 일련의 컴퓨터를 선택하여 새 정책을 제어하는 적절한 그룹에 추가했습니다. 모든 문제를 해결하고 해당 고립 그룹이 완전히 채워질 때까지 다른 컴퓨터를 해당 그룹에 추가했습니다.
대규모 조직에서 각각의 의도한 컴퓨터에 적절한 IPsec 정책을 배치하는 프로세스는 복잡해지기 쉽습니다. Active Directory에서 사용 가능한 정책 메커니즘은 이러한 프로세스를 간소화합니다. 이 부록의 다음 절에서는 IPsec 정책 구현에 필요한 정보를 제공합니다.
구성 스크립트 복사
IPsec 정책을 설정하기 위해 제일 먼저 수행할 작업은 필요한 구성 스크립트를 이를 저장할 도메인 컨트롤러에 복사하는 것입니다. 이 솔루션에서 제공한 구성 스크립트는 Woodgrove 은행 랩 구성에 사용된 것입니다. Woodgrove 은행 시나리오에서는 다음 절차를 수행했습니다.
구성 스크립트를 복사하기 위해 다음을 수행했습니다.
IPS-CH-DC-01에 Americas 도메인 관리자로 로그온합니다.
C:\IPsec Scripts.폴더를 생성합니다.
솔루션의 Tools and Templates 폴더에서 C:\IPsec Scripts 폴더로 스크립트 파일을 복사합니다.
그룹 정책 관리 콘솔 설치
GPMC는 솔루션이 사용하는 GPO를 설치 및 구성하는 데 사용합니다. GPMC는 IPS-CH-DC-01에만 설치되면 되며, 부차적인 서버에 대한 설치는 선택 사항입니다.
설치 마법사의 프롬프트에 따라 GPMC를 설치합니다. 모든 기본값을 그대로 받아들이십시오.
중요: GPMC는 Program Files 폴더에 설치해야 합니다. 폴더가 있는 드라이브는 상관없습니다. 또한 Program Files 폴더 내의 기본 설치 폴더(GPMC)를 사용해야 합니다. 이 폴더 이름을 변경한 경우 Constants.txt 파일의 이름을 업데이트해야 합니다. GPMC가 설치한 일부 도구를 이후 절차에서 사용하며, GPMC를 그 밖의 위치에 설치한 경우 이 파일을 업데이트하지 않으면 GPMC를 찾을 수 없게 됩니다.
IPsec 필터 목록 및 필터 작업 구현
IPsec 필터 목록 및 필터 작업의 생성은 Netsh 도구나 IP 보안 정책 관리 MMC 스냅인을 사용하여 수행됩니다.
IP 보안 정책 관리 MMC 스냅인이 IPsec에 대한 그래픽 인터페이스를 제공하지만, 많은 관리자들은 Netsh 명령줄 도구를 사용하여 스크립트를 관리 및 업데이트하는 것이 더 쉽다고 여깁니다. 또한 스크립트는 도메인 또는 포리스트 간에 쉽게 이식될 수 있습니다. 이 솔루션에서는 Netsh 스크립트를 사용하여 IPsec 필터 목록과 필터 작업을 구현했습니다.
참고: 로컬에서 저장소 포커스를 설정하여 Windows Server 2003을 실행하는 컴퓨터에 로컬 정책 저장소에 대하여 모든 스크립트를 테스트하십시오. 스크립트 디버그 후 저장소 설정을 마지막 가져오기에 대한 도메인에 맞게 수정합니다.
IPsec 필터 목록과 필터 작업을 생성하려면 다음을 수행하십시오.
IPS-CH-DC-01 도메인에 Americas 도메인 관리자로 로그온합니다.
명령 프롬프트를 열고
netsh –f "c:\IPsec Scripts\PacketFilters.txt" 입력한 후 Enter를 클릭합니다.
참고: 스크립트를 통해 빈 필터 목록이 생성된 경우 다음 오류가 명령줄에 표시됩니다: ERR IPsec [05022]: No filters in FilterList with name "<Filter List Name>." 이 메시지는 무시해도 좋습니다.
IP 보안 정책 관리 MMC 스냅인을 실행하고 필터 목록과 필터 작업이 Active Directory에 생성되었는지 확인합니다.
참고: 로컬 정책에 대해 테스트하려면 2단계에서 실행된 스크립트가 set store location=local로 구성되었는지 확인하십시오. 3단계에서 MMC 스냅인이 도메인보다는 로컬 컴퓨터에 맞춰져 있는지 확인합니다.
IPsec 정책 구현
필터 목록과 필터 작업을 생성한 후에 IPsec 정책을 생성한 스크립트를 실행할 수 있습니다.
참고: 스크립트가 생성한 정책은 테스트를 위해 폴링 간격이 5분으로 구성됩니다.
다음 표는 정책 이름과 정책이 작성한 스크립트 파일을 표시합니다. 이 스크립트 파일 이름은 다음 절차의 2단계에서 사용될 것입니다.
표 C.1: IPsec 정책과 스크립트 파일 매핑
IPsec 정책 이름
스크립트 파일 이름
IPSEC – 경계 격리 그룹 IPsec 정책(1.0.041001.1600)
BoundaryIGPolicy.txt
IPSEC – Fallback 격리 없음 그룹 IPsec 정책(1.0.041001.1600)
NoFallbackIGPolicy.txt
IPSEC – 격리 도메인 IPsec 정책(1.0.041001.1600)
IsolationDomainPolicy.txt
IPSEC – 암호화 격리 그룹 IPsec 정책(1.0.041001.1600)
EncryptionIGPolicy.txt
**IPsec 정책을 생성하려면 다음을 수행하십시오.**
1. IPS-CH-DC-01에 Americas 도메인 관리자로 로그온합니다.
2. 명령 프롬프트를 엽니다. 각 정책에 대해 다음을 입력하십시오.
```
netsh –f "c:\\IPsec Scripts\\<Script Filename>" and then press ENTER.
```
**참고:** 필터 목록이 빈 경우, Netsh는 "ERR IPsec \[05022\]..."로 시작하는 오류를 표시합니다. 이 메시지는 무시해도 좋습니다.
3. IP 보안 정책 관리 MMC 스냅인을 실행하고 IPsec 정책이 Active Directory에 생성되었는지 확인합니다.
**참고:** 로컬 정책에 대해 테스트하려면 2단계에서 실행된 스크립트가 **set store location=local**로 구성되었는지 확인하십시오. 3단계에서 MMC 스냅인이 도메인보다는 로컬 컴퓨터에 맞춰져 있는지 확인합니다.
#### IPsec 정책에 대한 GPO 생성
Woodgrove 은행은 IPsec 정책을 제공하기 위해 4가지 GPO를 만들었습니다. 각각의 GPO는 GPO 내에서 할당된 IPsec 정책에 따라 명명되었습니다. 정책이 Active Directory 내에서 링크될 때까지, 이러한 GPO는 환경에 IPsec 정책을 제공하지 않습니다.
다음 표는 GPO가 제공할 각 GPO 이름 및 IPsec 정책 이름을 나타냅니다.
**표 C.2: Woodgrove 은행 GPO와 IPsec 매핑**
GPO 이름
IPsec 정책 이름
IPSEC – 경계 격리 그룹 정책
IPSEC – 경계 격리 그룹 IPsec 정책(1.0.041001.1600)
IPSEC – Fallback 격리 없음 그룹 정책
IPSEC – Fallback 격리 없음 그룹 IPsec 정책(1.0.041001.1600)
IPSEC – 격리 도메인 정책
IPSEC – 격리 도메인 IPsec 정책(1.0.041001.1600)
IPSEC – 암호화 격리 그룹 정책
IPSEC – 암호화 격리 그룹 IPsec 정책(1.0.041001.1600)
**IPsec 정책에 대한 GPO를 생성하려면 다음을 수행하십시오.**
1. IPS-CH-DC-01에 Americas 도메인 관리자로 로그온합니다.
2. GPMC를 시작합니다.
3. **Forest: corp.woodgrovebank.com**, 도메인, **americas.corp.woodgrovebank.com**을 확장합니다.
4. **그룹 정책 개체**를 마우스 오른쪽 단추로 누르고 **새로 만들기**를 클릭합니다.
5. **이름** 입력란에 *<GPO name>*을 입력한 다음 **확인**을 클릭합니다.
6. ***<GPO name>***을 마우스 오른쪽 단추로 누른 다음 **편집**을 클릭합니다.
7. **컴퓨터 구성**, **Windows 설정**, **보안 설정**을 확장하고 **Active Directory의 IP 보안 정책(corp.woodgrovebank.com)**을 클릭합니다.
8. 오른쪽 창에서 ***<IPsec policy name>***을 오른쪽 마우스 단추로 누르고 **할당**을 클릭합니다.
9. *<IPsec policy name>*이 할당되었는지 확인한 다음 GPO 편집기를 닫습니다.
10. 이전 표의 각 *<GPO name>* 및 *<IPsec policy name>* 조합에 대하여 4-9단계를 반복합니다.
#### IPsec 그룹 정책에서 보안 설정
Woodgrove 은행은 정책 응용 프로그램을 제어하는 데 IPsec 정책을 포함하는 GPO의 보안 ACL을 사용했습니다. 첫 번째 장점은 정책을 여러 조직 단위를 통해서가 아니라 도메인 수준에서 링크할 수 있으므로 정책 응용 프로그램 관리가 간소화되었습니다. 나아가 컴퓨터 계정을 특수 OU로 이동하지 않고도 단계별 롤아웃이 구현될 수 있었습니다. 대신 테스트에 참가하는 컴퓨터 계정이 적당한 그룹에 추가되었습니다. 단점은 조직에 훌륭한 그룹 관리 도구가 필요하다는 점입니다.
##### 그룹 생성
Woodgrove 은행 조직 전반에 정책이 적용되는 방법을 제어하기 위해 일련의 그룹이 생성되었습니다. Woodgrove 은행 포리스트는 기본 모드에 있으므로 유니버설 그룹을 사용하여 모든 도메인에서 정책을 제어했습니다.
**표 C.3: Woodgrove 은행 유니버설 그룹**
그룹 이름
설명
CG_NoIPsec_computers
IPsec 환경에 참여하지 않은 컴퓨터 계정으로 구성된 유니버설 그룹으로 보통 인프라 컴퓨터 계정임
CG_BoundaryIG_computers
트러스트되지 않은 컴퓨터와의 통신이 허용된 컴퓨터 계정으로 구성된 유니버설 그룹
CG_ EncryptionIG_computers
암호화 격리 그룹에 있는 컴퓨터 계정으로 구성된 유니버설 그룹
CG_ IsolationDomain_computers
격리 도메인의 일부인 컴퓨터 계정으로 구성된 유니버설 그룹
CG_NoFallbackIG_computers
Fallback 격리 없음 그룹의 일부인 컴퓨터 계정으로 구성된 유니버설 그룹
**Woodgrove 은행 유니버설 그룹을 생성하려면 다음을 수행하십시오.**
1. IPS-CH-DC-01에서 Active Directory 사용자 및 컴퓨터를 엽니다.
2. **사용자** 컨테이너를 마우스 오른쪽 단추로 클릭하고 **새로 만들기**를 클릭한 다음 **사용자**를 클릭합니다.
3. **그룹 이름** 입력란에 이전 표의 처음 *<그룹 이름>*을 입력합니다.
4. **유니버설 보안 그룹**을 선택한 다음 **확인**을 클릭합니다.
5. 각 그룹에 대해 2-4단계를 반복하십시오.
6. 처음 ***<그룹 이름>***을 마우스 오른쪽 단추로 누르고 **속성**을 클릭합니다.
7. **설명** 입력란에, 이전 표의 처음 *<설명>*을 입력합니다.
8. **확인**을 클릭합니다.
9. 이전 표에 나열된 각 그룹에 대해 6-8단계를 반복하십시오.
##### GPO 보안 구성
그룹은 IPsec 참가에 대하여 어떤 컴퓨터가 어떤 정책을 가질 것인가를 제어하는 데 사용됩니다. 적절한 그룹을 구성하기 위해 새로 생성된 IPsec 정책 각각에서 보안 ACL을 구성해야 합니다. 다음 표는 각 GPO에 추가될 ACL을 나타냅니다.
**주의:** 조직에서 도메인 관리 그룹이 IPsec 정책을 관리하도록 하기 보다는 관리 권한을 누군가에게 위임할 경우, 위임 받은 관리 그룹에 Active Directory의 IP 보안 컨테이너에 대한 전체 제어 권한을 부여해야 합니다.
**표 C.4: Woodgrove 은행 정책 그룹 허용 권한**
GPO 이름
그룹 또는 계정 이름
할당된 권한
IPSEC – 경계 격리 그룹 정책
CG_NoIPsec_computers
적용 거부 그룹 정책
CG_BoundaryIG_computers
읽기 및 적용 허용 그룹 정책
IPSEC – Fallback 격리 없음 그룹 정책
CG_NoIPsec_computers
적용 거부 그룹 정책
CG_NoFallbackIG_computers
읽기 및 적용 허용 그룹 정책
IPSEC – 격리 도메인 정책
CG_NoIPsec_computers
적용 거부 그룹 정책
IPSEC – 격리 도메인 정책
CG_ IsolationDomain_computers
읽기 및 적용 허용 그룹 정책
IPSEC – 암호화 격리 그룹 정책
CG_NoIPsec_computers
적용 거부 그룹 정책
CG_ EncryptionIG_computers
읽기 및 적용 허용 그룹 정책
**참고:** 경계 격리 그룹 정책은 도메인 컴퓨터 그룹을 CG\_BoundaryIG\_computers 그룹에 배치함으로써 도메인 컴퓨터 그룹이 초기 점진적 프로세스에 대한 정책을 적용할 수 있도록 구성되었습니다. 모든 컴퓨터를 해당 그룹으로 이동한 후, CG\_BoundaryIG\_computers 그룹에서 도메인 컴퓨터가 제거됩니다.
**GPO에서 그룹 허용 권한을 설정하려면 다음을 수행하십시오.**
1. IPS-CH-DC-01에서 GPMC를 Americas 도메인 관리자로 실행합니다.
2. **Forest: corp.woodgrovebank.com**, 도메인, **americas.corp.woodgrovebank.com**, **그룹 정책 개체**를 차례로 확장합니다.
3. 이전 표에서 처음 ***<GPO name>***를 클릭한 다음 **위임** 탭을 클릭합니다.
4. **고급** 단추를 클릭합니다.
5. **그룹 또는 사용자 이름** 스크롤 상자에서, **인증된 사용자**를 클릭하고 권한 **그룹 정책 적용** 허용 확인란을 선택 해제합니다.
6. **추가** 단추를 클릭합니다.
7. **선택할 개체 이름 입력** 입력란에 이전 표의 각각의 *<그룹 또는 계정 이름>*을 세미콜론(;)으로 구분하여 입력하고 **확인**을 클릭합니다.
8. **그룹 또는 사용자 이름** 입력란에서 ***<그룹 또는 계정 이름>****을* 선택하고 **허용 권한**의 *<할당된 권한>* 확인란을 설정합니다.
9. *<정책 이름>*과 연결된 각각의 *<그룹 또는 계정 이름>*에 대하여 8단계를 반복합니다.
10. **확인**을 클릭합니다.
11. 할당할 권한이 거부 권한인 경우 메시지 상자가 나타나면 **예**를 누르고, 그렇지 않은 경우 12단계를 진행하십시오.
12. 각 *<정책 이름>*에 대하여 3-11단계를 반복합니다.
**참고:** 각 정책에 대한 보안 ACL에서 인증된 사용자에 대한 항목에 읽기 허용 권한만 부여되도록 하십시오. 적용 권한도 부여된 경우, 정책이 모든 컴퓨터로 배포됩니다.
#### 경계 격리 그룹 컴퓨터가 암호화 격리 그룹 컴퓨터로 연결을 시작하지 못하도록 차단
Woodgrove 은행은 경계 격리 그룹의 컴퓨터가 암호화 격리 그룹의 컴퓨터와의 통신을 시작하지 못하도록 차단할 것을 요구했습니다. 이러한 제약 사항을 구현하기 위해 DNAG\_EncryptionIG\_computers라는 그룹을 생성하여 이 그룹의 구성원이 암호화 격리 그룹에 있는 컴퓨터로 액세스하는 것을 거부하도록 하였습니다. 암호화 격리 그룹 정책을 구성하여 DNAG\_EncryptionIG\_computers가 "네트워크에서 컴퓨터 액세스 거부" 권한을 갖고, CG\_BoundaryIG\_computers 그룹이 DNAG\_EncryptionIG\_computers 그룹에 배치되도록 하였습니다. IPSEC - 암호화 격리 그룹 정책 GPO를 수정하여 이러한 구성을 수행했습니다.
**DNAG\_EncryptionIG\_computers 그룹을 생성하려면 다음을 수행하십시오.**
1. IPS-CH-DC-01에서 Active Directory 사용자 및 컴퓨터를 엽니다.
2. **사용자** 컨테이너를 마우스 오른쪽 단추로 클릭하고 **새로 만들기**를 클릭한 다음 **사용자**를 클릭합니다.
3. **그룹 이름** 입력란에 DNAG\_EncryptionIG\_computers를 입력합니다.
4. **도메인 로컬** 보안 그룹을 선택하고 **확인**을 클릭합니다.
5. **DNAG\_EncryptionIG\_computers**를 마우스 오른쪽 단추로 클릭한 다음 **속성**을 클릭합니다.
6. **설명** 입력란에 "암호화 격리 그룹에 대한 액세스 거부에 사용됨"이라고 입력합니다.
7. **확인**을 클릭합니다.
**IPSEC – 암호화 격리 그룹 정책이 DNAG\_EncryptionIG\_computers 구성원을 차단하도록 구성하려면 다음을 수행하십시오.**
1. IPS-CH-DC-01에서 GPMC를 Americas 도메인 관리자로 실행합니다.
2. **Forest: corp.woodgrovebank.com**, 도메인, **americas.corp.woodgrovebank.com**, **그룹 정책 개체**를 차례로 확장합니다.
3. **IPSEC – 암호화 격리 그룹 정책**을 마우스 오른쪽 단추로 누르고 **편집**을 클릭합니다.
4. **컴퓨터 구성**, **Windows 설정**, **보안 설정**, **로컬 정책** 및 **사용자 권한 할당**을 차례로 확장합니다.
5. **네트워크에서 이 컴퓨터 액세스 거부**를 마우스 오른쪽 단추로 누르고 **속성**을 클릭합니다.
6. **이 정책 설정 정의** 확인란을 선택합니다.
7. **사용자 또는 그룹 추가** 단추를 클릭합니다.
8. **찾아보기** 단추를 클릭합니다.
9. 입력란에 DNAG\_EncryptionIG\_computers를 입력하고 **확인**을 클릭합니다.
10. **확인**을 다시 클릭합니다.
11. **확인**을 클릭하여 **속성** 페이지를 닫습니다.
12. 그룹 정책 편집기를 닫습니다.
13. GPMC를 닫습니다.
**CG\_BoundaryIG\_computers 그룹으로 DNAG\_EncryptionIG\_computers 그룹을 채우려면 다음을 수행하십시오.**
1. IPS-CH-DC-01에서 Americas 도메인 관리자 권한으로 Active Directory 사용자 및 컴퓨터를 실행합니다.
2. 도메인을 확장한 다음 **사용자**를 클릭합니다.
3. 오른쪽 창에서 **DNAG\_EncryptionIG\_computers** 보안 그룹을 마우스 오른쪽 단추로 누른 후 **속성**을 클릭합니다.
4. **구성원** 탭을 클릭한 후 **추가**를 클릭합니다.
5. **선택할 개체 이름 입력** 입력란에 CG\_BoundaryIG\_computers를 입력한 후 **확인**을 클릭합니다.
6. **확인**을 클릭합니다.
#### 경계 그룹에 도메인 컴퓨터 추가
초기 배포에 대해서는 경계 격리 그룹이 사내 IPsec 인식에 대한 기본 격리 그룹으로 사용됩니다. 이 계획을 구현하기 위해 도메인 컴퓨터 그룹은 CG\_BoundaryIG\_computers 그룹에 추가됩니다.
**CG\_BoundaryIG\_computers 그룹에 도메인 컴퓨터를 추가하려면 다음을 수행하십시오.**
1. IPS-CH-DC-01에서 Americas 도메인 관리자 권한으로 Active Directory 사용자 및 컴퓨터를 실행합니다.
2. 도메인을 확장한 다음 **사용자**를 클릭합니다.
3. 오른쪽 창에서 **CG\_BoundaryIG\_computers** 보안 그룹을 마우스 오른쪽 단추로 누른 후 **속성**을 클릭합니다.
4. **구성원** 탭을 클릭한 후 **추가**를 클릭합니다.
5. **선택할 개체 이름 입력** 입력란에 도메인 컴퓨터를 입력한 후 **확인**을 클릭합니다.
6. **확인**을 다시 클릭합니다.
**참고:** IPsec 정책의 복제 지연 및 폴링 간격 때문에, CG\_BoundaryIG\_computers 그룹에 도메인 컴퓨터 그룹이 추가되는 시간과 경계 격리 그룹 정책이 적용되는 시간 사이에는 지연이 있습니다. 이 시점에서 IPsec 정책을 즉시 적용해야 할 경우 컴퓨터를 다시 시작해도 됩니다. 그렇지 않으면 세션 티켓이 만료된 후에 정책이 적용되어 새로운 구성원 정보로 새로 고쳐질 것입니다.
#### CG\_NoIPSec\_Computers 그룹에 인프라 서버 추가
인프라 서버가 통신을 방해할 수 있는 정책(서버의 IP 주소가 변경된 경우 등)을 수신하지 않도록 하기 위해 다음 인프라 서버 컴퓨터 계정을 CG\_NoIPsec\_computers 보안 그룹에 추가했습니다.
- IPS-RT-DC-01
- IPS-CH-DC-01
**인프라 서버를 CG\_NoIPsec\_computers 그룹에 추가하려면 다음을 수행하십시오.**
1. IPS-CH-DC-01에서 Americas 도메인 관리자 권한으로 Active Directory 사용자 및 컴퓨터를 실행합니다.
2. 도메인을 확장한 다음 **사용자**를 클릭합니다.
3. 오른쪽 창에서 **CG\_NoIPsec\_computers** 보안 그룹을 마우스 오른쪽 단추로 누른 후 **속성**을 클릭합니다.
4. **구성원** 탭을 클릭한 후 **추가**를 클릭합니다.
5. **개체 유형** 단추를 클릭하고 **컴퓨터** 확인란을 선택한 다음 **확인**을 클릭합니다.
6. **선택할 개체 이름 입력** 입력란에 이전 목록의 각 컴퓨터 이름을 세미콜론(;)으로 구분하여 입력하고 **확인**을 클릭합니다.
7. **확인**을 다시 클릭합니다.
#### 도메인 환경에서 IPsec 정책 및 GPO 링크
IPsec 정책을 배포하기 전에 도메인 환경 내의 위치에 링크되어야 합니다. Woodgrove 은행은 보안 그룹을 사용하여 GPO를 관리하도록 선택했으므로 정책 배포에 OU 구조가 크게 중요하지는 않습니다. 그러나 정책 응용 프로그램을 차단하는 OU가 있는 경우, IPsec GPO가 해당 정책 응용 프로그램에 대한 OU에 직접 링크되어야 합니다. 도메인 IPsec 정책 GPO에서 정책 적용을 활성화하는 것도 또 다른 대안이 될 수 있습니다.
**IPsec 정책을 기존 GPO에 링크하려면 다음을 수행하십시오.**
1. 도메인 관리자로 GPMC를 실행합니다.
2. 도메인을 확장합니다.
3. 도메인 이름을 마우스 오른쪽 단추로 누르고 **기존 GPO 링크**를 클릭합니다.
4. **그룹 정책 개체** 목록에서 모든 IPSEC 명명 정책을 선택하고 **확인**을 클릭합니다.
5. 다음 표에서처럼, 오른쪽 창에서 화살표 키를 사용하여 정책을 정렬합니다.
**표 C.5: 도메인 수준에서 그룹 정책 개체 링크 순서**
링크 순서
그룹 정책 개체 이름
1
IPSEC – 암호화 격리 그룹 정책
2
IPSEC – Fallback 격리 없음 그룹 정책
3
IPSEC – 격리 도메인 정책
4
IPSEC – 경계 격리 그룹 정책
5
기본 도메인 정책
[](#mainsection)[페이지 위쪽](#mainsection)
### 정책 점진적 방법을 통해 기본 IPsec 정책 활성화
IPsec 인프라 롤아웃의 최초 작업은 정책 점진적 배포 방법을 통한 경계 격리 그룹 정책의 배포입니다. 경계 격리 그룹을 Woodgrove 은행 환경의 모든 컴퓨터에 대한 격리 도메인으로 할 의도는 아니었지만 배포의 첫 단계에서 모든 컴퓨터에 적용되도록 구성되었습니다.
경계 격리 그룹 정책이 비 IPsec 통신을 허용 및 수용하므로, 환경에 점진적으로 배포하는 것이 가장 안전한 정책일 것입니다. 처음에 정책은 정의된 보안 서브넷 없이 배포되었습니다. 이를 통해 Woodgrove 은행 관리자는 기존 로컬 IPsec 정책을 수정할 수 있었습니다. 다음으로 서브넷이 하나씩 추가되고 IPsec 협상이 제대로 발생하는지를 테스트했습니다.
#### 보안 서브넷 필터 목록에 서브넷 추가
빈 경계 격리 그룹 정책을 조직 내의 컴퓨터에 적용한 후 기존 로컬 IPsec 정책과의 충돌을 해결하고, Woodgrove 은행 관리자가 정책 점진적 배포를 시작했습니다.
정책의 점진적 배포는 조직의 서브넷이 보안되었는가를 확인하는 것으로 구성되었습니다. 식별된 서브넷은 하나씩 정책에 추가되었습니다. 최초 항목을 필터 목록에 추가한 후 필터 목록이 정책에 추가됩니다.
각 서브넷을 추가한 후에는 기업 내 컴퓨터에 정책이 적용될 수 있는 시간을 주고 충돌을 해결하였습니다. 이 프로세스는 전체 보안 서브넷 필터 목록이 배포될 때까지 반복되었습니다.
다음 표는제작 네트워크를 제대로 반영하기 위해 사용된 Woodgrove 은행 랩에서 식별된 보안 서브넷을 나타냅니다.
**표 C.6: Woodgrove 은행 테스트 랩의 보안 서브넷 목록**
서브넷
넷마스크
설명
192.168.1.0
255.255.255.0
조직 LAN 서브넷 192.168.1.0/24
172.10.1.0
255.255.255.0
조직 LAN 서브넷 172.10.1.0/24
**보안 서브넷 필터 목록의 처음 항목을 생성하려면 다음을 수행하십시오.**
1. IPS-CH-DC-01에 Americas 도메인 관리자로 로그온합니다.
2. IP 보안 정책 관리 MMC 스냅인을 실행합니다.
3. **Active Directory의 IP 보안 정책**을 마우스 오른쪽 단추로 누른 다음 **IP 필터 목록 및 필터 작업 관리**를 클릭합니다.
4. **IP 필터 목록 관리** 탭에서 **IPSEC –Organization Secure Subnets**, 을 클릭한 후 **편집**을 클릭합니다.
5. **추가 마법사 사용** 확인란이 선택 해제되었는지 확인합니다.
6. **추가**를 클릭합니다.
7. **주소** 탭의 **원본 주소** 드롭다운 목록에서 **모든 IP 주소**를 클릭합니다.
8. **대상 주소** 드롭다운 목록에서 **특정 IP 서브넷**을 클릭하고 이전 표의 정보를 사용하여 **IP 주소** 및 **서브넷 마스크** 입력란을 입력합니다.
9. **미러됨** 옵션이 선택되었는지 확인합니다.
10. **설명** 탭에서 해당하는 이전 표의 설명을 입력하십시오.
11. **확인**을 클릭하여 **IP 필터 속성** 대화 상자를 닫습니다.
12. **확인**을 클릭하여 **IP 필터 목록** 대화 상자를 닫습니다.
13. **닫기**를 클릭하여 **IP 필터 및 필터 작업 관리** 대화 상자를 닫습니다.
**보안 서브넷 필터를 경계 격리 그룹 정책에 추가하려면 다음을 수행하십시오.**
1. IPS-CH-DC-01에 Americas 도메인 관리자로 로그온합니다.
2. IP 보안 정책 관리 MMC 스냅인을 실행합니다.
3. **IPSEC – 경계 격리 그룹 IPsec 정책(1.0.041001.1600)**을 마우스 오른쪽 단추로 누르고 **속성**을 클릭합니다.
4. **규칙** 탭에서 **추가 마법사 사용** 확인란을 선택하지 않았음을 확인하고 **추가를 클릭합니다**.
5. **IP 필터 목록** 탭에서 **IPSEC –Organization Secure Subnets**를 클릭합니다.
6. **필터 작업** 탭에서 **IPSEC – 요청 모드(인바운드 수용, 아웃바운드 허용)**을 클릭합니다.
7. **연결 형식** 탭에서 **모든 네트워크 연결** 확인란이 선택되었는지 확인합니다.
8. **터널 설정** 탭에서 **This rule does not specify an IPsec tunnel** 확인란이 선택되었는지 확인합니다.
9. **인증 방법** 탭에서 Kerberos 방법만 나열되었는지 확인합니다.
10. **확인**을 클릭하여 **규칙 속성 편집** 대화 상자를 닫습니다.
11. **확인**을 클릭하여 **IPSEC – Boundary isolation group IPsec Policy (1.0.041001.1600) Properties** 대화 상자를 닫습니다.
12. 정책 적용을 허용한 후 본 부록의 다음 절인 "기본 배포 확인"에서 설명하는 확인 절차를 실행합니다.
**남은 서브넷을 보안 서브넷 필터 목록에 추가하려면 다음을 수행하십시오.**
1. IPS-CH-DC-01에 Americas 도메인 관리자로 로그온합니다.
2. IP 보안 정책 관리 MMC 스냅인을 실행합니다.
3. **Active Directory의 IP 보안 정책**을 마우스 오른쪽 단추로 누른 다음 **IP 필터 목록 및 필터 작업 관리**를 클릭합니다.
4. **IP 필터 목록 관리** 탭에서 **IPSEC –Organization Secure Subnets**, 를 클릭한 후 **편집**을 클릭합니다.
5. **추가 마법사 사용** 확인란이 선택 해제되었는지 확인합니다.
6. **추가**를 클릭합니다.
7. **주소** 탭의 **원본 주소** 드롭다운 목록에서 **모든 IP 주소**를 클릭합니다.
8. **대상 주소** 드롭다운 목록에서 **특정 IP 서브넷**을 클릭하고 이전 표의 정보를 사용하여 IP 주소 및 서브넷 마스크를 입력합니다.
9. **미러됨** 옵션이 선택되었는지 확인합니다.
10. **설명** 탭에서 해당하는 이전 표의 설명을 입력하십시오.
11. **확인**을 클릭하여 **IP 필터 속성** 대화 상자를 닫습니다.
12. **확인**을 클릭하여 **IP 필터 목록** 대화 상자를 닫습니다.
13. **닫기**를 클릭하여 **IP 필터 및 필터 작업 관리** 대화 상자를 닫습니다.
14. 정책 적용을 허용한 후 본 부록의 다음 절인 "기본 배포 확인"에서 설명하는 확인 절차를 실행합니다.
15. 각 서브넷에 대하여 2-14단계를 반복합니다.
#### 기본 배포 확인
비활성 단계에서 정책 개체를 생성하고 Active Directory로 배포한 후, 기본 정책이 조직 내 모든 컴퓨터에 대해 기본 격리 그룹을 적용하기 전에 확인 절차를 수행해야 합니다. 확인을 통해 기본 구성에 오류가 있는 경우 참여하는 호스트의 잠재적인 오류를 최소화할 수 있습니다.
##### 기능적 구현 테스트
IPsec 기능을 확인하기 위해 수행하는 가장 간단한 테스트는 보안 조직 네트워크에 있는 컴퓨터 및 보안 조직 네트워크에 나열된 서브넷에 있지 않은 컴퓨터에 대하여 **net view** 명령을 실행하는 것입니다.
보안 서브넷에 있는 컴퓨터는 IP 보안 모니터 MMC 스냅인 내에서 볼 수 있는 하드 SA를 협상해야 합니다. IPsec 참가자와 보안 조직 네트워크에 나열된 서브넷에 있지 않은 컴퓨터 간에는 소프트 SA가 생성되어야 합니다.
**적용된 IPsec 정책의 기능을 테스트하려면 다음을 수행하십시오.**
1. 보안 서브넷 컴퓨터에서 명령 프롬프트를 열고
net view \\\\<컴퓨터 이름>을 입력한 후 ENTER를 클릭합니다. *<컴퓨터 이름>*에는 다른 보안 서브넷 컴퓨터와 보안 서브넷에 있지 않은 컴퓨터를 모두 입력합니다.
2. **net view** 명령을 시작한 컴퓨터에서 IP 보안 모니터 MMC 스냅인을 실행합니다.
3. **IP 보안 모니터**, ***<컴퓨터 이름>***, **빠른 모드**를 차례로 확장한 후 **보안 연결**을 클릭합니다.
4. **net view** 명령의 시작 대상인 각 컴퓨터에 대하여 다음을 확인합니다.
- 보안 조직 네트워크 참가자가 하드 SA를 협상했습니다. **ESP-Integrity** 열이 <없음>으로 설정되지 *않았습니다*.
- 참가자가 소프트 SA를 협상하지 않았습니다. **ESP-Integrity** 열이 <없음>으로 설정되었습니다.
[](#mainsection)[페이지 위쪽](#mainsection)
### 기능성 테스트용 도구 및 스크립트 테스트
기능성 테스트 중에는 많은 구성 설정을 모니터해야 합니다. 이러한 설정 중 대부분을 표준 도구를 통해 모니터할 수 있으나, 두 가지 작업은 표준 관리자가 친숙하지 않을 수도 있는 도구를 필요로 합니다. 이러한 작업은 컴퓨터에서 현재 활성화된 IPsec 정책 확인 및 협상한 SA 유형 결정 등과 관련이 있습니다.
#### IPsec 정책 응용 프로그램 확인
모든 플랫폼에 적용되는 일관된 방법은 없으므로, 어떤 컴퓨터에 부합하는 IPsec 정책을 결정하는 것은 어려운 일입니다. 많은 경우 그래픽 사용자 인터페이스(GUI)를 통해 IPsec 정책을 식별할 수 있으나, 또 다른 경우에서는 운영 체제와 함께 설치되었거나 설치되지 않았을 수 있는 명령줄 도구를 요구합니다.
##### Windows 2000
Windows 2000 Server를 실행 중인 컴퓨터에서 관리자는 Netdiag 명령을 사용하여 현재 적용된 IPsec 정책을 식별할 수 있습니다. 정책 이름과 정보를 검색하기 위해 관리자는 컴퓨터에 로그온하여 명령 프롬프트를 실행하고 다음을 입력합니다.
```
Netdiag /test:IPsec
```
다음은 이 명령의 출력의 한 예입니다.
```
IP Security test . . . . . . . . . : Passed
Directory IPsec Policy Active: ' IPSEC – Isolation
Domain IPsec Policy (1.0.041001.1600)'
```
##### Windows XP
Windows XP를 실행하는 시스템에서 관리자는 **IPseccmd.exe** 명령줄 도구를 통해 현재 적용된 IPsec 정책을 식별할 수 있습니다. 정책 이름과 정보를 검색하기 위해 관리자는 컴퓨터에 로그온하여 명령 프롬프트를 실행하고 다음을 입력합니다.
```
IPseccmd show gpo
```
다음은 이 명령의 출력의 한 예입니다.
```
Active Directory Policy
-----------------------
Directory Policy Name: IPSEC – Isolation Domain IPsec
Policy (1.0.041001.1600)
Description: Isolation Domain Policy (Allow Outbound)
Last Change: Fri Sep 03 15:20:29 2004
Group Policy Object: IPSEC – Isolation Domain Policy
Organizational Unit:
LDAP://DC=americas,DC=woodgrovebank,DC=com
Policy Path: LDAP://CN=IPsecPolicy{efa2185d-1a1d-40f6-
b977-314f152643ca},CN=IP
Security,CN=System,DC=americas,DC=woodgrovebank,DC=com
```
##### Windows Server 2003
Windows Server 2003을 실행하는 컴퓨터에서 관리자는 Netsh 명령줄 도구를 사용하여 현재 적용된 IPsec 정책을 식별할 수 있습니다. 정책 이름과 정보를 검색하기 위해 관리자는 컴퓨터에 로그온하여 명령 프롬프트를 실행하고 다음을 입력합니다.
```
netsh IPsec static show gpoassignedpolicy
```
다음은 이 명령의 출력의 한 예입니다.
```
Source Machine : Local Computer GPO
for
정책 이름
필터 작업
IPSEC – Fallback 격리 없음 그룹 IPsec 정책(1.0.041001.1600)
IPSEC – 전체 필요 모드(인바운드 무시, 아웃바운드 허용 안 함)
IPSEC – 격리 도메인 IPsec 정책(1.0.041001.1600)
IPSEC – 보안 요청 모드(인바운드 무시, 아웃바운드 허용)
IPSEC – 암호화 격리 그룹 IPsec 정책(1.0.041001.1600)
IPSEC – 암호화 필요 모드(인바운드 무시, 아웃바운드 허용 안 함)
**보안 조직 네트워크 필터 목록을 IPsec 정책에 추가하려면 다음을 수행하십시오.**
1. IPS-CH-DC-01에 Americas 도메인 관리자로 로그온합니다.
2. IP 보안 정책 관리 MMC 스냅인을 실행합니다.
3. **<*정책 이름*>**을 마우스 오른쪽 단추로 누르고 **속성**을 클릭합니다.
4. **규칙** 탭에서 **추가**를 클릭합니다.
5. **IP 필터 목록** 탭에서 **IPSEC –Organization Secure Subnets**를 클릭합니다.
6. **필터 작업** 탭에서 표 C.7로부터 해당하는 **<*필터 작업*>**을 클릭합니다.
7. **연결 형식** 탭에서 **모든 네트워크 연결** 확인란이 선택되었는지 확인합니다.
8. **터널 설정** 탭에서 **This rule does not specify an IPsec tunnel** 확인란이 선택되었는지 확인합니다.
9. **인증 방법** 탭에서 Kerberos 방법만 나열되었는지 확인합니다.
10. **확인**을 클릭하여 **규칙 속성 편집** 대화 상자를 닫습니다.
11. **확인**을 클릭하여 **<*정책 이름*>** **속성** 대화 상자를 닫습니다.
12. 이전 표에 나열된 각 정책에 대해 3-11단계를 반복합니다.
[](#mainsection)[페이지 위쪽](#mainsection)
### 네트워크 액세스 그룹 구성 활성화
네트워크 액세스 그룹을 사용하여 IPsec 응답자가, 선택된 그룹의 개시자 컴퓨터 및 확인된 사용자로부터의 연결만 수용하도록 한층 더 제한할 수 있습니다. 예를 들어, 관리자는 네트워크 액세스 그룹을 사용하여 관리 클라이언트 컴퓨터가 관리 컴퓨터가 시작한 수신 트래픽만 수용하지만 다른 리소스로 보내는 트래픽은 시작할 수 있도록 구성할 수 있습니다.
**참고:** 네트워크 액세스 그룹의 컴퓨터와 통신을 시작해야 하는 컴퓨터(예, 폴링을 사용하는 모니터 시스템)가 네트워크 액세스 그룹에 포함되지 않은 경우 이를 실패하게 되므로 이 옵션을 정의할 때는 주의를 요합니다.
#### 네트워크 액세스 그룹 구현
Woodgrove 은행의 설계자는 도메인 로컬 그룹의 사용을 통한 네트워크 액세스 그룹 구현을 선택했습니다. 이 후 이러한 그룹은 개시자를 정의하는 데 사용됩니다. 개시자 그룹에게 응답자 상에서 "네트워크에서 이 컴퓨터 액세스" 권한을 부여하고, 권한에서 인증된 사용자 그룹을 제거했습니다. Woodgrove 은행은 도메인 로컬 그룹을 통해 네트워크 액세스 그룹을 구현했습니다.이는 이러한 그룹이 60분마다 새로 고쳐지는 세션 티켓에 저장되기 때문입니다. 글로벌 또는 유니버설 그룹이 사용되었다면 네트워크 액세스 그룹은 수명이 8시간인 TGT(ticket granting ticket)에 저장되어야 합니다. 도메인 로컬 그룹을 사용하여, 그룹 변경 사항이 보다 시기 적절하게 적용될 수 있습니다.
**참고:** 이 솔루션이 "네트워크에서 이 컴퓨터 액세스" 권한과 함께 도메인 로컬 그룹을 사용하여 네트워크 액세스 그룹을 구현했으나, 미리 공유된 키나 인증서를 사용하여 개별 네트워크 액세스 그룹을 구현할 수 있습니다.
Woodgrove 은행의 설계자는 암호화 격리 그룹의 액세스를 제어하는 데 사용되는 하나의 네트워크 그룹을 식별하였습니다.
##### 액세스 제어를 위한 보안 그룹 생성
**표 C.8: Woodgrove 은행 네트워크 액세스 그룹 보안 그룹**
그룹 이름
설명
ANAG _EncryptedResourceAccess_computers
암호화된 리소스에 액세스할 수 있는 컴퓨터를 제한하는 데 사용하는 도메인 로컬 그룹
ANAG _EncryptedResourceAccess_users
제한된 암호화 리소스와의 통신을 시작할 수 있는 사용자를 제한하는 데 사용하는 도메인 로컬 그룹
**이전 표에 나열된 그룹을 생성하려면 다음을 수행하십시오.**
1. IPS-CH-DC-01에서 Active Directory 사용자 및 컴퓨터를 엽니다.
2. **사용자** 컨테이너를 마우스 오른쪽 단추로 클릭하고 **새로 만들기**를 클릭한 다음 **사용자**를 클릭합니다.
3. **그룹 이름** 입력란에 이전 표의 *<그룹 이름>*을 입력합니다.
4. **그룹 범위**에서 **도메인 로컬**을 선택하고 **확인**을 클릭합니다.
5. 나열된 각 그룹에 대해 2-4단계를 반복합니다.
6. **<*그룹 이름*>**을 마우스 오른쪽 단추로 누르고 **속성**을 클릭합니다.
7. **설명** 입력란에, 이전 표의 *<설명>*을 입력합니다.
8. **확인**을 클릭합니다.
9. 이전 표에 나열된 각 그룹에 대해 6-8단계를 반복합니다.
##### 네트워크 액세스 그룹 보안 그룹에 계정 추가
Woodgrove 은행은 네트워크 액세스 그룹 내에서 트래픽의 개시자 역할을 수행하는 식별된 컴퓨터를 네트워크 액세스 그룹을 구현하는 데 사용되는 적절한 도메인 로컬 그룹에 추가했습니다.
다음 표는 Woodgrove 은행이 식별한 네트워크 액세스 그룹의 구성원을 나타냅니다.
**표 C.9: Woodgrove 은행 격리 그룹 구성원**
그룹 이름
구성원
ANAG _EncryptedResourceAccess_computers
IPS-SQL-DFS-01
IPS-SQL-DFS-02
IPS-ST-XP-05
이전 표에 나열된 그룹을 채우려면 다음을 수행하십시오.
IPS-CH-DC-01에서 Americas 도메인 관리자 권한으로 Active Directory 사용자 및 컴퓨터를 실행합니다.
도메인을 확장한 다음 사용자를 클릭합니다.
오른쪽 창에서 <그룹 이름> 보안 그룹을 마우스 오른쪽 단추로 누르고 속성을 클릭합니다.
구성원 탭을 클릭한 후 추가를 클릭합니다.
개체 유형 단추를 클릭하고 컴퓨터 확인란을 선택한 다음 확인을 클릭합니다.
선택할 개체 이름 입력 입력란에 이전 표의 구성원 열에 있는 각각의 컴퓨터 이름을 세미콜론(;)으로 구분하여 입력합니다. 확인을 클릭합니다.
확인을 클릭합니다.
네트워크 액세스 그룹 보안 그룹에 사용자 계정 추가
Woodgrove 은행은 네트워크 액세스 그룹 내에서 트래픽을 시작하도록 허용된 사용자 계정을 식별하여 이들을 네트워크 액세스 그룹을 구현하는 데 사용하는 적절한 도메인 로컬 그룹에 추가했습니다.
다음 표는 Woodgrove 은행이 식별한 네트워크 액세스 그룹의 구성원을 나타냅니다.
표 C.10: Woodgrove 은행 네트워크 액세스 그룹 구성원
그룹 이름
구성원
ANAG _EncryptedResourceAccess_users
User7
**이전 표에 나열된 그룹을 채우려면 다음을 수행하십시오.**
1. IPS-CH-DC-01에서 Americas 도메인 관리자 권한으로 Active Directory 사용자 및 컴퓨터를 실행합니다.
2. 도메인을 확장한 다음 **사용자**를 클릭합니다.
3. 오른쪽 창에서 **<*그룹 이름*>** 보안 그룹을 마우스 오른쪽 단추로 누르고 **속성**을 클릭합니다.
4. **구성원** 탭을 클릭한 후 **추가**를 클릭합니다.
5. **선택한 개체 이름 입력** 입력란에 이전 표의 구성원 열에 있는 각각의 사용자 이름을 입력합니다. 사용자가 여럿이면 세미콜론으로 구분하십시오. 그런 다음 **확인**을 클릭합니다.
6. **확인**을 클릭합니다.
##### 그룹 정책 개체를 생성하여 "네트워크에서 이 컴퓨터 액세스" 권한 부여
Woodgrove 은행은 GPO를 생성하여, 정의된 네트워크 액세스 그룹을 적용했습니다. 특히 GPO가 응답자 역할을 수행하는 적절한 컴퓨터에서 적절한 네트워크 액세스 그룹 보안 그룹의 "네트워크에서 이 컴퓨터 액세스" 권한을 할당했습니다.
관리자는 네트워크 액세스 그룹 구현에 사용된 GPO 이름 및 연결된 그룹 이름을 나타내는 다음 표를 만들었습니다.
**표 C.11: Woodgrove 은행 격리 그룹 정책 정의**
GPO 이름
그룹 이름
암호화된 리소스 액세스 격리 그룹 정책
ANAG_EncryptedResourceAccess_computers
ANAG_EncryptedResourceAccess_users
관리자
보조 운영자
주의: 나열된 그룹은 추가되어야 하는 최소 그룹입니다. 관리자는 추가 그룹에게 이 권한을 부여해야 하는지의 여부를 결정해야 합니다.
컴퓨터 구성, Windows 설정, 보안 설정, 로컬 정책을 차례로 확장하고 사용자 권한 할당을 클릭합니다.
오른쪽 창에서 네트워크에서 이 컴퓨터 액세스를 마우스 오른쪽 단추로 누르고 속성을 클릭합니다.
이 정책 설정 정의 확인란을 선택합니다.
사용자 또는 그룹 추가 단추를 클릭합니다.
찾아보기 단추를 클릭합니다.
선택할 개체 입력 입력란에서 이전 표에 나열된 각 그룹에 대한 *<그룹 이름>*을 세미콜론(;)으로 구분하여 입력합니다. 확인을 클릭합니다.
확인을 다시 클릭합니다.
GPMC를 닫습니다.
네트워크 액세스 그룹 정책 개체 링크
네트워크 액세스 그룹 정책을 배포하기 전에 GPO를 도메인 환경 내의 위치에 링크해야 합니다. 다음 표에서와 같이, Woodgrove 은행은 GPO를 Active Directory의 적절한 OU에 링크하여 배포하도록 선택했습니다.
표 C.12: 네트워크 액세스 그룹 GPO 이름 및 대상 OU
네트워크 액세스 그룹 GPO 이름
대상 OU
암호화된 네트워크 액세스 그룹 정책
데이터베이스 서버
**GPO를 대상 OU에 링크하려면 다음을 수행하십시오.**
1. IPS-CH-DC-01에 Americas 도메인 관리자로 로그온합니다.
2. GPMC를 시작합니다.
3. **Forest: corp.woodgrovebank.com**, 도메인, **americas.corp.woodgrovebank.com**를 차례로 확장하고 <*대상 OU*>를 찾습니다.
4. **<*대상 OU*>**를 마우스 오른쪽 단추로 누르고 **기존 GPO 링크**를 클릭합니다.
5. **그룹 정책 개체** 목록에서 <*네트워크 액세스 그룹 GPO 이름*>을 클릭하고 **확인**을 클릭합니다.
#### 네트워크 액세스 그룹 배포 확인
네트워크 액세스 그룹 및 정책 개체를 생성 및 배포한 후에는 관리자가 네트워크 액세스 그룹에 있는 컴퓨터의 기능을 테스트했습니다.
##### 전제 조건 구현 테스트
네트워크 액세스 그룹에 있는 컴퓨터의 기능을 테스트하기 전에, Woodgrove 은행은 사용자 권한 할당이 적절하게 업데이트되었는지 확인했습니다. 복제 및 정책 업데이트가 발생하기에 충분한 시간이 지난 후, Woodgrove 은행은 다음 표에 나열된 컴퓨터에서 다음 단계를 수행했습니다.
**표 C.13: 네트워크 액세스 그룹 구성원**
로컬 정책, 사용자 권한 할당을 확장한 후 네트워크에서 이 컴퓨터 액세스를 두 번 클릭합니다.
인증된 사용자 그룹이 존재하는지 확인합니다.
<사용자 권한에 나열된 그룹> 그룹이 존재하는지 확인합니다.
로컬 보안 정책 도구를 닫습니다.
이전 표에 나열된 각 <컴퓨터 이름>에 대해 1-6단계를 반복합니다.
기능적 구현 테스트
Woodgrove 은행은 보안 그룹이 적절한 사용자 권한을 부여 받았는지 확인한 후, 네트워크 액세스 그룹에 속한 컴퓨터를 각각에 대해 테스트했습니다. Woodgrove 은행은 이 정보를 통해 액세스 권한 제한이 제 위치에서 작동하고 있는지 확인했습니다. Woodgrove는 여러 개시자 및 응답자 조합에 대하여 net view 명령을 수행했습니다. 이 테스트 외에도, IP 보안 모니터 MMC 스냅인을 사용하여 적절한 SA가 생성되었음을 확인했습니다. 다음 표는 각각의 net view 실행에 대한 개시자 및 응답자를 나열하며, 성공 여부를 표시하고, 협상된 SA 유형을 나열합니다.
표 C.14: 네트워크 액세스 그룹 기능적 테스트 예상 결과
개시자
응답자
결과
SA 협상됨
IPS-TZ-XP-06
IPS-SQL-DFS-01
실패
없음
IPS-TZ-XP-06
IPS-SQL-DFS-02
실패
없음
IPS-TZ-XP-06
IPS-ST-XP-05
성공
하드 SA
IPS-SQL-DFS-01
IPS-SQL-DFS-02
성공
하드 SA
IPS-SQL-DFS-01
IPS-ST-XP-05
성공
하드 SA
IPS-SQL-DFS-02
IPS-SQL-DFS-01
성공
하드 SA
IPS-ST-XP-05
IPS-SQL-DFS-01
성공
하드 SA
IPS-ST-XP-05
IPS-SQL-DFS-02
성공
하드 SA
**기능적 테스트를 완료하려면 다음을 수행하십시오.**
1. <*개시자*>에 Americas 도메인 관리자로 로그온합니다.
2. IP 보안 감시 MMC 스냅인을 실행합니다.
3. **IP 보안 모니터**, *<개시자>*, **빠른 모드**를 차례로 확장한 후 **보안 연결**을 클릭합니다.
4. 명령 프롬프트를 실행하여 다음 명령을 실행합니다.
```
net view \\\\<Responder>
```
5. IP 보안 모니터 MMC 스냅인을 사용하여 각각의 성공적인 연결에 대해 적절한 SA가 협상되었는지 확인합니다.
6. 이전 표에 나열된 각 <*개시자*>에 대해 1-5단계를 반복합니다.
[](#mainsection)[페이지 위쪽](#mainsection)
### 격리 도메인 활성화
격리 도메인 정책을 롤아웃하기 전에 관리자는 시험 테스트에 사용할 컴퓨터 그룹을 식별해야 합니다. 이상적으로는 이러한 컴퓨터 그룹이 조직 내 IT 인프라의 단면을 반영하고 클라이언트 및 서버 모두를 포함하는 것이 좋습니다.
식별된 컴퓨터 계정이 CG\_IsolationDomain\_computers 그룹에 추가됩니다. 복제에 충분한 시간이 지난 후 격리 도메인 정책을 테스트 컴퓨터에 적용하여 유효하도록 해야 합니다.
#### 격리 도메인 구현
Woodgrove 은행은 다음과 같은 컴퓨터를 테스트에 사용하도록 식별했습니다.
- IPS-TZ-XP-01
- IPS-TZ-W2K-02
- IPS-TZ-XP-06
- IPS-WEB-DFS-01
**테스트 컴퓨터를 CG\_IsolationDomain\_computers 그룹에 추가하려면 다음을 수행하십시오.**
1. IPS-CH-DC-01에서 Americas 도메인 관리자 권한으로 Active Directory 사용자 및 컴퓨터를 실행합니다.
2. 도메인을 확장한 다음**사용자**를 클릭합니다.
3. 오른쪽 창에서 **CG\_IsolationDomain\_computers** 보안 그룹을 마우스 오른쪽 단추로 누른 후 **속성**을 클릭합니다.
4. **구성원** 탭을 클릭한 후 **추가**를 클릭합니다.
5. **개체 유형** 단추를 클릭하고 **컴퓨터** 확인란을 선택한 다음 **확인**을 클릭합니다.
6. **선택할 개체 이름 입력** 입력란에 이전 목록의 각 컴퓨터 이름을 세미콜론(;)으로 구분하여 입력하고 **확인**을 클릭합니다.
7. **확인**을 다시 클릭합니다.
**참고:** 컴퓨터를 CG\_IsolationDomain\_computers 유니버설 그룹에 추가한 후, 포리스트에 거쳐 그룹 구성원 변경 사항이 복제되고 정책이 호스트에 적용되는 데는 충분한 시간이 필요합니다.
#### 격리 도메인 배포 확인
활성 상태에서 정책 개체를 생성하여 Active Directory로 배포한 후, 확인 프로세스를 수행하여 격리 그룹 내에서 컴퓨터가 제대로 작동하는지 확인해야 합니다.
##### 전제 조건 구현 테스트
격리 도메인의 컴퓨터에서 기능적 테스트를 실행하기 전에, Woodgrove 은행은 복제 및 정책 업데이트를 위해 충분한 시간을 보낸 뒤 정확한 IPsec 정책이 적용되었는지 확인했습니다.
**IPS-TZ-XP-06에서 정확한 IPsec 정책이 적용되었는지 확인하려면 다음을 수행하십시오.**
1. IPS-TZ-XP-06에 Americas 도메인 관리자로 로그온합니다.
2. 명령 프롬프트를 실행하여 다음 명령을 실행합니다.
```
IPseccmd show gpo
```
3. 출력에서 디렉터리 정책 이름이 "IPSEC – Isolation Domain IPsec Policy (1.0.041001.1600)"으로 나타나는지 확인합니다.
##### 기능적 구현 테스트
Woodgrove 은행은 정책이 IPS-TZ-XP-06에 적용되었음을 확인한 후, 다음 단계를 통해 부분 기본 기능적 테스트를 수행하여 정책이 기대한 것처럼 운영되는지 확인했습니다. Woodgrove 은행은 IPS-TZ-XP-06로부터 다른 격리 그룹의 여러 컴퓨터를 대상으로 **net view** 명령을 수행했습니다. 이 외에도, IP 보안 모니터 MMC 스냅인을 사용하여 적절한 SA가 생성되었음을 확인했습니다. 다음 표는 각각의 **net view** 실행에 대한 대상 컴퓨터를 나열하며, 성공 여부를 표시하고, 협상된 SA 유형을 나열합니다.
**참고:** 트러스트되지 않은 컴퓨터에 대해 **net view** 명령을 실행할 때는 대상 컴퓨터의 로컬 관리자에 대해 자격 증명을 통과해야 합니다.
**표 C.15: 격리 도메인 기능적 테스트 예상 결과**
대상 컴퓨터
결과
SA 협상됨
IPS-TZ-W2K-02
성공
하드 SA
IPS-WEB-DFS-01
성공
하드 SA
IPS-UT-XP-03
성공
소프트 SA
IPS-PRINTS-01
성공
하드 SA
**각 대상 컴퓨터에서 기능적 테스트를 수행하려면 다음을 수행하십시오.**
1. IPS-TZ-XP-06에 Americas 도메인 관리자로 로그온합니다.
2. IP 보안 모니터 MMC 스냅인을 실행하고, **IP 보안 모니터**, **IPS-TX-XP-06**, **빠른 모드** 등을 차례로 확장한 후 **보안 연결**을 클릭합니다.
3. 명령 프롬프트를 실행하여 다음 명령을 실행합니다.
```
net view \\\\<Target Computer>
```
**참고:** IPS-UT-XP-03에서는 **net view** 명령으로 로컬 관리자 자격 증명이 통과되는지 확인하십시오.
4. IP 보안 감시 MMC 스냅인을 통해 성공적인 각각의 연결에 대한 **보안 연결** 필드를 검사하여 적절한 SA가 협상되었는지 확인합니다.
5. 이전 표에서 나열한 <*대상 컴퓨터*> 각각에 대하여 3-4단계를 반복합니다.
[](#mainsection)[페이지 위쪽](#mainsection)
### Fallback 없음 격리 그룹 활성화
Fallback 없음 격리 그룹에 배치된 컴퓨터는 트러스트되지 않은 컴퓨터로의 인증되지 않는 트래픽을 시작할 수 없습니다.
#### Fallback 없음 격리 그룹 구현
Woodgrove 은행은 트러스트되지 않은 컴퓨터로의 인증되지 않는 트래픽을 시작할 수 없는 컴퓨터를 CG\_NoFallbackIG\_computers 유니버설 그룹에 배치했습니다.
**CG\_NoFallbackIG\_computers 그룹을 채우려면 다음을 수행하십시오.**
1. IPS-CH-DC-01에 Americas 도메인 관리자로 로그온하고 Active Directory 사용자 및 컴퓨터를 실행합니다.
2. 도메인을 확장한 다음 **사용자**를 클릭합니다.
3. 오른쪽 창에서 **CG\_NoFallbackIG\_computers** 보안 그룹을 마우스 오른쪽 단추로 누른 후 **속성**을 클릭합니다.
4. **구성원** 탭을 클릭한 후 **추가**를 클릭합니다.
5. **개체 유형** 단추를 클릭하고 **컴퓨터** 확인란을 선택한 다음 **확인**을 클릭합니다.
6. **선택할 개체 이름 입력** 입력란에 **IPS-LT-XP-01**을 입력한 후 **확인**을 클릭합니다.
7. 다시 **확인** 클릭하고 또 한 번 클릭합니다.
**참고:** IPsec 정책의 복제 지연 및 폴링 간격 때문에, CG\_NoFallbackIG\_computers 그룹에 컴퓨터가 추가되는 시간과 Fallback 없음 격리 그룹 정책이 적용되는 시간 사이에는 지연이 있습니다. 이 시점에서 IPsec 정책을 즉시 적용해야 할 경우 컴퓨터를 다시 시작해도 됩니다. 그렇지 않으면 세션 티켓이 만료된 후에 정책이 적용되어 새로운 구성원 정보로 새로 고쳐질 것입니다.
#### Fallback 없음 격리 그룹 배포 확인
활성 상태에서 정책 개체를 생성하여 Active Directory로 배포한 후, 확인 프로세스를 수행하여 격리 그룹 내에서 컴퓨터가 제대로 작동하는지 확인해야 합니다.
##### 전제 조건 구현 테스트
Fallback 없음 격리 그룹의 컴퓨터에서 기능적 테스트를 실행하기 전과, 복제 및 정책 업데이트 발생에 충분한 시간이 지난 후에 Woodgrove 은행은 정확한 IPsec 정책이 적용되었는지 확인했습니다.
**IPS-LT-XP-01에서 정확한 IPsec 정책이 적용되었는지 확인하려면 다음을 수행하십시오.**
1. IPS-LT-XP-01에 Americas 도메인 관리자로 로그온합니다.
2. 명령 프롬프트를 실행하여 다음 명령을 실행합니다.
```
IPseccmd show gpo
```
3. 출력이 디렉터리 정책 이름을 "Outbound Clear Allowed."으로 표시하는지 확인합니다.
##### 기능적 구현 테스트
Woodgrove 은행은 정책이 IPS-LT-XP-01에 적용되었음을 확인한 후, 다음 단계를 통해 부분 기본 기능적 테스트를 수행하여 정책이 기대한 것처럼 운영되는지 확인했습니다. Woodgrove 은행은 IPS-LT-XP-01로부터 다른 격리 그룹의 여러 컴퓨터를 대상으로 **net view** 명령을 수행했습니다. 이 외에도, IP 보안 모니터 MMC 스냅인을 사용하여 적절한 SA가 생성되었음을 확인했습니다. 다음 표는 각각의 **net view** 실행에 대한 대상 컴퓨터를 나열하며, 성공 여부를 표시하고, 협상된 SA 유형을 나열합니다.
**참고:** 트러스트되지 않은 컴퓨터에 대해 **net view** 명령을 실행할 때는 대상 컴퓨터의 로컬 관리자에 대해 자격 증명을 통과해야 합니다.
**표 C.16: 아웃바운드 지우기 허용 기능적 테스트 예상 결과**
대상 컴퓨터
결과
SA 협상됨
IPS-PRINTS-01
성공
하드 SA
IPS-TZ-XP-01
성공
하드 SA
IPS-UT-XP-03
실패
없음
**각 대상 컴퓨터에서 기능적 테스트를 수행하려면 다음을 수행하십시오.**
1. IPS-LT-XP-01에 Americas 도메인 관리자로 로그온합니다.
2. IP 보안 모니터 MMC 스냅인을 실행하고, **IP 보안 모니터**, **IPS-LT-XP-01**, **빠른 모드** 등을 차례로 확장한 후 **보안 연결**을 클릭합니다.
3. 명령 프롬프트를 실행하여 다음 명령을 실행합니다.
```
net view \\\\<Target Computer>
```
**참고:** IPS-UT-XP-03에서는 **net view** 명령으로 로컬 관리자 자격 증명이 통과되는지 확인하십시오.
4. IP 보안 감시 MMC 스냅인을 통해 성공적인 각각의 연결에 대한 **보안 연결** 필드를 검사하여 적절한 SA가 협상되었는지 확인합니다.
5. 이전 표에서 나열한 <*대상 컴퓨터*> 각각에 대하여 3-4단계를 반복합니다.
[](#mainsection)[페이지 위쪽](#mainsection)
### 암호화 격리 그룹 활성화
암호화 격리 그룹에 배치된 컴퓨터의 트래픽은 암호화되어야 합니다. 또한, 데이터를 호스팅하는 서버는 선택된 서버에 대한 격리 그룹을 구현하여 네트워트를 통해 이 서버에 액세스하는 사용자를 제한하도록 구성해야 합니다.
추가 그룹 정책 및 보안 그룹을 사용하여, "네트워크에서 이 컴퓨터 액세스" 권한 수정을 통해 서버에 대한 액세스를 제어할 수 있습니다. 합당한 사용자가 액세스를 차단 당하지 않도록 서버의 권한 변경에는 주의가 요구됩니다.
**참고:** 이 절에서 사용하는 격리 그룹은 이 문서의 "격리 그룹 구성 활성화"에서 이미 구현된 것입니다.
#### 암호화 격리 그룹 구현
Woodgrove 은행 구현 팀은 IPsec 암호화가 필요한 컴퓨터를 식별하여 암호화 필요 유니버설 그룹에 배치했습니다.
**암호화 필요 그룹을 채우려면 다음을 수행하십시오.**
1. IPS-CH-DC-01에 Americas 도메인 관리자로 로그온하고 Active Directory 사용자 및 컴퓨터를 실행합니다.
2. 도메인을 확장한 다음 **사용자**를 클릭합니다.
3. 오른쪽 창에서 **CG\_EncryptionIG\_computers** 보안 그룹을 마우스 오른쪽 단추로 누른 후 **속성**을 클릭합니다.
4. **구성원** 탭을 클릭한 후 **추가**를 클릭합니다.
5. **개체 유형** 단추를 클릭하고 **컴퓨터** 확인란을 선택한 다음 **확인**을 클릭합니다.
6. **선택할 개체 이름 입력** 입력란에 IPS-SQL-DFS-01; IPS-SQL-DFS-02를 입력하고 **확인**을 클릭합니다.
7. **확인**을 클릭합니다.
**참고:** IPsec 정책의 복제 지연 및 폴링 간격 때문에, CG\_EncryptionIG\_computers 그룹에 컴퓨터가 추가되는 시간과 암호화 격리 그룹 정책이 적용되는 시간 사이에는 지연이 있습니다. 이 시점에서 IPsec 정책을 즉시 적용해야 할 경우 컴퓨터를 다시 시작해도 됩니다. 그렇지 않으면 세션 티켓이 만료된 후에 정책이 적용되어 새로운 구성원 정보로 새로 고쳐질 것입니다.
#### 암호화 격리 그룹 배포 확인
활성 상태에서 정책 개체를 생성하여 Active Directory로 배포한 후, 확인 프로세스를 수행하여 격리 그룹 내에서 컴퓨터가 제대로 작동하는지 확인해야 합니다.
##### 전제 조건 구현 테스트
암호화 격리 그룹의 컴퓨터에서 기능적 테스트를 실행하기 전과, 복제 및 정책 업데이트 발생에 충분한 시간이 지난 후에 Woodgrove 은행은 정확한 IPsec 정책이 IPS-SQL-DFS-01 및 IPS-SQL-DFS-02 컴퓨터에 적용되었는지 확인했습니다.
**정확한 IPsec 정책이 적용되었는지 확인하려면 다음을 수행하십시오.**
1. IPS-SQL-DFS-01에 Americas 도메인 관리자로 로그온합니다.
2. 명령 프롬프트를 실행하여 다음 명령을 실행합니다.
```
netsh IPsec static show gpoassignedpolicy
```
3. 출력에서 디렉터리 정책 이름이 "IPSEC - Encryption Isolation Group IPsec Policy (1.0.041001.1600)."으로 나타나는지 확인합니다.
4. 로컬 보안 정책 도구를 실행합니다.
5. **로컬 정책**, **사용자 권한 할당**을 확장한 후 **네트워크에서 이 컴퓨터 액세스**를 두 번 클릭합니다.
6. 인증된 사용자 그룹이 존재하는지 확인합니다.
7. ANAG\_EncryptedResourceAccess\_computers 및 ANAG\_EncryptedResourceAccess\_users 그룹이 존재하는지 확인합니다.
8. 로컬 보안 정책 도구를 종료합니다.
9. IPS-SQL-DFS-02에서 1-8단계를 반복합니다.
##### 기능적 구현 테스트
Woodgrove 은행은 정책이 IPS-SQL-DFS-01 및 IPS-SQL-DFS-02에 적용되었음을 확인한 후, 다음 단계를 통해 부분 기본 기능적 테스트를 수행하여 정책이 기대한 것처럼 운영되는지 확인했습니다. Woodgrove는 IPS-SQL-DFS-01 및 IPS-SQL-DFS-02에 대하여 **net view** 명령을 수행했습니다. 이 외에도, IP 보안 모니터 MMC 스냅인을 사용하여 적절한 SA가 생성되었음을 확인했습니다. 다음 표는 **net view** 실행에 대한 대상 컴퓨터, 성공 여부, 협상된 SA 유형을 나열합니다.
**참고:** 트러스트되지 않은 컴퓨터에 대해 **net view** 명령을 실행할 때는 컴퓨터의 로컬 관리자에 대해 자격 증명을 통과해야 합니다.
**표 C.17: IPS-SQL-DFS-01 기능적 테스트 예상 결과**
대상 컴퓨터
결과
SA 협상됨
IPS-SQL-DFS-02
성공
하드 SA
IPS-TZ-XP-01
성공
하드 SA
IPS-PRINTS-01
성공
하드 SA
IPS-UT-XP-03
실패
없음
**대상 컴퓨터에서 구현의 기능을 테스트하려면 다음을 수행하십시오.**
1. IPS-SQL-DFS-01에 Americas 도메인 관리자로 로그온합니다.
2. IP 보안 모니터 MMC 스냅인을 실행하고, **IP 보안 모니터**, **IPS-SQL-DFS-01**, **빠른 모드** 등을 차례로 확장한 후 **보안 연결**을 클릭합니다.
3. 명령 프롬프트를 실행하여 다음 명령을 실행합니다.
```
net view \\\\<Target Computer>
```
**참고:** IPS-UT-XP-03에서는 **net view** 명령으로 로컬 관리자 자격 증명이 통과되는지 확인하십시오.
4. IP 보안 감시 MMC 스냅인을 통해 성공적인 각각의 연결에 대한 **보안 연결** 필드를 검사하여 적절한 SA가 협상되었는지 확인합니다.
5. 이전 표에서 나열한 <*대상 컴퓨터*> 각각에 대하여 3-4단계를 반복합니다.
[](#mainsection)[페이지 위쪽](#mainsection)
### 경계 격리 그룹 활성화
Woodgrove 은행은 CG\_BoundaryIG\_computers 그룹의 트러스트되지 않은 컴퓨터로부터 인증되지 않은 통신을 개시 또는 수신해야 하는 컴퓨터를 배치했습니다.
#### 경계 격리 그룹 구현
Woodgrove 은행 구현 팀은 경계 격리 그룹에 속한 컴퓨터를 식별하여 CG\_BoundaryIG\_computers 유니버설 그룹에 배치했습니다.
**CG\_BoundaryIG\_computers 그룹을 채우려면 다음을 수행하십시오.**
1. IPS-CH-DC-01에 Americas 도메인 관리자로 로그온하고 Active Directory 사용자 및 컴퓨터를 실행합니다.
2. 도메인을 확장한 다음 **사용자**를 클릭합니다.
3. 오른쪽 창에서 **CG\_BoundaryIG\_computers** 보안 그룹을 마우스 오른쪽 단추로 누른 후 **속성**을 클릭합니다.
4. **구성원** 탭을 클릭한 후 **추가**를 클릭합니다.
5. **개체 유형** 단추를 클릭하고 **컴퓨터** 확인란을 선택한 다음 **확인**을 클릭합니다.
6. **선택할 개체 이름 입력** 입력란에 **IPS-PRINTS-01**을 입력한 후 확인을 클릭합니다.
7. **확인**을 클릭합니다.
**참고:** IPsec 정책의 복제 지연 및 폴링 간격 때문에, CG\_BoundaryIG\_computers 그룹에 그룹이 추가되는 시간과 경계 격리 그룹 정책이 적용되는 시간 사이에는 지연이 있습니다. 이 시점에서 IPsec 정책을 즉시 적용해야 할 경우 컴퓨터를 다시 시작해도 됩니다. 그렇지 않으면 세션 티켓이 만료된 후에 정책이 적용되어 새로운 구성원 정보로 새로 고쳐질 것입니다.
#### 경계 격리 그룹 배포 확인
활성 상태에서 정책 개체를 생성하여 Active Directory로 배포한 후, 확인 프로세스를 수행하여 격리 그룹 내에서 컴퓨터가 제대로 작동하는지 확인해야 합니다.
##### 전제 조건 구현 테스트
경계 격리 그룹의 컴퓨터에서 기능적 테스트를 실행하기 전과, 복제 및 정책 업데이트 발생에 충분한 시간이 지난 후에 Woodgrove 은행은 정확한 IPsec 정책이 적용되었는지 확인했습니다.
**IPS-PRINTS-01에서 정확한 IPsec 정책이 적용되었는지 확인하려면 다음을 수행하십시오.**
1. IPS-PRINTS-01에 Americas 도메인 관리자로 로그온합니다.
2. 명령 프롬프트를 실행하여 다음 명령을 실행합니다.
```
netsh IPsec static show gpoassignedpolicy
```
3. 출력에서 디렉터리 정책 이름이 "IPSEC – Boundary Isolation Group IPsec Policy (1.0.041001.1600)."으로 나타나는지 확인합니다.
##### 기능적 구현 테스트
Woodgrove 은행은 정책이 IPS-PRINTS-01에 적용되었음을 확인한 후, 다음 단계를 통해 부분 기본 기능적 테스트를 수행하여 정책이 기대한 것처럼 운영되는지 확인했습니다. Woodgrove는 다음 표에 나열된 컴퓨터에 대하여 **net view** 명령을 수행했습니다. 이 외에도, IP 보안 모니터 MMC 스냅인을 사용하여 적절한 SA가 생성되었음을 확인했습니다. 다음 표는 각각의 **net view** 실행에 대한 대상 컴퓨터를 나타내며, 성공 여부를 표시하고, 암호화된 리소스 액세스 그룹에 참여하는 각 컴퓨터에 대해 협상된 SA 유형을 나열합니다.
**참고:** 트러스트되지 않은 컴퓨터에 대해 **net view** 명령을 실행할 때는 컴퓨터의 로컬 관리자에 대해 자격 증명을 통과해야 합니다.
**표 C.18: IPS-PRINTS-01 기능적 테스트 예상 결과**
대상 컴퓨터
결과
SA 협상됨
IPS-UT-XP-03
성공
소프트 SA
IPS-TZ-XP-01
성공
하드 SA
IPS-SQL-DFS-01
실패
없음
**대상 컴퓨터에서 구현의 기능을 테스트하려면 다음을 수행하십시오.**
1. IPS-PRINTS-01에 Americas 도메인 관리자로 로그온합니다.
2. IP 보안 모니터 MMC 스냅인을 실행하고, **IP 보안 모니터**, **IPS-PRINTS-01**, **빠른 모드** 등을 차례로 확장한 후 **보안 연결**을 클릭합니다.
3. 명령 프롬프트를 열어 다음 명령을 실행합니다.
```
net view \\\\<Target Computer>
```
**참고:** IPS-UT-XP-03에서는 **net view** 명령으로 로컬 관리자 자격 증명이 통과되는지 확인하십시오.
4. IP 보안 감시 MMC 스냅인을 통해 성공적인 각각의 연결에 대한 **보안 연결** 필드를 검사하여 적절한 SA가 협상되었는지 확인합니다.
5. 이전 표에서 나열한 <*대상 컴퓨터*> 각각에 대하여 3-4단계를 반복합니다.
[](#mainsection)[페이지 위쪽](#mainsection)
### 격리 도메인을 기본 격리 그룹으로 구성
최종 기능적 테스트를 수행하기 전에, Woodgrove 은행 관리자는 격리 도메인의 보안을 구성하여 모든 도메인 컴퓨터에 적용되도록 하였습니다. 이러한 접근을 통해, 도메인에 추가된 모든 새로운 컴퓨터가 다른 격리 그룹에 배치되어야 하는 요구 사항이 없으면 격리 도메인에 자동 추가되도록 하였습니다.
또한 CG\_BoundaryIG\_computers 그룹에서 도메인 컴퓨터를 제거했습니다.
**CG\_BoundaryIG\_computers 그룹에서 도메인 컴퓨터를 제거하려면 다음을 수행하십시오.**
1. IPS-CH-DC-01에서 Americas 도메인 관리자 권한으로 Active Directory 사용자 및 컴퓨터를 실행합니다.
2. 도메인을 확장한 다음 **사용자**를 클릭합니다.
3. 오른쪽 창에서 **CG\_BoundaryIG\_computers** 보안 그룹을 마우스 오른쪽 단추로 누른 후 **속성**을 클릭합니다.
4. **구성원** 탭, **도메인 컴퓨터** 그룹, **제거**를 차례로 클릭합니다.
5. **예**를 눌러 그룹을 제거합니다.
6. **확인**을 클릭합니다.
**참고:** IPsec 정책의 복제 지연 및 폴링 간격 때문에, CG\_BoundaryIG\_computers 그룹에 그룹이 제거되는 시간과 경계 격리 그룹 정책이 제거되는 시간 사이에는 지연이 있습니다. 이 시점에서 IPsec 정책을 즉시 적용해야 할 경우 컴퓨터를 다시 시작해도 됩니다. 그렇지 않으면 세션 티켓이 만료된 후에 정책이 적용되어 새로운 구성원 정보로 새로 고쳐질 것입니다.
**CG\_IsolationDomain\_computers 그룹에 도메인 컴퓨터를 추가하려면 다음을 수행하십시오.**
1. IPS-CH-DC-01에서 Americas 도메인 관리자 권한으로 Active Directory 사용자 및 컴퓨터를 실행합니다.
2. 도메인을 확장한 다음 **사용자**를 클릭합니다.
3. 오른쪽 창에서 **CG\_IsolationDomain\_computers** 보안 그룹을 마우스 오른쪽 단추로 누른 후 **속성**을 클릭합니다.
4. **구성원** 탭을 클릭한 후 **추가**를 클릭합니다.
5. **선택할 개체 이름 입력** 입력란에 도메인 컴퓨터를 입력한 후 **확인**을 클릭합니다.
6. **확인**을 다시 클릭합니다.
**참고:** IPsec 정책의 복제 지연 및 폴링 간격 때문에, CG\_IsolationDomain\_computers 그룹에 그룹이 추가되는 시간과 격리 도메인 그룹 정책이 적용되는 시간 사이에는 지연이 있습니다. 이 시점에서 IPsec 정책을 즉시 적용해야 할 경우 컴퓨터를 다시 시작해도 됩니다. 그렇지 않으면 세션 티켓이 만료된 후에 정책이 적용되어 새로운 구성원 정보로 새로 고쳐질 것입니다.
#### IPsec 정책 링크 순서 재정렬
정확한 정책이 호스트에 적용되는지 확인하려면 IPsec 정책의 링크 순서를 업데이트해야 합니다. 이 작업은 경계 격리 그룹 정책이 아니라 표준 격리 그룹 정책이 기본 정책이 되었다는 사실과 관련이 있으며, 이 정책은 초기 배포 중 기본 정책으로 사용됩니다.
**IPsec 정책을 기존 GPO에 링크하려면 다음을 수행하십시오.**
1. 도메인 관리자로 GPMC를 실행합니다.
2. 도메인을 확장합니다.
3. 도메인 이름을 클릭합니다.
4. 다음 표에서와 같이, **링크된 그룹 정책 개체** 목록에서 화살표 키를 사용하여 정책을 정렬합니다.
**표 C.19: 도메인 수준에서 그룹 정책 개체 링크 순서**
링크 순서
그룹 정책 개체 이름
1
IPSEC – 암호화 격리 그룹 정책
2
IPSEC – Fallback 격리 없음 그룹 정책
3
IPSEC – 경계 격리 그룹 정책
4
IPSEC – 격리 도메인 정책
5
기본 도메인 정책
[](#mainsection)[페이지 위쪽](#mainsection)
### 최종 기능적 테스트 – 활성화된 모든 격리 그룹
Woodgrove 은행은 모든 격리 그룹을 활성화한 후, 다음 단계를 통해 부분 기본 기능적 테스트를 수행하여 정책이 기대한 것처럼 운영되는지 확인했습니다. 각 정책이 구현될 때 부분 기본 기능적 테스트를 수행했으나, 격리 그룹이 한 번에 하나씩 활성화되기 때문에 Woodgrove 은행 관리자가 전체 기능적 테스트를 수행할 수 없었습니다. 관리자는 각 격리 그룹의 하나 이상의 컴퓨터로 다른 격리 그룹의 컴퓨터에 대하여 **net view** 명령을 실행하여 연결이 적절하게 수립되었는지 확인했습니다. 일부 격리 그룹에서는 여러 컴퓨터를 선택하였는데, 이는 응답자인지 또는 개시자인지에 따라 다른 트래픽 패턴을 갖기 때문입니다. 또한, 관리자는 IP 보안 모니터 MMC 스냅인을 사용하여 적절한 SA가 생성되었음을 확인했습니다.
다음 표는 각각의 **net view**,실행에 대한 대상 컴퓨터를 나타내며, 성공 여부를 표시하고, 테스트 목적으로 선택한 각 컴퓨터에 대하여 협상된 SA 유형을 나열합니다.
**참고:** 트러스트되지 않은 컴퓨터에 대해 **net view** 명령을 실행할 때는 컴퓨터의 로컬 관리자에 대해 자격 증명을 통과해야 합니다.
다음 절차는 IPS-SQL-DFS-01(개시자 역할 수행)으로부터 다른 격리 및 네트워크 액세스 그룹에 있는 여러 시스템으로의 연결성을 테스트합니다.
**표 C.20: IPS-SQL-DFS-01 기능적 테스트 예상 결과**
대상 컴퓨터
결과
이유
SA 협상됨
IPS-ST-XP-05
성공
컴퓨터가 ipsec을 성공적으로 협상할 수 있습니다.
암호화 하드 SA
IPS-TZ-XP-01
성공
컴퓨터가 ipsec을 성공적으로 협상할 수 있습니다.
암호화 하드 SA
IPS-PRINTS-01
성공
컴퓨터가 ipsec을 성공적으로 협상할 수 있습니다.
암호화 하드 SA
IPS-UT-XP-03
실패
개시자가 비보안 상태로 복구를 지원하지 않습니다.
없음
**대상 컴퓨터로부터 연결성을 테스트하려면 다음을 수행하십시오.**
1. IPS-SQL-DFS-01에 Americas 도메인 관리자로 로그온합니다.
2. IP 보안 모니터 MMC 스냅인을 실행하고, **IP 보안 모니터**, **IPS-SQL-DFS-01**, **빠른 모드** 등을 차례로 확장한 후 **보안 연결**을 클릭합니다.
3. 명령 프롬프트를 실행하여 다음 명령을 실행합니다.
```
net view \\\\<Target Computer>
```
**참고:** IPS-UT-XP-03에서는 **net view** 명령으로 로컬 관리자 자격 증명이 통과되는지 확인하십시오.
4. IP 보안 감시 MMC 스냅인을 통해 성공적인 각각의 연결에 대한 **보안 연결** 필드를 검사하여 적절한 SA가 협상되었는지 확인합니다.
5. 이전 표에서 나열한 <*대상 컴퓨터*> 각각에 대하여 3-4단계를 반복합니다.
다음 절차는 IPS-TX-XP-06(개시자 역할 수행)으로부터 다른 격리 및 네트워크 액세스 그룹에 있는 여러 시스템으로의 연결성을 테스트합니다.
**표 C.21: IPS-TZ-XP-06 기능적 테스트 예상 결과**
대상 컴퓨터
결과
이유
SA 협상됨
IPS-SQL-DFS-01
실패
응답자가 암호화된 리소스 액세스에 속함
없음
IPS-ST-XP-05
성공
컴퓨터가 ipsec을 성공적으로 협상할 수 있습니다.
하드 SA
IPS-TZ-XP-01
성공
컴퓨터가 ipsec을 성공적으로 협상할 수 있습니다.
하드 SA
IPS-PRINTS-01
성공
컴퓨터가 ipsec을 성공적으로 협상할 수 있습니다.
하드 SA
IPS-UT-XP-03
성공
컴퓨터가 ipsec을 성공적으로 협상할 수 있습니다.
소프트 SA
**대상 컴퓨터로부터 연결성을 테스트하려면 다음을 수행하십시오.**
1. IPS-TZ-XP-06에 Americas 도메인 관리자로 로그온합니다.
2. IP 보안 모니터 MMC 스냅인을 실행하고, **IP 보안 모니터**, **IPS-TZ-XP-06**, **빠른 모드** 등을 차례로 확장한 후 **보안 연결**을 클릭합니다.
3. 명령 프롬프트를 실행하여 다음 명령을 실행합니다.
```
net view \\\\<Target Computer>
```
**참고:** IPS-UT-XP-03에서는 **net view** 명령으로 로컬 관리자 자격 증명이 통과되는지 확인하십시오.
4. IP 보안 감시 MMC 스냅인을 통해 성공적인 각각의 연결에 대한 **보안 연결** 필드를 검사하여 적절한 SA가 협상되었는지 확인합니다.
5. 이전 표에서 나열한 <*대상 컴퓨터*> 각각에 대하여 3-4단계를 반복합니다.
다음 절차는 IPS-ST-XP-06(개시자 역할 수행)으로부터 다른 격리 그룹에 있는 여러 시스템으로의 연결성을 테스트합니다.
**표 C.22: IPS-ST-XP-05 기능적 테스트 예상 결과**
대상 컴퓨터
결과
이유
SA 협상됨
IPS-SQL-DFS-01
성공
응답자가 암호화된 리소스 액세스 그룹에 속합니다.
암호화 하드 SA
IPS-TZ-XP-01
성공
컴퓨터가 ipsec을 성공적으로 협상할 수 있습니다.
하드 SA
IPS-PRINTS-01
성공
컴퓨터가 ipsec을 성공적으로 협상할 수 있습니다.
하드 SA
IPS-UT-XP-03
성공
컴퓨터가 ipsec을 성공적으로 협상할 수 있습니다.
소프트 SA
**대상 컴퓨터로부터 연결성을 테스트하려면 다음을 수행하십시오.**
1. IPS-ST-XP-05에 Americas 도메인 관리자로 로그온합니다.
2. IP 보안 모니터 MMC 스냅인을 실행하고, **IP 보안 모니터**, **IPS-ST-XP-05**, **빠른 모드** 등을 차례로 확장한 후 **보안 연결**을 클릭합니다.
3. 명령 프롬프트를 실행하여 다음 명령을 실행합니다.
```
net view \\\\<Target Computer>
```
**참고:** IPS-UT-XP-03에서는 **net view** 명령으로 로컬 관리자 자격 증명이 통과되는지 확인하십시오.
4. IP 보안 감시 MMC 스냅인을 통해 성공적인 각각의 연결에 대한 **보안 연결** 필드를 검사하여 적절한 SA가 협상되었는지 확인합니다.
5. 이전 표에서 나열한 <*대상 컴퓨터*> 각각에 대하여 3-4단계를 반복합니다.
다음 절차는 IPS-TZ-XP-01(초기화 프로그램 역할 수행)으로부터 다른 격리 및 네트워크 액세스 그룹에 있는 여러 시스템으로의 연결성을 테스트합니다.
**표 C.23: IPS-TZ-XP-01 기능적 테스트 예상 결과**
대상 컴퓨터
결과
이유
SA 협상됨
IPS-SQL-DFS-01
실패
응답자가 암호화된 리소스 액세스 그룹에 속합니다.
없음
IPS-ST-XP-05
성공
컴퓨터가 ipsec을 성공적으로 협상할 수 있습니다.
하드 SA
IPS-PRINTS-01
성공
컴퓨터가 ipsec을 성공적으로 협상할 수 있습니다.
하드 SA
IPS-UT-XP-03
성공
개시자가 비보안 상태로 복구를 지원합니다.
소프트 SA
**대상 컴퓨터로부터 연결성을 테스트하려면 다음을 수행하십시오.**
1. IPS-TZ-XP-01에 Americas 도메인 관리자로 로그온합니다.
2. **보안 모니터 도구**를 실행하고, IP 보안 모니터, **IPS-TZ-XP-01**, **빠른 모드** 등을 차례로 확장한 후 **보안 연결**을 클릭합니다
3. 명령 프롬프트를 실행하여 다음 명령을 실행합니다.
```
net view \\\\<Target Computer>
```
**참고:** IPS-UT-XP-03에서는 **net view** 명령으로 로컬 관리자 자격 증명이 통과되는지 확인하십시오.
4. IP 보안 감시 MMC 스냅인을 통해 성공적인 각각의 연결에 대한 **보안 연결** 필드를 검사하여 적절한 SA가 협상되었는지 확인합니다.
5. 이전 표에서 나열한 <*대상 컴퓨터*> 각각에 대하여 3-4단계를 반복합니다.
다음 절차는 IPS-LT\_XP-01(개시자 역할 수행)으로부터 다른 격리 및 네트워크 액세스 그룹에 있는 여러 시스템으로의 연결성을 테스트합니다.
**표 C.24: IPS-LT-XP-01 기능적 테스트 예상 결과**
대상 컴퓨터
결과
이유
SA 협상됨
IPS-SQL-DFS-01
실패
응답자가 암호화된 리소스 액세스 그룹에 속합니다.
없음
IPS-ST-XP-05
성공
컴퓨터가 ipsec을 성공적으로 협상할 수 있습니다.
하드 SA
IPS-TZ-XP-01
성공
컴퓨터가 ipsec을 성공적으로 협상할 수 있습니다.
하드 SA
IPS-UT-XP-03
실패
개시자가 비보안 상태로 복구를 지원하지 않습니다.
없음
**대상 컴퓨터로부터 연결성을 테스트하려면 다음을 수행하십시오.**
1. IPS-LT-XP-01에 Americas 도메인 관리자로 로그온합니다.
2. IP 보안 모니터 MMC 스냅인을 실행하고, **IP 보안 모니터**, **IPS-LT-XP-01**, **빠른 모드** 등을 차례로 확장한 후 **보안 연결**을 클릭합니다.
3. 명령 프롬프트를 실행하여 다음 명령을 실행합니다.
```
net view \\\\<Target Computer>
```
**참고:** IPS-UT-XP-03에서는 **net view** 명령으로 로컬 관리자 자격 증명이 통과되는지 확인하십시오.
4. IP 보안 감시 MMC 스냅인을 통해 성공적인 각각의 연결에 대한 **보안 연결** 필드를 검사하여 적절한 SA가 협상되었는지 확인합니다.
5. 이전 표에서 나열한 <*대상 컴퓨터*> 각각에 대하여 3-4단계를 반복합니다.
다음 절차는 IPS-PRINTS-01(개시자 역할 수행)으로부터 다른 격리 그룹에 있는 여러 시스템으로의 연결성을 테스트합니다.
**표 C.25: IPS-PRINTS-01 기능적 테스트 예상 결과**
대상 컴퓨터
결과
이유
SA 협상됨
IPS-SQL-DFS-01
실패
응답자가 경계 호스트로의 액세스를 명확히 거부합니다. 응답자가 암호화된 리소스 액세스 그룹에 속합니다.
없음
IPS-ST-XP-05
성공
컴퓨터가 ipsec을 성공적으로 협상할 수 있습니다.
하드 SA
IPS-TZ-XP-01
성공
컴퓨터가 ipsec을 성공적으로 협상할 수 있습니다.
하드 SA
IPS-UT-XP-03
성공
개시자가 비보안 상태로 복구를 지원합니다.
소프트 SA
**대상 컴퓨터로부터 연결성을 테스트하려면 다음을 수행하십시오.**
1. IPS-PRINTS-01에 Americas 도메인 관리자로 로그온합니다.
2. IP 보안 모니터 MMC 스냅인을 실행하고, **IP 보안 모니터**, **IPS-PRINTS-01**, **빠른 모드** 등을 차례로 확장한 후 **보안 연결**을 클릭합니다.
3. 명령 프롬프트를 실행하여 다음 명령을 실행합니다.
```
net view \\\\<Target Computer>
```
**참고:** IPS-UT-XP-03에서는 **net view** 명령으로 로컬 관리자 자격 증명이 통과되는지 확인하십시오.
4. IP 보안 감시 MMC 스냅인을 통해 성공적인 각각의 연결에 대한 **보안 연결** 필드를 검사하여 적절한 SA가 협상되었는지 확인합니다.
5. 이전 표에서 나열한 <*대상 컴퓨터*> 각각에 대하여 3-4단계를 반복합니다.
다음 절차는 IPS-UT-XP-03(초기화 프로그램 역할 수행)으로부터 다른 격리 및 네트워크 액세스 그룹에 있는 여러 시스템으로의 연결성을 테스트합니다.
**표 C.26: IPS-UT-XP-03 기능적 테스트 예상 결과**
대상 컴퓨터
결과
이유
SA 협상됨
IPS-SQL-DFS-01
실패
응답자가 비보안 상태로 복구와 인바운드 통과를 지원 안 함 응답자가 암호화된 리소스 액세스 그룹에 속합니다.
없음
IPS-ST-XP-05
실패
응답자가 비보안 상태로 복구와 인바운드 통과를 지원 안 함
없음
IPS-TZ-XP-01
실패
응답자가 비보안 상태로 복구와 인바운드 통과를 지원 안 함
없음
IPS-PRINTS-01
성공
응답자가 비보안 상태로 복구 및 인바운드 통과를 지원함
소프트 SA
**대상 컴퓨터로부터 연결성을 테스트하려면 다음을 수행하십시오.**
1. IPS-UT-XP-03에 Americas 도메인 관리자로 로그온합니다.
2. IP 보안 모니터 MMC 스냅인을 실행하고, **IP 보안 모니터**, **IPS-UT-XP-03**, **빠른 모드** 등을 차례로 확장한 후 **보안 연결**을 클릭합니다.
3. 명령 프롬프트를 실행하여 다음 명령을 실행합니다.
```
net view \\\\<Target Computer>
```
**참고:** 모든 도메인 기반 시스템에 대하여 **net view** 명령으로 도메인 관리자 자격 증명이 통과되는지 확인하십시오.
4. IP 보안 감시 MMC 스냅인을 통해 성공적인 각각의 연결에 대한 **보안 연결** 필드를 검사하여 적절한 SA가 협상되었는지 확인합니다.
5. 이전 표에서 나열한 <*대상 컴퓨터*> 각각에 대하여 3-4단계를 반복합니다.
[](#mainsection)[페이지 위쪽](#mainsection)
### 요약
이 부록에 있는 작업을 완료하면 다음을 수행한 것입니다.
- Active Directory에서 필터 목록, 필터 작업, 규칙, IPsec 정책 생성
- Active Directory의 GPO가 IPsec 정책을 올바르게 적용하도록 구성
- 전체 기업에 대하여 경계 격리 그룹 및 격리 도메인의 단계별 롤아웃 수행
- 여러 격리 그룹이 응답자 액세스를 제어하도록 구성
- 격리 도메인 활성화 및 테스트
- Fallback 없음 격리 그룹 활성화 및 테스트
- 암호화 격리 그룹 활성화 및 테스트
- 경계 격리 그룹 활성화 및 테스트
[](#mainsection)[페이지 위쪽](#mainsection)
**전체 솔루션 다운로드**
[IPsec 및 그룹 정책을 통해 서버 및 도메인 격리](https://go.microsoft.com/fwlink/?linkid=33947)
[](#mainsection)[페이지 위쪽](#mainsection)