Windows Vista 보안 가이드

2장: 악성 프로그램 방어

게시 날짜: 2006년 11월 8일


악의적인 소프트웨어 즉, 악성 프로그램은 컴퓨터 사용자에게 해로운 모든 프로그램이나 파일을 가리킵니다. 악성 프로그램의 예로는 컴퓨터 바이러스, 웜, 트로이 목마 프로그램을 비롯하여 동의 없이 컴퓨터 사용자에 대한 정보를 수집하는 스파이웨어 등이 있습니다.

Windows Vista™에는 사용자의 환경에서 Windows Vista가 실행되는 컴퓨터를 악성 프로그램으로부터 더욱 안전하게 보호하는 데 도움이 되는 여러 가지 기술이 새로 도입되었습니다. 앞 장에서 설명한 GPO(그룹 정책 개체)에 포함되어 있는 설정 중 일부는 사용자를 악성 프로그램으로부터 보호하는 데 도움이 되기도 합니다. 이러한 설정에 더해 이 장에서 설명하는 기능과 서비스를 사용할 수 있습니다.

Windows Vista에 포함되어 있는 Microsoft® Internet Explorer® 7에서도 컴퓨터 사용자를 악성 프로그램으로부터 보호하는 데 도움이 되는 여러 가지 강화된 기능을 제공합니다. 원하지 않는 소프트웨어가 설치되지 않도록 막는 기술과 개인 데이터가 무단으로 전송되지 못하도록 방어하는 기술을 통해 브라우저 보안과 개인 정보 보호를 크게 강화할 수 있습니다.

이 장에서는 이러한 기술에 대해 간단히 살펴보고 각 기술을 적용하려 할 때 어떻게 구성하는 것이 좋은지 권장 방법을 소개합니다. 이러한 권장 방법은 1장, "기본 보안 구현"에서 설명하는 적절한 GPO를 통해 구현할 수 있습니다. 그러나 이러한 기술 설정을 구성하려면 대개의 경우 사용자의 환경에 특유한 정보를 알고 있어야 합니다. 따라서 앞 장에서 설명된 GPO에는 이러한 추가 설정에 대한 권장 값이 대부분 포함되어 있지 않습니다.

이러한 모든 기술은 기본적으로 EC(엔터프라이즈 클라이언트) 환경에서 Windows Vista를 사용하는 컴퓨터의 보안을 강화할 목적으로 구성됩니다. 그러나 몇몇 새로운 그룹 정책 설정을 사용하여 이러한 기술에서 제공하는 동작과 기능을 사용자 지정하면 사용자 환경을 악성 프로그램으로부터 더욱 안전하게 보호할 수 있습니다.

이 장에서는 Windows Vista 및 Internet Explorer 7에 새로 추가되거나 향상된 보안 기술을 다음과 같이 두 범주로 나누어 설명합니다.

  • Windows Vista 방어 기술

  • Internet Explorer 7 방어 기술


참고   이 장의 각 영역에서는 특정 그룹 정책 설정이 강조 표시되어 있습니다. 이는 Windows Vista를 새로 설치하는 경우 적용되는 기본 구성을 설명하기 위한 것입니다. 특정 설정의 수정 또는 권장 사항에는 ‡ 기호가 표시되어 있습니다. 이러한 설정 값에 대한 자세한 내용은 부록 A, "보안 그룹 정책 설정"을 참조하십시오.

이 페이지에서

Windows Vista 방어 기술
Internet Explorer 7 방어 기술
추가 정보

Windows Vista 방어 기술

Windows Vista에는 악성 프로그램으로부터 사용자를 더욱 안전하게 보호하기 위해 새로 추가되거나 강화된 여러 가지 기술이 포함되어 있습니다. 이러한 기술에는 다음이 포함됩니다.

  • UAC(사용자 계정 제어)

  • Windows Defender

  • Windows 방화벽

  • Windows 보안 센터

  • 악성 소프트웨어 제거 도구

  • 소프트웨어 제한 정책


이와 같은 보호 기술을 단순히 적용할 뿐만 아니라 높은 수준의 보안 상태를 유지하기 위해서는 로그인할 때 표준 사용자 계정을 사용하는 것이 중요함을 항상 염두에 둘 필요가 있습니다. 이러한 보호 기술을 모두 적용하더라도 컴퓨터에 관리자 수준의 권한을 갖고 액세스할 수 있는 사용자를 보호하지 않으면 컴퓨터는 여전히 위험에 노출될 수 밖에 없습니다.

사용자 계정 제어

Windows Vista에 포함된 UAC(사용자 계정 제어)는 관리자로 액세스해야 하는 권한 및 작업 중 일부를 표준 사용자 권한 및 작업으로 분리하기 위한 방법을 제공합니다. UAC를 사용하면 표준 사용자 계정으로 실행 중인 사용자의 환경을 개선하여 보안을 강화할 수 있습니다. 사용자는 이제 관리자 수준의 사용 권한으로 로그인하지 않더라도 더 많은 작업을 수행할 수 있고 더 높은 응용 프로그램 호환성의 혜택을 누릴 수 있습니다. 이렇게 하면 악성 프로그램으로 인한 영향, 허가되지 않은 소프트웨어의 설치, 승인되지 않은 시스템 변경을 줄이는 데 도움이 됩니다.

참고   이전 버전의 Windows 운영 체제에서는 전체 관리자 권한이 없더라도 응용 프로그램 설치 등의 시스템 작업을 수행할 수 있도록 Power Users 그룹을 만들고 이 그룹의 구성원에게 해당 권한을 부여했습니다. UAC에서는 Power Users 그룹을 사용하지 않습니다. Windows Vista에서는 이 그룹에 부여되었던 사용 권한이 제거되었습니다. 그러나 이전 버전의 운영 체제와 호환성을 유지하기 위해 Power Users 그룹을 계속 사용할 수도 있습니다. Windows Vista에서 Power Users 그룹을 사용하려면 시스템 폴더와 레지스트리에 대한 기본적인 사용 권한을 변경하여 Windows XP에서 Power Users 그룹에 부여하는 것과 같은 사용 권한을 이 그룹의 구성원에게 부여하도록 새 보안 템플릿을 적용해야 합니다.

이전에는 보안에 부정적인 영향을 주지는 않지만 관리자로 액세스해야 했던 여러 작업을 Windows Vista에서는 표준 사용자도 수행할 수 있게 되었습니다. 표준 사용자가 수행할 수 있는 작업의 예로는 표준 시간대 설정 수정, 보안 무선 네트워크에 연결, 승인된 장치 및 Microsoft ActiveX® 컨트롤 설치 등이 있습니다.

또한 UAC 기술의 관리자 승인 모드 기능을 사용하면 Windows Vista가 실행되는 컴퓨터를 일부 유형의 악성 프로그램으로부터 보호하는 데 도움이 됩니다. 기본적으로 관리자는 표준 사용자 권한을 사용하여 대부분의 프로그램과 작업을 실행할 수 있습니다. 새 소프트웨어를 설치하거나 특정 시스템 설정을 수정하는 등의 관리 작업을 수행해야 하는 경우에는 먼저 동의를 구하는 메시지를 확인해야 해당 작업을 완료할 수 있습니다. 그러나 이 모드에서는 표준 사용자 계정을 사용할 때와 같은 수준의 보호 기능을 제공하지 않으며 클라이언트 컴퓨터에 이미 설치되어 있는 악성 소프트웨어가 권한이 승격된 소프트웨어를 무단으로 변경하지 않으리라는 보장도 없습니다. 또한 권한이 승격된 소프트웨어 자체에서 악의적인 작업을 수행하지 않으리라는 보장도 없습니다.

UAC 동작을 제어하도록 Window Vista에서 새 그룹 정책 설정을 구성하면 이 기술을 활용할 수 있습니다. 앞 장에서 설명된 그룹 정책 설정은 UAC에 지정된 동작을 적용하도록 구성되어 있습니다. 그러나 부록 A, "보안 그룹 정책 설정"에서 이러한 설정에 대한 규정을 검토하여 설정이 사용자 환경의 요구 사항을 충족하도록 최적으로 구성되어 있는지 확인하는 것이 좋습니다.

위험 평가

관리자 권한이 있는 사용자가 로그온하면 관리 기능이 활성화됩니다. 이 경우 자신도 모르는 사이에 실수나 악의적인 의도로 인해 관리 작업이 수행될 수 있습니다. 예를 들면 다음과 같습니다.

  • 사용자가 자신의 의도와는 상관없이 악의적이거나 감염된 웹 사이트로부터 악성 프로그램을 다운로드하여 설치할 수 있습니다.

  • 악성 프로그램이 포함된 전자 메일 첨부 파일을 우연히 열어 본 결과로 해당 프로그램이 컴퓨터에서 실행되거나 설치될 수 있습니다.

  • 이동식 드라이브를 컴퓨터에 삽입했을 때 자동 실행 기능을 통해 악성 소프트웨어가 자동으로 실행될 수 있습니다.

  • 지원되지 않는 응용 프로그램을 설치한 결과로 컴퓨터 성능이나 안정성이 저하될 수 있습니다.

위험 완화

위험을 완화하기 위한 좋은 방법은 일상적인 작업을 수행하려는 사용자는 모두 표준 사용자 계정을 사용하여 로그온하도록 하는 것입니다. 관리자 수준 계정은 관리자 수준의 액세스가 필요한 작업을 수행할 때만 사용해야 합니다. 또한 관리자 권한이 필요한 작업을 수행하려는 시도가 있으면 해당 사실을 사용자에게 알리도록 UAC를 활성화해야 합니다.

완화 고려 사항

UAC를 사용하면 앞의 "위험 평가" 섹션에서 설명한 여러 가지 위험을 완화하는 데 도움이 됩니다. 그러나 UAC를 사용할 때는 다음과 같은 사항을 고려해야 합니다.

  • 조직 내에 자체 응용 프로그램 개발자를 두고 있는 경우라면 Microsoft에서 "Windows Vista Application Development Requirements for User Account Control Compatibility (영문)" 문서를 다운로드하여 살펴보는 것이 좋습니다. 이 문서에서는 UAC 호환 기능을 갖춘 Windows Vista용 응용 프로그램을 설계 및 개발하는 방법에 대해 설명합니다.

  • UAC와 호환되지 않는 응용 프로그램에서는 UAC로 인해 문제가 발생할 수 있습니다. 따라서 응용 프로그램을 배포하기 전에 UAC를 적용하여 응용 프로그램을 테스트하는 것이 중요합니다. 응용 프로그램 호환성 테스트에 대한 자세한 내용은 Microsoft TechNet®에서 Desktop Deployment 웹 사이트를 참조하십시오.

  • UAC의 관리 자격 증명 및 권한 승격 요청을 사용하면 여러 가지 일반적인 관리 작업을 수행하는 데 필요한 단계 수가 늘어납니다. 이와 같이 늘어단 단계 수가 관리 담당자에게 어떤 영향을 주는지 평가해야 합니다. 추가로 표시되는 UAC 프롬프트가 이러한 사용자의 작업에 큰 지장을 초래한다면 UAC 정책 설정, "관리 승인 모드에서 관리자의 상승 프롬프트 동작"을 "묻지 않고 권한 상승"으로 구성할 수 있습니다. 그러나 이 정책을 변경하면 해당 환경에서 보안 위험이 증가할 수 있으며 이러한 위험은 Windows 보안 센터의 보고에서 확인할 수 있습니다.

  • 관리 권한이 있는 사용자는 관리자 승인 모드를 비활성화하거나, 응용 프로그램을 설치할 때 자격 증명을 묻는 UAC 기능을 비활성화하거나, 권한 상승 프롬프트 동작을 변경할 수 있습니다. 따라서 조직의 컴퓨터에서 관리 권한에 액세스할 수 있는 사용자 수를 제어하는 것이 중요합니다.

  • 관리 담당자에게는 두 개의 계정을 부여하는 것이 좋습니다. 일상적인 작업을 수행할 때는 표준 수준의 계정을 사용하도록 하고, 특정 관리 작업이 필요한 경우에만 관리자 수준의 계정으로 로그온하여 해당 작업을 수행한 후 로그오프하여 다시 표준 사용자 계정으로 돌아가도록 하는 것이 좋습니다.

  • 이 가이드의 그룹 정책 설정에서는 표준 사용자가 권한을 높일 수 있는 기능을 비활성화합니다. 이 권장 방법을 적용하면 특별히 관리자 수준으로 설정된 계정을 사용해야만 관리 작업을 수행할 수 있으므로 보안을 강화하는 데 도움이 됩니다.

  • "administrator" 또는 "standard" 토큰이 있는 경우와 같이 응용 프로그램이 관리자 또는 일반 사용자 응용 프로그램으로 잘못 식별되면 Windows Vista에서 해당 응용 프로그램이 잘못된 보안 컨텍스트로 실행될 수 있습니다.

완화 프로세스

완화 프로세스를 시작하려면 먼저 UAC의 모든 기능을 자세히 살펴볼 필요가 있습니다. 자세한 내용은 Windows Vista User Account Control Step by Step Guide (영문)Getting Started with User Account Control on Windows Vista (영문)를 참조하십시오.

이 완화 프로세스를 사용하려면

  1. 관리 작업을 수행할 수 있는 사용자의 수를 확인합니다.

  2. 관리 작업을 얼마나 자주 수행해야 하는지 확인합니다.

  3. 관리자가 UAC 프롬프트에 동의하기만 하면 관리 작업을 수행할 수 있도록 할지 아니면 특정 자격 증명을 입력해야만 관리 작업을 수행할 수 있도록 할지 결정합니다.

  4. 표준 사용자도 권한을 상승시켜 관리 작업을 수행할 수 있도록 할지 여부를 결정합니다. 이 가이드의 일부로 적용되는 정책 설정에서는 표준 사용자가 권한을 상승시키지 못하도록 해당 기능을 차단합니다.

  5. 응용 프로그램 설치를 어떻게 처리할지 확인합니다.

  6. 요구 사항에 맞도록 UAC 그룹 정책 설정을 구성합니다.

그룹 정책을 사용하여 UAC의 위험 완화

그룹 정책 개체 편집기의 다음 위치에서 UAC 설정을 구성할 수 있습니다.

컴퓨터 구성\Windows 설정\보안 설정\로컬 정책\보안 옵션

다음 표에는 Windows Vista의 이 기술에 관련된 보안 설정 정보가 나와 있습니다.

표 2.1 UAC 제어 설정

정책 개체

설명

Windows Vista 기본값

기본 제공 관리자 계정의 관리 승인 모드

이 보안 설정에서는 기본 제공 Administrator 계정의 관리자 승인 모드 동작을 결정합니다.

사용 안 함 ‡

관리 승인 모드에서 관리자의 상승 프롬프트 동작

이 보안 설정에서는 관리자에 대한 권한 상승 프롬프트의 동작을 결정합니다.

동의 확인 ‡

표준 사용자의 상승 프롬프트 동작

이 보안 설정에서는 표준 사용자에 대한 권한 상승 프롬프트의 동작을 결정합니다.

자격 증명 확인 ‡

응용 프로그램 설치 검색 및 상승 확인

이 보안 설정에서는 전체 시스템에 대한 응용 프로그램의 설치 감지 동작을 결정합니다.

사용

서명되고 유효성 검사를 통과한 실행 파일만 상승

이 보안 설정에서는 권한 상승을 요청하는 모든 대화형 응용 프로그램에 대해 PKI 서명 확인을 적용합니다. 엔터프라이즈 관리자는 로컬 컴퓨터의 신뢰할 수 있는 게시자 저장소에 있는 인증서를 사용하여 관리자 응용 프로그램 허용 목록을 제어할 수 있습니다.

사용 안 함

안전한 위치에 설치되어 있는 UIAccess 응용 프로그램만 상승

이 보안 설정에서는 UIAccess 무결성 수준으로 실행을 요청하는 응용 프로그램에 대해 파일 시스템의 안전한 위치에 있어야 한다는 요구 사항을 적용합니다.

사용

관리 승인 모드에서 모든 관리자 실행

이 보안 설정에서는 전체 시스템에 대한 모든 UAC 정책의 동작을 결정합니다.

사용

상승을 물을 때 보안된 데스크톱으로 전환

이 보안 설정에서는 권한 상승을 요청할 때 프롬프트를 대화형 사용자 데스크톱에 표시할지 보안 데스크톱에 표시할지 여부를 결정합니다.

사용

사용자 단위 위치에 파일 및 레지스트리 쓰기 오류 가상화

이 보안 설정에서는 레거시 응용 프로그램의 쓰기 오류를 레지스트리 및 파일 시스템의 정의된 위치로 리디렉션합니다.

사용


이 표에는 각 설정에 대한 아주 간단한 설명만 나와 있습니다. 특정 설정에 대한 자세한 내용을 보려면 그룹 정책 개체 편집기에서 설정의 설명 탭을 참조하십시오.

그룹 정책 개체 편집기의 다음 위치에서 UAC 자격 증명 UI(사용자 인터페이스)를 구성할 수 있습니다.

컴퓨터 구성\관리 템플릿\Windows 구성 요소\자격 증명 사용자 인터페이스

다음 표에는 Windows Vista의 이 기술에 관련된 보안 설정 정보가 나와 있습니다.

표 2.2 UAC 자격 증명 사용자 인터페이스 설정

정책 개체

설명

Windows Vista 기본값

상승 시 관리자 계정 열거

사용자가 실행 중인 응용 프로그램의 권한을 높이려고 시도하면 기본적으로 모든 관리자 계정이 표시됩니다. 이 설정을 활성화하면 사용자가 권한을 높이려 할 때마다 사용자 이름과 암호를 입력해야 합니다.

구성되지 않음 ‡

자격 증명 입력에 신뢰할 수 있는 경로 필요

이 설정을 활성화하면 Windows Vista에서 사용자가 자격 증명을 입력할 때 신뢰할 수 있는 경로를 사용해야 합니다. 이렇게 하면 트로이 목마 프로그램이나 기타 유형의 악성 코드를 통해 사용자의 Windows 자격 증명을 훔쳐내는 경우를 방지하는 데 도움이 됩니다. 이 정책은 비로그온 인증 작업에만 적용됩니다. 효과적인 보안을 위해서는 이 정책을 활성화해야 합니다.

구성되지 않음 ‡


이 표에는 각 설정에 대한 아주 간단한 설명만 나와 있습니다. 특정 설정에 대한 자세한 내용을 보려면 그룹 정책 개체 편집기에서 설정의 설명 탭을 참조하십시오.

그룹 정책 개체 편집기의 다음 위치에서 ActiveX Installer 서비스를 구성할 수 있습니다.

컴퓨터 구성\관리 템플릿\Windows 구성 요소\ActiveX Installer 서비스

다음 표에는 Windows Vista의 ActiveX Installer 서비스에 관련된 보안 설정 정보가 나와 있습니다.

표 2.3 ActiveX Installer 서비스

정책 개체

설명

Windows Vista 기본값

Approved Installation Sites for ActiveX Controls

관리자는 이 설정을 사용하여 승인된 ActiveX 설치 사이트 목록에 있는 ActiveX 컨트롤을 표준 사용자 계정으로도 설치 가능하도록 허용할 수 있습니다.

구성되지 않음


이 표에는 이 설정에 대한 아주 간단한 설명만 나와 있습니다. 이 설정에 대한 자세한 내용을 보려면 그룹 정책 개체 편집기에서 설정의 설명 탭을 참조하십시오.

Windows Defender

Windows Defender는 Windows Vista에 포함되어 있는 프로그램이며 Windows XP에도 다운로드하여 사용할 수 있습니다. 이 프로그램을 사용하면 스파이웨어나 기타 원하지 않는 소프트웨어로 인해 발생하는 팝업, 성능 저하, 보안 위협 등으로부터 컴퓨터를 보호하는 데 도움이 됩니다. Windows Defender에서는 이와 같이 사용자가 원하지 않는 소프트웨어가 주 대상으로 삼는 시작 폴더나 레지스트리의 자동 실행 항목 같은 Windows Vista 운영 체제의 주요 검사점을 실시간으로 모니터링합니다.

Windows Defender를 사용하면 애드웨어, 키로거, 스파이웨어 같은 원하지 않는 응용 프로그램을 찾아내 제거하는 데도 도움이 됩니다. 프로그램에서 Windows Vista의 보호되는 영역을 수정하려고 시도하면 Windows Defender에서 이 사실을 사용자에게 알려 변경 작업을 허용하거나 거부하도록 할 수 있으므로 스파이웨어가 설치되지 못하도록 방어하는 데 도움이 됩니다. 이와 같은 모니터링 기능은 Windows Vista가 실행되는 컴퓨터의 안정성을 강화하고 사용자의 개인 정보를 더 안전하게 보호하는 데 도움이 됩니다. Windows Defender는 Windows Vista에서 기본적으로 활성화되어 있습니다. 이 기술을 통해 사용자 환경을 스파이웨어로부터 안전하게 보호할 수 있지만 이를 타사에서 제공하는 기타 보호 제품과 함께 사용하면 더 큰 효과를 얻을 수 있습니다. 악성 소프트웨어를 효과적으로 차단하기 위해서는 Windows Defender와 함께 완전한 바이러스 백신 솔루션을 배포하는 것이 좋습니다.

Window Vista에서 Windows Defender의 동작 방식을 제어하기 위한 새 그룹 정책 설정을 구성할 수 있습니다. 앞 장에서 설명된 그룹 정책 설정에는 Windows Defender의 기본 동작을 수정하는 설정이 포함되어 있지 않습니다. 이러한 설정 값은 사용자 환경의 요구 사항에 따라 달라질 수 있기 때문입니다.

Microsoft SpyNet 커뮤니티

Microsoft SpyNet은 컴퓨터 사용자가 잠재적인 스파이웨어 위협에 대처할 방법을 선택하는 데 도움을 줄 목적으로 개설된 온라인 커뮤니티입니다. 이 커뮤니티에서는 새로운 스파이웨어 감염이 확산되지 않도록 차단하는 데도 일조하고 있습니다.

Windows Defender에서 아직 위험으로 분류되지 않은 소프트웨어나 소프트웨어에 의한 변경 사항을 발견하여 경고하면 사용자는 커뮤니티의 다른 구성원들이 이 경고에 어떻게 대응하는지 확인하여 참고할 수 있습니다. 반대로 커뮤니티의 다른 구성원들이 사용자가 취한 조치를 참고하여 대응 방법을 선택할 수도 있습니다. 사용자의 조치는 Microsoft에서 어떤 소프트웨어를 대상으로 잠재적 위협을 조사할지 결정하는 데도 도움이 됩니다. 사용자는 발견된 소프트웨어에 대해 기본 정보만 제공할지 또는 추가 정보도 제공할지 선택할 수 있습니다. 추가 정보는 Windows Defender의 작동 방식을 개선하는 데 도움이 됩니다. 예를 들어 유해한 소프트웨어가 제거된 경우 사용자의 컴퓨터에서 해당 항목이 발견된 위치를 추가 정보에 포함할 수 있습니다. 이러한 경우 Windows Defender에서 이 정보를 자동으로 수집하여 커뮤니티에 전달합니다.

위험 평가

스파이웨어는 조직에 여러 가지 심각한 위험을 가져다 주며, 이러한 위험을 완화하지 않으면 데이터와 컴퓨터가 손상될 수 있습니다. 스파이웨어로 인해 조직에 가해지는 가장 일반적이고 분명한 위험으로는 다음과 같은 것이 있습니다.

  • 중요한 업무 데이터가 허가되지 않은 사용자에게 노출될 수 있습니다.

  • 직원 개개인의 신상 정보가 허가되지 않은 사용자에게 노출될 수 있습니다.

  • 컴퓨터가 무단 공격을 받아 손상될 수 있습니다.

  • 스파이웨어는 컴퓨터 성능과 안정성을 떨어뜨리므로 생산성이 저하됩니다.

  • 스파이웨어 감염을 처리하는 데 따른 지원 비용이 증가합니다.

  • 감염으로 인해 중요한 데이터가 노출되면 조직이 협박 같은 범죄의 표적이 될 수 있습니다.

위험 완화

Windows Defender는 스파이웨어와 관련된 위험을 완화하도록 설계되었습니다. 이 기술은 Windows Update를 통해 주기적으로 자동 업데이트할 수 있으며 Microsoft WSUS(Windows Server Update Services)를 사용하여 업데이트할 수도 있습니다.

스파이웨어 방지 기능을 바이러스, 트로이 목마 프로그램 및 웜을 감지하는 기능으로 확장할 수 있는 바이러스 백신 패키지를 설치하여 Windows Defender에서 제공하는 스파이웨어 방지 기능과 함께 사용하는 것이 좋습니다. 예를 들어 Microsoft Forefront Client Security 같은 제품은 업무용 데스크톱, 랩톱 및 서버 운영 체제를 악성 프로그램으로부터 보호하기 위한 통합된 방어 기능을 제공합니다.

완화 고려 사항

Windows Defender는 Windows Vista에서 기본적으로 활성화되어 있습니다. 이 기술은 일반적인 운영 조건에서 사용자가 그 실행 여부를 가능한 한 의식하지 않도록 설계되었습니다. 그러나 조직에서 Windows Vista를 배포할 때는 그 과정의 일부로서 Windows Defender와 관련하여 다음 사항을 고려해야 합니다.

  • 조직에서 사용할 수도 있는 타사 제공 실시간 스파이웨어 또는 바이러스 백신 검색 프로그램의 상호 운용성을 테스트합니다.

  • 조직에서 관리하는 컴퓨터가 많은 경우 서명 정의 업데이트 배포를 관리하도록 시스템을 설계합니다.

  • 사회 공학적으로 사용자를 유인하여 악성 프로그램을 실행하기 위해 스파이웨어 프로그램에서 일반적으로 사용하는 수법을 사용자들에게 교육합니다.

  • 예약된 검사 시간을 업무의 필요에 맞도록 조정합니다. 기본적으로 매일 오전 2시에 시스템을 검사하도록 설정되어 있습니다. 이 시간에 컴퓨터에서 검사를 수행할 수 없는 경우 나중에 사용자에게 이 사실을 알리고 검사를 직접 실행하도록 요청합니다. 이후 이틀이 지나도록 검사를 실행하지 않으면 다음 번에 컴퓨터를 시작한 후 10분경에 자동으로 검사가 시작됩니다. 이 검사는 클라이언트에 가능한 한 영향을 덜 주기 위해 우선 순위가 낮은 프로세스로 실행됩니다. Windows Vista에서는 I/O(입력/출력) 처리 성능이 향상되었으므로 이와 같이 우선 순위가 낮은 검사는 Windows XP에서보다 사용자에게 훨씬 더 적은 영향을 줍니다.

  • Windows Defender는 엔터프라이즈급 스파이웨어 백신 응용 프로그램으로 설계된 것이 아닙니다. 이 프로그램은 기업 규모의 중앙 집중식 보고, 모니터링 또는 제어 메커니즘을 제공하지 않습니다. 보고 또는 제어 기능이 추가로 필요한 경우에는 Microsoft Forefront Client Security 같은 제품을 추가로 사용해야 합니다.

  • 스파이웨어로 의심되는 프로그램을 Microsoft SpyNet 온라인 커뮤니티에 보고하기 위한 조직 차원의 정책을 결정합니다.

완화 프로세스

Windows Defender는 운영 체제에 기본적으로 포함되어 있으므로 Windows Defender를 활성화하기 위한 별도의 단계가 추가로 필요하지 않습니다. 그러나 사용자의 조직을 계속 안전하게 보호하기 위해서는 몇 가지 단계를 추가로 고려하는 것이 좋습니다.

이 완화 프로세스를 사용하려면

  1. Windows Vista 및 Windows Defender의 스파이웨어 백신 기능을 조사합니다.

  2. Windows Defender의 그룹 정책 설정을 조사합니다.

  3. 조직에 바이러스 백신 보호 기능이 추가로 필요한지 평가합니다.

  4. 조직의 컴퓨터에 적합한 최적의 업데이트 프로세스를 계획합니다. 모바일 컴퓨터에는 데스크톱 컴퓨터와 다른 업데이트 구성이 필요할 수 있습니다.

  5. 의심스러운 컴퓨터 작업을 식별할 수 있도록 사용자를 교육합니다.

  6. Windows Defender 도구를 사용하여 지원 요청에 적절히 대응할 수 있도록 지원 담당자를 교육합니다.

그룹 정책을 사용하여 Windows Defender의 위험 완화

그룹 정책 개체 편집기의 다음 위치에서 사용 가능한 Windows Defender 설정을 검토하고 구성할 수 있습니다.

컴퓨터 구성\관리 템플릿\Windows 구성 요소\Windows Defender

표 2.4 Windows Defender 제어 설정

정책 개체

설명

Windows Vista 기본값

WSUS 및 Windows Update 모두를 통한 정의 업데이트 설정

이 설정을 사용하면 로컬로 관리되는 WSUS(Windows Server Update Services) 서버를 사용할 수 없는 경우 Windows Update를 통해 정의 업데이트를 확인하고 설치하도록 Windows Defender를 구성할 수 있습니다.

구성되지 않음

Check for New Signatures Before Scheduled Scans

이 설정을 활성화하면 컴퓨터에서 예약된 검사가 시작되기 전에 새 서명을 확인합니다. 이를 사용 안 함이나 구성되지 않음으로 설정하면 새 서명을 다운로드하지 않은 채 예약된 검사가 시작됩니다.

구성되지 않음

Turn off Windows Defender

이 설정을 기본값으로 두면 Windows Defender 실시간 보호 기능이 활성화됩니다.

구성되지 않음

Turn off Real-Time Protection Prompts for Unknown Detection

이 설정은 알 수 없는 활동을 허용하거나 차단하도록 Windows Defender에서 사용자에게 메시지를 표시할지 여부를 결정합니다.

구성되지 않음

Enable Logging Known Good Detection

이 설정을 사용하면 Windows Defender에서 잘 알려진 파일을 발견했을 때 실시간 보호 조치를 취함과 동시에 감지 데이터가 기록됩니다. 감지 데이터를 기록하면 모니터링 대상인 컴퓨터에서 실행되는 프로그램에 대한 자세한 정보를 얻을 수 있습니다.

구성되지 않음

Enable Logging Unknown Detection

이 설정을 사용하면 Windows Defender에서 알 수 없는 파일을 발견했을 때 실시간 보호 조치를 취함과 동시에 감지 데이터가 기록됩니다. 감지 데이터를 기록하면 모니터링 대상인 컴퓨터에서 실행되는 프로그램에 대한 자세한 정보를 얻을 수 있습니다.

구성되지 않음

Download Entire Signature Set

이 설정을 사용하면 서명을 마지막으로 다운로드한 이후 업데이트된 서명만이 아니라 전체 서명 집합을 다운로드할 수 있습니다. 전체 서명 집합을 다운로드하면 서명 설치와 관련된 문제를 쉽게 해결할 수 있지만 다운로드해야 할 파일이 크므로 시간이 더 오래 걸릴 수 있습니다.

구성되지 않음

Configure Microsoft SpyNet Reporting

이 설정은 Microsoft SpyNet 온라인 커뮤니티의 구성원 자격을 조정하는 데 사용됩니다.

구성되지 않음


이 표에는 각 설정에 대한 아주 간단한 설명만 나와 있습니다. 특정 설정에 대한 자세한 내용을 보려면 그룹 정책 개체 편집기에서 설정의 설명 탭을 참조하십시오.

Windows 방화벽

개인 방화벽은 여러 가지 유형의 악성 프로그램을 막는 중요한 방어선입니다. Windows XP SP2(서비스 팩 2)에서 제공하는 방화벽 기능과 마찬가지로 Windows Vista의 방화벽은 기본적으로 활성화되어 있으므로 운영 체제를 시작하자마자 사용자의 컴퓨터를 보호하는 데 도움이 됩니다.

Windows Vista의 Windows 방화벽에는 예기치 않은 동작을 보이는 운영 체제 리소스를 제한하여 사용자를 보호하는 데 도움이 되도록 인바운드 및 아웃바운드 필터링이 모두 포함되어 있습니다. 이 방화벽은 Windows Vista 네트워크 인식 기능과도 통합되어 있으므로 클라이언트 컴퓨터가 속한 위치에 따라 특별한 규칙을 적용할 수 있습니다. 예를 들어 랩톱 컴퓨터가 조직의 네트워크에 속해 있는 경우 도메인 네트워크 환경의 관리자가 해당 네트워크의 보안 요구 사항에 맞도록 방화벽 규칙을 정의할 수 있습니다. 그러나 동일한 랩톱을 무료로 제공되는 무선 핫스폿 같은 공용 네트워크를 통해 인터넷에 연결하려는 경우에는 컴퓨터를 공격으로부터 보호하는 데 도움이 되는 다른 방화벽 규칙의 집합을 자동으로 적용할 수 있습니다.

또한 Windows 운영 체제 중 최초로 Windows Vista에는 방화벽 관리 기능이 IPsec(인터넷 프로토콜 보안) 기능과 통합되었습니다. Windows Vista에서는 고급 보안이 포함된 Windows 방화벽이라는 콘솔 하나를 사용하여 IPsec 및 방화벽을 모두 관리할 수 있습니다. 이 콘솔의 사용자 인터페이스에는 인바운드 및 아웃바운드 트래픽 필터링, IPsec 서버 및 도메인 격리 설정이 집중되어 있으므로 구성을 간소화하고 정책 충돌을 줄일 수 있습니다.

위험 평가

네트워크 연결은 오늘날의 비즈니스에서 반드시 갖춰야 할 중요한 부분입니다. 그러나 이 연결은 공격자의 주요 표적이 되기도 합니다. 데이터나 컴퓨터가 손상되지 않도록 하려면 연결과 관련된 위협을 완화해야 합니다. 네트워크 기반 공격으로 인해 조직에 가해지는 위협의 가장 일반적인 유형은 다음과 같습니다.

  • 무단으로 침입한 공격자가 컴퓨터를 손상하여 해당 컴퓨터에 대한 관리자 수준의 액세스 권한을 얻을 수 있습니다.

  • 네트워크 검색 응용 프로그램을 공격자가 원격으로 사용하여 열려 있는 네트워크 포트를 확인하고 공격을 시작할 수 있습니다.

  • 트로이 목마 프로그램이 설치되어 클라이언트 컴퓨터에서 허가되지 않은 네트워크 연결이 공격자에게 열리면 중요한 업무 데이터가 무단 사용자에게 노출될 수 있습니다.

  • 모바일 컴퓨터를 조직의 네트워크 방화벽 외부에서 사용하는 동안 이 컴퓨터가 네트워크 공격에 노출될 수 있습니다.

  • 내부 네트워크에 직접 연결되어 있는 컴퓨터가 손상된 경우 이 내부 네트워크에 있는 다른 컴퓨터들이 손상된 컴퓨터로 인해 네트워크 공격에 노출될 수 있습니다.

  • 공격자가 내부 컴퓨터를 손상하는 데 성공하면 조직에 협박 등의 위협을 가할 수 있습니다.

위험 완화

Windows Vista의 방화벽은 별도로 설정하지 않아도 클라이언트 컴퓨터를 보호하도록 설계되었습니다. 이 방화벽은 그룹 정책을 통해 또는 관리자가 직접 변경하기 전까지 대부분의 원하지 않는 인바운드 트래픽을 차단합니다.

Windows 방화벽에는 아웃바운드 네트워크 트래픽 필터링도 포함되어 있습니다. 이 규칙은 모든 나가는 네트워크 트래픽에 대해 "허용"으로 기본 설정되어 있습니다. 이와 같은 Windows Vista 방화벽의 규칙을 그룹 정책 설정을 사용하여 구성하면 클라이언트 보안 설정을 일정하게 유지할 수 있습니다.

완화 고려 사항

Windows Vista에서 방화벽을 사용하려는 경우 몇 가지 문제를 고려해야 합니다.

  • 조직의 컴퓨터에 필요한 응용 프로그램의 상호 운용성을 테스트합니다. Windows 방화벽을 통해 필요한 포트만 열리도록 하려면 각 응용 프로그램에서 네트워크 포트 요구 사항을 기록해야 합니다.

  • Windows XP 방화벽은 도메인 및 표준 프로필을 지원합니다. 도메인 프로필은 컴퓨터 계정이 있는 도메인의 도메인 컨트롤러를 포함한 네트워크에 클라이언트가 연결되어 있을 때 활성화됩니다. 이 경우 조직의 내부 네트워크에 필요한 요구 사항을 충족하기 위한 규칙을 만들 수 있습니다. Windows Vista 방화벽에는 조직의 네트워크 방어벽 외부에서 작동하는 클라이언트 컴퓨터를 더 세부적인 수준에서 제어할 수 있게 하는 개인 및 공개 프로필이 포함되어 있습니다.

  • Windows 방화벽의 로깅 기능을 살펴보면 기존의 보고 또는 모니터링 솔루션에 이 방화벽을 어떻게 통합할지 확인할 수 있습니다.

  • 기본적으로 Windows 방화벽에서는 Windows Vista 기반 컴퓨터의 원격 제어 또는 원격 관리를 차단합니다. Microsoft에서는 Windows 방화벽을 통해 이러한 원격 작업을 수행하는 데 필요한 여러 가지 규칙을 제공합니다. 조직의 컴퓨터가 이러한 원격 작업을 지원하도록 하려면 작업이 요청될 각 프로필에 대해 필요한 규칙을 활성화해야 합니다. 예를 들어 지원 부서 담당자가 조직 네트워크의 사용자를 지원할 수 있도록 도메인 프로필에 대해 원격 데스크톱 규칙을 활성화하는 대신, 네트워크를 벗어난 위치에서 컴퓨터를 사용할 때는 공격 노출 가능성을 줄이기 위해 공개 및 개인 프로필에 대해 이 규칙을 비활성화할 수 있습니다.

고급 보안이 포함된 Windows 방화벽을 사용한 위험 완화

Windows Vista에는 Windows Vista 방화벽에서 사용할 수 있는 새 기능을 구성하는 데 도움이 되도록 새로운 그룹 정책 설정과 관리 UI가 포함되어 있습니다. Windows XP가 실행되는 클라이언트 컴퓨터에는 Windows Vista의 고급 보안 설정이 적용되지 않습니다.

이러한 새 기능을 자세히 검토하여 해당 기능이 사용자 환경의 보안을 강화하는 데 도움을 줄 수 있는지 확인하는 것이 좋습니다. Windows Vista 방화벽의 기본 동작을 수정하려는 경우에는 고급 보안이 포함된 Windows 방화벽 그룹 정책 설정을 사용하여 Windows Vista가 실행되는 클라이언트 컴퓨터를 관리하는 것이 좋습니다.

그룹 정책 개체 편집기의 다음 위치에서 Windows 방화벽에 사용 가능한 새 그룹 정책 설정 및 관리 스냅인을 검토하고 구성할 수 있습니다.

컴퓨터 구성\Windows 설정\보안 설정\고급 보안이 포함된 Windows 방화벽

고급 보안이 포함된 Windows 방화벽은 다음과 같은 환경 프로필을 지원합니다.

  • 도메인 프로필 이 프로필은 컴퓨터가 네트워크에 연결되어 있고 컴퓨터가 속한 도메인의 도메인 컨트롤러에 대해 인증된 경우에 적용됩니다.

  • 공개 프로필 이 프로필은 컴퓨터가 도메인에 연결되어 있지 않은 경우 적용되는 기본 네트워크 위치 유형입니다. IT 환경 내에서만큼 철저하게 보안을 제어할 수 없는 공용 네트워크에 컴퓨터가 연결되는 경우이므로 공개 프로필 설정은 가장 제한적이어야 합니다.

  • 개인 프로필 이 프로필은 이미 공개 프로필로 설정된 네트워크에 로컬 관리자 권한이 있는 사용자가 할당하는 경우에만 적용됩니다. 이 프로필은 신뢰할 수 있는 네트워크에 대해서만 사용하는 것이 좋습니다.


프로필은 한 번에 하나만 활성화할 수 있습니다. 컴퓨터의 인터페이스가 여러 개이고 각 인터페이스가 여러 네트워크 위치에 연결되어 있는 경우 어떤 프로필을 적용할지는 다음과 같이 결정합니다.

  1. 모든 네트워크 인터페이스가 도메인 네트워크 위치에 연결된 경우 도메인 프로필을 적용합니다.

  2. 모든 네트워크 인터페이스가 개인 네트워크 위치에 연결된 경우 개인 프로필을 적용합니다.

  3. 네트워크 인터페이스 중 하나라도 공용 네트워크 위치에 연결된 경우 공개 프로필을 적용합니다.


이러한 세 가지 프로필 모두에 대해 고급 보안이 포함된 Windows 방화벽을 사용하는 것이 좋습니다. Windows 방화벽에서는 고급 방화벽 규칙뿐만 아니라 연결 보안 규칙도 지원합니다. 연결 보안에는 두 대의 컴퓨터가 통신을 시작하기 전에 해당 컴퓨터를 인증하는 기능 및 두 컴퓨터 사이에 전송되는 정보를 안전하게 보호하는 기능이 포함됩니다. 고급 보안이 포함된 Windows 방화벽에는 키 교환, 인증, 데이터 무결성 및 데이터 암호화(선택 사항)를 지원하기 위한 IPsec 기술이 통합되어 있습니다.

자세한 내용은 Microsoft TechNet에서 IPsec (영문) 웹 페이지를 참조하십시오.

부록 A, "보안 그룹 정책 설정"에서는 고급 보안이 포함된 Windows 방화벽의 지정된 설정에 대해 전반적으로 설명하고 환경 관련 정보가 필요한 설정에는 무엇이 있는지 설명합니다.

Windows 보안 센터

WSC(Windows 보안 센터) 기능은 Windows Vista 또는 Windows XP SP2가 실행되는 클라이언트 컴퓨터에서 백그라운드 프로세스로 실행됩니다. Windows Vista에서 이 기능은 다음과 같이 중요한 네 가지 보안 범주의 상태를 지속적으로 확인 및 표시합니다.

  • 방화벽

  • 자동 업데이트

  • 악성 프로그램 방어

  • 기타 보안 설정

WSC 프로세스는 컴퓨터의 기타 보안 관련 영역에 액세스하기 위한 출발점 역할을 할 뿐만 아니라 보안 관련 지원 및 리소스를 찾는 데 필요한 유일한 참조 지점이기도 합니다. 예를 들어 WSC에서는 바이러스 백신 소프트웨어를 설치하지 않은 사용자가 WSC와 호환되는 바이러스 백신 솔루션을 제공하는 공급업체를 선택하는 데 도움이 되는 링크를 제공합니다.

Microsoft에서는 "기타 보안 설정"이라는 새 범주를 추가하여 Windows Vista의 WSC를 더욱 향상시켰습니다. 이 범주에서는 Internet Explorer 보안 설정 및 사용자 계정 제어의 상태를 표시합니다. Windows Vista에 새로 추가된 다른 범주로는 "악성 프로그램 방어"가 있습니다. 이 범주에서는 바이러스 백신 및 스파이웨어 백신 소프트웨어를 모니터링하는 기능을 제공합니다. WSC에서는 Windows Vista에서 제공하는 기본적인 보호 기능을 모니터링할 수 있을 뿐만 아니라 Windows 방화벽에 대한 여러 공급업체의 보안 솔루션을 비롯하여 동일한 클라이언트 컴퓨터에서 실행되는 바이러스 백신 및 스파이웨어 백신 소프트웨어를 모니터링할 수 있고, 어떤 솔루션이 사용 가능하며 최신 버전인지 확인할 수 있습니다.

WSC에서는 공급업체에 직접 연결되는 링크를 제공하여 Windows Vista가 실행되는 클라이언트 컴퓨터에서 발생하는 문제를 해결하는 데 사용할 수 있게 합니다. 예를 들어 타사 바이러스 백신 또는 스파이웨어 백신 솔루션이 비활성화되어 있거나 오래된 경우 WSC에서 제공하는 단추를 클릭하면 해당 컴퓨터에서 공급업체 솔루션을 시작하여 문제를 해결할 수 있습니다. 또한 WSC에서는 사용자가 솔루션을 등록하거나 기간을 연장하고 업데이트 파일을 얻는 데 사용할 수 있도록 공급업체 웹 사이트로 연결되는 링크를 제공합니다. 보안 소프트웨어가 비활성화되었거나 오래되었음을 확인하고 업데이트 파일을 쉽게 다운로드할 수 있으면 컴퓨터를 가능한 한 안전하게 계속 유지할 수 있지만 그렇지 않은 경우에는 악성 프로그램에 취약해질 수 있습니다.

WSC는 Windows Vista를 사용하는 컴퓨터에서 기본적으로 실행됩니다. 앞 장에서 설명된 그룹 정책 설정에는 WSC의 기본 동작을 수정하는 어떠한 설정도 포함되어 있지 않습니다. 그러나 관리자는 그룹 정책을 사용하여 도메인 구성원인 컴퓨터에 대해 WSC 클라이언트 UI를 계속 비활성화되거나 활성화된 상태로 둘 수 있습니다. 그룹 정책 개체 편집기의 다음 위치에서 WSC에 사용 가능한 그룹 정책 설정을 검토하고 구성할 수 있습니다.

컴퓨터 구성\관리 템플릿\Windows 구성 요소\보안 센터

Securitycenter.admx 템플릿 파일에는 이 정책 설정에 대한 XML 설정 정보가 포함되어 있습니다. 다음 표에는 이 설정에 대한 설명이 나와 있습니다.

표 2.5 Windows 보안 센터 설정

정책 개체

설명

Windows Vista 기본값

보안 센터 사용(도메인 PC 전용)

이 설정에서는 Active Directory를 사용하는 도메인에 가입해 있는 사용자 컴퓨터에서 보안 센터를 사용할지 여부를 지정합니다. 이 설정을 기본값인 구성되지 않음으로 두면 도메인 구성원인 컴퓨터에 대해 보안 센터가 사용되지 않습니다.

구성되지 않음


이 표에는 이 설정에 대한 아주 간단한 설명만 나와 있습니다. 이 설정에 대한 자세한 내용을 보려면 그룹 정책 개체 편집기에서 설정의 설명 탭을 참조하십시오.

악성 소프트웨어 제거 도구

Microsoft Windows 악성 소프트웨어 제거 도구는 감염된 컴퓨터에서 악성 프로그램을 제거하는 데 도움이 되도록 설계되었습니다. Microsoft에서는 매달 한 번씩 Microsoft Update, Windows Update, WSUS 및 Microsoft 다운로드 센터를 통해 이 도구의 새 버전을 제공합니다. 악성 소프트웨어 제거 도구는 모든 기능을 갖춘 바이러스 백신 제품이 아니므로 바이러스를 지속적으로 검사하고 제거하기 위한 바이러스 백신 소프트웨어를 함께 사용해야 합니다. 이 도구를 실행하면 백그라운드 프로세스로 컴퓨터 검사 작업이 진행되고 감염 사실이 확인되면 관련 보고서가 표시됩니다. 이 도구는 검사 대상인 운영 체제에 설치되지 않습니다. Windows Vista에는 이 도구와 관련된 그룹 정책 설정이 없습니다.

위험 평가

모든 컴퓨터에서 Windows Vista의 일부로 제공되는 보호 서비스 이외에 실시간 바이러스 백신 검사 프로그램도 함께 실행하는 것이 좋습니다. 그러나 이러한 보호 수단을 모두 설치했더라도 조직에서는 여전히 두 가지 위험에 맞닥뜨릴 수 있습니다.

  • 설치된 실시간 바이러스 백신 검사 프로그램에서 악성 프로그램의 특정 인스턴스를 발견하지 못할 수 있습니다.

  • 설치된 실시간 바이러스 백신 검사 프로그램이 악성 프로그램의 제어를 받아 비활성화될 수 있습니다.


이러한 상황에 대비하여 악성 소프트웨어 제거 도구에서는 일반적인 악성 소프트웨어를 발견하여 제거하는 데 도움이 되도록 추가 보안 계층을 제공합니다.

위험 완화

이러한 위험을 완화하기 위해서는 악성 소프트웨어 제거 도구의 새 버전이 발표될 때마다 이를 다운로드하여 실행할 수 있도록 클라이언트 컴퓨터에서 자동 업데이트 기능을 사용하는 것이 좋습니다.

사용자의 환경에서 이 도구를 사용하려는 경우에는 성공적인 배포를 위해 다음과 같은 몇 가지 사항을 고려할 필요가 있습니다.

  • 악성 소프트웨어 제거 도구는 크기가 약 4MB입니다. 따라서 많은 수의 클라이언트 컴퓨터에서 동시에 이 도구를 다운로드하면 조직의 인터넷 연결에 문제가 발생할 수도 있습니다.

  • 이 도구는 기존의 최신 바이러스 백신 제품을 컴퓨터에 설치하지 않은 개인 사용자를 주 대상으로 합니다. 그러나 기존의 보호 기능을 강화하고 심층 방어 전략을 구현할 목적으로 엔터프라이즈 환경에서 이 도구를 배포할 수도 있습니다. 엔터프라이즈 환경에서 이 도구를 배포할 때는 다음과 같은 방법을 한 가지 이상 사용할 수 있습니다.

    • WSUS(Windows Server Update Services)

    • SMS 소프트웨어 패키지

    • 그룹 정책 기반 컴퓨터 시작 스크립트

    • 그룹 정책 기반 사용자 로그온 스크립트

    엔터프라이즈 환경에 대해서는 특히 Microsoft 기술 자료 문서 891716 "엔터프라이즈 환경에서 Microsoft Windows 악성 소프트웨어 제거 도구 배포"를 참조하는 것이 좋습니다.

  • 일반적으로 Windows 악성 소프트웨어 제거 도구를 실행하면 컴퓨터의 루트 드라이브에 임의의 이름이 지정된 임시 디렉터리가 생성됩니다. 이 디렉터리에는 Mrtstub.exe 파일을 비롯한 여러 파일이 포함됩니다. 대부분의 경우 이 폴더는 도구 실행을 마치거나 컴퓨터를 다시 시작한 후에 자동으로 삭제됩니다. 그러나 때로는 이 폴더가 자동으로 삭제되지 않을 수도 있습니다. 이러한 경우에는 이 폴더를 수동으로 삭제해도 컴퓨터에 아무런 문제가 없습니다.

  • 사용자가 컴퓨터에 로그온할 때 악성 소프트웨어 제거 도구가 백그라운드로 실행되고 있을 수 있습니다. 이 도구는 WSUS(Windows Server Update Services)를 사용하는 배포 작업의 일부로 실행될 수 있습니다. 이 경우에는 현재 사용자 프로필이 손상되었으며 새 프로필을 생성한다는 메시지가 사용자에게 표시됩니다. 새 프로필을 제거하여 이 문제를 해결할 수 있습니다. 사용자는 이 도구가 실행되고 있지 않을 때 다시 시스템에 로그온할 수 있습니다. 이 문제는 대개 Windows 2000 기반 컴퓨터에서 발생합니다.

완화 프로세스

악성 소프트웨어 제거 도구를 효율적으로 사용하려면 다음 절차를 따라야 합니다.

이 완화 프로세스를 사용하려면

  1. 악성 소프트웨어 제거 도구의 기능을 조사합니다.

    자세한 내용은 악성 소프트웨어 제거 도구 웹 페이지를 참조하십시오.

  2. 이 도구에 대한 사용자 환경의 요구 사항을 평가합니다.

  3. 조직에서 이 도구를 배포하는 데 가장 적합한 방법을 결정합니다.

  4. 조직에서 이 도구의 보호 기능으로 혜택을 얻을 수 있는 시스템을 확인합니다.

  5. 선택한 배포 방법을 통해 도구를 배포합니다.

소프트웨어 제한 정책

관리자는 소프트웨어 제한 정책을 사용하여 응용 프로그램 소프트웨어를 식별하고 로컬 컴퓨터에서 해당 소프트웨어의 실행을 제어할 수 있습니다. 이 기능을 사용하면 Windows Vista 및 Windows XP Professional이 실행되는 컴퓨터를 알려진 충돌로부터 보호하고, 바이러스나 트로이 목마 프로그램 같은 악성 소프트웨어로부터 안전하게 보호할 수 있습니다. 소프트웨어 제한 정책은 Active Directory 및 그룹 정책과 완전히 통합됩니다. 또한 독립 실행형 컴퓨터에서도 이 기능을 사용할 수 있습니다. 소프트웨어 제한 정책을 사용하여 다음을 수행할 수 있습니다.

  • 사용자 환경의 클라이언트 컴퓨터에서 실행될 수 있는 소프트웨어를 제어합니다.

  • 다중 사용자 컴퓨터에서 특정 파일에 대한 액세스를 제한합니다.

  • 클라이언트 컴퓨터에 신뢰할 수 있는 게시자를 추가할 수 있는 사람을 결정합니다.

  • 정책을 클라이언트 컴퓨터의 모든 사용자에게 적용할지 또는 일부 사용자에게만 적용할지를 지정합니다.

  • 컴퓨터, OU(조직 구성 단위), 사이트 및 도메인 수준에서 설정된 정책 집합을 기반으로 로컬 컴퓨터에서 실행 파일이 실행되지 않도록 차단합니다.


중요   정책 설정을 프로덕션 환경에 배포하기 전에 이 가이드에서 설명하는 모든 정책 설정을 철저히 테스트해야 합니다. 이는 소프트웨어 제한 정책의 설정을 구성하는 경우에 특히 중요합니다. 이 기능을 잘못 설계하거나 구현하면 심각한 문제가 발생할 수 있습니다.

소프트웨어 제한 정책은 Windows Vista에서 크게 변경되지 않았습니다. 따라서 이 가이드에서는 이와 관련된 자세한 내용을 다루지 않습니다. 이러한 정책을 설계하고 구현하는 방법에 대한 자세한 내용은 TechNet에서 "Using Software Restriction Policies to Protect Against Unauthorized Software (영문)"를 참조하십시오.


Internet Explorer 7 방어 기술

악성 웹 사이트를 방문하는 경우 사용자가 관리하는 클라이언트 컴퓨터가 손상될 수 있습니다. Internet Explorer 7에는 원하지 않는 소프트웨어가 설치되지 않도록 막는 기술과 개인 데이터가 무단으로 전송되지 못하도록 방어하는 기술이 포함되어 있으므로 브라우저 보안과 개인 정보 보호를 크게 강화할 수 있습니다. Internet Explorer 7에 새로 추가된 보안 기술은 다음과 같습니다.

  • Internet Explorer 보호 모드

  • ActiveX 선택

  • 도메인 간 스크립팅 공격 방어

  • 보안 상태 표시줄

  • 피싱 필터

  • 추가 보안 기능

Internet Explorer 7은 Windows Vista 및 Windows XP 운영 체제에서 모두 사용할 수 있습니다. Windows Vista에서는 Internet Explorer 환경이 더욱 향상되었습니다. 예를 들어 보호 모드나 보호자 통제 등 Internet Explorer 7에서 제공하는 일부 기능은 Windows XP가 실행되는 클라이언트의 브라우저에서는 사용할 수 없습니다. 또한 Windows XP 컴퓨터에서는 Internet Explorer 7을 통해 Aero 사용자 인터페이스를 사용할 수 없습니다.

Internet Explorer 보호 모드

Windows Vista의 Internet Explorer 보호 모드에서는 사용자가 더 안전하게 인터넷을 탐색할 수 있도록 추가 보안 기능을 제공합니다. 또한 이 보호 모드를 사용하면 악의적인 사용자가 브라우저를 제어하여 관리자 권한으로 코드를 실행하지 못하도록 막는 데도 도움이 됩니다.

보호 모드에서는 브라우저 확장 기능을 통해 악성 코드가 자동으로 설치될 가능성을 제거하므로 소프트웨어 취약점을 줄이는 데 도움이 됩니다. 이러한 목적을 달성하기 위해 Windows Vista에서 프로세스, 파일 및 레지스트리 키에 대한 액세스를 제한하는 더 높은 무결성 수준의 메커니즘이 보호 모드에 사용됩니다. 보호 모드 API(응용 프로그래밍 인터페이스)를 사용하면 브라우저를 보호 모드로 유지하면서 파일 시스템이나 레지스트리와 상호 작용할 수 있는 Internet Explorer용 확장 및 추가 기능을 소프트웨어 공급업체에서 개발할 수 있습니다.

보호 모드에서는 Internet Explorer 7이 축소된 권한으로 실행되므로 사용자의 명시적 동의 없이는 사용자 또는 시스템 파일이나 설정이 변경되지 못하도록 하는 데 도움이 됩니다. 또한 새 브라우저 아키텍처에는 기존의 응용 프로그램을 보호 모드에서 더 안전한 방식으로 권한을 상승시키는 데 도움이 되는 "브로커" 프로세스가 도입되었습니다. 이는 브라우저에서 Temporary Internet Files 폴더 같이 권한이 낮은 디렉터리의 외부로 데이터를 다운로드하지 못하도록 막습니다.

보호 모드는 Internet Explorer 7에서 신뢰할 수 있는 사이트 영역을 제외한 모든 보안 영역에 대해 기본적으로 활성화되어 있습니다. 그러나 사용자가 이 모드를 비활성화할 수도 있으며 이 경우 전반적인 보안 수위가 낮아집니다. 따라서 앞 장에서 설명된 그룹 정책 설정에서는 신뢰할 수 있는 사이트 영역을 제외한 브라우저의 모든 웹 콘텐츠 영역에 대해 보호 모드를 활성화하고 있으며, 사용자가 임의로 이를 비활성화지 못하도록 하고 있습니다.

그룹 정책 개체 편집기의 다음 위치에서 Internet Explorer 7 보호 모드에 대한 그룹 정책 설정을 검토하고 구성할 수 있습니다.

컴퓨터 구성\관리 템플릿\Windows 구성 요소\Internet Explorer\인터넷 제어판\보안 페이지\< 영역 >

다음 표에는 이 설정에 대한 설명이 나와 있습니다.

표 2.6 보호 모드 설정

정책 개체

설명

Windows Vista 기본값

보호 모드 사용*

이 설정을 활성화하면 보호 모드가 적용되고 사용자가 보호 모드를 해제할 수 없게 됩니다.
이 설정을 비활성화하면 보호 모드가 해제되고 사용자가 보호 모드를 사용할 수 없게 됩니다.
이 설정을 구성되지 않음으로구성하면 사용자가 보호 모드를 사용하거나 해제할 수 있습니다.

구성되지 않음


* 이 설정은 Windows Vista의 Internet Explorer 7에만 적용됩니다.

이 표에는 이 설정에 대한 아주 간단한 설명만 나와 있습니다. 이 설정에 대한 자세한 내용을 보려면 그룹 정책 개체 편집기에서 설정의 설명 탭을 참조하십시오.

Internet Explorer 7에서 보호 모드를 사용할 수 있는 보안 영역은 다음과 같습니다.

  • 인터넷

  • 인트라넷

  • 로컬 컴퓨터

  • 잠겨 있는 인터넷

  • 잠겨 있는 인트라넷

  • 잠겨 있는 로컬 컴퓨터

  • 잠겨 있는 제한된 사이트

  • 잠겨 있는 신뢰할 수 있는 사이트

  • 제한된 사이트

  • 신뢰할 수 있는 사이트

ActiveX 선택

Windows Vista의 Internet Explorer 7에서는 사용자 정보와 컴퓨터 시스템을 보호하는 데 도움이 되도록 ActiveX 플랫폼에 대한 강력한 새 보안 메커니즘을 제공합니다. ActiveX 선택 기능은 사용자가 명시적으로 허용하지 않은 모든 컨트롤을 자동으로 비활성화합니다. 이렇게 하면 사전 설치된 컨트롤이 악용될 가능성을 줄일 수 있습니다.

Windows Vista에서는 이미 설치되어 있지만 인터넷에서 아직 사용하지 않은 ActiveX 컨트롤에 사용자가 액세스하려 할 때 알림 표시줄이 나타납니다. 사용자는 이 알림 메커니즘을 통해 각 컨트롤별로 액세스를 허용하거나 거부할 수 있으므로 공격에 이용될 수 있는 영역을 더 줄일 수 있습니다. 이렇게 하면 공격자가 웹 사이트를 사용하여 자동화된 공격을 시작하려 해도 해당 ActiveX 컨트롤이 인터넷에서 사용할 수 없도록 지정되어 있으므로 공격을 시작할 수 없습니다.

도메인 간 스크립팅 공격 방어

새로운 도메인 간 스크립트 장벽을 사용하면 악성 웹 사이트에서 다른 웹 사이트의 취약점을 활용할 가능성을 제한하는 데 도움이 됩니다. 예를 들어 도메인 간 스크립팅 공격 방어 기능을 사용하지 않는 경우 악성 웹 사이트의 페이지를 열면 은행 웹 사이트 같이 사용자에게 계정 정보를 입력하도록 요청하는 정식 페이지가 포함된 새 브라우저 창이 나타날 수 있습니다. 그런 다음 스크립트를 통해 빼낸 정보가 공격자의 손에 넘어갈 수 있습니다. Internet Explorer 7에서는 도메인 간 스크립팅 공격 방어 기능을 통해 이러한 유형의 공격을 좀 더 효과적으로 차단합니다.

보안 상태 표시줄

Internet Explorer 7의 새 보안 상태 표시줄을 사용하면 의심스러운 사이트나 공격에 사용되는 사이트와 인증된 웹 사이트를 쉽게 구분할 수 있습니다. 이 정보를 제공하기 위해 보안 상태 표시줄에서는 보안(HTTPS) 웹 사이트를 식별하는 데 도움이 되는 디지털 인증서 정보에 대한 액세스를 강화합니다.

보안 상태 표시줄에서는 웹 사이트의 안전성과 정체성을 한눈에 알 수 있도록 더 명확하고 더 쉽게 눈에 띄는 시각적 표현을 제공합니다. 이 기술은 더 강력한 확인 수단을 갖춘 보안(HTTPS) 사이트를 명확하게 식별할 수 있도록 높은 보증 인증서에 대한 정보도 지원합니다.

피싱 필터

피싱은 전자 메일 메시지나 웹 사이트를 통해 컴퓨터 사용자가 개인 정보나 금융 정보를 노출하도록 속이는 데 흔히 사용되는 기술입니다. 피싱 공격자는 합법적인 개인이나 사업체를 가장하여 사용자를 속이고 계정 암호나 신용 카드 번호 같은 개인 정보를 노출하도록 유도합니다. Internet Explorer 7의 피싱 필터에서는 의심스럽거나 잘 알려진 피싱 웹 사이트를 사용자에게 알려 줌으로써 사용자가 인터넷에서 더 안전하게 콘텐츠를 탐색할 수 있도록 합니다. 이 필터에서는 기존의 알려진 피싱 기술이 웹 사이트 콘텐츠에 적용되었는지 분석하고 데이터 소스의 광범위한 네트워크를 활용하여 웹 사이트의 신뢰도를 평가합니다.

사기를 목적으로 한 전자 메일, 온라인 광고, 웹 사이트 등을 만드는 개발자 수가 증가하는 것은 의사 소통의 부재와 제한된 정보 공유 때문입니다. Internet Explorer 7의 새로운 피싱 필터에서는 한 시간에도 수 차례씩 필터를 업데이트하는 온라인 서비스를 사용하여 사기성 웹 사이트에 대한 업계의 최신 정보를 통합하고 이를 Internet Explorer 7 사용자들과 공유하여 사전에 능동적으로 피싱 공격에 대비하고 방어하는 데 도움을 줍니다.

피싱 필터는 클라이언트 쪽에서 의심스러운 웹 사이트 특징을 검사하는 기능과 선택 온라인 서비스를 결합하여 적용합니다. 이렇게 하면 사용자를 피싱 사기로부터 보호하기 위해 세 가지 방식을 활용할 수 있습니다.

  • 사용자가 방문하려는 웹 사이트의 주소를 사용자의 컴퓨터에 저장되어 있는 보고된 합법적인 사이트의 목록과 비교합니다.

  • 사용자가 방문하려는 웹 사이트에 피싱 사이트에서 일반적으로 발견되는 특징이 있는지 검사하고 분석합니다.

  • 사용자가 방문하려는 웹 사이트 주소를 Microsoft에서 유지 관리하는 온라인 서비스로 보냅니다. 이 온라인 서비스에서는 수시로 업데이트되는 피싱 사이트 목록과 대조하여 해당 주소를 즉시 검사합니다. 이 목록에는 사기성이 있는 것으로 Microsoft에 보고되어 확인을 거친 사이트가 포함됩니다.


피싱 필터 서비스에 알려지지 않은 사이트라 하더라도 Internet Explorer 7에서 해당 사이트의 동작을 조사한 후 SSL(Secure Socket Layer) 인증서 없이 사용자 정보를 수집하는 등의 의심스러운 작업이 발견되면 사용자에게 보고할 수 있습니다. 이와 같이 피싱 필터를 사용하면 특정 사이트가 피싱 사이트로 공식 보고되기 전이라도 해당 사이트에서 사용자 정보를 수집하지 못하도록 막는 데 도움이 됩니다.

이 필터는 기본적으로 Internet Explorer 7을 실행하는 사용자가 활성화하거나 비활성화하도록 구성되어 있습니다. 앞 장에서 설명된 그룹 정책 설정에는 이 기본 동작을 수정하는 어떠한 설정도 포함되어 있지 않습니다. 그러나 관리자는 그룹 정책을 사용하여 피싱 필터의 동작을 제어할 수 있습니다.

그룹 정책 개체 편집기의 다음 위치에서 피싱 필터에 사용 가능한 그룹 정책 설정을 검토하고 구성할 수 있습니다.

컴퓨터 구성\관리 템플릿\Windows 구성 요소\Internet Explorer

다음 표에는 이 설정에 대한 설명이 나와 있습니다.

표 2.7 피싱 필터 설정

정책 개체

설명

Windows Vista 기본값

Turn off Managing Phishing filter *

이 설정을 사용하면 방문하려는 웹 사이트가 "피싱"을 통해 개인 정보를 수집하는 사기 사이트로 알려져 있는 경우 사용자에게 경고 메시지를 표시하는 피싱 필터 기능을 활성화할 수 있습니다.
기본적으로 사용자에게는 피싱 필터의 작동 모드를 결정하라는 메시지가 표시됩니다.

구성되지 않음


* 이 설정을 사용하려면 Internet Explorer 7을 실행하는 컴퓨터의 운영 체제가 Windows Vista, Windows XP SP2 또는 Windows Server 2003 SP1 중 하나여야 합니다.

이 표에는 이 설정에 대한 아주 간단한 설명만 나와 있습니다. 이 설정에 대한 자세한 내용을 보려면 그룹 정책 개체 편집기에서 설정의 설명 탭을 참조하십시오.

가능하면 이 설정을 사용으로 구성하고 작동 모드를 자동으로 구성하는 것이 좋습니다. 그러나 관리자는 이와 같은 구성에서는 관련 정보가 사용자의 동의 없이 Microsoft에 자동으로 전송될 수 있음을 주지해야 합니다.

추가 보안 기능

Internet Explorer에는 사용자를 악성 프로그램으로부터 보호하는 데 도움이 되는 여러 가지 특별한 보안 기능이 포함되어 있습니다. 이러한 모든 설정을 그룹 정책을 통해 관리할 수 있습니다.

그룹 정책 개체 편집기의 다음 위치에서 Internet Explorer 7에 사용 가능한 그룹 정책 보안 기능 설정을 검토하고 구성할 수 있습니다.

컴퓨터 구성\관리 템플릿\Windows 구성 요소\Internet Explorer\보안 기능

이 섹션에서는 Internet Explorer 7의 이러한 설정을 간략하게 소개합니다. Internet Explorer 7의 모든 그룹 정책 설정이 나와 있는 전체 목록은 그룹 정책 개체 편집기를 참조하십시오.

참고   이 섹션에서 설명하는 모든 기능은 Internet Explorer 6.0 이상이 실행되고 있고 운영 체제가 Windows XP SP2 또는 Windows Server 2003 SP1인 컴퓨터에서도 사용할 수 있습니다.

추가 기능 관리

이 섹션에 나와 있는 정책 설정을 사용하면 Internet Explorer 7에 사용 가능한 추가 기능을 제한할 수 있습니다. 다음 표에는 추가 기능을 관리하는 설정이 나와 있습니다.

표 2.8 추가 기능 관리 설정

정책 개체

설명

Windows Vista 기본값

추가 기능 목록

이 설정을 사용하면 추가 기능의 목록을 관리할 수 있습니다.

구성되지 않음 ‡

추가 기능 목록에 지정되지 않은 모든 추가 기능 거부

이 정책 설정을 사용하면 사용자가 지정한 추가 기능만 Internet Explorer 7에서 실행할 수 있습니다.

구성되지 않음 ‡

모든 프로세스

이 설정을 사용하면 정책 설정이나 프로세스(추가 기능 관리자를 통해 반영)에 사용자 기본 설정이 영향을 주는지 여부를 관리할 수 있습니다.

구성되지 않음

프로세스 목록

이 설정을 사용하면 정책 설정이나 나열된 프로세스(추가 기능 관리자를 통해 입력)에 사용자 기본 설정이 영향을 주는지 여부를 관리할 수 있습니다.

구성되지 않음


이 표에는 각 설정에 대한 아주 간단한 설명만 나와 있습니다. 특정 설정에 대한 자세한 내용을 보려면 그룹 정책 개체 편집기에서 설정의 설명 탭을 참조하십시오.

바이너리 동작 보안 제한

Internet Explorer에는 동적 바이너리 동작이 포함되어 있습니다. 이는 연결된 HTML 요소에 대한 특정 기능을 캡슐화하는 구성 요소입니다. 다음 표에 나와 있는 설정을 사용하여 이러한 동작을 제한할 수 있습니다.

표 2.9 바이너리 동작 보안 제한 설정

정책 개체

설명

Windows Vista 기본값

모든 프로세스

이 설정에서는 바이너리 동작 보안 제한 설정을 금지할지 허용할지 여부를 제어합니다.

구성되지 않음

Internet Explorer 프로세스

이 설정을 구성되지 않음이나 사용으로 구성하면 Windows 탐색기 및 Internet Explorer 프로세스에 대해 바이너리 동작이 차단됩니다.

구성되지 않음

프로세스 목록

이 설정을 사용하면 관리자가 이 보안 기능을 금지하거나 허용할 응용 프로그램을 정의할 수 있습니다.

구성되지 않음

관리자가 허용한 기능

이 설정을 Enabled로 구성하면 각 영역에 허가된 동작의 목록을 바이너리 및 스크립트 동작 허용에서 관리자 승인으로 정의할 수 있습니다.

구성되지 않음


이 표에는 각 설정에 대한 아주 간단한 설명만 나와 있습니다. 특정 설정에 대한 자세한 내용을 보려면 그룹 정책 개체 편집기에서 설정의 설명 탭을 참조하십시오.

일관성 있는 MIME 핸들링

Internet Explorer에서는 MIME(Multipurpose Internet Mail Extensions) 데이터를 사용하여 웹 서버를 통해 받은 파일의 처리 절차를 결정합니다. 다음 표에는 Internet Explorer 7에 사용할 수 있는 MIME의 그룹 정책 설정에 대한 설명이 나와 있습니다.

표 2.10 일관성 있는 MIME 핸들링 설정

정책 개체

설명

Windows Vista 기본값

모든 프로세스

이 설정에서는 웹 서버를 통해 Internet Explorer에 제공되는 모든 파일 형식 정보가 일관되어야 하는지 여부를 결정합니다.

구성되지 않음

Internet Explorer 프로세스

이 설정에서는 Internet Explorer에 수신된 모든 파일의 MIME 데이터가 일관되어야 하는지 여부를 결정합니다.
이 설정을 구성되지 않음이나 사용으로 구성하면 Internet Explorer에 수신되는 모든 파일의 MIME 데이터가 일관되어야 합니다.

구성되지 않음 ‡

프로세스 목록

이 설정을 사용하면 관리자가 이 보안 기능을 금지하거나 허용할 응용 프로그램을 정의할 수 있습니다.

구성되지 않음


이 표에는 각 설정에 대한 아주 간단한 설명만 나와 있습니다. 특정 설정에 대한 자세한 내용을 보려면 그룹 정책 개체 편집기에서 설정의 설명 탭을 참조하십시오.

알림 표시줄

이 섹션에서 설명하는 정책 설정을 사용하면 파일이나 코드 설치가 제한된 경우 Internet Explorer 프로세스 이외의 프로세스에 대해 알림 표시줄을 표시할지 여부를 관리할 수 있습니다. 기본적으로 알림 표시줄은 Internet Explorer 프로세스에 대해 표시되지만 파일이나 코드 설치가 제한된 경우에는 어떤 프로세스에 대해서도 표시되지 않습니다. 다음 표에는 이 동작을 수정하는 데 사용할 수 있는 설정 정보가 나와 있습니다.

표 2.11 알림 표시줄 설정

정책 개체

설명

Windows Vista 기본값

모든 프로세스

이 설정을 사용으로 구성하면 모든 프로세스에 대해 알림 표시줄이 나타납니다.

구성되지 않음

Internet Explorer 프로세스

이 설정을 사용 안 함으로 구성하면 Internet Explorer 프로세스에 대해 알림 표시줄이 나타나지 않습니다.

구성되지 않음

프로세스 목록

이 정책 설정을 사용하면 파일이나 코드 설치가 제한된 경우 특정 프로세스에 대해 알림 표시줄을 표시할지 여부를 관리할 수 있습니다.

구성되지 않음

로컬 컴퓨터 영역 잠금 보안

Internet Explorer에서는 사용자가 열려는 웹 페이지의 위치(인터넷, 인트라넷, 로컬 컴퓨터 영역 등)에 따라 해당 웹 페이지에 영역 제한을 적용합니다. 로컬 컴퓨터의 웹 페이지에는 가장 적은 보안 제한 사항이 적용되며 이러한 웹 페이지는 로컬 컴퓨터 영역에 있습니다. 로컬 컴퓨터 영역 보안은 모든 로컬 파일과 콘텐츠에 적용됩니다. 이 기능을 사용하면 악성 HTML 코드를 로드하기 위한 공격 매체로 로컬 컴퓨터 영역이 사용되는 경우 공격을 완화하는 데 도움이 됩니다.

표 2.12 로컬 컴퓨터 영역 잠금 보안 설정

정책 개체

설명

Windows Vista 기본값

모든 프로세스

이 설정을 사용으로 구성하면 Internet Explorer 또는 프로세스 목록에 정의되어 있는 프로세스를 제외한 다른 모든 프로세스를 통해 처리되는 모든 파일 및 콘텐츠에 로컬 컴퓨터 영역 보안이 적용됩니다.
기본적으로 로컬 컴퓨터 영역 보안은 Internet Explorer 또는 프로세스 목록에 정의되어 있는 프로세스를 제외한 다른 프로세스를 통해 처리되는 로컬 파일이나 콘텐츠에는 적용되지 않습니다.

구성되지 않음

Internet Explorer 프로세스

이 설정을 구성되지 않음이나 사용으로 구성하면 Internet Explorer에서 처리하는 모든 로컬 파일과 콘텐츠에 로컬 컴퓨터 영역 보안이 적용됩니다.

구성되지 않음

프로세스 목록

이 설정을 사용으로 구성하고 프로세스 이름을 값 1로 정의하면 로컬 컴퓨터 영역 보안이 적용됩니다. 값 0을 정의하면 로컬 컴퓨터 영역 보안이 적용되지 않습니다.

구성되지 않음


이 표에는 각 설정에 대한 아주 간단한 설명만 나와 있습니다. 특정 설정에 대한 자세한 내용을 보려면 그룹 정책 개체 편집기에서 설정의 설명 탭을 참조하십시오.

MIME 검색 안전 기능

이 기능은 특정 형식의 파일이 더 위험한 파일 형식으로 승격하지 못하도록 차단하는 데 도움이 됩니다. 다음 표에는 이 기능에 사용할 수 있는 설정의 목록이 나와 있습니다.

표 2.13 MIME 검색 안전 기능 설정

정책 개체

설명

Windows Vista 기본값

모든 프로세스

이 설정을 사용으로 구성하면 모든 프로세스에 대해 MIME 검색 안전 기능이 활성화됩니다.

구성되지 않음

Internet Explorer 프로세스

이 설정을 사용 안 함으로 구성하면 Internet Explorer 프로세스의 MIME 검색에서 특정 형식의 파일이 더 위험한 파일 형식으로 승격될 수 있습니다.
기본값인 구성되지 않음을 사용하면 이러한 승격이 허용되지 않습니다.

구성되지 않음 ‡

프로세스 목록

이 정책 설정을 사용하면 이 보안 기능의 실행을 금지하거나 허용하지 않을 응용 프로그램을 관리자가 정의할 수 있습니다.

구성되지 않음


이 표에는 각 설정에 대한 아주 간단한 설명만 나와 있습니다. 특정 설정에 대한 자세한 내용을 보려면 그룹 정책 개체 편집기에서 설정의 설명 탭을 참조하십시오.

MK 프로토콜 보안 제한

MK 프로토콜 보안 제한 정책 설정을 사용하면 MK 프로토콜을 차단하여 공격에 노출되는 영역을 줄일 수 있습니다. 그러나 이 설정을 사용하면 MK 프로토콜에 호스팅된 리소스를 사용할 수 없습니다.

표 2.14 MK 프로토콜 보안 제한 설정

정책 개체

설명

Windows Vista 기본값

모든 프로세스

기본적으로 이 제한은 모든 프로세스에 대해 비활성화되어 있습니다. 그러나 이 설정을 사용으로 구성하면 모든 프로세스에 대해 MK 프로토콜이 차단되고 MK 프로토콜에 대한 모든 사용 시도가 차단됩니다.

구성되지 않음

Internet Explorer 프로세스

이 설정을 사용 안 함으로 구성하면 응용 프로그램에서 MK 프로토콜 API를 사용할 수 있고 MK 프로토콜에 호스팅된 리소스를 Windows 탐색기 및 Internet Explorer 프로세스에서 사용할 수 있습니다.
기본적으로는 Windows 탐색기와 Internet Explorer에서 MK 프로토콜을 사용하지 않도록 설정되어 있으며 MK 프로토콜에 호스팅된 리소스는 차단되도록 설정되어 있습니다.

구성되지 않음 ‡

프로세스 목록

이 정책 설정을 사용하면 관리자가 이 보안 기능을 금지하거나 허용할 응용 프로그램을 정의할 수 있습니다.

구성되지 않음


이 표에는 각 설정에 대한 아주 간단한 설명만 나와 있습니다. 특정 설정에 대한 자세한 내용을 보려면 그룹 정책 개체 편집기에서 설정의 설명 탭을 참조하십시오.

네트워크 프로토콜 잠금

제한된 프로토콜을 통해 얻은 액티브 콘텐츠가 안전하지 않은 방식으로 실행되는 것을 막도록 Internet Explorer 7을 구성할 수 있습니다. 이 정책 설정에서는 제한된 프로토콜을 통해 얻은 콘텐츠의 제한을 허용할지 금지할지 여부를 제어합니다.

표 2.15 네트워크 프로토콜 잠금 설정

정책 개체

설명

Windows Vista 기본값

모든 프로세스

이 설정을 사용으로 구성하면 제한된 프로토콜을 통해 얻은 콘텐츠를 Windows 탐색기 또는 Internet Explorer 이외의 모든 프로세스에 대해 제한할 수 있습니다. 이 설정을 사용 안 함으로 구성하면 제한된 프로토콜을 통해 얻은 콘텐츠를 Windows 탐색기 또는 Internet Explorer 이외의 모든 프로세스에 대해 제한할 수 없습니다. 기본값인 구성되지 않음을 사용하면 Windows 탐색기 및 Internet Explorer 이외의 프로세스에 대해 이 정책이 적용되지 않습니다.

구성되지 않음

Internet Explorer 프로세스

이 설정을 사용으로 구성하면 제한된 프로토콜을 통해 얻은 콘텐츠를 Windows 탐색기 및 Internet Explorer 프로세스에 대해 제한할 수 있습니다. 이 설정을 사용 안 함으로 구성하면 제한된 프로토콜을 통해 얻은 콘텐츠를 Windows 탐색기 및 Internet Explorer 프로세스에 대해 제한할 수 없습니다. 기본값인 구성되지 않음을 사용하면 Internet Explorer에서 이 설정을 무시합니다.

구성되지 않음

프로세스 목록

이 설정을 사용하면 제한된 프로토콜을 통해 얻은 콘텐츠의 제한을 허용하거나 금지할 응용 프로그램을 관리자가 정의할 수 있습니다.

구성되지 않음


이 표에는 각 설정에 대한 아주 간단한 설명만 나와 있습니다. 특정 설정에 대한 자세한 내용을 보려면 그룹 정책 개체 편집기에서 설정의 설명 탭을 참조하십시오.

제한된 프로토콜을 통해 얻은 액티브 콘텐츠가 안전하지 않은 방식으로 실행되지 못하도록 각 영역에 대해 네트워크 프로토콜 잠금 보안 제한을 구성할 수 있습니다. 이 제한에서는 사용자에게 관련 메시지를 표시하거나 단순히 콘텐츠를 비활성화할 수 있습니다.

참고   컴퓨터 구성과 사용자 구성의 영역에 대해 정책을 설정하면 해당 영역에 대한 프로토콜 목록이 둘 다 제한됩니다.

표 2.16 보안 영역에 대한 제한된 프로토콜 설정

정책 개체

설명

Windows Vista 기본값

인터넷 영역의 제한된 프로토콜

이 설정을 사용하면 인터넷 영역에 대해 제한된 프로토콜의 목록을 만들 수 있습니다.

구성되지 않음

인트라넷 영역의 제한된 프로토콜

이 설정을 사용하면 인트라넷 영역에 대해 제한된 프로토콜의 목록을 만들 수 있습니다.

구성되지 않음

로컬 컴퓨터 영역의 제한된 프로토콜

이 설정을 사용하면 로컬 컴퓨터 영역에 대해 제한된 프로토콜의 목록을 만들 수 있습니다.

구성되지 않음

제한된 사이트 영역의 제한된 프로토콜

이 설정을 사용하면 제한된 사이트 영역에 대해 제한된 프로토콜의 목록을 만들 수 있습니다.

구성되지 않음

신뢰할 수 있는 사이트의 제한된 프로토콜

이 설정을 사용하면 신뢰할 수 있는 사이트 영역에 대해 제한된 프로토콜의 목록을 만들 수 있습니다.

구성되지 않음


이 표에는 각 설정에 대한 아주 간단한 설명만 나와 있습니다. 특정 설정에 대한 자세한 내용을 보려면 그룹 정책 개체 편집기에서 설정의 설명 탭을 참조하십시오.

개체 캐싱 보호

이 정책 설정에서는 동일한 도메인이나 새 도메인에서 사용자가 콘텐츠를 탐색할 때 개체 참조에 액세스할 수 있는지 여부를 정의합니다.

표 2.17 개체 캐싱 보호 설정

정책 개체

설명

Windows Vista 기본값

모든 프로세스

이 설정을 사용 안함이나 구성되지 않음으로 구성하면 제한된 영역 사이트의 도메인 간에 또는 도메인 내에서 탐색할 때 개체 참조가 유지됩니다.

구성되지 않음

Internet Explorer 프로세스

이 설정을 구성되지 않음에서 다른 값으로 변경하지 않거나 사용으로 구성하면 도메인 내에서 또는 도메인 간에 탐색할 때 Internet Explorer 프로세스에서 더 이상 개체 참조에 액세스할 수 없습니다.

구성되지 않음

프로세스 목록

이 설정을 사용하면 관리자가 이 보안 기능을 금지하거나 허용할 응용 프로그램을 정의할 수 있습니다.

구성되지 않음


이 표에는 각 설정에 대한 아주 간단한 설명만 나와 있습니다. 특정 설정에 대한 자세한 내용을 보려면 그룹 정책 개체 편집기에서 설정의 설명 탭을 참조하십시오.

영역 수준에 따른 보호

Internet Explorer를 통해 열리는 웹 페이지에는 제한 사항이 적용됩니다. 이러한 제한 사항은 인터넷, 인트라넷, 로컬 컴퓨터 영역 같은 웹 페이지의 위치에 따라 달라집니다. 예를 들어 로컬 컴퓨터의 웹 페이지에는 가장 적은 보안 제한이 적용되며 이러한 웹 페이지는 로컬 컴퓨터 영역에 있으므로 로컬 컴퓨터 영역은 공격자의 주요 공격 목표가 됩니다.

표 2.18 영역 수준에 따른 보호 설정

정책 개체

설명

Windows Vista 기본값

모든 프로세스

이 설정을 사용으로 구성하면 모든 프로세스에 대해 영역 수준에 따른 모든 영역을 보호할 수 있습니다.
이 설정을 구성되지 않음에서 다른 값으로 변경하지 않거나 사용 안 함으로 구성하면 Internet Explorer 및 프로세스 목록에 정의되어 있는 프로세스를 제외한 다른 프로세스에 이 보호 기능이 적용되지 않습니다.

구성되지 않음

Internet Explorer 프로세스

이 설정을 구성되지 않음에서 다른 값으로 변경하지 않거나 사용으로 구성하면 Internet Explorer 프로세스를 통해 영역 수준에 따른 모든 영역을 보호할 수 있습니다.
이 설정을 사용 안 함으로 구성하면 Internet Explorer 프로세스에 이 보호 기능이 적용되지 않습니다.

구성되지 않음 ‡

프로세스 목록

이 정책 설정을 사용하면 관리자가 이 보안 기능을 금지하거나 허용할 응용 프로그램을 정의할 수 있습니다.

구성되지 않음


이 표에는 각 설정에 대한 아주 간단한 설명만 나와 있습니다. 특정 설정에 대한 자세한 내용을 보려면 그룹 정책 개체 편집기에서 설정의 설명 탭을 참조하십시오.

ActiveX 설치 제한

이 정책 설정에서는 ActiveX 컨트롤 설치를 제한합니다.

표 2.19 ActiveX 설치 제한 설정

정책 개체

설명

Windows Vista 기본값

모든 프로세스

이 설정을 사용하면 웹 브라우저 컨트롤을 호스팅하는 응용 프로그램에서 자동으로 나타나는 ActiveX 컨트롤 설치 프롬프트를 차단할 수 있습니다.

구성되지 않음

Internet Explorer 프로세스

이 설정을 사용하면 Internet Explorer 프로세스에서 ActiveX 컨트롤 설치 프롬프트를 차단할 수 있습니다.

구성되지 않음 ‡

프로세스 목록

이 설정을 사용하면 자동으로 나타나는 ActiveX 컨트롤 설치 프롬프트를 허용하거나 차단할 실행 파일의 목록을 관리자가 정의할 수 있습니다. 기본적으로 이 보안 기능은 허용되어 있습니다.

구성되지 않음


이 표에는 각 설정에 대한 아주 간단한 설명만 나와 있습니다. 특정 설정에 대한 자세한 내용을 보려면 그룹 정책 개체 편집기에서 설정의 설명 탭을 참조하십시오.

파일 다운로드 제한

이 정책 설정에서는 사용자가 다운로드를 시작하지 않는 한 파일 다운로드가 자동으로 시작되지 않도록 제한합니다.

표 2.20 파일 다운로드 제한 설정

정책 개체

설명

Windows Vista 기본값

모든 프로세스

이 설정을 사용하면 웹 브라우저 컨트롤을 호스팅하는 응용 프로그램에서 사용자가 시작하지 않은 파일 다운로드의 프롬프트가 자동으로 나타나지 않도록 차단할 수 있습니다.

구성되지 않음

Internet Explorer 프로세스

이 설정을 사용하면 사용자가 시작하지 않은 파일 다운로드의 프롬프트를 차단할 수 있습니다.

구성되지 않음 ‡

프로세스 목록

이 설정을 사용하면 사용자가 시작하지 않은 파일 다운로드의 프롬프트가 자동으로 나타나는 것을 허용하거나 금지할 실행 파일의 목록을 관리자가 만들 수 있습니다.

구성되지 않음


이 표에는 각 설정에 대한 아주 간단한 설명만 나와 있습니다. 특정 설정에 대한 자세한 내용을 보려면 그룹 정책 개체 편집기에서 설정의 설명 탭을 참조하십시오.

스크립트 기반의 창 보안 제한

Internet Explorer에서는 스크립트를 통해 프로그래밍 방식으로 다양한 유형의 창을 열고, 크기를 조정하고, 위치를 바꿀 수 있습니다. 창 제한 보안 기능을 사용하면 팝업 창을 제한할 수 있고, 제목 및 상태 표시줄을 사용자에게 표시하지 않거나 다른 창의 제목 및 상태 표시줄을 가리도록 창을 표시하는 스크립트를 차단할 수 있습니다.

표 2.21 스크립트 기반의 창 보안 제한 설정

정책 개체

설명

Windows Vista 기본값

모든 프로세스

이 설정을 구성되지 않음에서 다른 값으로 변경하지 않거나 사용 안 함으로 구성하면 스크립트 기반 창이 제한되지 않습니다. 그러나 이 설정을 사용으로 구성하면 모든 프로세스에 대해 스크립트 기반 창이 제한됩니다.

구성되지 않음

Internet Explorer 프로세스

이 설정을 구성되지 않음에서 다른 값으로 변경하지 않거나 사용으로 구성하면 Windows 탐색기 및 Internet Explorer 프로세스에 대해 팝업 창 및 기타 제한이 적용됩니다. 그러나 이 설정을 사용 안 함으로 구성하면 스크립트를 통해 팝업 창이나 기타 창이 계속 생성되어 다른 창이 가려질 수 있습니다.

구성되지 않음 ‡

프로세스 목록

이 정책 설정을 사용하면 관리자가 이 보안 기능을 금지하거나 허용할 응용 프로그램을 정의할 수 있습니다.

구성되지 않음


이 표에는 각 설정에 대한 아주 간단한 설명만 나와 있습니다. 특정 설정에 대한 자세한 내용을 보려면 그룹 정책 개체 편집기에서 설정의 설명 탭을 참조하십시오.


추가 정보

Windows Vista에 새로 추가되거나 강화된 보안 기능과 기술에 대한 자세한 내용은 다음 리소스를 참조하십시오.



다운로드

Windows Vista 보안 가이드 받기 (영문)

업데이트 알림

업데이트 및 최신 릴리스 정보 수신 등록 (영문)

사용자 의견

의견 및 제안 보내기


표시: