Windows Vista 보안 가이드

5장: 특수 보안 – 기능 제한

게시 날짜: 2006년 11월 8일

이 가이드의 SSLF(특수 보안 - 기능 제한) 기본을 적용하면 Windows Vista™가 실행되는 컴퓨터에 보안이 잘 설정된 환경을 만들 수 있습니다. 이러한 환경에서는 보안이 매우 중요하므로 기능 및 관리 효율성 측면을 상당 부분 포기해야 합니다. 대부분의 조직에서는 EC(엔터프라이즈 클라이언트) 보안 기본을 적용하여 운영 체제 및 응용 프로그램의 기능을 충분히 활용하면서 보안을 향상시킬 수 있습니다.

경고:

대부분의 엔터프라이즈 조직에서는 SSLF 보안 설정을 사용할 필요가 없습니다. 이러한 설정의 구성은 기능보다 보안이 더 중요한 조직을 위해 개발된 것입니다.

사용자의 환경에서 SSLF 구성 설정을 테스트하고 클라이언트 컴퓨터에 배포하면 조직의 IT 리소스를 사용하려는 직원들이 SSLF 구성 설정에 따른 기능 제한과 관련하여 지원 부서로 지원을 요청하는 횟수가 증가할 수 있습니다. SSLF 환경 구성으로 데이터 및 네트워크 보안의 수준을 높일 수 있지만 조직에 필요한 일부 서비스가 실행되지 않는 단점도 있습니다. 예를 들어 여러 명의 사용자가 원격 컴퓨터의 응용 프로그램 및 바탕 화면에 대화형으로 연결할 수 있는 터미널 서비스와 사용자가 자신의 컴퓨터를 사용하여 네트워크를 통해 팩스를 주고받을 수 있는 팩스 서비스가 실행되지 않습니다. SSLF 환경에서 실행되지 않는 서비스의 전체 목록은 이 장의 "제한된 서비스" 섹션을 참조하십시오.

SSLF 기본은 EC 기본에 부가되는 것이 아니라 명백히 다른 수준의 보안을 제공한다는 사실에 주의하십시오. 따라서 Windows Vista가 실행되는 동일한 컴퓨터에 SSLF 기본과 EC 기본을 함께 적용하지 마십시오. 그 대신 사용자의 환경에 필요한 보안 수준을 먼저 확인한 다음 EC 기본과 SSLF 기본 중 어느 것을 적용할지 결정해야 하며 이렇게 하는 것이 이 가이드의 목적에 부합합니다. EC 기본과 SSLF 기본 간의 설정 차이를 비교하려면 부록 A, "보안 그룹 정책 설정"을 참조하십시오. 이 가이드와 함께 제공되는 Windows Vista Security Guide Settings.xls 파일에서는 설정 값을 비교하는 데 사용할 수 있는 다른 리소스를 제공합니다.

중요   사용자의 환경에 SSLF 기본을 적용할지 여부를 고려 중이라면 SSLF 보안 설정을 적용한 후 해당 환경의 컴퓨터에서 필요한 기능이 제대로 수행되는지 확인하기 위해 컴퓨터를 철저하게 테스트할 수 있도록 준비하십시오.

이 페이지에서

특수 보안 환경
기능 제한 환경
GPOAccelerator 도구
추가 정보

특수 보안 환경

컴퓨터 및 네트워크를 사용하는 조직, 특히 인터넷 같은 외부 리소스에 연결된 조직은 시스템 및 네트워크 디자인, 컴퓨터 구성 및 배포 방법에 내재한 보안 문제를 해결해야 합니다. 기업은 프로세스 자동화, 원격 관리, 원격 액세스, 무정지 가용성, 전세계 액세스 및 소프트웨어 장치 독립성 등의 기능을 사용하여 경쟁이 심한 시장에서 효율과 생산성을 높일 수 있습니다. 그러나 이러한 기능의 사용으로 인해 조직의 컴퓨터가 손상될 위험에 노출되기도 합니다.

일반적으로 관리자는 데이터 무단 액세스, 서비스 중단 및 컴퓨터 악용을 막기 위해 적절한 주의를 기울입니다. 군대, 중앙 정부와 지방 정부, 금융 업체 등의 일부 전문가 조직은 서비스, 시스템 및 데이터의 일부 또는 전부를 특수한 보안 수준에서 보호해야 합니다. SSLF 기본은 이러한 조직에 특수한 보안 수준을 제공하도록 설계되었습니다. SSLF 설정을 미리 보려면 부록 A, "보안 그룹 정책 설정"을 참조하십시오.

페이지 위쪽

기능 제한 환경

SSLF 기본으로 특수 보안을 구현하면 사용자의 환경에서 수행할 수 있는 기능이 감소할 수 있습니다. SSLF 환경에서 사용자는 필수 작업을 완료하는 데 필요한 특정 기능에만 액세스할 수 있기 때문입니다. 따라서 허가된 응용 프로그램, 서비스 및 인프라 환경에만 액세스할 수 있습니다. SSLF 기본을 적용하면 사용자에게 친숙한 속성 페이지 대부분이 비활성화되므로 사용자의 구성 기능이 감소합니다.

이 장의 다음 섹션에서는 더 높은 수준의 보안 영역 및 SSLF 기본에 의한 기능 제한에 대해 설명합니다.

• 제한된 서비스 및 데이터 액세스

• 제한된 네트워크 액세스

• 강력한 네트워크 보호

• 제한된 서비스

제한된 서비스 및 데이터 액세스

암호를 잊었거나 잘못 입력한 유효한 사용자가 서비스 및 데이터에 액세스하지 못하도록 SSLF에서 설정할 수 있습니다. 이러한 설정으로 인해 지원 부서로의 지원 요청이 증가할 수도 있습니다. 그러나 이렇게 설정하면 이 환경에서 Windows Vista를 실행 중인 컴퓨터를 악의적인 사용자가 공격하기 어렵게 하는 보안상의 이점이 있습니다. 사용자가 서비스 및 데이터에 액세스하지 못하게 할 수도 있는 SSLF 기본의 설정 옵션은 다음과 같습니다.

• 관리자 계정 사용 안 함

• 더 강력한 암호 요구 사항 적용

• 더 엄격한 계정 잠금 정책 요구

• 다음 사용자 권한 할당 설정에 대해 더 엄격한 정책 요구: 서비스로 로그온 및 일괄 작업으로 로그온.

참고   EC 기본 및 SSLF 기본의 설정에 대한 세부 정보는 부록 A, "보안 그룹 정책 설정"을 참조하십시오. 이 가이드와 함께 제공되는 Windows Vista Security Guide Settings.xls 파일에서는 설정 값을 비교하는 데 사용할 수 있는 다른 리소스를 제공합니다.

제한된 네트워크 액세스

네트워크 안정성 및 시스템 연결성은 비즈니스의 성공을 좌우하는 중요한 요소입니다. Microsoft 운영 체제에서 제공하는 고급 네트워킹 기능을 사용하여 시스템을 연결하고, 연결을 유지 관리하고 끊어진 연결을 복구할 수 있습니다. 이 기능이 네트워크 연결을 유지하는 데 도움이 되지만 공격자가 이 기능을 이용하면 사용자 네트워크의 컴퓨터를 중단시키거나 손상시킬 위험도 있습니다.

대부분의 관리자는 네트워크 통신을 지원하는 데 도움이 되는 기능을 선호합니다. 그러나 특수한 경우에는 데이터와 서비스의 보안에 일차적인 관심을 가져야 합니다. 그러한 특수한 환경에서는 데이터를 확실히 보호하기 위해 연결성이 다소 줄어드는 것을 감수해야 합니다. 네트워크 보안은 향상되지만 사용자의 네트워크 액세스를 차단할 수도 있는 SSLF 기본의 설정 옵션은 다음과 같습니다.

• 네트워크에 있는 클라이언트 시스템에만 액세스하도록 제한

• 찾아보기 목록에서 시스템 감춤

• Windows 방화벽 예외 제어

• 패킷 서명 등 연결 보안 구현

강력한 네트워크 보호

네트워크 서비스를 공격하는 일반적인 전략 중 하나는 DoS(서비스 거부) 공격을 사용하는 것입니다. DoS 공격은 데이터 또는 서비스에 대한 연결을 차단하거나 시스템 리소스를 과도하게 사용하여 성능을 저하시키는 공격입니다. SSLF 기본을 적용하면 시스템 개체에 대한 액세스 및 리소스 할당을 보호하여 이 유형의 공격을 방어할 수 있습니다. DoS 공격을 막는 데 도움이 되는 SSLF 기본의 설정 옵션은 다음과 같습니다.

• 프로세스 메모리 할당량 지정 제어

• 개체 생성 제어

• 프로그램 디버깅 기능 제어

• 프로세스 프로파일링 제어

이러한 보안 고려 사항이 적용되면 SSLF 기본의 보안 설정으로 인해 사용자 환경의 응용 프로그램이 실행되지 못하거나 사용자가 서비스 및 데이터에 액세스하지 못하는 상황이 발생할 수 있습니다. 이러한 이유 때문에 SSLF 기본을 구현한 이후, 프로덕션 환경에 배포하기 이전에 SSLF 기본을 철저히 테스트해야 합니다.

제한된 서비스

또한 SSLF 기본이 적용되면 여러 응용 프로그램 및 유틸리티를 자동으로 실행할 수 없습니다. 레지스트리의 실행 및 한 번 실행 영역에 지정된 명령 역시 처리되지 않습니다. SSLF 기본이 적용되면 CD 자동 실행 역시 사용하지 못합니다.

SSLF 기본에 의해 비활성화되는 서비스는 구체적으로 다음과 같습니다.

• 컴퓨터 브라우저(Browser) 이 서비스에서는 네트워크에 있는 컴퓨터의 업데이트된 목록을 유지하고 이 목록을 브라우저로 지정된 컴퓨터에 제공합니다. 이 서비스가 비활성화되면 목록은 업데이트되지 않으며 유지되지도 않습니다. 명시적으로 이 서비스에 의존하는 서비스는 모두 실패합니다.

• 팩스 서비스(Fax) 사용자는 이 서비스를 통해 자신의 컴퓨터 또는 네트워크에 있는 팩스 리소스를 사용하여 팩스를 주고받을 수 있습니다.

• FTP 게시 서비스(MSFtpsvc) 이 서비스에서는 IIS 스냅인을 통해 FTP 연결 및 관리를 제공합니다.

• 인덱싱 서비스(CiSvc) 이 서비스에서는 로컬 및 원격 컴퓨터에 있는 파일의 내용과 속성을 인덱싱합니다. 이 서비스에서는 유연한 쿼리 언어를 통해 파일에 빠르게 액세스할 수 있는 기능도 제공합니다.

• IIS 관리 서비스(IISADMIN) 이 서비스를 사용하면 IIS 스냅인을 통해 웹 및 FTP 서비스를 관리할 수 있습니다.

• Remote Desktop Help Session Manager 서비스(RDSessMgr) 이 서비스에서는 원격 지원을 관리 및 제어합니다. 이 서비스가 비활성화되면 원격 지원을 이용할 수 없습니다.

• 라우팅 및 원격 액세스 서비스(RemoteAccess) 이 서비스에서는 LAN 및 WAN 환경의 기업에 라우팅 서비스를 제공합니다.

• SNMP Trap Service(SNMPTRAP) 이 서비스는 로컬 또는 원격 SNMP 에이전트에서 생성한 트랩 메시지를 받아 클라이언트 컴퓨터에서 실행 중인 SNMP 관리 프로그램에 전달합니다.

• SNMP 서비스(SNMP) 이 서비스에는 네트워크 장치의 작업을 모니터링하고 네트워크 관리 콘솔로 보고하는 에이전트가 포함됩니다.

• SSDP Discovery Service(SSDPSRV) 이 서비스를 사용하여 홈 네트워크에서 UPnP 장치를 찾을 수 있습니다.

• 작업 스케쥴러 서비스(Schedule) 이 서비스를 사용하여 컴퓨터에서 자동화 작업을 구성 및 예약할 수 있습니다. 이 서비스가 비활성화되면 예약된 작업은 실행되지 않습니다. 명시적으로 이 서비스에 의존하는 서비스는 모두 실패합니다.

• 텔넷 서비스(TlntSvr) 원격 사용자는 이 서비스를 통해 다른 컴퓨터에 로그온하고 프로그램을 실행할 수 있습니다. 이 서비스에서는 UNIX 기반 및 Windows 기반 컴퓨터를 비롯한 다양한 TCP/IP 텔넷 클라이언트를 지원합니다. 이 서비스가 비활성화되면 원격 사용자는 프로그램에 액세스할 수 없습니다. 명시적으로 이 서비스에 의존하는 서비스는 모두 실패합니다.

• Terminal Services 서비스(TermService) 이 서비스를 통해 여러 사용자가 원격 컴퓨터의 데스크톱 디스플레이와 응용 프로그램에 대화형으로 연결될 수 있습니다. 이 서비스에서는 원격 데스크톱(관리자용 원격 데스크톱 포함), 빠른 사용자 전환, 원격 지원 및 터미널 서버에 백그라운드 소프트웨어를 제공합니다.

• Universal Plug and Play Device Host 서비스(Upnphost) 이 서비스에서는 UPnP(유니버설 플러그 앤 플레이) 장치를 호스팅할 수 있도록 지원합니다.

• World Wide Web 게시 서비스(W3SVC) 이 서비스에서는 IIS 스냅인을 통해 웹 연결 및 관리 기능을 제공합니다.

SSLF 기본에서는 클라이언트 컴퓨터에서 실행되는 Windows Vista의 기능 중 특별히 필요하지 않은 모든 기능이 비활성화되도록 제어합니다. 이전 보안 정책과 비교하면 주안점이 크게 달라진 것을 알 수 있습니다. 이 접근법에서는 사용자가 명시적으로 요구하는 기능을 확인한 다음 그 외의 기능을 비활성화하는 대신 운영 체제를 명시적으로 손상시킬 수 있는 모든 서비스와 유틸리티를 비활성화하는 데 중점을 둡니다.

보안 정책 구현

이 가이드에 설명된 SSLF 솔루션에서는 GPMC(그룹 정책 관리 콘솔) 및 GPMC 기반 스크립트가 사용됩니다. GPMC는 Windows Vista 운영 체제에 통합되어 있으므로 다른 컴퓨터에 대한 GPO를 관리하려 할 때마다 이 콘솔을 다운로드하여 설치할 필요가 없습니다.

중요   Active Directory를 사용하는 도메인에 가입해 있는 Windows Vista 클라이언트 컴퓨터에서 이 가이드의 모든 절차를 수행해야 합니다. 또한 이 절차를 수행하는 사용자는 도메인 관리자 권한을 갖고 있어야 합니다. Microsoft Windows® XP 또는 Windows Server® 2003 운영 체제를 사용하는 경우 Windows Vista용 보안 설정은 GPMC에 표시되지 않습니다.

보안 설계를 구현하려면 세 가지 주요 작업을 완료해야 합니다.

1. SSLF 환경을 만듭니다.

2. GPMC를 사용하여 VSG SSLF 도메인 정책을 도메인에 연결합니다.

3. GPMC를 사용하여 결과를 확인합니다.

이 섹션에서는 이러한 작업과 절차에 대해 설명하고 규범적 GPO를 자동으로 만드는 데 사용되는 GPOAccelerator.wsf 스크립트의 기능에 대해 설명합니다.

GPOAccelerator.wsf 스크립트

이 가이드와 함께 제공되는 GPOAccelerator.wsf 스크립트에서는 사용자에게 필요한 모든 GPO를 만듭니다. 따라서 정책 설정을 수동으로 편집하고 템플릿을 적용하느라 많은 시간을 낭비할 필요가 없습니다. 이 스크립트에서는 SSLF 환경을 설정하기 위해 다음과 같은 네 개의 GPO를 만듭니다.

• 도메인에 대한 VSG SSLF 도메인 정책

• 사용자에 대한 VSG SSLF 사용자 정책

• 데스크톱 컴퓨터에 대한 VSG SSLF 데스크톱 정책

• 랩톱 컴퓨터에 대한 VSG SSLF 랩톱 정책

중요    SSLF 환경 보안 설계를 성공적으로 구현하려면 설계를 프로덕션 환경에 배포하기 전에 철저히 테스트해야 합니다.

GPOAccelerator.wsf 스크립트를 사용하여 다음 작업을 수행합니다.

• 랩 환경에서 설계를 테스트합니다. 테스트 환경에서 GPOAccelerator.wsf 스크립트를 사용하여 OU 구조를 만들고 GPO를 만들면 GPO가 OU에 자동으로 연결됩니다. 구현의 테스트 단계를 마친 후에 프로덕션 환경에서 이 스크립트를 사용할 수 있습니다.

• 프로덕션 환경에서 설계를 배포합니다. 프로덕션 환경에서 솔루션 구현 작업을 시작할 때는 먼저 적절한 OU 구조를 만들거나 기존의 OU 집합을 수정해야 합니다. 그런 다음 GPOAccelerator.wsf 스크립트를 사용하여 GPO를 만들고, 새로 만든 GPO를 사용자 환경의 적절한 OU에 연결합니다.

랩 환경에서 설계 테스트

이 가이드와 함께 제공되는 GPO는 철저한 테스트를 거친 것입니다. 그러나 사용자의 환경에서 직접 테스트하는 것이 중요합니다. 시간을 절약하기 위해 GPOAccelerator.wsf 스크립트를 사용하여 규범적 GPO를 만들고 샘플 OU 구조를 만들어 GPO를 OU에 자동으로 연결할 수도 있습니다.

작업 1: SSLF 환경 만들기

GPOAccelerator.wsf 스크립트는 Microsoft Windows Installer 파일(.msi)을 통해 생성되는 Windows Vista 보안 가이드\GPOAccelerator 도구 폴더에 있습니다.

참고 GPOAccelerator 도구 폴더와 하위 폴더는 다음 절차에서 설명하는 대로 실행할 스크립트의 로컬 컴퓨터에 있어야 합니다.

GPO를 만들어 랩 환경에서 적절한 OU에 연결하려면

1. GPO를 만들려는 Active Directory 사용 도메인에 가입되어 있고 Windows Vista가 실행되는 컴퓨터에 도메인 관리자로 로그온합니다.

2. 데스크톱에서 Windows Vista 시작 단추를 클릭하고 모든 프로그램, Windows Vista 보안 가이드를 차례로 클릭합니다.

3. GPOAccelerator 도구\보안 그룹 정책 개체 폴더를 엽니다.

4. Command-line Here.cmd 파일을 마우스 오른쪽 단추로 클릭한 후 Administrator로 실행을 클릭하여 도메인 관리자 권한을 모두 사용할 수 있는 명령 프롬프트를 엽니다.

   참고   로그온 자격 증명을 입력하라는 메시지가 나타나면 사용자 이름과 암호를 입력한 후 Enter 키를 누릅니다.

5. 명령 프롬프트에 cscript GPOAccelerator.wsf /SSLF /LAB을 입력한 후 Enter 키를 누릅니다.

6. Click Yes to continue, or No to exit the script(계속 진행하려면 [예]를, 스크립트를 끝내려면 [아니요]를 클릭하십시오) 메시지 상자에서 예를 클릭합니다.

   참고   이 단계를 마치는 데 수 분이 걸릴 수도 있습니다.

7. SSLF 랩 환경이 만들어졌습니다.메시지 상자에서 확인을 클릭합니다.

8. SSLF 도메인 GPO를 도메인에 연결하십시오. 메시지 상자에서 확인을 클릭한 후 다음 작업을 완료하여 VSG SSLF 도메인 정책을 연결합니다.

   참고   도메인 수준 그룹 정책에는 해당 도메인의 모든 컴퓨터와 사용자에게 적용되는 설정이 포함됩니다. 이 GPO는 모든 사용자와 컴퓨터에 적용되므로 도메인 GPO를 언제 연결할지 결정하는 것이 중요합니다. 따라서 GPOAccelerator.wsf 스크립트에서는 도메인 GPO를 도메인에 자동으로 연결하지 않습니다.

작업 2: GPMC를 사용하여 VSG SSLF 도메인 정책을 도메인에 연결

이제 도메인 GPO를 도메인에 연결할 준비가 되었습니다. 다음 지침에서는 Windows Vista가 실행되는 클라이언트 컴퓨터에서 GPMC를 사용하여 VSG SSLF 도메인 정책을 도메인에 연결하는 방법을 설명합니다.

VSG SSLF 도메인 정책 연결하기

1. Windows Vista 시작 단추를 클릭하고 모든 프로그램, 보조프로그램, 실행을 차례로 클릭합니다. 또는 Windows 로고 키와 R 키를 함께 누릅니다.

2. 열기 입력란에 gpmc.msc를 입력한 후 확인을 클릭합니다.

3. 도메인 트리 아래에서 도메인을 마우스 오른쪽 단추로 클릭한 후 기존 GPO 연결을 클릭합니다.

4. GPO 선택 대화 상자에서 VSG SSLF 도메인 정책 GPO를 클릭한 다음 예를 클릭합니다.

5. 세부 정보 창에서 VSG SSLF 도메인 정책을 선택하고 맨 위로 링크 이동 단추를 클릭합니다.

중요    VSG SSLF 도메인 정책의 링크 순서를 1로 설정하십시오. 이렇게 하지 않으면 도메인에 연결된 기본 도메인 정책 GPO 등의 다른 GPO가 Windows Vista 보안 가이드 설정을 덮어쓰게 됩니다.

작업 3: GPMC를 사용하여 결과 확인

GPMC를 사용하여 스크립트의 결과를 확인할 수 있습니다. 다음 절차에서는 GPOAccelerator.wsf 스크립트를 통해 자동으로 만든 GPO와 OU 구조를 Windows Vista가 실행되는 클라이언트 컴퓨터에서 GPMC를 사용하여 확인하는 방법을 설명합니다.

GPOAccelerator.wsf 스크립트의 결과를 확인하려면

1. Windows Vista 시작 단추를 클릭하고 모든 프로그램, 보조프로그램, 실행을 차례로 클릭합니다.

2. 열기 입력란에 gpmc.msc를 입력한 후 확인을 클릭합니다.

3. 적절한 포리스트를 클릭하고 도메인을 클릭한 후 해당 도메인을 클릭합니다.

4. Vista 보안 가이드 SSLF 클라이언트 OU를 클릭하여 확장한 후 그 아래 표시된 다섯 개의 OU 각각을 클릭하여 엽니다.

5. OU 구조 및 GPO 링크가 다음 그림과 일치하는지 확인합니다.

   

   그림 5.1 GPOAccelerator.wsf 스크립트를 통해 만든 OU 구조 및 GPO 링크의 GPMC 보기

GPOAccelerator.wsf 스크립트로 만드는 모든 GPO에는 이 가이드에 규정된 설정이 모두 적용되어 있습니다. 이제 Active Directory 사용자 및 컴퓨터 도구를 사용하여 사용자와 컴퓨터를 각각의 해당 OU로 이동시켜 설계를 테스트할 수 있습니다. 각 GPO에 포함된 설정에 대한 자세한 내용은 부록 A, "보안 그룹 정책 설정"을 참조하십시오.

프로덕션 환경에서 설계 배포

시간을 절약하기 위해 GPOAccelerator.wsf 스크립트를 사용하여 SSLF 환경에 필요한 GPO를 만들 수 있습니다. 그런 다음 기존 구조의 적절한 OU에 GPO를 연결할 수 있습니다. OU 수가 많은 더 큰 도메인의 경우에는 기존의 OU 구조를 사용하여 GPO를 어떻게 배포할지 고려해야 합니다.

OU 수가 많은 더 큰 도메인의 경우에는 기존의 OU 구조를 사용하여 GPO를 어떻게 배포할지 고려해야 합니다. 가능하면 컴퓨터 OU와 사용자 OU를 서로 구분하는 것이 좋습니다. 랩톱 및 데스크톱 컴퓨터는 각각 고유한 OU로 구성해야 합니다. 사용자의 환경에서 그와 같은 구조를 만들 수 없는 경우에는 GPO를 수정해야 할 수도 있습니다. GPO를 수정해야 하는지 여부를 확인하려면 부록 A, "보안 그룹 정책 설정"에 나와 있는 설정 참조를 사용하십시오.

참고   앞 섹션에서 설명하고 있듯이 GPOAccelerator.wsf 스크립트를 테스트 환경에서 /LAB 옵션과 함께 사용하여 예제 OU 구조를 만들 수 있습니다. 그러나 OU 구조에 융통성이 있는 환경에서는 프로덕션 환경의 옵션을 사용하여 기본 OU 구조를 만든 후 GPO를 자동으로 연결할 수도 있습니다. 그런 다음 사용자 환경의 요구 사항에 맞도록 OU 구조를 수동으로 수정할 수 있습니다.

작업 1: GPO 만들기

GPOAccelerator.wsf 스크립트를 사용하여 이 가이드에서 설명하는 SSLF GPO를 만듭니다. GPOAccelerator.wsf 스크립트는 Microsoft Windows Installer 파일(.msi)을 통해 자동으로 생성되는 Windows Vista 보안 가이드\GPOAccelerator 도구 폴더에 있습니다.

참고   GPOAccelerator 도구 디렉터리가 설치되어 있는 컴퓨터에서 스크립트를 실행하는 데 사용하려는 다른 컴퓨터로 이 디렉터리를 간단히 복사할 수도 있습니다. GPOAccelerator 도구 폴더와 하위 폴더는 다음 절차에서 설명하는 대로 실행할 스크립트의 로컬 컴퓨터에 있어야 합니다.

프로덕션 환경에서 GPO를 만들려면

1. GPO를 만들려는 Active Directory 사용 도메인에 가입되어 있고 Windows Vista가 실행되는 컴퓨터에 도메인 관리자로 로그온합니다.

2. 데스크톱에서 Windows Vista 시작 단추를 클릭하고 모든 프로그램, Windows Vista 보안 가이드를 차례로 클릭합니다.

3. GPOAccelerator 도구\보안 그룹 정책 개체 폴더를 엽니다.

4. Command-line Here.cmd 파일을 마우스 오른쪽 단추로 클릭한 후 Administrator로 실행을 클릭하여 도메인 관리자 권한을 모두 사용할 수 있는 명령 프롬프트를 엽니다.

   참고   로그온 자격 증명을 입력하라는 메시지가 나타나면 사용자 이름과 암호를 입력한 후 Enter 키를 누릅니다.

5. GPOAccelerator 도구\보안 그룹 정책 개체 폴더로 이동합니다.

6. 명령 프롬프트에 cscript GPOAccelerator.wsf /SSLF /LAB을 입력한 후 Enter 키를 누릅니다.

7. Click Yes to continue, or No to exit the script(계속 진행하려면 [예]를, 스크립트를 끝내려면 [아니요]를 클릭하십시오) 메시지 상자에서 예를 클릭합니다.

   참고   이 단계를 마치는 데 수 분이 걸릴 수도 있습니다.

8. SSLF GPO가 작성되었습니다. 메시지 상자에서 확인을 클릭합니다.

9. SSLF GPO를 적절한 OU에 연결하십시오 메시지 상자에서 확인을 클릭합니다.

작업 2: GPMC를 사용하여 결과 확인

GPMC를 사용하여 스크립트를 통해 모든 GPO가 성공적으로 작성되었는지 확인할 수 있습니다. 다음 절차에서는 GPOAccelerator.wsf 스크립트를 통해 자동으로 만든 GPO를 Windows Vista가 실행되는 클라이언트 컴퓨터에서 GPMC를 사용하여 확인하는 방법을 설명합니다.

GPOAccelerator.wsf 스크립트의 결과를 확인하려면

1. Windows Vista 시작 단추를 클릭하고 모든 프로그램, 보조프로그램, 실행을 차례로 클릭합니다.

2. 열기 입력란에 gpmc.msc를 입력한 후 확인을 클릭합니다.

3. 적절한 포리스트를 클릭하고 도메인을 클릭한 후 해당 도메인을 클릭합니다.

4. 그룹 정책 개체를 클릭하여 확장한 후 네 개의 VSG SSLF GPO가 다음 그림과 일치하는지 확인합니다.

   

   그림 5.2 GPOAccelerator.wsf 스크립트를 통해 만든 SSLF GPO의 GPMC 보기

이제 GPMC를 사용하여 각 GPO를 적절한 OU에 연결할 수 있습니다. 이 프로세스의 마지막 작업에서는 그 방법을 설명합니다.

작업 3: GPMC를 사용하여 OU에 GPO 연결

다음 절차에서는 Windows Vista가 실행되는 클라이언트 컴퓨터에서 GPMC를 사용하여 이 작업을 완료하는 방법을 설명합니다.

프로덕션 환경에서 GPO를 연결하려면

1. Windows Vista 시작 단추를 클릭하고 모든 프로그램, 보조프로그램, 실행을 차례로 클릭합니다.

2. 열기 입력란에 gpmc.msc를 입력한 후 확인을 클릭합니다.

3. 도메인 트리 아래에서 도메인을 마우스 오른쪽 단추로 클릭한 후 기존 GPO 연결을 클릭합니다.

4. GPO 선택 대화 상자에서 VSG SSLF 도메인 정책 GPO를 클릭한 다음 확인을 클릭합니다.

5. 세부 정보 창에서 VSG SSLF 도메인 정책을 선택하고 맨 위로 링크 이동 단추를 클릭합니다.

   중요    VSG SSLF 도메인 정책의 링크 순서를 1로 설정하십시오. 이렇게 하지 않으면 도메인에 연결된 기본 도메인 정책 GPO 등의 다른 GPO가 Windows Vista 보안 가이드 설정을 덮어쓰게 됩니다.

6. Windows Vista 사용자 OU 노드를 마우스 오른쪽 단추로 클릭한 다음 기존 GPO 연결을 클릭합니다.

7. GPO 선택 대화 상자에서 VSG SSLF 사용자 정책 GPO를 클릭한 다음 확인을 클릭합니다.

8. 데스크톱 OU 노드를 마우스 오른쪽 단추로 클릭한 다음 기존 GPO 연결을 클릭합니다.

9. GPO 선택 대화 상자에서 VSG SSLF 데스크톱 정책 GPO를 클릭한 다음 확인을 클릭합니다.

10. 랩톱 OU 노드를 마우스 오른쪽 단추로 클릭한 다음 기존 GPO 연결을 클릭합니다.

11. GPO 선택 대화 상자에서 VSG SSLF 랩톱 정책 GPO를 클릭한 다음 확인을 클릭합니다.

12. 앞서 만든 사용자 또는 컴퓨터 OU가 더 있으면 이들 각각에 대해 위 단계를 반복하여 이러한 추가 OU를 적절한 GPO에 연결합니다.

참고   그룹 정책 개체 노드 아래에서 OU로 GPO를 끌어다 놓을 수도 있습니다. 그러나 이 끌어서 놓기 작업은 동일한 도메인 내에서만 수행할 수 있습니다.

GPMC를 사용하여 GPO 연결을 확인하려면

• 그룹 정책 개체 노드를 확장하고 GPO를 선택한 후 세부 정보 창에서 범위 탭을 클릭하고 연결 사용 및 경로 열의 정보를 확인합니다.

• 또는 -

• OU를 선택한 후 세부 정보 창에서 연결된 그룹 정책 개체 탭을 클릭하고 연결 사용 및 GPO 열의 정보를 확인합니다.

참고   GPMC를 사용하여 GPO의 연결을 해제할 수 있고, 선택에 따라서는 GPO를 삭제할 수도 있습니다. 그런 다음 GPMC를 사용하거나 Active Directory 사용자 및 컴퓨터 콘솔을 사용하여 더 이상 필요하지 않은 OU를 모두 삭제할 수 있습니다. GPOAccelerator.wsf 스크립트로 수정한 모든 Active Directory 변경 사항을 완전히 실행 취소하려면 SSLF-VSGAuditPolicy.cmd 파일, SSLF-ApplyAuditPolicy.cmd 파일 및 SSLF-AuditPolicy.txt 파일을 도메인 컨트롤러 중 하나의 NETLOGON 공유 위치에서 수동으로 삭제해야 합니다. 이러한 파일에 대한 추가적인 상세 정보는 부록 A, "보안 그룹 정책 설정"의 감사 정책 섹션을 참조하십시오.

GPOAccelerator.wsf 스크립트로 만드는 모든 GPO에는 이 가이드에 규정된 설정이 모두 적용되어 있습니다. 이제 Active Directory 사용자 및 컴퓨터 도구를 사용하여 사용자와 컴퓨터를 각각의 해당 OU로 이동시켜 설계를 테스트할 수 있습니다. 각 GPO에 포함된 설정에 대한 자세한 내용은 부록 A, "보안 그룹 정책 설정"을 참조하십시오.

다른 도메인으로 GPO 마이그레이션(선택 사항)

이 솔루션의 GPO를 수정했거나 고유한 GPO를 만든 후 이를 여러 도메인에 걸쳐 사용하려면 GPO를 마이그레이션해야 합니다. 한 도메인에서 작동하는 GPO를 다른 도메인으로 마이그레이션하려면 몇 가지 사항을 계획해야 하지만 기본적인 절차는 비교적 단순합니다. 계획 프로세스를 진행할 때는 GPO의 두 가지 중요한 데이터 측면을 고려해야 합니다.

• 복잡한 데이터. GPO를 구성하는 데이터는 복잡하며 여러 위치에 저장되어 있습니다. GPO를 마이그레이션하는 데 GPMC를 사용하면 모든 관련 데이터를 제대로 마이그레이션할 수 있습니다.

• 도메인 전용 데이터. GPO의 데이터 중 일부는 특정 도메인에만 관련될 수 있으며 이를 다른 도메인으로 직접 복사하는 경우 데이터가 잘못될 수도 있습니다. 이 문제를 해결하기 위해 GPMC에서는 마이그레이션 프로세스의 일부로서 GPO의 도메인 전용 데이터를 새 값으로 업데이트하는 데 사용할 수 있는 마이그레이션 테이블을 제공합니다. 이 작업은 GPO에 SID(보안 식별자)가 포함되어 있거나 도메인 고유의 UNC(범용 명명 규칙) 경로가 포함되어 있는 경우에만 수행하면 됩니다.

GPO 마이그레이션에 대한 자세한 내용은 GPMC 도움말을 참조하십시오. "Migrating GPOs Across Domains with GPMC (영문)" 백서에서도 도메인 간에 GPO를 마이그레이션하는 데 대한 추가 정보를 제공합니다.

페이지 위쪽

GPOAccelerator 도구

이 가이드와 함께 제공되는 도구 및 템플릿에는 스크립트와 보안 템플릿이 포함되어 있습니다. 이 섹션에서는 이러한 리소스에 대한 배경 정보를 제공합니다. 이 보안 지침의 핵심 스크립트를 실행하는 주요 도구는 Windows Vista 보안 가이드\GPOAccelerator 도구\보안 그룹 정책 개체 폴더에 있는 GPOAccelerator.wsf입니다. 이 섹션에서는 GPMC를 수정하여 GPO 설정을 보는 방법을 비롯하여 이 가이드와 함께 제공되는 파일의 유형 및 하위 디렉터리 구조를 설명합니다. 이 가이드와 함께 제공되는 Windows Vista Security Guide Settings.xls 파일에서는 설정 값을 비교하는 데 사용할 수 있는 다른 리소스를 제공합니다.

GPMC 및 SCE 확장

이 가이드에서 제시하는 솔루션에 사용되는 GPO 설정은 SCE(보안 구성 편집기) 도구 또는 Windows Vista의 GPMC 관련 표준 UI(사용자 인터페이스)에 표시되지 않습니다. 이러한 설정의 이름 앞에는 모두 **MSS:**가 붙습니다. 이들 설정은 기존의 보안 지침을 마련하기 위해 Microsoft Solutions for Security 그룹에서 개발한 것입니다.

중요   SCE 확장과 GPOAccelerator.wsf 스크립트는 Windows Vista 기반 컴퓨터에서 실행할 목적으로 설계되었습니다. Windows XP 또는 Windows Server 2003을 사용하는 컴퓨터에서는 이러한 도구가 제대로 실행되지 않을 수 있습니다.

따라서 보안 설정을 보고 필요한 경우 이를 편집할 수 있도록 이들 도구를 확장해야 합니다. 이와 같은 도구 확장을 위해 GPOAccelerator.wsf 스크립트에서는 GPO를 만드는 동안 사용자의 컴퓨터를 자동으로 업데이트합니다. Windows Vista가 실행되는 다른 컴퓨터에서 Windows Vista 보안 가이드 GPO를 관리하려면 다음 절차에 따라 그 컴퓨터의 SCE를 업데이트해야 합니다.

MSS 설정이 표시되도록 SCE를 수정하려면

1. 다음과 같은 조건이 충족되는지 미리 확인합니다.

   • 사용 중인 컴퓨터는 GPO가 생성된 Active Directory를 사용하여 도메인에 가입된 컴퓨터입니다.

   • Windows Vista 보안 가이드 GPOAccelerator 도구 디렉터리가 설치되어 있어야 합니다.

   참고   GPOAccelerator 도구 디렉터리가 설치되어 있는 컴퓨터에서 스크립트를 실행하는 데 사용하려는 다른 컴퓨터로 이 디렉터리를 간단히 복사할 수도 있습니다. GPOAccelerator 도구 폴더와 하위 폴더는 이 절차에서 설명하는 대로 실행할 스크립트의 로컬 컴퓨터에 있어야 합니다.

2. 관리자로 컴퓨터에 로그온합니다.

3. 데스크톱에서 Windows Vista 시작 단추를 클릭하고 모든 프로그램, Windows Vista 보안 가이드를 차례로 클릭합니다.

4. GPOAccelerator 도구\보안 그룹 정책 개체 폴더를 엽니다.

5. Command-line Here.cmd 파일을 마우스 오른쪽 단추로 클릭한 후 Administrator로 실행을 클릭하여 관리자 권한을 모두 사용할 수 있는 명령 프롬프트를 엽니다.

   참고   로그온 자격 증명을 입력하라는 메시지가 나타나면 사용자 이름과 암호를 입력한 후 Enter 키를 누릅니다.

6. 명령 프롬프트에 cscript GPOAccelerator.wsf /ConfigSCE를 입력한 후 Enter 키를 누릅니다.

7. Click Yes to continue, or No to exit the script(계속 진행하려면 [예]를, 스크립트를 끝내려면 [아니요]를 클릭하십시오) 메시지 상자에서 예를 클릭합니다.

8. The Security Configuration Editor is updated(보안 구성 편집기가 업데이트되었습니다) 메시지 상자에서 확인을 클릭합니다.

중요   이 스크립트에서는 MSS 설정이 표시되도록 SCE를 수정하기만 하며 GPO 또는 OU를 만들지는 않습니다.

다음 절차에서는 추가 MSS 보안 설정을 제거한 후 SCE 도구를 Windows Vista의 기본 설정으로 되돌립니다.

SCE 도구를 Windows Vista의 기본 설정으로 되돌리려면

1. 관리자로 컴퓨터에 로그온합니다.

2. 데스크톱에서 Windows Vista 시작 단추를 클릭하고 모든 프로그램, Windows Vista 보안 가이드를 차례로 클릭합니다.

3. GPOAccelerator 도구\보안 그룹 정책 개체 폴더를 엽니다.

4. Command-line Here.cmd 파일을 마우스 오른쪽 단추로 클릭한 후 Administrator로 실행을 클릭하여 관리자 권한을 모두 사용할 수 있는 명령 프롬프트를 엽니다.

   참고   로그온 자격 증명을 입력하라는 메시지가 나타나면 사용자 이름과 암호를 입력한 후 Enter 키를 누릅니다.

5. 명령 프롬프트에 cscript GPOAccelerator.wsf /ResetSCE를 입력한 후 Enter 키를 누릅니다.

6. Click Yes to continue, or No to exit the script(계속 진행하려면 [예]를, 스크립트를 끝내려면 [아니요]를 클릭하십시오) 메시지 상자에서 예를 클릭합니다.

   참고   이 절차를 완료하면 컴퓨터에 있는 보안 구성 편집기가 Windows Vista의 기본 설정으로 되돌아갑니다. 기본 보안 구성 편집기에 추가했던 모든 설정이 제거됩니다. 이는 보안 구성 편집기를 사용하여 설정을 볼 수 있도록 하는 기능에만 영향을 줍니다. 앞서 구성했던 그룹 정책 설정은 그대로 유지됩니다.

7. The Security Configuration Editor is updated(보안 구성 편집기가 업데이트되었습니다) 메시지 상자에서 확인을 클릭합니다.

이전 보안 설정

이 가이드와 함께 제공되는 정책을 사용하거나 수정하는 대신 사용자가 직접 정책을 만들려는 경우 관련 보안 설정을 가져와 사용할 수 있도록 보안 템플릿이 제공됩니다. 보안 템플릿은 보안 설정 값을 포함하는 텍스트 파일이며 GPO의 하위 구성 요소입니다. MMC 그룹 정책 개체 편집기 스냅인에서 보안 템플릿에 포함된 정책 설정을 수정할 수 있습니다. 이전 버전의 Windows 운영 체제와 달리 Windows Vista에는 미리 정의된 보안 템플릿이 함께 제공되지 않습니다. 물론 필요한 경우 기존의 보안 템플릿을 계속 사용할 수는 있습니다.

보안 템플릿은 이 가이드와 함께 제공되는 Windows Installer 파일(.msi)에 포함되어 있습니다. GPOAccelerator 도구\보안 템플릿 폴더에는 EC 환경에 사용할 수 있는 다음과 같은 템플릿이 있습니다.

• VSG SSLF Desktop.inf

• VSG SSLF Domain.inf

• VSG SSLF Laptop.inf

중요   이 가이드에서 설명하는 솔루션을 배포하는 데는 보안 템플릿을 사용할 필요가 없습니다. 이 템플릿은 GPMC 기반 솔루션이 아닌 대체 솔루션을 제공하기 위한 것이며 Computer Configuration\Windows Settings\Security Settings 아래 표시되는 컴퓨터 보안 설정만을 처리합니다. 예를 들어, 보안 템플릿으로는 GPO의 Internet Explorer 또는 Windows 방화벽 설정을 관리할 수 없으며, 여기에는 사용자 설정도 포함되지 않습니다.

보안 템플릿 사용

보안 템플릿을 사용하려면 먼저 UI에 사용자 지정 MSS 보안 설정이 표시되도록 SCE를 확장해야 합니다. 자세한 내용은 이 장의 앞에 나와 있는 "GPMC 및 SCE 확장" 섹션의 절차를 참조하십시오. 템플릿을 볼 수 있으면 다음 절차를 사용하여 필요에 따라 이미 작성된 GPO로 템플릿을 가져올 수 있습니다.

보안 템플릿을 GPO로 가져오려면

1. 수정하려는 GPO에 대해 그룹 정책 개체 편집기를 엽니다. GPMC에서 이 편집기를 열려면 GPO를 마우스 오른쪽 단추로 클릭한 후 편집을 클릭합니다.

2. 그룹 정책 개체 편집기에서 Windows 설정 폴더를 찾습니다.

3. Windows 설정 폴더를 확장하고 보안 설정을 선택합니다.

4. 보안 설정 폴더를 마우스 오른쪽 단추로 클릭한 후 정책 가져오기를 클릭합니다.

5. Windows Vista 보안 가이드 폴더에서 보안 템플릿 폴더를 찾습니다.

6. 가져올 보안 템플릿을 선택한 후 열기를 클릭합니다.

   이 절차의 마지막 단계까지 수행하면 파일의 설정을 GPO로 가져올 수 있습니다.

이 가이드와 함께 제공되는 보안 템플릿을 사용하여 Windows Vista가 실행되는 독립 실행형 클라이언트 컴퓨터에서 로컬 보안 정책을 수정할 수도 있습니다. GPOAccelerator.wsf 스크립트를 사용하면 템플릿을 간단히 적용할 수 있습니다.

보안 템플릿을 적용하여 Windows Vista가 실행되는 독립 실행형 클라이언트 컴퓨터에서 로컬 그룹 정책을 만들려면

1. Windows Vista가 실행되는 컴퓨터에 관리자로 로그온합니다.

2. 데스크톱에서 Windows Vista 시작 단추를 클릭하고 모든 프로그램, Windows Vista 보안 가이드를 차례로 클릭합니다.

3. GPOAccelerator 도구\보안 그룹 정책 개체 폴더를 엽니다.

4. Command-line Here.cmd 파일을 마우스 오른쪽 단추로 클릭한 후 Administrator로 실행을 클릭하여 관리자 권한을 모두 사용할 수 있는 명령 프롬프트를 엽니다.

   참고   로그온 자격 증명을 입력하라는 메시지가 나타나면 사용자 이름과 암호를 입력한 후 Enter 키를 누릅니다.

5. 명령 프롬프트에서 cscript GPOAccelerator.wsf /SSLF /Desktop 또는 cscript GPOAccelerator.wsf /SSLF /Laptop을 입력하고 Enter 키를 누릅니다.

   이 절차를 완료하면 EC 환경에 대해 보안 템플릿의 값을 사용하여 로컬 보안 정책 설정이 수정됩니다.

로컬 그룹 정책을 Windows Vista의 기본 설정으로 되돌리려면

1. Windows Vista가 실행되는 클라이언트 컴퓨터에 관리자로 로그온합니다.

2. 바탕 화면에서 Windows Vista 시작 단추, 모든 프로그램, 보조 프로그램을 클릭하고 명령 프롬프트를 마우스 오른쪽 단추로 클릭한 다음 Administrator로 실행을 클릭합니다.

   참고   로그온 자격 증명을 입력하라는 메시지가 나타나면 사용자 이름과 암호를 입력한 후 Enter 키를 누릅니다.

3. GPOAccelerator 도구\보안 그룹 정책 개체 폴더로 이동합니다.

4. 명령 프롬프트에 cscript GPOAccelerator.wsf /Restore를 입력한 후 Enter 키를 누릅니다.

   이 절차를 완료하면 로컬 보안 정책 설정이 Windows Vista의 기본값으로 되돌아갑니다.

페이지 위쪽

추가 정보

다음 링크에서는 Windows Vista 보안 관련 항목에 대한 추가 정보를 제공합니다.

• Administering Group Policy with the GPMC (영문) (Microsoft.com)

• Enterprise Management with the Group Policy Management Console (Microsoft.com)

• Migrating GPOs Across Domains with GPMC (영문) (Microsoft.com)

• Step-by-Step Guide to Understanding the Group Policy Feature Set (영문) (Microsoft TechNet®)

• Step-by-Step Guide to Using the Delegation of Control Wizard (영문) (TechNet)

• Summary of New or Expanded Group Policy Settings (영문) (TechNet)

• Windows Vista 도움말 및 지원 (Microsoft.com)

• Windows Vista Security Advancements (영문) 백서 및 이 정보가 담긴 주문형 비디오 (Microsoft.com)

페이지 위쪽

다운로드

Windows Vista 보안 가이드 받기 (영문)

업데이트 알림

업데이트 및 최신 릴리스 정보 수신 등록 (영문)

사용자 의견

의견 및 제안 보내기

페이지 위쪽