위협 및 대책

1장: 위협 및 대책 소개: Windows Server 2003 및 Windows XP의 보안 설정

업데이트 날짜: 2005년 12월 27일

이 설명서에서는 Microsoft Windows 운영 체제의 최신 버전과 관련된 특정 위협에 대한 대책을 제공하는 보안 설정에 대한 참고 사항을 설명합니다.

이 설명서는 Microsoft에서 제공하는 다른 두 가지 발행물인

• https://go.microsoft.com/fwlink/?LinkId=14845의 Windows Server 2003 보안 가이드 및

• https://go.microsoft.com/fwlink/?LinkId=14839의 Windows XP 보안 가이드와 함께 제공됩니다.* *

이 설명서에서 설명하는 대부분의 대책은 함께 제공되는 설명서에 나와 있는 특정 컴퓨터 역할에 사용하기 위한 것이 아니며, 일부 대책의 경우에는 어떤 역할과도 관련이 없습니다. 이러한 대책은 호환성, 유용성, 관리 효율, 사용 가능성 또는 성능을 보장할 수 있도록 도와줍니다.

여러 차례 언급되었지만 보안과 기능은 하나의 연속선상에서 서로 상반 관계에 있다는 점을 반복할 필요가 있습니다. 즉, 보안 수준이 높아질수록 기능 수준은 낮아지고 기능 수준이 높아질수록 보안 수준은 낮아집니다. 여기에 예외는 있고 실제로 기능 향상을 도와 주는 보안 대책도 일부 있지만 이 규칙이 부합되는 경우가 대부분입니다.

이 설명서의 장 구조는 그룹 정책 개체 편집기의 사용자 인터페이스에서 주요 설정 섹션이 표시되는 방법과 비슷합니다. 각 장의 시작 부분에는 해당 장의 내용이 간략하게 설명되어 있으며, 이어서 하위 섹션 제목 목록이 나옵니다. 각 하위 섹션은 설정 또는 설정 그룹에 해당합니다. 이러한 설정은 이 장 뒷부분에 나오는 Microsoft Excel 통합 문서에 나와 있습니다. 각 하위 섹션에는 대책에 대한 간략한 설명과 함께 다음 세 가지 하위 섹션이 있습니다.

• 보안 문제: 공격자가 기능 또는 관련 구성을 악용하는 방법에 대해 설명합니다.

• 대책: 대책을 구현하는 방법을 설명합니다.

• 잠재적 영향: 대책을 구현하는 경우 발생할 수 있는 부정적 영향을 설명합니다.

예를 들어 2장 "도메인 수준 정책"은 다음 섹션들로 시작합니다.

계정 정책

• 최근 암호 기억

  • 보안 문제

  • 대책

  • 잠재적 영향

• 최대 암호 사용 기간

  • 보안 문제

  • 대책

  • 잠재적 영향

이 설명서 전체에서 이러한 패턴이 반복됩니다. 서로 밀접하게 관련된 설정은 하나의 섹션에서 설명합니다. 예를 들어 5장 "보안 옵션"에서는 네 가지 설정이 모두 "Microsoft 네트워크 클라이언트 및 서버: 디지털 서명 통신(네 가지 관련 설정)" 섹션에 포함됩니다. 이러한 설정에는 다음이 포함됩니다.

• Microsoft 네트워크 클라이언트: 디지털 서명 통신(항상)

• Microsoft 네트워크 서버: 디지털 서명 통신(항상)

• Microsoft 네트워크 클라이언트: 디지털 서명 통신(서버에서 동의한 경우)

• Microsoft 네트워크 서버: 디지털 서명 통신(클라이언트에서 동의한 경우)

이 설명서에는 많은 그룹 정책 설정이 문서화되어 있지만 조직의 환경 관리를 돕기 위한 그룹 정책 설정은 문서화되어 있지 않습니다. 이 설명서에서는 특정 위협에 대한 조직의 엔터프라이즈 보안에 도움이 될 수 있는 Microsoft Windows Server 2003 SP1 및 Windows XP SP2의 설정과 기능만 검토합니다. 이러한 서비스 팩 이후에 추가된 설정과 기능 또는 이러한 서비스 팩 이후에 출시된 소프트웨어에 의해 추가된 기능은 이 설명서에서 논의되지 않습니다. 또한 관리자가 구성할 수 없는 보안 기능과 관리 기능은 이 설명서에서 설명되지 않습니다.

이 설명서에 제공하는 정보는 Windows 운영 체제의 최신 버전에서 사용 가능한 대책을 이해할 수 있도록 도와줍니다. 하지만 특정 시나리오에 사용할 설정에 대한 규범적 지침은 함께 제공되는 두 가지 설명서인

• https://go.microsoft.com/fwlink/?LinkId=14845의 Windows Server 2003 보안 가이드와

• https://go.microsoft.com/fwlink/?LinkId=14839의 Windows XP 보안 가이드를 참조하십시오.* *

이 설명서에 포함된 Microsoft Excel 통합 문서 "Windows 기본 보안 및 서비스 구성"에는 기본 설정이 문서화되어 있습니다. 첫 번째 워크시트인 "Windows Server 2003 기본값"에는 Windows Server 2003에서 사용할 수 있는 모든 기본 그룹 정책 설정에 대한 자세한 내용이 나와 있습니다. 이 워크시트에는 다음과 같은 열이 있습니다.

• H 열의 사용자 인터페이스의 정책 설정 이름은 Windows Server 2003 그룹 정책 편집기 스냅인에 나타나는 해당 설정의 이름입니다.

• J 열의 기본 도메인 정책은 새 Active Directory 디렉터리 서비스 도메인의 첫 번째 도메인 컨트롤러 수준을 올릴 때 만들어지는 기본 제공된 기본 도메인 정책의 해당 설정에 대한 값입니다.

• K 열의 기본 도메인 컨트롤러 정책은 새 Active Directory 도메인의 첫 번째 도메인 컨트롤러 수준을 올릴 때 만들어지는 기본 제공된 기본 도메인 컨트롤러 정책의 해당 설정에 대한 값입니다.

• L 열의 독립 실행형 서버 기본 설정은 독립 실행형 Windows Server 2003 컴퓨터에 대한 해당 설정의 기본값입니다.

• M 열의 도메인 컨트롤러의 실제 기본 설정은 기본 설정이 계속해서 적용되어 있는 도메인 컨트롤러의 실제 값을 나타냅니다.

• N 열의 구성원 서버의 실제 기본 설정은 기본 설정이 계속해서 적용되어 있는 도메인 구성원의 실제 값을 나타냅니다.

"실제 기본 설정"이란 보안 설정이 변경되지 않았을 경우 시스템에 적용되어 있는 실제 설정을 의미합니다. 시스템의 실제 설정은 컴퓨터가 시작되는 동안 그룹 정책 엔진이 그룹 정책을 처리할 때 결정됩니다. 그룹 정책 엔진은 Windows Server 2003 보안 가이드의 2장 "Windows Server 2003 보안 강화 메커니즘"에 있는 "그룹 정책 적용" 섹션에 나오는 대로 설정 우선 순위를 지정합니다.

스프레드시트를 보다 쉽게 읽을 수 있도록 하기 위해 그룹 정책 편집기 내의 개체 계층을 나타내는 열이 삽입되었습니다. A 열에서 G 열은 계층 구조의 한 수준을 각각 나타냅니다. 예를 들어 컴퓨터 구성은 A 열에 나타나고 보안 설정은 C 열에 나타납니다. 또한 스프레드시트를 보다 쉽게 읽을 수 있도록 I 열이 삽입되었습니다.

두 번째 워크시트인 "Windows Server 2003 시스템 서비스"에는 Windows Server 2003에서 사용할 수 있는 모든 서비스가 나열되며 다음과 같은 열이 있습니다.

• A 열의 전체 서비스 이름에는 MMC(Microsoft Management Console) 서비스 관리자 확장과 같은 그래픽 관리 도구에 나타나는 해당 이름으로 서비스가 나열됩니다.

• B 열의 서비스 이름에는 여러 명령줄 도구에서 사용하는 형식인 약식 이름으로 서비스가 나열됩니다.

• C 열의 DC 시작 유형은 Windows Server 2003 도메인 컨트롤러의 서비스에 대한 기본 시작 상태를 보여 줍니다.

• D 열의 구성원 서버 시작 유형은 Active Directory 기반 도메인의 구성원인 Windows Server 2003 컴퓨터의 서비스에 대한 기본 시작 상태를 보여 줍니다.

• E 열의 독립 실행형 서버 시작 유형은 Windows Server 2003 독립 실행형 컴퓨터의 서비스에 대한 기본 시작 상태를 보여 줍니다.

• H 열의 로그온 계정은 기본 구성에서 로그온하기 위해 서비스가 사용하는 계정을 보여 줍니다.

추가 워크시트 "Windows XP 기본값" 및 "Windows XP 시스템 서비스"의 형식은 이들 두 워크시트와 비슷합니다. 이들 워크시트는 Windows XP의 보안 설정과 서비스에 대한 정보를 제공합니다.

이 페이지에서

장 요약
도구 및 템플릿

장 요약

Windows Server 2003 SP1와 Windows XP SP2는 현재까지 보안 성능이 가장 뛰어난 Windows 운영 체제이며 향상된 보안 및 개인 정보 보호 기능을 갖추고 있습니다. 이 설명서는 12개의 장으로 구성되어 있으며, 2장에서 6장까지는 안전한 환경을 만드는 절차에 대해 논의합니다. 각 장은 Windows 운영 체제를 실행하는 컴퓨터의 보안 설정을 위한 종단 간 프로세스를 기반으로 합니다.

1장: 위협 및 대책 소개: Windows Server 2003 및 Windows XP의 보안 설정

이 장에는 본 설명서의 개요, 대상 사용자, 설명서에서 다룬 문제점 및 설명서의 전체적인 목적 등이 포함되어 있습니다.

2장: 도메인 수준 정책

이 장에서는 암호 정책, 계정 잠금 정책 및 Kerberos 인증 프로토콜 정책과 같이 도메인 수준에서 적용되는 그룹 정책 설정에 대해 설명합니다. 이러한 정책을 통칭하여 계정 정책이라고 합니다.

3장: 감사 정책

이 장에서는 감사 정책을 사용하여 보안 대책을 모니터링 및 적용하는 방법에 대해 설명합니다. 다양한 설정에 대한 설명이 포함되며 해당 설정을 변경할 때 감사 정보를 수정하는 방법에 대한 예제가 제공됩니다.

4장: 사용자 권한

이 장에서는 Windows 운영 체제가 제공하는 다양한 로그온 권한 및 사용 권한에 대해 논의하며 이러한 권한을 할당하는 계정에 대한 지침을 제공합니다.

5장: 보안 옵션

이 장에서는 그룹 정책의 "보안 옵션" 섹션을 소개하고 디지털 데이터 서명, Administrator 및 Guest 계정 이름, 플로피 디스크 드라이브 및 CD-ROM 드라이브 액세스, 드라이버 설치 동작, 로그온 프롬프트 등의 보안 설정에 대해 설명합니다.

6장: 이벤트 로그

이 장에서는 Windows Server 2003 및 Windows XP 컴퓨터에서 다양한 이벤트 로그의 관련 설정을 구성하는 방법에 대해 설명합니다.

7장: 시스템 서비스

Windows XP와 Windows Server 2003에는 다양한 시스템 서비스가 포함됩니다. 이러한 시스템 서비스는 대부분 기본적으로 실행되도록 구성되어 있지만 특정 구성 요소를 설치해야 사용할 수 있는 서비스도 있습니다. 이 장에서는 운영 체제에 기본적으로 제공되는 여러 가지 서비스를 설명하며 사용 가능한 상태로 유지해야 하는 서비스와 사용하지 않아도 되는 서비스에 대한 구체적인 권장 사항을 제공합니다.

8장: 소프트웨어 제한 정책

이 장에서는 Windows XP와 Windows Server 2003에 도입된 소프트웨어 제한 정책 메커니즘에 대한 간략한 개요를 제공합니다. 또한 소프트웨어 제한 정책의 설계 및 사용 방법의 추가 리소스에 대한 링크를 제공합니다.

9장: Windows XP 및 Windows Server 2003 관리 템플릿

이 장에서는 그룹 정책 관리 템플릿을 통해 사용할 수 있는 설정에 대해 설명합니다. 여기서는 사용할 수 있는 모든 설정을 검토하지는 않으며 보안과 관련된 설정에 중점을 둡니다.

10장: 추가 레지스트리 항목

이 장에서는 관리 템플릿 파일 목록에는 나와 있지 않지만 기본 보안 템플릿에는 나와 있는 추가 레지스트리 항목에 대한 정보를 제공합니다. 보안 구성 편집기의 인터페이스를 수정하여 이러한 항목을 사용자 인터페이스에서 제공하는 방법에 대한 지침을 제공하며, 또한 Windows XP SP2와 Windows Server 2003 SP1에서 사용할 수 있는 추가 레지스트리 항목을 제공합니다.

11장: 추가 대책

이 장에서는 컴퓨터에 적용해야 할 수 있는 여러 가지 추가 보안 대책을 설명합니다. 하지만 이러한 대책은 그룹 정책이나 기타 자동화 방법을 통해 쉽게 적용할 수 없습니다. 이러한 대책에는 구성원 서버의 계정 보안, NTFS 설정, 데이터 및 응용 프로그램 분할, SNMP 커뮤니티 이름 설정, NetBIOS 바인딩 사용 안 함, 터미널 서비스 구성, Dr. Watson, IPsec 정책 및 Windows 방화벽의 광범위한 설명에 대한 포인터 등이 있습니다.

12장: 결론

마지막 장에서는 이전 장에서 설명한 모든 내용에 대한 간략한 개요를 통해 이 설명서의 요점을 검토합니다.

페이지 위쪽

도구 및 템플릿

이 설명서의 다운로드 가능 버전에는 조직에서 권장 대책을 보다 쉽게 평가, 테스트 및 구현할 수 있도록 하기 위한 파일 모음이 포함되어 있습니다. 이러한 파일들을 통틀어 도구 및 템플릿으로 나타냅니다.

이러한 파일은 이 설명서가 포함된 자동 압축 풀기 WinZip 보관 파일 내의 .msi 파일에 포함되어 있습니다. 이 Zip 파일은 Microsoft 다운로드 센터(https://go.microsoft.com/fwlink/?LinkId=15160)에서 다운로드할 수 있습니다. .msi 파일을 실행하면 지정한 위치에 다음 폴더 구조가 생성됩니다.

• \Threats and Countermeasures Guide Tools and Templates 폴더에는 Windows Server 2003 SP1 및 Windows XPSP2에 대한 서비스 및 기본 설정을 요약하는 Microsoft Excel 통합 문서 " Windows Default Security and Services Configuration.xls"가 들어 있습니다.

• \Threats and Countermeasures Guide Tools and Templates\SCE Update 폴더에는 텍스트 파일과 스크립트 파일이 있습니다. 텍스트 파일을 사용하면 보안 구성 편집기의 사용자 인터페이스를 수정하고 사용자 정의할 수 있습니다. 스크립트 파일을 사용하면 이러한 설정을 자동으로 적용하거나 롤백할 수 있습니다. 이러한 절차는 10장 "추가 레지스트리 항목"에 자세히 나와 있습니다.

페이지 위쪽

다운로드

위협 및 대책 설명서 받기 (영문)

업데이트 알림

등록을 통한 업데이트 및 새 릴리스 확인 (영문)

사용자 의견

의견 또는 제안 보내기

페이지 위쪽