Windows Vista 보안 가이드
1장: 기본 보안 구현
게시 날짜: 2006년 11월 8일
Windows Vista™는 Microsoft에서 지금까지 개발한 것 중 가장 안전한 운영 체제입니다. 그러나 각 환경의 네트워크 요구 사항을 충족하기 위해서는 특정 구성을 변경해야 할 수도 있습니다. 이 장의 목적은 Active Directory® 디렉터리 서비스를 사용하는 도메인에 가입해 있고 기본 운영 체제가 실행되는 클라이언트 컴퓨터를 강화하기 위해 보안 설정을 구성하기가 기존의 운영 체제에 비해 손쉬워졌음을 보여 주는 데 있습니다.
이 장에서는 규범적 보안 설정을 구현하여 운영 체제의 기본 보안을 강화하는 데 필요한 몇 가지 간단한 절차를 설명합니다. 이 장에서 설명하는 간단한 절차를 사용하면 사용자의 환경에서 Windows Vista 기반의 클라이언트 컴퓨터를 빠르고 효율적인 방식으로 강화할 수 있습니다.
이제 GPO(그룹 정책 개체)만으로도 기본 운영 체제를 강화할 수 있습니다. Microsoft에서 제공하던 기존의 지침에 따르면 보안 템플릿 .inf 파일을 가져온 후 여러 GPO의 관리 템플릿 부분을 수동으로 수정해야만 하는 경우가 많았습니다. 이제 더 이상 이러한 파일 및 템플릿을 사용하여 작업할 필요가 없습니다. 그러나 이 가이드에서는 보안 템플릿 .inf 파일 부분도 함께 제공하므로 독립 실행형 클라이언트 컴퓨터를 강화하는 데 이 파일을 사용할 수도 있습니다. 모든 권장 그룹 정책 설정은 부록 A, "보안 그룹 정책 설정"에 정리되어 있습니다.
이 지침을 배포하려면
사용자의 환경에 맞는 OU(조직 구성 단위) 구조를 만듭니다.
이 가이드와 함께 제공되는 GPOAccelerator.wsf 스크립트를 실행합니다.
GPMC(그룹 정책 관리 콘솔)를 사용하여 GPO를 연결하고 관리합니다.
.gif)
경고:
OU와 GPO를 프로덕션 환경에 배포하기 전에 설계를 철저히 테스트하는 것이 중요합니다. 이 장의 "보안 정책 구현" 섹션에서는 구현의 테스트 및 프로덕션 단계를 진행하는 동안 OU 구조와 보안 GPO를 만들고 배포하는 데 사용할 수 있는 절차를 자세히 설명합니다.
이 가이드와 함께 제공되는 기본 GPO에서는 다음과 같은 두 가지 환경에서 Windows Vista를 사용하는 클라이언트 컴퓨터의 보안을 강화할 수 있도록 검증된 설정의 조합을 제공합니다.
EC(엔터프라이즈 클라이언트)
SSLF(특수 보안 - 기능 제한)
이 장에서는 EC 환경을 중심으로 설명합니다. SSLF 환경에 대한 설명과 SSLF 환경에 해당하는 보안 설정을 적용하는 과정에 대한 자세한 내용은 5장, "특수 보안 - 기능 제한"을 참조하십시오.
이 페이지에서
엔터프라이즈 클라이언트 환경
보안 설계 및 구현
GPOAccelerator 도구
추가 정보
엔터프라이즈 클라이언트 환경
이 장에서 말하는 EC(엔터프라이즈 클라이언트) 환경은 Active Directory® 디렉터리 서비스를 사용하는 도메인과 이 도메인에서 Microsoft® Windows Server® 2003 R2 또는 Windows Server 2003 SP1(서비스 팩 1)을 사용하는 컴퓨터 및 Windows Vista 또는 Windows XP®가 실행될 수 있는 Active Directory 관리 클라이언트 컴퓨터로 구성됩니다. 이 환경의 클라이언트 컴퓨터는 사이트, 도메인 및 OU에 적용되는 그룹 정책을 통해 관리됩니다. 그룹 정책은 Active Directory 내에서 디렉터리를 기반으로 하여 보안 및 사용자 데이터를 비롯한 사용자 및 컴퓨터 설정을 변경하고 구성 관리하는 데 사용할 수 있는 중앙 집중식 인프라를 제공합니다.
보안 설계 및 구현
이 장에서 권장하는 보안 설계는 이 가이드에서 설명하는 시나리오의 출발점이 될 뿐만 아니라 각 시나리오의 완화 정책을 위해 제안하는 사항이기도 합니다. 이 장의 다음 섹션에서는 이 가이드의 핵심 보안 설계에 대해 자세히 설명하고 Windows Vista가 실행되는 컴퓨터에 대해 이 설계를 테스트 및 구현하는 절차를 설명합니다.
보안 정책의 OU 설계
보안 정책의 GPO 설계
보안 정책 구현
보안 정책의 OU 설계
OU는 Active Directory를 사용하는 도메인 내의 컨테이너입니다. OU에는 사용자, 그룹, 컴퓨터 및 다른 OU가 포함될 수 있습니다. 다른 OU를 포함하고 있는 OU를 상위 OU라고 합니다. 상위 OU 내에 포함된 OU를 하위 OU라고 합니다.
GPO를 OU에 연결한 후 해당 OU 및 하위 OU에 포함되어 있는 사용자와 컴퓨터에 GPO의 설정을 적용할 수 있습니다. 또한, 편리한 관리 작업을 위해 관리 권한을 각 OU에 위임할 수 있습니다.
OU를 사용하면 사용자와 컴퓨터를 손쉽게 그룹화하여 관리 범위를 효율적으로 나눌 수 있습니다. 조직에서는 사용자와 컴퓨터를 각기 별개의 OU에 할당하는 것이 좋습니다. 경우에 따라서 사용자에게만 적용되는 설정도 있고 컴퓨터에만 적용되는 설정도 있기 때문입니다.
MMC(Microsoft Management Console) Active Directory 사용자 및 컴퓨터 스냅인 도구의 위임 마법사를 사용하여 그룹 또는 개별 OU에 제어 권한을 위임할 수 있습니다. 권한 위임 방법에 대한 설명서로 연결되는 링크를 보려면 이 장 끝에 나오는 "추가 정보" 섹션을 참조하십시오.
조직에서 OU를 설계하는 주요 목적 중 하나는 Active Directory의 모든 클라이언트 컴퓨터에 적용되는 일관된 그룹 정책 구현의 기반을 마련하는 데 있습니다. 이렇게 하면 모든 클라이언트 컴퓨터가 조직의 보안 표준을 따르도록 할 수 있습니다. 또한 OU를 설계할 때는 조직의 특정 사용자 유형에 대한 보안 설정을 수용할 수 있도록 적절한 구조를 계획해야 합니다. 예를 들어, 개발자가 액세스해야 할 컴퓨터에 일반 사용자는 접근하지 못하도록 해야 할 수도 있습니다. 또한 랩톱 사용자에게는 데스크톱 사용자와는 다른 보안 설정이 필요할 수 있습니다. 다음 그림에는 이 장에서 설명하려는 그룹 정책에 대한 개념을 잘 보여 주는 간단한 OU 구조가 나와 있습니다. OU 구조는 사용자 조직의 환경에서 충족해야 할 요구 사항에 따라 다를 수 있습니다.
.gif)
그림 1.1 Windows Vista가 실행되는 컴퓨터의 OU 구조 예
부서 OU
조직 내의 보안 요구 사항은 자주 바뀌므로 사용자 환경에 부서 OU를 만드는 것이 적합할 수도 있습니다. 이 OU를 사용하여 해당 부서 OU의 컴퓨터와 사용자에 GPO를 통해 보안 설정을 적용할 수 있습니다.
Windows Vista 사용자 OU
이 OU에는 EC 환경의 사용자 계정이 포함됩니다. 이 OU에 적용되는 설정에 대한 자세한 설명은 부록 A, "보안 그룹 정책 설정"을 참조하십시오.
Windows Vista 컴퓨터 OU
이 OU에는 EC 환경에서 Windows Vista가 실행되는 클라이언트 컴퓨터의 각 유형에 대한 하위 OU가 포함됩니다. 이 가이드에서는 데스크톱 및 랩톱 컴퓨터에 대한 보안 지침을 주로 설명합니다. 따라서 이 가이드를 설명할 목적으로 다음과 같은 컴퓨터 OU를 만들었습니다.
데스크톱 OU. 이 OU에는 네트워크에 계속 연결된 상태를 유지하는 데스크톱 컴퓨터가 포함됩니다. 이 OU에 적용되는 설정에 대한 자세한 설명은 부록 A, "보안 그룹 정책 설정"을 참조하십시오.
랩톱 OU. 이 OU에는 네트워크에 항상 연결되어 있지는 않은 이동이 잦은 사용자의 랩톱 컴퓨터가 포함됩니다. 부록 A에서는 이 OU에 적용되는 설정에 대한 자세한 내용도 제공합니다.
보안 정책의 GPO 설계
GPO는 기본적으로 그룹 정책 스냅인을 사용하여 만든 파일인 그룹 정책 설정의 컬렉션입니다. 이 설정은 도메인 수준에서 저장되며 사이트에 포함된 사용자와 컴퓨터, 도메인 및 OU에 적용됩니다.
GPO를 사용하면 특정 정책 설정, 사용자 권한 및 컴퓨터 동작을 OU의 모든 클라이언트 컴퓨터 또는 사용자에 적용할 수 있습니다. 수동으로 구성 작업을 진행하는 대신 그룹 정책을 사용하면 여러 컴퓨터와 사용자를 손쉽게 관리하고 변경 사항을 업데이트할 수 있습니다. 수동 구성의 경우에는 기술자가 각 클라이언트 컴퓨터를 직접 작업해야 하므로 효율적이지 못할뿐더러 원하는 결과를 얻지 못할 가능성도 있습니다. 주된 이유는 도메인 기반 GPO의 설정이 로컬로 적용된 설정과 다른 경우 도메인 기반 GPO 정책 설정이 로컬로 적용된 정책 설정을 덮어쓰기 때문입니다.
.gif)
그림 1.2 GPO 우선 순위
위 그림에서는 하위 OU의 구성원인 컴퓨터에 GPO가 적용되는 우선 순위를 보여 줍니다. 우선 순위가 가장 낮은 경우(1)부터 시작하여 우선 순위가 가장 높은 경우(5) 순으로 나와 있습니다. 그룹 정책은 Windows Vista가 실행되는 각 클라이언트 컴퓨터의 로컬 보안 정책부터 먼저 적용됩니다. 로컬 보안 정책이 적용되고 나면 GPO가 사이트 수준에서 적용된 후 도메인 수준에서 적용됩니다.
여러 OU 계층에 중첩된 Windows Vista 기반 클라이언트 컴퓨터의 경우 계층 구조에서 상위 OU 수준부터 가장 낮은 하위 OU 수준의 순서로 GPO가 적용됩니다. 마지막 GPO는 클라이언트 컴퓨터가 포함된 OU로부터 적용됩니다. 프로세스에서 나중에 적용되는 GPO가 먼저 적용되는 GPO를 덮어쓰므로 그룹 정책에 대한 이와 같은 GPO 처리 순서(로컬 보안 정책, 사이트, 도메인, 상위 OU 및 하위 OU)는 매우 중요합니다. 사용자 GPO도 같은 방식으로 적용됩니다.
그룹 정책을 설계할 때는 다음 사항을 고려해야 합니다.
관리자는 사용자가 여러 GPO를 OU에 연결하는 순서를 설정해야 합니다. 그렇지 않을 경우 기본적으로 OU에 연결된 순서대로 그룹 정책이 적용됩니다. 여러 정책에 동일한 설정이 구성되면 해당 컨테이너의 정책 목록에서 가장 높은 수준의 정책이 우선적으로 적용됩니다.
적용 옵션을 사용하여 GPO를 구성할 수 있습니다. 이 옵션을 선택하면 다른 GPO가 이 GPO에 구성된 설정보다 우선적으로 적용될 수 없습니다.
참고 Windows 2000에서 이 적용 옵션과 같은 기능을 수행하는 옵션은 무시 안 함입니다.
정책의 상속을 금지 옵션을 사용하여 Active Directory, 사이트, 도메인 또는 OU를 구성할 수 있습니다. 이 옵션을 사용하면 적용 옵션을 선택하지 않는 한 Active Directory 계층 구조에서 더 높은 수준의 GPO로부터 GPO 설정이 상속되는 것이 차단됩니다. 즉, 적용 옵션은 정책의 상속을 금지 옵션보다 적용 우선 순위가 높습니다.
그룹 정책 설정은 Active Directory에서 사용자 또는 컴퓨터 개체가 어떤 위치에 있는가에 따라 사용자 및 컴퓨터에 적용됩니다. 때로는 사용자 개체에서 정책을 적용할 때 사용자 개체의 위치가 아닌 컴퓨터 개체의 위치를 기준으로 해야 할 수도 있습니다. 그룹 정책 루프백 기능을 통해 관리자는 사용자가 로그온한 컴퓨터에 따라 사용자 그룹 정책 설정을 적용할 수 있게 됩니다. 이 옵션에 대한 자세한 내용은 "Loopback Processing of Group Policy (영문)" 문서를 참조하십시오.
권장 GPO
앞서 설명한 OU 설계를 구현하려면 최소 네 개의 GPO가 필요합니다.
도메인에 대한 정책
Windows Vista 사용자 OU에 대한 정책
데스크톱 OU에 대한 정책
랩톱 OU에 대한 정책
다음 그림에서는 기본적인 OU 구조를 확장하여 이러한 GPO와 OU 설계 사이의 연결 관계를 보여 줍니다.
.gif)
그림 1.3 Windows Vista가 실행되는 컴퓨터에 대한 OU 구조 및 GPO 링크의 예
그림 1.3의 예에서 랩톱 컴퓨터는 랩톱 OU의 구성원입니다. 맨 처음 적용되는 정책은 랩톱 컴퓨터의 로컬 보안 정책입니다. 이 예에는 사이트가 한 개만 있으므로 사이트 수준에서는 GPO가 적용되지 않고 그 다음 순위인 도메인 GPO가 적용됩니다. 마지막으로 랩톱 GPO가 적용됩니다.
참고 데스크톱 정책은 어떠한 랩톱에도 적용되지 않습니다. 이 정책은 랩톱 OU가 포함된 계층 구조에 있는 어떠한 OU에도 연결되지 않기 때문입니다.
위 예에서와 같이 터미널 서비스를 통한 로그온 허용에 대한 정책 설정을 다음과 같은 OU 및 사용자 그룹에 적용하도록 설정한 시나리오를 생각해 봅시다.
Windows Vista 컴퓨터 OU – Administrators 그룹
랩톱 OU – Remote Desktop Users 및 Administrators 그룹
이 예에서 계정이 Remote Desktop Users 그룹에 속하는 사용자는 터미널 서비스를 통해 랩톱에 로그온할 수 있습니다. 랩톱 OU가 Windows Vista 컴퓨터 OU의 하위 OU이고 하위 정책의 우선 순위가 높기 때문입니다.
Windows Vista 컴퓨터 OU에 대해 GPO의 무시 안 함 정책 옵션을 사용하면 해당 계정이 Administrators 그룹에 속하는 사용자만 터미널 서비스를 통해 랩톱 컴퓨터에 로그온할 수 있습니다. 무시 안 함 옵션을 사용하면 하위 OU 정책이 프로세스에서 앞서 적용된 정책을 덮어쓰지 않기 때문입니다.
보안 정책 구현
이 가이드에서 설명하는 두 가지 환경에 대해 보안 설계를 구현하려면 GPMC(그룹 정책 관리 콘솔)와 GPMC 기반 스크립트를 사용해야 합니다. GPMC는 Windows Vista 운영 체제에 통합되어 있으므로 다른 컴퓨터에 대한 GPO를 관리하려 할 때마다 이 콘솔을 다운로드하여 설치할 필요가 없습니다. 이전의 Windows 운영 체제에 대한 보안 지침과 달리 Windows Vista에 대한 이 가이드의 규범적 지침에서는 EC 환경에 필요한 보안 설계를 테스트하고 구현하는 과정을 상당 부분 자동으로 진행합니다. 이 지침은 사용자에게 가장 효율적인 프로세스를 제공함으로써 구현 프로세스와 관련된 부담을 줄일 수 있도록 개발되어 테스트를 거쳤습니다.
중요 Active Directory를 사용하는 도메인에 가입해 있는 Windows Vista 클라이언트 컴퓨터에서 이 가이드의 모든 절차를 수행해야 합니다. 또한 이 절차를 수행하는 사용자는 도메인 관리자 권한을 갖고 있어야 합니다. Microsoft Windows® XP 또는 Windows Server® 2003 운영 체제를 사용하는 경우 Windows Vista용 보안 설정은 GPMC에 표시되지 않습니다.
보안 설계를 구현하려면 세 가지 주요 작업을 완료해야 합니다.
EC 환경을 만듭니다.
GPMC를 사용하여 VSG EC Domain Policy(VSG EC 도메인 정책)를 도메인에 연결합니다.
GPMC를 사용하여 결과를 확인합니다.
이 섹션에서는 이러한 작업과 절차에 대해 설명하고 규범적 GPO를 자동으로 만드는 데 사용되는 GPOAccelerator.wsf 스크립트의 기능에 대해 설명합니다.
GPOAccelerator.wsf 스크립트
Windows Vista Security Guide.msi 파일을 통해 설치되는 주요 도구로는 GPOAccelerator.wsf 스크립트가 있습니다. 이 스크립트의 주요 기능은 이 지침을 적용하는 데 필요한 모든 GPO를 자동으로 만드는 것입니다. 따라서 정책 설정을 수동으로 편집하고 템플릿을 적용하느라 많은 시간을 낭비할 필요가 없습니다. EC 환경의 클라이언트 컴퓨터에 대해 이 스크립트는 다음과 같은 네 가지 GPO를 만듭니다.
도메인에 대한 VSG EC Domain Policy(VSG EC 도메인 정책).
사용자에 대한 VSG EC Users Policy(VSG EC 사용자 정책).
데스크톱 컴퓨터에 대한 VSG EC Desktop Policy(VSG EC 데스크톱 정책).
랩톱 컴퓨터에 대한 VSG EC Laptop Policy(VSG EC 랩톱 정책).
중요 EC 환경에서 이 가이드의 보안 설계를 성공적으로 구현하기 위해서는 프로덕션 환경에 설계를 배포하기 전에 충분한 테스트를 거쳐야 합니다.
GPOAccelerator.wsf 스크립트를 사용하여 다음 작업을 수행합니다.
랩 환경에서 설계를 테스트합니다. 테스트 환경에서 GPOAccelerator.wsf 스크립트를 사용하여 OU 구조를 만들고 GPO를 만들면 GPO가 OU에 자동으로 연결됩니다. 구현의 테스트 단계를 마친 후에 프로덕션 환경에서 이 스크립트를 사용할 수 있습니다.
프로덕션 환경에서 설계를 배포합니다. 프로덕션 환경에서 솔루션 구현 작업을 시작할 때는 먼저 적절한 OU 구조를 만들거나 기존의 OU 집합을 수정해야 합니다. 그런 다음 GPOAccelerator.wsf 스크립트를 사용하여 GPO를 만들고, 새로 만든 GPO를 사용자 환경의 적절한 OU에 연결합니다.
랩 환경에서 설계 테스트
이 가이드와 함께 제공되는 GPO는 철저한 테스트를 거친 것입니다. 그러나 사용자의 환경에서 직접 테스트하는 것이 중요합니다. 시간을 절약하기 위해 GPOAccelerator.wsf 스크립트를 사용하여 규범적 GPO를 만들고 권장 OU 구조를 만들어 GPO를 OU에 자동으로 연결할 수도 있습니다.
작업 1: EC 환경 만들기
GPOAccelerator.wsf 스크립트는 Microsoft Windows Installer 파일(.msi)을 통해 생성되는 Windows Vista 보안 가이드\ GPOAccelerator 도구 폴더에 있습니다.
참고 GPOAccelerator 도구 폴더와 하위 폴더는 다음 절차에서 설명하는 대로 실행할 스크립트의 로컬 컴퓨터에 있어야 합니다.
GPO를 만들어 랩 환경에서 적절한 OU에 연결하려면
GPO를 만들려는 Active Directory 사용 도메인에 가입되어 있고 Windows Vista가 실행되는 컴퓨터에 도메인 관리자로 로그온합니다.
데스크톱에서 Windows Vista 시작 단추를 클릭하고 모든 프로그램, Windows Vista Security Guide(보안 가이드) 를 차례로 클릭합니다.
GPOAccelerator 도구\보안 그룹 정책 개체 폴더를 엽니다.
Command-line Here.cmd 파일을 마우스 오른쪽 단추로 클릭한 후 Administrator로 실행을 클릭하여 도메인 관리자 권한을 모두 사용할 수 있는 명령 프롬프트를 엽니다.
참고 로그온 자격 증명을 입력하라는 메시지가 나타나면 사용자 이름과 암호를 입력한 후 Enter 키를 누릅니다.
명령 프롬프트에 cscript GPOAccelerator.wsf /Enterprise /LAB을 입력한 후 Enter 키를 누릅니다.
Click Yes to continue, or No to exit the script(계속 진행하려면 [예]를, 스크립트를 끝내려면 [아니요]를 클릭하십시오) 메시지 상자에서 예를 클릭합니다.
참고 이 단계를 마치는 데 수 분이 걸릴 수도 있습니다.
The Enterprise Lab Environment is created(엔터프라이즈 랩 환경이 작성되었습니다) 메시지 상자에서 확인을 클릭합니다.
Make sure to link the Enterprise Domain GPO to your domain(엔터프라이즈 도메인 GPO를 도메인에 연결하십시오) 메시지 상자에서 확인을 클릭한 후 다음 작업의 단계를 완료하여 VSG EC Domain Policy(VSG EC 도메인 정책)를 연결합니다.
참고 도메인 수준 그룹 정책에는 해당 도메인의 모든 컴퓨터와 사용자에게 적용되는 설정이 포함됩니다. 이 GPO는 모든 사용자와 컴퓨터에 적용되므로 도메인 GPO를 언제 연결할지 결정하는 것이 중요합니다. 따라서 GPOAccelerator.wsf 스크립트에서는 도메인 GPO를 도메인에 자동으로 연결하지 않습니다.
작업 2: GPMC를 사용하여 VSG EC Domain Policy(VSG EC 도메인 정책)를 도메인에 연결
이제 도메인 GPO를 도메인에 연결할 준비가 되었습니다. 다음 지침에서는 Windows Vista가 실행되는 클라이언트 컴퓨터에서 GPMC를 사용하여 VSG EC Domain Policy(VSG EC 도메인 정책)를 도메인에 연결하는 방법을 설명합니다.
VSG EC Domain Policy(VSG EC 도메인 정책)를 연결하려면
Windows Vista 시작 단추를 클릭하고 모든 프로그램, 보조프로그램, 실행을 차례로 클릭합니다. 또는 Windows 로고 키와 R 키를 함께 누릅니다.
열기 입력란에 gpmc.msc를 입력한 후 확인을 클릭합니다.
도메인 트리 아래에서 도메인을 마우스 오른쪽 단추로 클릭한 후 기존 GPO 연결을 클릭합니다.
GPO 선택 대화 상자에서 VSG EC Domain Policy(VSG EC 도메인 정책) GPO를 클릭한 후 확인을 클릭합니다.
세부 정보 창에서 VSG EC Domain Policy(VSG EC 도메인 정책) 를 선택한 후 맨 위로 링크 이동 단추를 클릭합니다.
중요 VSG EC Domain Policy(VSG EC 도메인 정책) 의 링크 순서가 1로 설정되어 있어야 합니다. 그렇지 않으면 기본 도메인 정책 GPO 같이 도메인에 연결된 다른 GPO가 Windows Vista 보안 가이드 설정을 덮어쓰게 됩니다.
작업 3: GPMC를 사용하여 결과 확인
GPMC를 사용하여 스크립트의 결과를 확인할 수 있습니다. 다음 절차에서는 GPOAccelerator.wsf 스크립트를 통해 자동으로 만든 GPO와 OU 구조를 Windows Vista가 실행되는 클라이언트 컴퓨터에서 GPMC를 사용하여 확인하는 방법을 설명합니다.
GPOAccelerator.wsf 스크립트의 결과를 확인하려면
Windows Vista 시작 단추를 클릭하고 모든 프로그램, 보조프로그램, 실행을 차례로 클릭합니다.
열기 입력란에 gpmc.msc를 입력한 후 확인을 클릭합니다.
적절한 포리스트를 클릭하고 도메인을 클릭한 후 해당 도메인을 클릭합니다.
Vista 보안 가이드 EC 클라이언트 OU를 클릭하여 확장한 후 그 아래 표시된 다섯 개의 OU 각각을 클릭하여 엽니다.
OU 구조와 GPO 링크가 다음 그림과 일치하는지 확인합니다.
.gif)
그림 1.4 GPOAccelerator.wsf 스크립트를 통해 만든 OU 구조 및 GPO 링크의 GPMC 보기
GPOAccelerator.wsf 스크립트로 만드는 모든 GPO에는 이 가이드에 규정된 설정이 모두 적용되어 있습니다. 이제 Active Directory 사용자 및 컴퓨터 도구를 사용하여 사용자와 컴퓨터를 각각의 해당 OU로 이동시켜 설계를 테스트할 수 있습니다. 각 GPO에 포함된 설정에 대한 자세한 내용은 부록 A, "보안 그룹 정책 설정"을 참조하십시오.
프로덕션 환경에서 설계 배포
시간을 절약하기 위해 GPOAccelerator.wsf 스크립트를 사용하여 EC 환경에 필요한 GPO를 만들 수 있습니다. 그런 다음 기존 구조의 적절한 OU에 GPO를 연결할 수 있습니다. OU 수가 많은 더 큰 도메인의 경우에는 기존의 OU 구조를 사용하여 GPO를 어떻게 배포할지 고려해야 합니다.
가능하면 컴퓨터 OU와 사용자 OU를 서로 구분하는 것이 좋습니다. 랩톱 및 데스크톱 컴퓨터는 각각 고유한 OU로 구성해야 합니다. 사용자의 환경에서 그와 같은 구조를 만들 수 없는 경우에는 GPO를 수정해야 할 수도 있습니다. GPO를 수정해야 하는지 여부를 확인하려면 부록 A, "보안 그룹 정책 설정"에 나와 있는 설정 참조를 사용하십시오.
참고 앞 섹션에서 설명하고 있듯이 GPOAccelerator.wsf 스크립트를 테스트 환경에서 /LAB 옵션과 함께 사용하여 예제 OU 구조를 만들 수 있습니다. 그러나 OU 구조에 융통성이 있는 환경에서는 프로덕션 환경의 옵션을 사용하여 기본 OU 구조를 만든 후 GPO를 자동으로 연결할 수도 있습니다. 그런 다음 사용자 환경의 요구 사항에 맞도록 OU 구조를 수동으로 수정할 수 있습니다.
작업 1: GPO 만들기
GPOAccelerator.wsf 스크립트를 사용하여 이 가이드에서 설명하는 EC GPO를 만듭니다. GPOAccelerator.wsf 스크립트는 Microsoft Windows Installer 파일(.msi)을 통해 자동으로 생성되는 Windows Vista 보안 가이드\GPOAccelerator 도구 폴더에 있습니다.
참고 GPOAccelerator 도구 디렉터리가 설치되어 있는 컴퓨터에서 스크립트를 실행하는 데 사용하려는 다른 컴퓨터로 이 디렉터리를 간단히 복사할 수도 있습니다. GPOAccelerator 도구 폴더와 하위 폴더는 다음 절차에서 설명하는 대로 실행할 스크립트의 로컬 컴퓨터에 있어야 합니다.
프로덕션 환경에서 GPO를 만들려면
GPO를 만들려는 Active Directory 사용 도메인에 가입되어 있고 Windows Vista가 실행되는 컴퓨터에 도메인 관리자로 로그온합니다.
데스크톱에서 Windows Vista 시작 단추를 클릭하고 모든 프로그램, Windows Vista 보안 가이드를 차례로 클릭합니다.
GPOAccelerator 도구\보안 그룹 정책 개체 폴더를 엽니다.
Command-line Here.cmd 파일을 마우스 오른쪽 단추로 클릭한 후 Administrator로 실행을 클릭하여 도메인 관리자 권한을 모두 사용할 수 있는 명령 프롬프트를 엽니다.
참고 로그온 자격 증명을 입력하라는 메시지가 나타나면 사용자 이름과 암호를 입력한 후 Enter 키를 누릅니다.
명령 프롬프트에 cscript GPOAccelerator.wsf /Enterprise를 입력한 후 Enter 키를 누릅니다.
Click Yes to continue, or No to exit the script(계속 진행하려면 [예]를, 스크립트를 끝내려면 [아니요]를 클릭하십시오) 메시지 상자에서 예를 클릭합니다.
참고 이 단계를 마치는 데 수 분이 걸릴 수도 있습니다.
The Enterprise GPOs are created(엔터프라이즈 GPO가 작성되었습니다) 메시지 상자에서 확인을 클릭합니다.
Make sure to link the Enterprise GPOs to the appropriate OUs(엔터프라이즈 GPO를 적절한 OU에 연결하십시오) 메시지 상자에서 확인을 클릭합니다.
작업 2: GPMC를 사용하여 결과 확인
GPMC를 사용하여 스크립트를 통해 모든 GPO가 성공적으로 작성되었는지 확인할 수 있습니다. 다음 절차에서는 GPOAccelerator.wsf 스크립트를 통해 만든 GPO를 Windows Vista가 실행되는 클라이언트 컴퓨터에서 GPMC를 사용하여 확인하는 방법을 설명합니다.
GPOAccelerator.wsf 스크립트의 결과를 확인하려면
Windows Vista 시작 단추를 클릭하고 모든 프로그램, 보조프로그램, 실행을 차례로 클릭합니다.
열기 입력란에 gpmc.msc를 입력한 후 확인을 클릭합니다.
적절한 포리스트를 클릭하고 도메인을 클릭한 후 해당 도메인을 클릭합니다.
그룹 정책 개체를 클릭하여 확장한 후 네 개의 VSG EC GPO가 다음 그림에 나와 있는 것과 같이 작성되었는지 확인합니다.
.gif)
그림 1.5 GPOAccelerator.wsf 스크립트를 통해 만든 EC GPO의 GPMC 보기
이제 GPMC를 사용하여 각 GPO를 적절한 OU에 연결할 수 있습니다. 이 프로세스의 마지막 작업에서는 그 방법을 설명합니다.
작업 3: GPMC를 사용하여 OU에 GPO 연결
다음 절차에서는 Windows Vista가 실행되는 클라이언트 컴퓨터에서 GPMC를 사용하여 이 작업을 완료하는 방법을 설명합니다.
프로덕션 환경에서 GPO를 연결하려면
Windows Vista 시작 단추를 클릭하고 모든 프로그램, 보조프로그램, 실행을 차례로 클릭합니다.
열기 입력란에 gpmc.msc를 입력한 후 확인을 클릭합니다.
도메인 트리 아래에서 도메인을 마우스 오른쪽 단추로 클릭한 후 기존 GPO 연결을 클릭합니다.
GPO 선택 대화 상자에서 VSG EC Domain Policy(VSG EC 도메인 정책) GPO를 클릭한 후 확인을 클릭합니다.
세부 정보 창에서 VSG EC Domain Policy(VSG EC 도메인 정책) 를 선택한 후 맨 위로 링크 이동 단추를 클릭합니다.
중요 VSG EC Domain Policy(VSG EC 도메인 정책) 의 링크 순서가 1로 설정되어 있어야 합니다. 그렇지 않으면 기본 도메인 정책 GPO 같이 도메인에 연결된 다른 GPO가 Windows Vista 보안 가이드 설정을 덮어쓰게 됩니다.
Windows Vista 사용자 OU 노드를 마우스 오른쪽 단추로 클릭하고 기존 GPO 연결 옵션을 선택합니다.
GPO 선택 대화 상자에서 VSG EC Users Policy(VSG EC 사용자 정책) GPO를 클릭한 후 확인을 클릭합니다.
데스크톱 OU 노드를 마우스 오른쪽 단추로 클릭하고 기존 GPO 연결 옵션을 선택합니다.
GPO 선택 대화 상자에서 VSG EC Desktop Policy(VSG EC 데스크톱 정책) GPO를 클릭한 후 확인을 클릭합니다.
랩톱 OU 노드를 마우스 오른쪽 단추로 클릭하고 기존 GPO 연결 옵션을 선택합니다.
GPO 선택 대화 상자에서 VSG EC Laptop Policy(VSG EC 랩톱 정책) GPO를 클릭한 후 확인을 클릭합니다.
앞서 만든 사용자 또는 컴퓨터 OU가 더 있으면 이들 각각에 대해 위 단계를 반복하여 이러한 추가 OU를 적절한 GPO에 연결합니다.
참고 그룹 정책 개체 노드 아래에서 OU로 GPO를 끌어다 놓을 수도 있습니다. 그러나 이 끌어서 놓기 작업은 동일한 도메인 내에서만 수행할 수 있습니다.
GPMC를 사용하여 GPO 연결을 확인하려면
그룹 정책 개체 노드를 확장하고 GPO를 선택한 후 세부 정보 창에서 범위 탭을 클릭하고 연결 사용 및 경로 열의 정보를 확인합니다.
또는 -
OU를 선택한 후 세부 정보 창에서 연결된 그룹 정책 개체 탭을 클릭하고 연결 사용 및 GPO 열의 정보를 확인합니다.
참고 GPMC를 사용하여 GPO의 연결을 해제할 수 있고, 선택에 따라서는 GPO를 삭제할 수도 있습니다. 그런 다음 GPMC를 사용하거나 Active Directory 사용자 및 컴퓨터 콘솔을 사용하여 더 이상 필요하지 않은 OU를 모두 삭제할 수 있습니다. GPOAccelerator.wsf 스크립트로 수정한 모든 Active Directory 변경 사항을 완전히 실행 취소하려면 EC-VSGAuditPolicy.cmd 파일, EC-ApplyAuditPolicy.cmd 파일 및 EC-AuditPolicy.txt 파일을 도메인 컨트롤러 중 하나의 NETLOGON 공유 위치에서 수동으로 삭제해야 합니다. 감사 정책의 구현을 완전히 제거하는 방법에 대한 자세한 내용은 부록 A, "보안 그룹 정책 설정"에서 "감사 정책" 섹션을 참조하십시오.
GPOAccelerator.wsf 스크립트로 만드는 모든 GPO에는 이 가이드에 규정된 설정이 모두 적용되어 있습니다. 이제 Active Directory 사용자 및 컴퓨터 도구를 사용하여 사용자와 컴퓨터를 각각의 해당 OU로 이동시켜 설계를 테스트할 수 있습니다. 각 GPO에 포함된 설정에 대한 자세한 내용은 부록 A, "보안 그룹 정책 설정"을 참조하십시오.
다른 도메인으로 GPO 마이그레이션(선택 사항)
이 솔루션의 GPO를 수정했거나 고유한 GPO를 만든 후 이를 여러 도메인에 걸쳐 사용하려면 GPO를 마이그레이션해야 합니다. 한 도메인에서 작동하는 GPO를 다른 도메인으로 마이그레이션하려면 몇 가지 사항을 계획해야 하지만 기본적인 절차는 비교적 단순합니다. 계획 프로세스를 진행할 때는 GPO의 두 가지 중요한 데이터 측면을 고려해야 합니다.
복잡한 데이터. GPO를 구성하는 데이터는 복잡하며 여러 위치에 저장되어 있습니다. GPO를 마이그레이션하는 데 GPMC를 사용하면 모든 관련 데이터를 제대로 마이그레이션할 수 있습니다.
도메인 전용 데이터. GPO의 데이터 중 일부는 특정 도메인에만 관련될 수 있으며 이를 다른 도메인으로 직접 복사하는 경우 데이터가 잘못될 수도 있습니다. 이 문제를 해결하기 위해 GPMC에서는 마이그레이션 프로세스의 일부로서 GPO의 도메인 전용 데이터를 새 값으로 업데이트하는 데 사용할 수 있는 마이그레이션 테이블을 제공합니다. 이 작업은 GPO에 SID(보안 식별자)가 포함되어 있거나 도메인 고유의 UNC(범용 명명 규칙) 경로가 포함되어 있는 경우에만 수행하면 됩니다.
GPO 마이그레이션에 대한 자세한 내용은 GPMC 도움말을 참조하십시오. "Migrating GPOs Across Domains with GPMC (영문)" 백서에서도 도메인 간에 GPO를 마이그레이션하는 데 대한 추가 정보를 제공합니다.
GPOAccelerator 도구
이 가이드와 함께 제공되는 도구 및 템플릿에는 스크립트와 보안 템플릿이 포함되어 있습니다. 이 섹션에서는 이러한 리소스에 대한 배경 정보를 제공합니다. 이 보안 지침의 핵심 스크립트를 실행하는 주요 도구는 Windows Vista 보안 가이드\GPOAccelerator 도구\보안 그룹 정책 개체 폴더에 있는 GPOAccelerator.wsf입니다. 이 섹션에서는 GPMC를 수정하여 GPO 설정을 보는 방법을 비롯하여 이 가이드와 함께 제공되는 파일의 유형 및 하위 디렉터리 구조도 설명합니다. 이 가이드와 함께 제공되는 Windows Vista Security Guide Settings.xls 파일에서는 설정 값을 비교하는 데 사용할 수 있는 다른 리소스를 제공합니다.
GPMC 및 SCE 확장
이 가이드에서 제시하는 솔루션에 사용되는 GPO 설정은 SCE(보안 구성 편집기) 도구 또는 Windows Vista의 GPMC 관련 표준 UI(사용자 인터페이스)에 표시되지 않습니다. 이러한 설정의 이름 앞에는 모두 MSS: 가 붙습니다. 이들 설정은 기존의 보안 지침을 마련하기 위해 Microsoft Solutions for Security 그룹에서 개발한 것입니다.
중요 SCE 확장과 GPOAccelerator.wsf 스크립트는 Windows Vista 기반 컴퓨터에서 실행할 목적으로 설계되었습니다. Windows XP 또는 Windows Server 2003을 사용하는 컴퓨터에서는 이러한 도구가 제대로 실행되지 않을 수 있습니다.
따라서 보안 설정을 보고 필요한 경우 이를 편집할 수 있도록 이들 도구를 확장해야 합니다. 이와 같은 도구 확장을 위해 GPOAccelerator.wsf 스크립트에서는 GPO를 만드는 동안 사용자의 컴퓨터를 자동으로 업데이트합니다. Windows Vista가 실행되는 다른 컴퓨터에서 Windows Vista 보안 가이드 GPO를 관리하려면 다음 절차에 따라 그 컴퓨터의 SCE를 업데이트해야 합니다.
MSS 설정이 표시되도록 SCE를 수정하려면
다음과 같은 조건이 충족되는지 미리 확인합니다.
GPO를 만든 Active Directory 사용 도메인에 컴퓨터가 가입해 있어야 합니다.
Windows Vista 보안 가이드 GPOAccelerator 도구 디렉터리가 설치되어 있어야 합니다.
참고 GPOAccelerator 도구 디렉터리가 설치되어 있는 컴퓨터에서 스크립트를 실행하는 데 사용하려는 다른 컴퓨터로 이 디렉터리를 간단히 복사할 수도 있습니다. GPOAccelerator 도구 폴더와 하위 폴더는 이 절차에서 설명하는 대로 실행할 스크립트의 로컬 컴퓨터에 있어야 합니다.
관리자로 컴퓨터에 로그온합니다.
데스크톱에서 Windows Vista 시작 단추를 클릭하고 모든 프로그램, Windows Vista 보안 가이드를 차례로 클릭합니다.
GPOAccelerator 도구\보안 그룹 정책 개체 폴더를 엽니다.
Command-line Here.cmd 파일을 마우스 오른쪽 단추로 클릭한 후 Administrator로 실행을 클릭하여 관리자 권한을 모두 사용할 수 있는 명령 프롬프트를 엽니다.
참고 로그온 자격 증명을 입력하라는 메시지가 나타나면 사용자 이름과 암호를 입력한 후 Enter 키를 누릅니다.
명령 프롬프트에 cscript GPOAccelerator.wsf /ConfigSCE를 입력한 후 Enter 키를 누릅니다.
Click Yes to continue, or No to exit the script(계속 진행하려면 [예]를, 스크립트를 끝내려면 [아니요]를 클릭하십시오) 메시지 상자에서 예를 클릭합니다.
The Security Configuration Editor is updated(보안 구성 편집기가 업데이트되었습니다) 메시지 상자에서 확인을 클릭합니다.
중요 이 스크립트는 MSS 설정을 표시하도록 SCE를 수정하는 작업만 수행합니다. 이 스크립트로 GPO나 OU를 만들 수는 없습니다.
다음 절차에서는 추가 MSS 보안 설정을 제거한 후 SCE 도구를 Windows Vista의 기본 설정으로 되돌립니다.
SCE 도구를 Windows Vista의 기본 설정으로 되돌리려면
관리자로 컴퓨터에 로그온합니다.
데스크톱에서 Windows Vista 시작 단추를 클릭하고 모든 프로그램, Windows Vista 보안 가이드를 차례로 클릭합니다.
GPOAccelerator 도구\보안 그룹 정책 개체 폴더를 엽니다.
Command-line Here.cmd 파일을 마우스 오른쪽 단추로 클릭한 후 Administrator로 실행을 클릭하여 관리자 권한을 모두 사용할 수 있는 명령 프롬프트를 엽니다.
참고 로그온 자격 증명을 입력하라는 메시지가 나타나면 사용자 이름과 암호를 입력한 후 Enter 키를 누릅니다.
명령 프롬프트에 cscript GPOAccelerator.wsf /ResetSCE를 입력한 후 Enter 키를 누릅니다.
Click Yes to continue, or No to exit the script(계속 진행하려면 [예]를, 스크립트를 끝내려면 [아니요]를 클릭하십시오) 메시지 상자에서 예를 클릭합니다.
참고 이 절차를 완료하면 컴퓨터에 있는 보안 구성 편집기가 Windows Vista의 기본 설정으로 되돌아갑니다. 기본 보안 구성 편집기에 추가했던 모든 설정이 제거됩니다. 이는 보안 구성 편집기를 사용하여 설정을 볼 수 있도록 하는 기능에만 영향을 줍니다. 앞서 구성했던 그룹 정책 설정은 그대로 유지됩니다.
The Security Configuration Editor is updated(보안 구성 편집기가 업데이트되었습니다) 메시지 상자에서 확인을 클릭합니다.
이전 보안 설정
이 가이드와 함께 제공되는 정책을 사용하거나 수정하는 대신 사용자가 직접 정책을 만들려는 경우 관련 보안 설정을 가져와 사용할 수 있도록 보안 템플릿이 제공됩니다. 보안 템플릿은 보안 설정 값을 포함하는 텍스트 파일이며 GPO의 하위 구성 요소입니다. MMC 그룹 정책 개체 편집기 스냅인에서 보안 템플릿에 포함된 정책 설정을 수정할 수 있습니다. 이전 버전의 Windows 운영 체제와 달리 Windows Vista에는 미리 정의된 보안 템플릿이 함께 제공되지 않습니다. 물론 필요한 경우 기존의 보안 템플릿을 계속 사용할 수는 있습니다.
보안 템플릿은 이 가이드와 함께 제공되는 Windows Installer 파일(.msi)에 포함되어 있습니다. GPOAccelerator 도구\보안 템플릿 폴더에는 EC 환경에 사용할 수 있는 다음과 같은 템플릿이 있습니다.
VSG EC Desktop.inf
VSG EC Domain.inf
VSG EC Laptop.inf
중요 이 가이드에서 설명하는 솔루션을 배포하는 데는 보안 템플릿을 사용할 필요가 없습니다. 이 템플릿은 GPMC 기반 솔루션이 아닌 대체 솔루션을 제공하기 위한 것이며 Computer Configuration\Windows Settings\Security Settings 아래 표시되는 컴퓨터 보안 설정만을 처리합니다. 예를 들어, 보안 템플릿으로는 GPO의 Internet Explorer 또는 Windows 방화벽 설정을 관리할 수 없으며, 여기에는 사용자 설정도 포함되지 않습니다.
보안 템플릿 사용
보안 템플릿을 사용하려면 먼저 UI에 사용자 지정 MSS 보안 설정이 표시되도록 SCE를 확장해야 합니다. 자세한 내용은 이 장의 앞에 나와 있는 "GPMC 및 SCE 확장" 섹션의 절차를 참조하십시오. 템플릿을 볼 수 있으면 다음 절차를 사용하여 필요에 따라 이미 작성된 GPO로 템플릿을 가져올 수 있습니다.
보안 템플릿을 GPO로 가져오려면
수정하려는 GPO에 대해 그룹 정책 개체 편집기를 엽니다. GPMC에서 이 편집기를 열려면 GPO를 마우스 오른쪽 단추로 클릭한 후 편집을 클릭합니다.
그룹 정책 개체 편집기에서 Windows 설정 폴더를 찾습니다.
Windows 설정 폴더를 확장하고 보안 설정을 선택합니다.
보안 설정 폴더를 마우스 오른쪽 단추로 클릭한 후 정책 가져오기를 클릭합니다.
Windows Vista 보안 가이드 폴더에서 보안 템플릿 폴더를 찾습니다.
가져올 보안 템플릿을 선택한 후 열기를 클릭합니다.
이 절차의 마지막 단계까지 수행하면 파일의 설정을 GPO로 가져올 수 있습니다.
이 가이드와 함께 제공되는 보안 템플릿을 사용하여 Windows Vista가 실행되는 독립 실행형 클라이언트 컴퓨터에서 로컬 보안 정책을 수정할 수도 있습니다. GPOAccelerator.wsf 스크립트를 사용하면 템플릿을 간단히 적용할 수 있습니다.
보안 템플릿을 적용하여 Windows Vista가 실행되는 독립 실행형 클라이언트 컴퓨터에서 로컬 그룹 정책을 만들려면
Windows Vista가 실행되는 컴퓨터에 관리자로 로그온합니다.
데스크톱에서 Windows Vista 시작 단추를 클릭하고 모든 프로그램, Windows Vista 보안 가이드를 차례로 클릭합니다.
GPOAccelerator 도구\보안 그룹 정책 개체 폴더를 엽니다.
Command-line Here.cmd 파일을 마우스 오른쪽 단추로 클릭한 후 Administrator로 실행을 클릭하여 관리자 권한을 모두 사용할 수 있는 명령 프롬프트를 엽니다.
참고 로그온 자격 증명을 입력하라는 메시지가 나타나면 사용자 이름과 암호를 입력한 후 Enter 키를 누릅니다.
명령 프롬프트에 cscript GPOAccelerator.wsf /Enterprise /Desktop 또는 cscript GPOAccelerator.wsf /Enterprise /Laptop을 입력한 후 Enter 키를 누릅니다.
이 절차를 완료하면 EC 환경에 대해 보안 템플릿의 값을 사용하여 로컬 보안 정책 설정이 수정됩니다.
로컬 그룹 정책을 Windows Vista의 기본 설정으로 되돌리려면
Windows Vista가 실행되는 클라이언트 컴퓨터에 관리자로 로그온합니다.
데스크톱에서 Windows Vista 시작 단추를 클릭하고 모든 프로그램, Windows Vista 보안 가이드를 차례로 클릭합니다.
GPOAccelerator 도구\보안 그룹 정책 개체 폴더를 엽니다.
Command-line Here.cmd 파일을 마우스 오른쪽 단추로 클릭한 후 Administrator로 실행을 클릭하여 관리자 권한을 모두 사용할 수 있는 명령 프롬프트를 엽니다.
참고 로그온 자격 증명을 입력하라는 메시지가 나타나면 사용자 이름과 암호를 입력한 후 Enter 키를 누릅니다.
명령 프롬프트에 cscript GPOAccelerator.wsf /Restore를 입력한 후 Enter 키를 누릅니다.
이 절차를 완료하면 로컬 보안 정책 설정이 Windows Vista의 기본값으로 되돌아갑니다.
하위 디렉터리 및 파일
Windows Installer 파일(.msi)을 실행하면 기본적으로 사용자가 지정한 컴퓨터 위치에 Windows Vista 보안 가이드\GPOAccelerator 도구 폴더가 생성됩니다. .msi 파일은 GPOAccelerator 도구 폴더에 다음과 같은 하위 디렉터리 구조를 만들고 아래 표에서 설명하는 파일을 생성합니다.
표 1.1 하위 디렉터리, 파일 및 설명
| 하위 디렉터리\파일 | 설명 |
|---|---|
| SCE 업데이트 \Restore_SCE_to_Default.vbs |
SCE를 Windows Vista 기본값으로 되돌리는 스크립트입니다. |
| SCE 업데이트 \Sceregvl_Vista.inf.txt |
SCE를 원래 값으로 되돌리는 기본 Windows Vista SCEREGVL.INF 파일입니다. |
| SCE 업데이트 \Strings-sceregvl.txt |
MSS 설정을 SCE에 추가하는 데 필요한 문자열 값이 들어 있는 텍스트 파일입니다. |
| SCE 업데이트 \Update_SCE_with_MSS_Regkeys.vbs |
MSS 설정을 포함하도록 SCE를 수정하는 스크립트입니다. |
| SCE 업데이트 \Sce.reg |
기본 SCE 레지스트리 값이 들어 있는 레지스트리 파일입니다. |
| SCE 업데이트 \Values-sceregvl.txt |
SCE에 레지스트리 설정을 표시하는 데 필요한 레지스트리 값이 들어 있는 텍스트 파일입니다. |
| 보안 그룹 정책 개체 \Command-line here.cmd |
이 파일을 실행한 경로에서 명령 프롬프트를 여는 배치 파일입니다. |
| 보안 그룹 정책 개체 \GPOAccelerator.wsf |
규범적 지침을 구현하기 위해 스크립트를 실행하는 데 사용되는 기본 도구입니다.
|
| GPMCFiles \CreateEnvironmentFromXML.wsf |
GPO 및 OU 구조를 만드는 스크립트입니다.
|
| GPMCFiles \EC-VSG-GPOs.xml |
GPMC에서 엔터프라이즈 GPO를 만드는 데 사용되는 XML 파일입니다. |
| GPMCFiles \EC-VSG-GPOs-LAB.xml |
GPMC에서 엔터프라이즈 GPO와 예제 OU 구조를 만드는 데 사용되는 XML 파일입니다. |
| GPMCFiles \SSLF-VSG-GPOs.xml |
GPMC에서 엔터프라이즈 GPO를 만드는 데 사용되는 XML 파일입니다. |
| GPMCFiles \SSLF-VSG-GPOs-LAB.xml |
GPMC에서 SSLF GPO와 권장 OU 구조를 만드는 데 사용되는 XML 파일입니다. |
| GPMCFiles \EC-VSGAuditPolicy.txt |
이 가이드에 포함된 구체적인 감사 정책을 구현하는 데 사용되는 텍스트 파일입니다. |
| GPMCFiles \EC-VSGAuditPolicy.cmd |
이 가이드에 포함된 구체적인 감사 정책을 구현하는 데 사용되는 명령 파일입니다. |
| GPMCFiles \EC-VSGApplyAuditPolicy.cmd |
이 가이드에 포함된 구체적인 감사 정책을 구현하는 데 사용되는 명령 파일입니다. |
| GPMCFiles \SSLF-VSGAuditPolicy.txt |
이 가이드에 포함된 구체적인 감사 정책을 구현하는 데 사용되는 텍스트 파일입니다. |
| GPMCFiles \SSLF-VSGAuditPolicy.cmd |
이 가이드에 포함된 구체적인 감사 정책을 구현하는 데 사용되는 명령 파일입니다. |
| GPMCFiles \SSLF-VSGApplyAuditPolicy.cmd |
이 가이드에 포함된 구체적인 감사 정책을 구현하는 데 사용되는 명령 파일입니다. |
| 보안 템플릿 | 이 가이드에 규정되어 있는 몇 가지 보안 설정을 구현하는 데 사용할 수 있는 보안 템플릿 .inf 파일이 포함된 폴더입니다. 참고 규범적 GPO를 만드는 데는 이 가이드에 포함되어 있는 스크립트를 사용하는 것이 좋습니다. 그러나 독립 실행형 컴퓨터의 보안을 설정하는 데 이와 같이 별도로 제공되는 보안 템플릿을 사용할 수도 있습니다. |
| 보안 템플릿 \EC-VSG Desktop.inf |
엔터프라이즈 데스크톱 보안 템플릿입니다. |
| 보안 템플릿 \EC-VSG Domain.inf |
엔터프라이즈 도메인 보안 템플릿입니다. |
| 보안 템플릿 \EC-VSG Laptop.inf |
엔터프라이즈 랩톱 보안 템플릿입니다. |
| 보안 템플릿 \SSLF-VSG Desktop.inf |
SSLF 데스크톱 보안 템플릿입니다. |
| 보안 템플릿 \SSLF-VSG Domain.inf |
SSLF 도메인 보안 템플릿입니다. |
| 보안 템플릿 \SSLF-VSG Laptop.inf |
SSLF 랩톱 보안 템플릿입니다. |
| 보안 템플릿 \Vista Default Security.cmd |
로컬 보안 정책을 Windows Vista 기본 설정으로 되돌리는 과정의 일부로 사용되는 명령 파일입니다. |
| 보안 템플릿 \Vista Default Security.inf |
로컬 보안 정책을 Windows Vista 기본 설정으로 되돌리는 과정의 일부로 사용되는 보안 템플릿입니다. |
| 보안 템플릿 \Vista Default Security.sdb |
로컬 보안 정책을 Windows Vista 기본 설정으로 되돌리는 과정의 일부로 사용되는 보안 데이터베이스 파일입니다. |
| 보안 템플릿 \Vista Local Security.sdb |
VSG 보안 템플릿을 컴퓨터에 적용하는 데 사용되는 보안 데이터베이스 파일입니다. |