IO 기능: 데스크톱, 장치 및 서버 관리 - 기초 -> 표준화
이 페이지의 내용
.gif){kind=icon}
소개
요구 사항: 데스크톱 및 랩톱에 자동화된 패치 배포
체크포인트: 데스크톱 및 랩톱에 자동화된 패치 배포
요구 사항: 데스크톱 및 랩톱에 대해 정의된 표준 이미지
체크포인트: 데스크톱 및 랩톱에 대해 정의된 표준 이미지
요구 사항: 모바일 장치의 중앙 집중식 관리
체크포인트: 모바일 장치의 중앙 집중식 관리
요구 사항: 모바일 장치의 ID 유효성 검사, 데이터 보호 및 데이터 백업
체크포인트: 모바일 장치의 ID 유효성 검사, 데이터 보호 및 데이터 백업 체크포인트
요구 사항: 2개의 운영 체제 버전으로 데스크톱 이미지 통합
체크포인트: 2개의 운영 체제 버전으로 데스크톱 이미지 통합
소개
데스크톱, 장치 및 서버 관리가 두 번째 핵심 인프라 최적화 기능입니다. 다음 표에는 데스크톱, 장치 및 서버 관리의 표준화 수준으로 이동함에 따른 상위 과제, 해당 솔루션 및 이점이 나열되어 있습니다.
과제 |
솔루션 |
이점 |
|---|---|---|
업무상 과제 모바일 장치의 중요 데이터에 대한 무단 액세스의 위험이 있음 조직 또는 구성 단위에서 모바일 정책을 정의할 수 없음 장치 설정 관련 정책의 일관성이 결여됨 장치 정책을 관리 또는 실행하기 위한 기업 표준이 갖추어져 있지 않음 IT 과제 하드웨어, 운영 체제 및 응용 프로그램을 위한 표준이 없음 데스크톱 컴퓨터가 중앙에서 관리되지 않아 작업량이 늘고 소프트웨어 배포 비용이 증가함 일관성 없는 패치 관리로 인해 보안이 더욱 취약해짐 IT 문제 해결이 사후 대처에 집중되어 있어 예상치 못한 문제 해결에 리소스를 낭비하게 됨 분실한 모바일 장치에서 데이터를 원격으로 제거할 수 없음 |
프로젝트 자동화된 중앙 집중식 패치 관리 솔루션 배포 이미지 기반의 표준화된 최소 접촉 배포 솔루션 구현 중요 서버 모니터링을 위한 관리 솔루션 구현 보안 정책 공급, 원격 제거 및 정책 실행을 비롯한 모바일 장치 공급 솔루션 구현 |
업무상 이점 직원이 이동 중에도 모바일 장치를 사용하여 회사 네트워크에 직접 연결할 수 있음 시스템 관리 도구를 사용하면 PC당 관리 비용을 절감할 수 있음 IT 이점 모니터링 서비스를 사용하여 식별 문제를 단순화하고 문제 원인을 신속하게 판단하고 서비스를 효율적으로 복원함으로써 잠재적 IT 문제를 방지할 수 있음 PC에 대한 배포 작업을 보다 신속하고 비용 효율적으로 수행할 수 있음 지원 센터 유지 비용 및 운영 비용을 절감할 수 있음 관리자는 회사 보안 정책에 기반하여 데이터 보호 및 규정 준수를 실행하고 암호 정책을 설정할 뿐 아니라 장치에서 데이터를 원격으로 제거할 수 있음 |
인프라 최적화 모델의 표준화 수준에서는 다음과 같은 주요 관리 영역을 다룹니다.
데스크톱 및 랩톱에 자동화된 패치 배포
데스크톱 및 랩톱에 대해 정의된 표준 이미지
2개의 운영 체제 버전으로 데스크톱 이미지 통합
모바일 장치의 중앙 집중식 관리
모바일 장치의 ID 유효성 검사, 데이터 보호 및 데이터 백업
표준화 수준의 최적화를 달성하려면 패치 배포를 자동화하고, 표준 데스크톱 이미지를 관리 및 통합하고, 연결된 모바일 장치를 중앙에서 관리하기 위한 절차와 도구가 조직에 마련되어 있어야 합니다.
요구 사항: 데스크톱 및 랩톱에 자동화된 패치 배포
대상
데스크톱 및 랩톱의 80% 이상에 자동화된 패치 배포 프로세스가 적용되어 있지 않으면 이 절을 읽어야 합니다.
개요
오늘날 IT 전문가들은 효과적인 소프트웨어 업데이트 관리 전략을 구현하는 데 있어 수많은 과제에 직면하고 있습니다. 회사 네트워크에 액세스하는 장치 사용자 및 모바일 사용자 수가 증가되고 소프트웨어 및 하드웨어 보안 업데이트가 공급업체로부터 꾸준히 출시되고 있으며 시스템 및 응용 프로그램 설치가 확대되고 있기 때문입니다. 또한 신종 보안 위협이 매일같이 출현하며 해킹 방법은 훨씬 정교해지고 있습니다.
1단계: 평가
평가 단계는 패치 관리 프로세스의 첫 번째 주요 단계입니다. 프로세스는 업무 환경에 사용하고 있는 시스템 및 프로그램, 예상되는 보안 위협과 취약점, 새로운 운영 체제나 응용 프로그램 소프트웨어에 대한 대처 능력 등을 판단하기 위해 평가로부터 시작합니다.
이 프로세스는 보유하고 있는 컴퓨팅 자산 및 이의 보호 방법, 소프트웨어 배포 아키텍처에서의 패치 관리 지원 여부 확인 등을 항상 파악하기 위하여 지속적으로 수행되는 프로세스입니다.
평가 프로세스의 주요 평가 내용은 다음과 같습니다.
기존 컴퓨터 자산을 목록화하거나 발견합니다.
보안 위협 및 보안 문제를 평가합니다.
가장 좋은 소프트웨어 업데이트 정보 출처를 결정합니다.
표준 응용 프로그램 버전 유지 관리를 위한 소프트웨어 버전 컨트롤을 실시합니다.
기존 소프트웨어 배포 인프라를 평가합니다.
운영 효과를 평가합니다.
Microsoft에서는 패치 관리의 평가 단계에 도움이 되는 여러 가지 도구, 유틸리티 및 제품을 제공합니다. 다음이 포함됩니다.
이 도구들에 대한 비교 내용은 이 절의 끝에 설명되어 있습니다. Microsoft 파트너 및 타사에서도 평가 단계에 사용할 수 있는 제품과 도구를 제공합니다.
2단계: 식별
식별 단계의 목표는 다음과 같습니다.
신뢰할 수 있는 방법으로 새 소프트웨어 업데이트를 발견합니다.
소프트웨어 업데이트가 프로덕션 환경과 관련성이 있는지 여부를 결정합니다.
소프트웨어 업데이트 원본 파일을 얻고 이 파일이 안전하며 제대로 설치되는지 확인합니다.
소프트웨어 업데이트의 긴급 여부를 결정합니다.
새 소프트웨어 업데이트 발견은 알림에서 시작합니다. 알림은 검사 및 보고 기능을 제공하는 신뢰할 수 있는 출처에 가입하거나 신뢰할 수 있는 다른 알림 방법을 통해 제공받을 수 있습니다. 다음은 가장 일반적으로 사용되는 알림 메커니즘입니다.
전자 메일 알림: https://www.microsoft.com/technet/security/bulletin/notify.mspx
Windows Server Update Service(WSUS) 콘솔 도구 모음에서 업데이트 보기
SMS 2003 Inventory Tool for Microsoft Updates(ITMU): https://www.microsoft.com/technet/downloads/sms/2003/tools/msupdates.mspx
누락된 업데이트를 검색하는 취약점 검색 도구(예: MBSA)
다음 선별 방법을 사용하여 소프트웨어 업데이트를 IT 인프라에 적용할 수 있는지 여부를 결정할 수 있습니다.
보안 공지 및 기술 자료 문서 읽기
개별 소프트웨어 업데이트 검토
업데이트를 확보한 후에는 다음 작업을 통해 해당 업데이트를 확인해야 합니다.
소프트웨어 업데이트 담당자 식별 및 확인
함께 제공되는 모든 설명서 검토
소프트웨어 업데이트의 보안 여부 확인
3단계: 평가 및 계획
평가 및 계획 단계의 목표는 소프트웨어 업데이트의 배포 여부를 결정하고, 업데이트 배포에 필요한 리소스를 확인하고, 업무 유사 환경에서 소프트웨어 업데이트를 테스트하여 업무상 중요한 시스템과 응용 프로그램에 영향을 주지 않는지 확인하는 것입니다.
평가 및 계획에 필요한 주요 요구 사항은 다음과 같습니다.
적절한 대응을 결정합니다.
소프트웨어 업데이트의 릴리스를 계획합니다.
릴리스를 만듭니다.
릴리스 수락 테스트를 수행합니다.
사용 가능한 업데이트에 대한 적절한 대응을 결정하려면 다음 작업을 수행해야 합니다.
요청의 우선 순위를 지정하고 분류합니다.
소프트웨어 업데이트 배포를 위한 권한을 부여 받습니다.
릴리스 계획은 업무 환경에 소프트웨어 업데이트를 릴리스하는 방법을 계획하는 작업 과정입니다. 새 소프트웨어 업데이트의 릴리스 계획에 있어 주요 고려 사항은 다음과 같습니다.
패치할 영역을 결정합니다.
주요 문제 및 제약 사항을 확인합니다.
릴리스 계획을 작성합니다.
릴리스를 작성하려면 관리자가 업무 환경에 소프트웨어 업데이트를 배포하는 데 사용할 스크립트, 도구 및 절차를 계획해야 합니다.
소프트웨어 업데이트의 중요도에 관계 없이 테스트를 수행해야 하며 결과는 다음과 같아야 합니다.
소프트웨어 업데이트 설치를 완료한 후에 컴퓨터를 문제 없이 재시작하고 작동할 수 있어야 합니다.
소프트웨어 업데이트 대상이 불안정하고 느린 네트워크로 연결된 컴퓨터인 경우에도 소프트웨어 업데이트의 다운로드와 설치가 이러한 연결을 통해 성공적으로 완료되어야 합니다.
소프트웨어 업데이트가 제거 루틴과 함께 제공되어 소프트웨어 업데이트를 성공적으로 제거할 수 있어야 합니다.
소프트웨어 업데이트 설치를 완료하고 재시작한 후에 필요에 따라 업무상 중요한 시스템 및 서비스가 계속 실행되어야 합니다.
최적의 방법은 업무 환경에 적용하기 전 테스트 및 유효성 검사 인프라에서 소프트웨어 업데이트를 테스트하는 것입니다. 테스트 및 에뮬레이션 환경을 구축하는 데 필요한 지침은 배포 및 테스트용 Windows Server System Reference Architecture 가상 환경에 제공되어 있습니다.
Microsoft Virtual Server 2005 R2 및 Microsoft Virtual PC 2004 SP1은 무료로 다운로드할 수 있으며 테스트 및 유효성 검사 인프라의 일부로 사용할 수 있습니다.
4단계: 배포
배포 단계의 목표는 승인된 소프트웨어 업데이트를 업무 환경으로 롤아웃하여 배포 서비스 수준 계약(SLA)의 모든 요구 사항을 만족시키는 것입니다.
소프트웨어 업데이트 배포는 다음 작업으로 구성되어야 합니다.
배포 준비
클라이언트 컴퓨터에 소프트웨어 업데이트 배포
사후 배포 검토
각 새 릴리스에 대한 업무 환경을 준비해야 합니다. 소프트웨어 업데이트 배포를 준비하는 데 수행할 단계는 다음을 포함해야 합니다.
조직에서 롤아웃 일정을 협의합니다.
배포 지점에 업데이트를 올립니다.
소프트웨어 업데이트를 업무 환경에 배포하는 데 수행할 단계는 다음을 포함해야 합니다.
클라이언트 컴퓨터에 소프트웨어 업데이트를 알립니다.
배포 과정을 모니터링하고 보고합니다.
실패한 배포를 처리합니다.
사후 구현 검토는 패치 관리 프로세스가 개선되었는지 확인하는 작업으로 일반적으로 릴리스 배포 이후 1주부터 4주 이내에 수행되어야 합니다. 일반적인 검토 사항은 다음과 같습니다.
해당 취약점을 취약점 검사 보고서 및 보안 정책 표준에 추가하여 문제가 반복되지 않도록 합니다.
빌드 이미지가 배포 이후 최신 소프트웨어 업데이트를 포함하도록 업데이트되었는지 확인합니다.
실제 결과와 예상했던 결과를 비교 논의합니다.
릴리스와 관련된 위험에 대해 토론합니다.
해당 문제 전반에 걸쳐 조직의 성과를 검토합니다. 이 기회를 이용하여 배운 교훈을 모두 포함하도록 대응 계획을 개선합니다.
서비스 창의 변화에 대해 토론합니다.
운영
패치 관리 프로세스의 주기는 지속적으로 반복됩니다. 운영 단계에서는 인프라 최적화 모델의 패치 관리를 수행하지 않지만 조직의 요구 및 보안 목표에 가장 적합한 패치 횟수를 정의해야 합니다. 조직에서는 출시된 패치의 중요 특성을 파악하기 위한 시스템 및 각 패치 버전에 대한 서비스 수준을 정의해야 합니다.
사용 가능한 도구
여러 가지 도구 및 제품을 통해 소프트웨어 업데이트 전송 및 설치를 자동화할 수 있습니다. 최적의 패치 방법에 정의된 바와 같이 관리되는 컴퓨터에 설치할 패치 종류는 수동으로 제어해야 합니다. 확인하지 않은 상태에서 자동 업데이트나 Microsoft Update를 실행하는 것은 최적의 조직 패치 관리 방법에 어긋나지만 담당 IT 직원 수가 제한적이거나 원격 관리를 수행해야 하는 경우와 같은 일부 제한적인 상황에서는 이러한 기술을 사용할 수 있습니다.
소프트웨어 업데이트 관리에 권장되는 옵션은 Systems Management Server 2003(SMS 2003) 및 Windows Server Update Services(WSUS)입니다. 이러한 옵션 외에도 수많은 Microsoft 파트너 및 타사에서 패치 관리에 도움이 되는 옵션을 구할 수 있습니다.
다음 표에는 소프트웨어 업데이트 설치를 수행하는 데 사용할 수 있는 Microsoft 소프트웨어 도구가 나열되어 있습니다.
기능 |
|||
|---|---|---|---|
지원되는 콘텐츠 형식 |
모든 소프트웨어 업데이트, 드라이버 업데이트, 서비스 팩(SP) 및 기능 팩(FP) |
MU와 동일(중요 드라이버 업데이트만 포함) |
모든 업데이트, SP 및 FP, 모든 Windows 기반 소프트웨어용 지원 업데이트 및 응용 프로그램 설치 |
적용 대상 |
개별 사용자 |
중소기업 |
기업 고객 |
패치 프로세스의 도구 적용 범위
다음 표에는 패치 프로세스의 기본 도구 관련 기능이 나열되어 있습니다.
제품 또는 도구 |
하드웨어 및 소프트웨어 인벤토리 |
업데이트 대상 검사 |
새 업데이트 식별 |
관리 컨트롤 설치 |
배포 자동화 |
|---|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
.gif)
이 표에 포함된 응용 프로그램 호환성 도구 키트(ACT)에는 클라이언트 컴퓨터의 하드웨어 사양 및 응용 프로그램 인벤토리를 확인하는 기능이 포함되어 있습니다. 또한 업데이트가 응용 프로그램에 미치는 영향을 분석하고 보고하는 기능도 제공합니다.
필요한 모든 소프트웨어 업데이트 및 서비스 팩의 설치는 표준 구성 관리의 주요 단계입니다. 이 표에 포함된 Systems Management Server 2003 Desired Configuration Monitoring(DCM)에는 알려진 구성 상태의 호환성을 모니터링하고 요청한 업데이트나 서비스 팩이 관리되는 컴퓨터에 없을 경우 관리자에게 알리는 기능이 포함되어 있습니다.
향후 인프라 최적화 구현자 리소스 가이드 시리즈의 패치 관리 지침에서 서버 및 모바일 장치를 위한 업데이트 관리 도구 및 절차를 소개할 예정입니다.
추가 정보
패치 관리에 대한 자세한 내용을 보려면 Microsoft TechNet을 방문하여 "Patch Management"를 검색하거나 TechNet Update Management Solution Center를 방문하십시오.
Microsoft의 패치 관리 지원에 대한 자세한 내용을 보려면 https://www.microsoft.com/technet/itshowcase/content/dtpatchmgmt.mspx를 방문하십시오.
체크포인트: 데스크톱 및 랩톱에 자동화된 패치 배포
|
요구 사항 |
|---|---|
|
하드웨어와 소프트웨어 자산의 인벤토리를 조사하기 위한 프로세스와 도구를 구현했습니다. |
|
소프트웨어 업데이트를 위해 클라이언트 컴퓨터 검사에 사용할 프로세스와 도구를 구현했습니다. |
|
사용 가능한 패치를 자동으로 확인하는 프로세스를 수립했습니다. |
|
모든 패치의 표준 테스트를 수립했습니다. |
|
패치 배포 소프트웨어를 구현했습니다. |
위에서 설명한 단계를 완료했다면 인프라 최적화 모델에서 자동화된 패치 배포에 대한 표준화 수준의 최소 요구 사항을 충족한 것입니다. 클라이언트 패치 수준을 알려진 표준 상태로 유지 관리하려면 구성 모니터링 및 관리에 대한 추가 최적의 방법을 따르도록 권장합니다.
다음 자체 평가 질문으로 이동하십시오.
요구 사항: 데스크톱 및 랩톱에 대해 정의된 표준 이미지
대상
데스크톱의 80% 이상에 정의된 기본 이미지 집합을 사용하지 않고 있으면 이 절을 읽어야 합니다.
개요
운영 체제를 성공적으로 배포하려면 사용 가능한 최상의 기술과 비즈니스 프로세스 및 이러한 기술을 최적화할 수 있는 최상의 방법을 사용해야 합니다. 컴퓨팅 환경에 대한 기준을 설정함으로써 배포에 대해 알려진 구성을 정의할 수 있으며, 이를 통해 지원, 문제 해결 및 기타 운영상의 비용을 절감할 수 있습니다. 이미징 작업을 통해 핵심 응용 프로그램, 운영 체제 및 조직의 모든 추가 요구 사항이 포함된 표준 빌드를 워크스테이션 배포에 사용할 수 있습니다. 이 문서에서는 사용 가능한 도구 및 표준 데스크톱 이미지를 자동화하고 구성하기 위해 수행해야 하는 단계에 대해 설명합니다. 표준 이미지 배포에 대한 내용은 향후 문서에서 다룰 예정입니다.
1단계: 평가
IT 구현자 대부분의 공통 목표는 조직 내 각 운영 체제 버전별 공통 이미지를 기반으로 회사 표준의 데스크톱 구성을 구축하는 것입니다. IT 구현자들은 시간과 장소에 관계 없이 모든 컴퓨터에 공통 이미지를 적용한 후 사용자에게 적합한 서비스를 제공하기 위해 해당 이미지를 신속하게 사용자 지정하기를 원합니다.
실제로 대부분의 조직에서는 많은 종류의 이미지(100여가지의 이미지를 보유하는 경우도 있음)를 작성하여 관리하고 있습니다. 일부 조직에서는 기술 및 지원 절충, 하드웨어의 계획적 구매 및 고급 스크립트 기술 사용으로 관리하는 이미지의 수를 줄여왔습니다. 이러한 조직은 최초 사용 전 흔히 발생하는 응용 프로그램 배포에 필요한 정교한 소프트웨어 배포 인프라를 구축하여 이를 최신 상태로 유지하는 경향이 있습니다.
평가 단계에서는 워크스테이션의 인벤토리를 조사하고 사용자 환경에서 실행 중인 운영 체제 및 응용 프로그램의 수를 확인하는 것이 중요합니다. 인벤토리 프로세스를 자동화할 수 있는 Systems Management Server(SMS) 2003, 응용 프로그램 호환성 도구 키트(ACT) 또는 Windows Vista 하드웨어 평가와 같은 도구를 사용할 것을 권장합니다.
2단계: 식별
이 단계에서는 조직에서 사용하고 있는 모든 디스크 이미징 기술 및 표준 이미지를 나열하고 구현할 이미징 방향, 도구 및 기술을 파악해야 합니다. 데스크톱 이미징 기술이 업그레이드됨에 따라 기존의 이미징 도구 및 방법의 업데이트를 고려하도록 권장됩니다.
데스크톱 이미지를 캡처하는 데 많은 도구를 사용할 수 있습니다. 이미징 기술은 섹터 기반일 경우 일반적으로 대상 컴퓨터에 적용될 때 소거되며, 파일 기반일 경우에는 소거되지 않습니다. 파일 기반의 이미지 기술을 사용하면 배포 대상 PC에서 별도의 파티션에 새 이미지를 설치할 수 있으며, 이를 통해 고급 대체 마이그레이션 시나리오를 사용할 수 있습니다.
Microsoft에서는 디스크 이미징 작업을 수행할 수 있도록 명령줄 도구를 무료로 제공합니다. ImageX라고 하는 이미징 유틸리티는 WIM(Microsoft Windows Imaging Format) 이미지 형식을 사용합니다. WIM 이미지 형식은 섹터 기반의 이미지 형식이 아닌 파일 기반의 형식으로 이미지가 소거되지 않습니다. 또한 SMS 2003 Operating System Deployment Feature Pack도 ImageX 기술 및 WIM 파일 형식을 활용하여 데스크톱 이미지를 생성 및 배포합니다.
Solution Accelerator for Business Desktop Deployment(BDD) 2007에는 데스크톱 이미지를 정의 및 배포하는 데 필요한 여러 단계를 통합할 수 있는 추가 도구가 포함되어 있습니다. BDD 2007에 포함된 도구인 Deployment Workbench는 배포 공유 생성 및 디스크 이미지 개발에 사용됩니다. BDD 2007 및 Deployment Workbench에 대한 자세한 내용은 향후 구현자 리소스 가이드의 자동화된 배포 항목에서 다룰 예정입니다.
3단계: 평가 및 계획
평가 및 계획 단계에서는 조직에서 표준화된 데스크톱 이미징 전략을 구현하는 데 사용할 수 있는 접근 방법에 대해 설명합니다. 각 이미지 기술 및 이미지 형식의 비용 및 이점을 비교 평가하여 조직의 요구에 가장 적합한 전략을 개발해야 합니다. 디스크 이미지 구축, 관리 및 배포와 관련된 비용에 영향을 미치는 요소로는 개발 비용, 테스트 비용, 저장 비용 및 네트워크 비용이 있습니다.
이미지 파일의 크기가 증가하면 비용도 증가합니다. 이미지 파일 크기가 크면 관련 업데이트, 테스트, 배포, 네트워크 및 저장 비용이 많이 듭니다. 이미지의 극히 일부만 업데이트하는 경우에도 이미지 관리자는 클라이언트 컴퓨터에 전체 파일을 배포해야 합니다.
표준 이미지에 대한 세 가지 기본 전략은 다음과 같습니다.
복합형 이미지
단순형 이미지
혼합형 이미지
복합형 이미지
복합형 이미지에는 운영 체제, 응용 프로그램 및 타 회사의 표준 파일이 포함됩니다. 복합형 이미지의 장점은 간편함입니다. 모든 파일이 한번에 배포되므로 배포 작업이 한 단계로 구성됩니다. 또한 첫 실행 시 응용 프로그램이 설치됩니다. 이 형식의 단점은 유지 관리, 저장 및 네트워크 비용이 많이 든다는 점입니다. 또한 복합형 이미지에서는 유연성이 제한됩니다. 필요 여부에 관계 없이 모든 컴퓨터에 모든 응용 프로그램을 배포하거나 많은 수의 다양한 복합형 이미지를 개발하고 유지 관리해야 하는 한계가 있습니다. 복합형 이미지 사용은 기존에 사용되어 온 일반적인 접근 방법입니다.
단순형 이미지
단순형 이미지에는 응용 프로그램이 거의 포함되지 않습니다. 단순형 이미지의 장점에는 여러 가지가 있습니다. 구축, 유지 관리, 테스트 비용 및 네트워크, 저장 비용이 절감되고 유연성을 보다 많이 확보할 수 있습니다. 그러나 유연성으로 인해 배포 및 네트워킹 비용이 증가합니다.
혼합형 이미지
혼합형 이미지는 복합형 이미지와 단순형 이미지의 조합입니다. 혼합형 이미지에서 디스크 이미지는 첫 실행 시 응용 프로그램을 설치하도록 구성되어 복합형 이미지와 동일해 보이지만 실상은 네트워크 소스로부터 응용 프로그램을 설치하게 됩니다. 혼합형 이미지는 단순형 이미지의 장점 대부분을 가지고 있지만 개발이 복잡하지 않으며 소프트웨어 배포 인프라가 필요 없습니다. 그러나 설치 시간이 길며 이로 인해 초기 배포 비용이 증가될 수 있습니다.
이러한 단점을 보완하기 위하여 테스트된 단순형 이미지로 시작하여 그 위에 복합형 이미지를 구축할 수도 있습니다. 이미징 프로세스는 근본적으로 정규 배포와 동일하므로 복합형 이미지 테스트가 최소화됩니다.
다른 대안으로는 단순형 이미지에 최소한의 핵심 응용 프로그램을 추가하는 방법이 있습니다. 이 응용 프로그램에는 회사 내 모든 컴퓨터에 필요한 안티바이러스 소프트웨어 및 업무용(LOB) 응용 프로그램이 포함될 수 있습니다.
개발
데스크톱 이미지 개발을 위한 권장 지침은 Solution Accelerator for Business Desktop Deployment(BDD) 2007 및 컴퓨터 이미징 시스템 기능 팀 가이드에서 참조하십시오. BDD 2007에서는 Microsoft에서 제공하는 이미징 기술과 함께 이 기술을 사용하여 Windows XP SP2 및 Windows Vista™ 데스크톱 운영 체제용 디스크 이미지를 사용자 지정, 구축, 캡처 및 배포하는 방법에 대해 설명합니다.
테스트 계획
개발 단계의 중요한 과정으로 테스트 계획의 수립이 있습니다. 디스크 이미지가 작동해야 하는 모든 구성 시나리오를 결정해야 합니다. 이 구성에는 클라이언트 시스템이 지원하는 하드웨어 및 비즈니스 프로세스가 모두 포함됩니다. 테스트 도중 발생하는 모든 문제를 해결하기 위해서는 버그 보고 및 추적 메커니즘을 사용해야 합니다.
안정화
개발 단계에서 수립한 이미지 및 배포 프로세스는 배포를 수행하기 전에 테스트 및 안정화 과정을 완전히 거쳐야 합니다. 계획 단계에서 수립한 테스트 계획을 성실히 따라야 합니다. 발생하는 모든 문제는 버그 보고 시스템을 통해 기록 및 추적되어야 합니다. 모든 버그를 해결한 후에 최종 이미지를 클라이언트 컴퓨터에 배포할 수 있습니다.
4단계: 배포
이미징 배포 단계는 BDD 2007의 배포 기능 팀 가이드에도 설명되어 있습니다. 인프라 최적화의 표준화 수준에서는 표준 디스크 이미지의 LTI(Lite Touch Installation)를 활용할 것을 권장합니다.
BDD 2007 LTI는 최소 규모의 인프라를 필요로 합니다. 네트워크에 있는 공유 폴더 또는 CD, DVD, USB 하드 드라이브 또는 기타 장치와 같은 이동식 저장소를 사용하여 네트워크 또는 로컬로 대상 운영 체제를 배포할 수 있습니다. 일반적으로 각 개별 컴퓨터의 구성은 배포 프로세스 도중 수동으로 설정합니다. 자세한 내용은 BDD 2007 배포 기능 팀 가이드를 참조하십시오.
운영
최종 이미지에 대한 유지 관리 작업은 지속적으로 수행해야 하는 프로세스입니다. 운영 체제, 장치 드라이버 및 응용 프로그램에 대한 업데이트를 조직에 적용할 수 있는지 여부를 분석해야 합니다. 분석 결과에 따라 해당 업데이트를 기존 이미지에 통합하거나 완전히 새로운 이미지를 구축해야 합니다. 최종 이미지를 클라이언트 컴퓨터에 배포하기 전에 테스트 및 검증을 거쳐야 합니다.
사용 가능한 도구
Microsoft 기술
제품, 도구 또는 유틸리티 |
용도 |
|---|---|
전반적인 이미지 생성, 캡처 및 배포를 위한 방법 및 도구입니다. Deployment Workbench를 사용하면 이 표에 나열된 많은 도구 및 유틸리티를 통합할 수 있습니다. |
|
Windows AIK는 최신 Windows 릴리스를 지원하는 배포 도구 집합으로 Windows 배포를 위한 방법, 도구 및 요구 사항이 포함되어 있습니다. |
|
Windows AIK의 구성 요소입니다. Windows PE는 운영 체제에서 설치, 문제 해결 및 복구 기능을 제공하는 Microsoft의 부팅 가능한 도구입니다. |
|
Windows 시스템 이미지 관리자(Windows SIM) |
Windows AIK의 구성 요소입니다. Windows SIM에서는 응답 파일(Unattend.xml)을 생성할 수 있으며 구성 집합에 포함된 파일을 수정하거나 네트워크 공유할 수 있습니다. |
Windows AIK의 구성 요소입니다. Sysprep는 이미지를 생성하고 클라이언트 컴퓨터로 배포할 수 있도록 준비하는 기능을 제공합니다. |
|
Windows AIK의 구성 요소입니다. 배포용 설치 이미지를 캡처, 수정 및 적용하는 명령줄 도구입니다. |
|
Windows 이미지 |
디스크 볼륨에 Windows 설치를 복제하는 파일 및 폴더의 컬렉션이 포함된 단일 압축 파일입니다. Windows 이미지는 WIM 파일로 생성되며 ImageX나 Systems Management Server 2003 Operating System Deployment Feature Pack을 사용하여 만들 수 있습니다. |
기타 사용 가능한 제품
제품 |
공급업체 |
|---|---|
Ghost |
|
PowerQuest |
체크포인트: 데스크톱 및 랩톱에 대해 정의된 표준 이미지
|
요구 사항 |
|---|---|
|
도구를 사용하여 표준 이미지를 캡처했습니다. |
|
표준 이미지 전략을 정의했습니다. |
|
모든 하드웨어 종류에 대해 디스크 이미지(OS 및 응용 프로그램)의 표준 집합을 정의했습니다. |
|
네트워크 기반 또는 오프라인 이미지 설치용 배포 도구를 설정했습니다. |
위에서 설명한 단계를 완료했다면 인프라 최적화 모델에서 데스크톱, 장치 및 서버 관리 기능 중 데스크톱 및 랩톱에 대해 정의된 표준 이미지에 대한 표준화 수준의 최소 요구 사항을 충족한 것입니다. BDD 2007의 컴퓨터 이미징 시스템 기능 팀 가이드에 설명된 이미지 관리에 대한 추가 최적의 방법을 따르도록 권장합니다.
다음 자체 평가 질문으로 이동하십시오.
요구 사항: 모바일 장치의 중앙 집중식 관리
대상
모바일 장치를 추적, 관리 및 업그레이드하기 위한 중앙 집중식 솔루션이 마련되어 있지 않으면 이 절을 읽어야 합니다.
개요
전세계적으로 기업들은 업무 주기를 가속화하고, 생산성을 증대하고, 운영 비용을 줄이며, 인프라를 확장시키기 위해 모바일 장치를 사용합니다. 모바일 장치에 대한 의존도가 높아지면서 직원들에게 안전한 액세스 설정 환경과 기존 인프라를 활용한 새로운 업무 기능을 제공할 수 있도록 관리자가 모바일 환경을 제대로 이해하는 것이 중요해졌습니다.
모바일 장치 관리는 상대적으로 새로운 개념이기 때문에 Microsoft 및 파트너가 제공할 수 있는 클라이언트와 서버 장치에 대한 관리 도구가 제한적입니다.
1단계: 평가
평가 단계에서는 인프라에 연결된 모바일 장치의 인벤토리를 조사하고 현재 모바일 장치가 사용되고 있는 방식을 파악하는 것이 중요합니다. 조직에서는 여러 영역에서 사용되는 모바일 장치를 추적 및 관리해야 합니다. 기초 수준에서 표준화 수준으로 이동하려면 다음 작업을 중앙에서 관리해야 합니다.
모바일 하드웨어 검색 및 추적
모바일 소프트웨어 추적, 배포 및 업데이트
데이터 동기화
데이터 보안 예방 및 사후 대처
더 이상 사용하지 않는 모바일 장치에 대한 절차 정의
이 절에서는 이와 같은 문제를 해결하는 도구 및 프로세스에 대한 정보를 제공합니다. 다음 절에서는 Microsoft에서 제공하는 모바일 장치 관리용 도구에 대해 설명합니다.
2단계: 식별
식별 단계에서는 지속적으로 네트워크에 연결된 모바일 장치를 검색하기 위한 솔루션을 개발하고 구현해야 합니다. 또한 모바일 장치를 조직의 요구에 맞게 관리하기 위한 방침을 수립해야 합니다. 비즈니스 및 데이터 보안 요구에 따라 최종 사용자는 통제되지 않은 개인 장치 또는 회사에서 제공 및 관리하는 장치를 사용하여 네트워크에 연결할 수 있습니다. 네트워크에 연결된 장치는 사용자가 직접 제공한 정보 또는 연결된 장치 검색용 도구를 사용하여 식별할 수 있습니다.
3단계: 평가 및 계획
평가 및 계획 단계에서는 모바일 장치 관리에 도움이 되는 도구나 기술에 대해 고려해야 합니다. 현재 Microsoft에서 제공하는 기본 제품으로는 ActiveSync®가 포함된 Microsoft® Exchange Server, Direct Push, Remote Wipe 및 Device Management Feature Pack이 포함된 Systems Management Server(SMS) 2003이 있습니다. Odyssey Software, Bluefire 및 iAnywhere와 같은 Microsoft 파트너 및 소프트웨어 공급업체에서도 모바일 장치를 관리할 수 있는 제품을 제공합니다.
Exchange Server 2003 및 Exchange Server 2007
Microsoft에서는 Exchange Server 2003을 시작으로 현재 Exchange Server 2007까지 Windows 모바일 장치 관리를 위한 새로운 기능을 소개하고 있습니다. Exchange Server 2003 및 Exchange Server 2007에 적용된 모바일 장치 기술에는 ActiveSync, 원격 실행 장치 보안 정책 및 원격 장치 삭제 기술이 있습니다.
기본 제공되는 Exchange ActiveSync를 사용하여 Microsoft® Windows Mobile® 기반의 장치를 무선으로 동기화하려면 메시징 인프라에 Exchange Server를 실행하고 있는 서버가 하나 이상 있어야 합니다. 이 기능을 사용하기 위해 조직 전체 환경에 Exchange 2003 및 Exchange 2007을 모두 배포할 필요는 없습니다.
Exchange Server 2003의 필수 구성 요소 설정에 대한 자세한 내용은 다음 웹 사이트에서 Exchange Server 2003 배포 가이드의 8장을 참조하십시오. https://www.microsoft.com/technet/prodtechnol/exchange/2003/library/depguide.mspx
다음 웹 사이트에서 Exchange Server 2003 ActiveSync Architecture 백서도 참조할 수 있습니다. https://www.microsoft.com/exchange/techinfo/administration/mobiledevices.asp
이전 버전의 Exchange Server는 동기화 기능을 기본으로 제공하지 않습니다. 사용자가 Windows Mobile 기반의 장치를 무선으로 동기화할 수 있도록 하려면 Exchange Server 2003이나 Exchange Server 2007을 사용해야 합니다.
Active Directory
ActiveSync가 작동하려면 인프라에 Active Directory 도메인 컨트롤러가 포함되어 있어야 합니다. 또한 Exchange Server 2003 서버가 Windows Active Directory 도메인의 구성원이어야 합니다.
Active Directory 도메인 컨트롤러는 Windows 2000 Server SP3이나 Windows Server 2003에서 실행되어야 합니다. 최적의 성능을 위해 Windows Server 2003을 권장합니다.
Exchange ActiveSync 관리
기본적으로 Exchange 2007 서버에 Client Access 서버 역할을 설치하면 Exchange ActiveSync가 활성화됩니다. 최종 사용자가 Exchange ActiveSync를 사용하기 위해서는 Exchange Server 컴퓨터와 동기화되도록 모바일 장치만 구성하면 됩니다. 관리자는 Exchange ActiveSync를 사용하여 여러 가지 관리 작업을 수행할 수 있습니다. 여기에는 Exchange ActiveSync 메일함 정책 구성 및 강화된 보안을 위한 인증 구성 작업이 포함됩니다. Exchange Management Console에서 이러한 작업의 일부를 수행할 수 있으며, Exchange Management Shell에서는 전체 작업을 수행할 수 있습니다.
Exchange ActiveSync 사용자 관리
기본적으로 Exchange Server 2007을 실행 중인 Microsoft Exchange 조직에 Client Access 서버 역할을 설치하면 모든 사용자가 Exchange ActiveSync를 사용할 수 있습니다. 특정 사용자나 사용자 그룹이 Exchange ActiveSync를 사용할 수 없도록 설정할 수 있으며 Exchange ActiveSync 사용자를 위한 다양한 설정을 관리할 수도 있습니다.
Exchange ActiveSync 사용자 관리를 단순화하기 위해 Exchange ActiveSync 메일함 정책을 만들 수 있습니다. 이 정책은 단일 사용자나 사용자 그룹에 특정 설정을 적용하는 데 도움이 됩니다. 사용 가능한 설정은 다음과 같습니다.
암호 입력 요청
영숫자 암호 입력 요청
장치에 첨부 파일 다운로드 허용
Microsoft Windows SharePoint® Services 문서에 액세스 허용
장치 암호화 사용
Exchange ActiveSync 메일함 정책에 대한 자세한 내용은 정책에 의한 Exchange ActiveSync 관리를 참조하십시오.
Exchange Management Console을 사용하여 Exchange ActiveSync 사용자를 관리하는 방법에 대한 자세한 내용은 다음 웹 사이트를 참조하십시오.
원격 실행 장치 보안 정책
Exchange Server 2003 SP2 및 Exchange Server 2007을 사용하면 모든 모바일 장치 사용자가 Exchange 서버에 액세스할 때 암호로 장치를 보호할 것을 요구하는 중앙 정책을 구성 및 관리할 수 있습니다. 또한 암호의 길이를 지정하고, 문자 또는 기호의 사용을 요구하고, 장치가 얼마나 오랫동안 비활성 상태에 있은 후에 암호를 묻는 메시지를 표시할지 시간 간격을 지정할 수도 있습니다.
추가 설정인 "지정된 연결 시도 실패 후 장치 데이터 삭제" 기능은 지정한 횟수 이상으로 암호를 반복해서 잘못 입력한 경우 장치의 모든 데이터를 삭제하도록 합니다. 남아 있는 시도 가능 횟수와 함께 모든 데이터가 삭제될 수 있음을 알리는 경고 대화 상자가 표시됩니다.
또 다른 설정을 통해 호환되지 않는 장치의 동기화 가능 여부를 지정할 수 있습니다. 지정한 보안 정책을 지원하지 않는 장치는 호환되지 않는 것으로 간주됩니다. 대부분의 경우 이러한 장치는 Exchange Server 메시징 및 보안 기능 팩을 사용하여 구성하지 않은 장치입니다.
장치 데이터 원격 삭제
원격 삭제 기능은 분실하거나 도난 당한 모바일 장치 또는 손상된 모바일 장치의 데이터를 원격으로 삭제하는 프로세스를 관리합니다. 직접 올리기(Direct Push) 기술을 사용하여 장치를 연결한 경우에는 삭제 프로세스가 실행되어 곧바로 작업이 진행됩니다. 강제 적용된 잠금 보안 정책을 사용한 경우에는 장치가 암호 및 로컬 삭제 기능으로 보호되므로 원격 삭제 알림을 수신하거나 데이터가 삭제되었음을 보고하는 것 이외의 어떠한 작업도 수행할 수 없습니다.
장치 보안 정책은 Exchange System Manager 모바일 서비스 속성 창에서 관리됩니다. 여기서 수행할 수 있는 작업은 다음과 같습니다.
사용자가 사용 중인 모든 장치 목록을 봅니다.
원격으로 데이터를 삭제할 장치를 선택하거나 선택 취소합니다.
각 장치에서 대기 중인 원격 삭제 요청의 상태를 봅니다.
원격 삭제 명령을 실행한 관리자 및 해당 명령이 적용된 장치를 나타내는 트랜잭션 로그를 봅니다.
인증서 기반 인증
SSL(Secure Sockets Layer) 기본 인증이 사용자의 보안 요구 사항을 충족하지 못하고 Microsoft Certificate Server를 사용하는 기존 PKI(Public Key Infrastructure)가 있는 경우 Exchange ActiveSync의 인증서 기반 인증 기능을 사용할 수 있습니다. 이 기능을 이 문서에 설명된 다른 기능(예: 로컬 장치 데이터 삭제 및 전원 켜기 암호의 강제 실행)과 함께 사용하면 모바일 장치 자체를 스마트 카드로 활용할 수 있습니다. 클라이언트 인증용 개인 키 및 인증서는 장치 메모리에 저장됩니다. 그러나 권한이 없는 사용자가 장치의 전원 켜기 암호를 강제로 공격하려고 시도하면 인증서 및 개인 키를 포함한 모든 사용자 데이터가 삭제됩니다.
Microsoft에서는 Exchange ActiveSync 인증서 기반 인증 배포용 도구를 개발했습니다. Microsoft 다운로드 센터에서 도구 및 설명서를 다운로드하려면 https://go.microsoft.com/fwlink/?LinkId=63271을 방문하십시오.
S/MIME 암호화 메시징
Windows Mobile 5.0용 메시징 및 보안 기능 팩은 디지털 서명되고 암호화된 메시징에 대한 기본 지원을 제공합니다. S/MIME(Secure/Multipurpose Internet Mail Extension)이 포함된 암호화 기능을 배포하면 최종 사용자가 모바일 장치를 통해 S/MIME 암호화 메시지를 보고 전송할 수 있습니다.
S/MIME 컨트롤의 특성은 다음과 같습니다.
PKI 사용으로 키를 공유하여 보안이 향상된 전자 메일 메시지에 대한 표준입니다.
디지털 서명을 사용하여 발신자 인증을 제공합니다.
암호화하여 개인 정보를 보호할 수 있습니다.
표준을 준수하는 모든 전자 메일 클라이언트에서 정상적으로 작동합니다.
Exchange Server 2003 SP2에서 S/MIME 컨트롤을 구현하는 방법에 대한 지침은 https://go.microsoft.com/fwlink/?LinkId=63272에서 Exchange Server 메시지 보안 가이드를 참조하십시오.
SMS 2003 Device Management Feature Pack
Systems Management Server 2003 DMFP(Device Management Feature Pack)는 SMS 2003이 Microsoft Windows® CE(3.0 이상), Microsoft Pocket PC(2002 이상)용 Windows Mobile 소프트웨어, Windows Mobile 5.0 및 Windows Mobile Pocket PC Phone Edition 5.0을 실행하는 모바일 장치를 관리할 수 있도록 합니다. DMFP를 사용하면 IT 관리자는 모바일 장치의 자산 특성, 구성 설정 및 보안 정책을 활용하여 최종 사용자의 작업을 최대한 방해하지 않고 새 응용 프로그램을 업데이트 또는 배포함으로써 장치 배포 및 관리 비용을 크게 줄일 수 있습니다.
DMFP를 사용하여 수행할 수 있는 작업은 다음과 같습니다.
Windows CE 4.2 또는 Pocket PC 및 Pocket PC Phone Edition용 Windows Mobile 2003 소프트웨어, Windows Mobile 5.0 및 Windows Mobile Pocket PC Phone Edition 5.0을 실행하는 모바일 및 일반 클라이언트의 인벤토리 정보를 검색하고 수집합니다.
파트너의 추가 지원을 통해, 스마트 폰을 포함한 Windows CE 3.0, Pocket PC 2002 소프트웨어, Windows Mobile 5.0 및 Windows Mobile Pocket PC Phone Edition 5.0, Windows Mobile 소프트웨어를 실행하는 모바일 및 일반 클라이언트의 인벤토리 정보를 검색하고 수집합니다.
이러한 장치에 소프트웨어 업데이트 및 응용 프로그램을 배포합니다.
클라이언트를 로컬 배포 지점으로 연결하여 지역 로밍 시나리오를 통해 SMS 패키지 다운로드를 지원합니다.
이러한 장치에 보안 암호를 실행하여 암호 정책을 구현합니다.
SMS Advanced Client를 실행하는 컴퓨터로의 ActiveSync 연결을 통해 SMS 클라이언트 소프트웨어를 장치에 배포합니다.
HTTP 또는 보안 HTTP(HTTPS)를 사용하여 SMS 서버 인프라와 통신합니다.
이러한 기술을 사용하면 Microsoft 운영 체제 및 소프트웨어를 통해 모바일 장치를 제어할 수 있습니다. Exchange Server의 장치 관리 기능은 인프라 최적화 모델의 표준화 수준을 달성하는 데 필수적인 최소한의 기능 집합입니다.
4단계: 배포
배포 단계의 목표는 장치 관리 전략을 지원하기 위해 선택한 기술 또는 기능을 구현하는 것입니다. 다양한 회사 네트워크 구성 및 보안 정책에 따라 배포 프로세스도 각 모바일 메시징 시스템 설치별로 다릅니다. 이 배포 프로세스에는 Exchange Server 2003 SP2 및 Windows Mobile 5.0 기반 장치를 사용하는 모바일 메시징 솔루션을 배포하기 위한 필수 단계 및 권장 단계가 포함됩니다.
Microsoft Exchange Server를 사용하여 보안 모바일 메시징 기능을 배포하는 방법에 대한 자세한 내용은 Windows Mobile 기반 장치에 Microsoft Exchange Server 2003 SP2를 배포하기 위한 단계별 가이드를 참조하십시오.
운영
지속적으로 수행되는 운영 프로세스의 목표는 최종 사용자의 모바일 메시징 환경에 보안과 가용성을 유지하는 것입니다. 모바일 메시징 환경 유지 관리에 대한 지침을 보려면 Microsoft TechNet의 Windows Mobile Center를 방문하십시오.
추가 정보
모바일 장치 관리에 대한 자세한 내용을 보려면 Microsoft TechNet을 방문하여 “mobile device management”를 검색하십시오.
Microsoft에서 일부 모바일 장치 관리를 처리하는 방법을 보려면 https://www.microsoft.com/technet/itshowcase/content/mobmess_tcs.mspx를 참조하십시오.
체크포인트: 모바일 장치의 중앙 집중식 관리
|
요구 사항 |
|---|---|
|
조직 내에서 모바일 장치를 검색하고 추적할 수 있는 소프트웨어를 설치했습니다. |
|
암호로 제어된 액세스를 구현했습니다. |
|
중앙 집중식 데이터 및 소프트웨어 동기화를 설정했습니다. |
|
더 이상 사용하지 않는 장치에 회사 정보가 남아있지 않은지 확인했습니다. |
위에서 설명한 단계를 완료했다면 모바일 장치의 중앙 집중식 추적, 관리 및 업그레이드에 대한 표준화 수준의 최소 요구 사항을 충족한 것입니다. Microsoft TechNet의 Windows Mobile Center에서 다룬 모바일 장치 관리에 대한 추가 최적의 방법을 따르도록 권장합니다.
다음 자체 평가 질문으로 이동하십시오.
요구 사항: 모바일 장치의 ID 유효성 검사, 데이터 보호 및 데이터 백업
대상
모바일 장치에 대한 사용자 ID 유효성 검사, 데이터 보호 및 데이터 백업 기능이 마련되어 있지 않으면 이 절을 읽어야 합니다.
개요
분실 및 도난 당한 모바일 장치는 회사 네트워크로의 무단 액세스를 허용함으로써 중요 회사 정보를 손상시킬 수 있습니다. 철저한 정책 및 소프트웨어 구현으로 이러한 리소스를 보호해야 합니다. 본 절에서는 회사 정보 및 네트워크를 안전하게 보호하기 위해 적절한 단계가 수행되어야 하는 영역을 다룹니다. 이러한 영역은 다음과 같습니다.
사용자 액세스
암호
장치 잠금
인증서
데이터 액세스
데이터 암호화
장치 데이터 원격 삭제
Microsoft에서 제공하는 모바일 장치 보안에 대한 자세한 내용을 보려면 https://www.microsoft.com/windowsmobile/business/5/default.mspx를 방문하십시오.
1단계: 평가
평가 단계의 기본 목표는 사용자가 데이터에 액세스하는 방식을 결정하고 모바일 장치의 안전한 액세스 및 데이터 보호를 위한 비즈니스 요구 사항을 수집하는 것입니다. 이에 대한 대부분의 원칙은 본 가이드에서 모바일 장치의 중앙 집중식 관리 절에 포함된 계획 및 배포 단계에 설명되어 있습니다. 이 기능은 인프라 최적화 모델에서 데이터 보안 및 사용자 액세스 제어의 중요성을 뒷받침해 줍니다.
2단계: 식별
식별 단계에서는 기술 옵션을 파악하고 사용자 액세스, 데이터 보안 및 데이터 백업을 위한 조직의 요구 사항을 충족시키기 위한 요구 사항을 결정합니다. Microsoft Exchange Server 2003, Microsoft Exchange Server 2007 및 Systems Management Server 2003에서 제공하는 기술 및 기능에 대한 자세한 내용은 본 가이드의 요구 사항: 모바일 장치의 중앙 집중식 관리 절을 참조하십시오.
자세한 내용을 보려면 Microsoft TechNet의 Windows Mobile Center를 방문하십시오.
3단계: 평가 및 계획
평가 및 계획 단계의 목표는 관리 대상 모바일 장치의 안전한 사용자 액세스, 데이터 보안 및 데이터 보호에 대한 상세 전략을 수립하는 것입니다. 본 절에서는 이러한 목표를 달성하기 위해 고려해야 할 사항에 대해 설명합니다.
사용자 액세스
모바일 장치 내 정보로의 무단 액세스에 대한 첫 번째 방어 절차는 암호 또는 인증서에 의한 사용자 식별 및 인증입니다.
암호
조직에서 제공한 각 모바일 장치에 액세스할 때 암호를 제공하도록 해야 합니다. 암호 형식은 회사 암호 정책에 따라 단순 숫자 형식이거나 문자, 숫자, 특수 문자의 조합 형식일 수 있습니다.
장치 잠금
지정한 횟수만큼(보통 3~5회) 반복적으로 암호를 잘못 입력하면 모바일 장치는 잠금 상태가 되어야 하며, 이 상태에서 관리자 재설정을 통해서만 장치에 다시 액세스할 수 있도록 해야 합니다.
인증서
주로 인증서로 알려진 공개 키 인증서는 일반적인 인증에 사용되며 개방형 네트워크에서 정보를 보호하기 위한 디지털 서명 문서입니다. 인증서는 공개 키와 해당하는 개인 키를 가진 엔티티를 안전하게 결합합니다. 인증서를 발급한 CA(인증 기관)에서 인증서를 디지털 서명하며 인증서 발급 대상은 사용자, 컴퓨터 또는 서비스일 수 있습니다. 모바일 장치를 분실하거나 도난 당했을 경우 인증서를 해제할 수 있는 절차를 마련해야 합니다.
데이터 액세스
모바일 컴퓨터가 조직의 물리적 보안 경계에서 벗어날 경우 가장 우려되는 사항은 컴퓨팅 장치 및 저장 데이터의 도난입니다. 도난이 발생하면 권한이 없는 사람이 원격 전화 접속 또는 무선 네트워킹을 통해 네트워크를 통과할 수 있는 위험이 우선적으로 발생합니다. 모바일 컴퓨터 및 새로운 형식의 수많은 휴대용 장치는 디자인의 특성으로 인해 비휴대용 장치보다 도난의 위험이 높습니다. 이러한 장치에는 종종 회사의 중요 데이터가 저장되어 도난 시 보안 위험이 발생할 수 있습니다.
데이터 암호화
모바일 장치에서 암호화된 파일 시스템을 사용하여 하드 드라이브의 데이터를 숨김으로써 적절한 자격 증명 없이는 데이터를 사용할 수 없도록 할 수 있습니다. 이 기능은 분실하거나 도난 당한 장치를 습득한 사람이 데이터에 무단으로 액세스하지 못하도록 합니다.
장치 데이터 원격 삭제
Exchange Server 장치 데이터 원격 삭제 기능은 관리자나 권한이 있는 사용자가 모바일 장치의 모든 정보를 원격으로 삭제하여 장치를 초기 기본 상태로 용이하게 되돌릴 수 있도록 해줍니다.
이 원격 삭제 기능을 사후 조치로 사용하여 분실하거나 도난 당한 모바일 장치의 데이터에 무단으로 액세스하는 것을 방지할 수 있습니다. 암호 또는 인증서와 같은 다른 액세스 방식이 없거나 손상되었다고 판단되면 원격 삭제 기능을 사용할 수 있습니다. 이 시나리오에서 장치 데이터를 삭제하는 명령은 서버에서 전송합니다.
원격 삭제 도구는 모바일 장치가 도난 당했을 경우 회사 데이터 및 회사 네트워크에 대한 액세스를 차단하기 위해 사용자 인증 및 데이터 암호화와 함께 사용할 수 있는 예방적 도구로도 활용할 수 있습니다. 이 시나리오에서는 내장된 보안 정책을 기반으로 장치에서 데이터를 자체적으로 삭제합니다.
데이터 백업
메시징, 일정 및 회사 주소 목록 등 중요 데이터의 백업은 모바일 장치 데이터 백업의 첫 번째 중요 단계입니다. 동기화된 메시징, 주소 목록 및 일정 정보에 대한 데이터 백업은 Exchange Server 인프라에서 표준 서버 백업 및 복구 절차를 통해 수행됩니다. 자세한 내용은 인프라 최적화의 표준화 수준을 위한 본 가이드의 중요 서버에 대한 백업 및 복원 서비스 절을 참조하십시오. 동기화되지 않은 데이터의 장치 수준 백업을 수행할 수 있는 소프트웨어는 Microsoft 파트너에서 공급합니다.
4단계: 배포
배포 단계의 목표는 사용자 액세스, 데이터 보안 및 데이터 백업 관리를 위해 조직에서 선택한 전략을 구현하는 것입니다. 본 가이드에서 설명된 기술을 배포하는 방법에 대한 자세한 내용은 Windows Mobile 기반 장치에 Microsoft Exchange Server 2003 SP2를 배포하기 위한 단계별 가이드를 참조하십시오.
운영
지속적으로 수행되는 운영 프로세스의 목표는 모바일 메시징 환경에서 사용자 액세스, 데이터 보안 및 데이터 백업을 안전하게 유지하는 것입니다. 모바일 메시징 환경 유지 관리에 대한 지침을 보려면 Microsoft TechNet의 Windows Mobile Center를 방문하십시오.
추가 정보
원격 삭제 기능에 대한 자세한 내용을 보려면
https://www.microsoft.com/technet/prodtechnol/exchange/e2k7help/7b2cb90a-67f5-45d5-8c7a-26309faa7d9e.mspx?mfr=true를 방문하십시오.
체크포인트: 모바일 장치의 ID 유효성 검사, 데이터 보호 및 데이터 백업 체크포인트
|
요구 사항 |
|---|---|
|
암호 액세스 정책을 수립하여 적용하고 있거나 공개 키 인증서를 사용자 확인에 사용하고 있습니다. |
|
데이터를 모바일 장치에 배포하고 모바일 장치에서 데이터를 백업하기 위한 전송을 모두 암호화했습니다. |
|
모바일 장치에 장치 잠금을 구현했습니다. |
|
모바일 장치를 분실하거나 도난 당한 경우 원격 삭제 기능으로 회사 정보를 제거할 수 있습니다. |
위에서 설명한 단계를 완료했다면 모바일 장치의 ID 유효성 검사, 데이터 보호 및 데이터 백업에 대한 표준화 수준의 최소 요구 사항을 충족한 것입니다. Microsoft TechNet의 Windows Mobile Center에서 다룬 모바일 장치 관리에 대한 추가 최적의 방법을 따르도록 권장합니다.
다음 자체 평가 질문으로 이동하십시오.
요구 사항: 2개의 운영 체제 버전으로 데스크톱 이미지 통합
대상
데스크톱 환경에서 3가지 이상의 운영 체제 버전을 관리하고 있으면 이 절을 읽어야 합니다.
개요
기업 내에서 여러 운영 체제를 배포할 경우에는 여러 가지 사항을 고려해야 합니다. 다음이 포함됩니다.
여러 개의 표준 이미지 유지 관리
패치 및 업데이트 가용성
유지 관리 계약 확장에 따른 비용
사용자 생산성
응용 프로그램 호환성
본 가이드에서는 데스크톱 이미지를 2개의 운영 체제로 통합할 때 고려해야 할 사항에 중점을 둡니다.
1단계: 평가
이미지 통합에 대한 평가 단계의 목표는 현재 조직에서 관리하는 운영 체제의 수를 확인하는 것입니다. Systems Management Server(SMS) 2003, 응용 프로그램 호환성 도구(ACT) 또는 Windows Vista 하드웨어 평가와 같은 인벤토리 프로세스를 자동화할 수 있는 도구를 사용할 것을 권장합니다.
2단계: 식별
식별 단계에서는 인벤토리에서 검색된 운영 체제의 종속성과 이러한 운영 체제가 사용 중인 응용 프로그램 및 하드웨어 사양과 어떠한 관계가 있는지 파악합니다.
3단계: 평가 및 계획
평가 및 계획 단계의 목표는 데스크톱 이미지를 2개의 표준 이미지로 통합하는 데 필요한 옵션에 대해 검토해 보는 것입니다. 여기에는 관리상 이점, 업무상 이점 및 사용자 업그레이드 우선 순위 지정 등이 포함됩니다. 이 절에서는 데스크톱 이미지 통합을 평가할 때 여러 가지 고려해야 할 사항에 대해 소개합니다.
여러 개의 표준 이미지
이 문서 시작 부분의 "데스크톱 및 랩톱에 대해 정의된 표준 이미지"에는 표준 데스크톱 운영 체제 이미지를 구성 및 유지 관리할 때 얻을 수 있는 이점과 복합형, 단순형, 혼합형 이미지의 장단점에 대해 설명되어 있습니다. 작성 및 유지 관리할 복합형 및 혼합형 이미지의 개수와 관련 비용은 조직에서 지원하는 각 개별 운영 체제에 따라 달라집니다. 인프라 최적화 모델의 기초 수준에서 표준화 수준으로 이동하려면 지원해야 하는 운영 체제의 수를 2개 이하로(실상은 하나의 버전으로만 제한하는 것이 이득) 제한해야 합니다.
패치 및 업데이트
운영 체제 및 응용 프로그램에 대한 패치 및 업데이트는 먼저 테스트 과정을 거친 후 사용자에게 배포해야 합니다. 응용 프로그램 테스트에 드는 시간과 비용은 응용 프로그램을 실행하는 운영 체제의 수만큼 증가합니다. 사용 가능한 모든 패치와 업데이트를 추적하면 시간과 비용이 많이 듭니다.
유지 관리 계약
조직에서 운영 체제 및 응용 프로그램에 대한 유지 관리 계약을 구입하는 경우 지원되는 소프트웨어 타이틀 수의 증가에 따라 비용이 증가될 수 있습니다. 이는 레거시 운영 체제와 응용 프로그램 및 공급업체에서 더 이상 제공하지 않는 소프트웨어의 경우 더욱 그렇습니다.
사용자 생산성
한 운영 체제를 다른 운영 체제로 전환한 경우 사용자에게는 해당 기능과 내용을 익힐 시간이 필요하며 이는 생산성에 영향을 줍니다. 사용자는 이전 운영 체제에서 수행했던 작업을 어떻게 수행할지 생각해 봐야 합니다.
응용 프로그램 호환성
응용 프로그램 및 운영 체제를 업그레이드할 경우 해당 응용 프로그램에서 실행한 데이터 파일이 항상 새 버전과 호환되는 것은 아닙니다. 1~2개의 운영 체제 및 해당 호환되는 응용 프로그램에 대한 표준화 작업을 통해 데이터 파일이 호환되지 않는 문제를 최소화할 수 있습니다.
예외
1~2개의 운영 체제를 조직의 모든 상황이나 요구 사항에 항상 맞출 수 있는 것은 아닙니다. 증가 추세에 있는 모바일 장치에서 실행되는 운영 체제는 데스크톱 또는 랩톱 컴퓨터와는 다릅니다. 네트워크에 연결하는 그래픽 디자이너나 엔지니어, 원격 사용자 또는 공급업체 등의 일부 최종 사용자가 컴퓨터에서 실행하는 운영 체제는 조직 표준과 다를 수 있습니다. 이러한 예외 상황을 설명하고 이러한 상황에서 본 가이드의 권장 내용을 수행하는 것은 IT 부서의 책임입니다.
다른 예외 상황은 IT 부서의 책임이 아닐 수 있습니다. 소프트웨어 개발 조직에서는 자신들이 개발한 소프트웨어가 여러 운영 체제에서 실행될 수 있도록 해야 합니다. 새 운영 체제 및 업그레이드를 평가하는 테스트는 본 문서에서 다루지 않습니다.
4단계: 배포
이미지 통합 전략을 결정한 후 배포 단계에서는 이미지 구축, 배포 및 유지 관리 방법을 검토해야 합니다. 자세한 내용은 BDD 2007의 컴퓨터 이미징 시스템 기능 팀 가이드나 요구 사항: 데스크톱 및 랩톱에 대해 정의된 표준 이미지 리소스 지침을 참조하십시오.
운영
운영 체제 통합 프로젝트를 성공적으로 완료한 후에는 새로 출시되는 데스크톱 운영 체제 제품 및 기술을 주의 깊게 검토해야 합니다. 새 운영 체제를 준비한다는 것은 대부분의 경우 사용 중인 2가지 운영 체제 중 이전 버전을 새로운 운영 체제 이미지로 대체한다는 것을 의미합니다. 이 경우 2개의 운영 체제 이미지를 유지 관리할 때의 이점은 변함 없이 유지할 수 있습니다.
체크포인트: 2개의 운영 체제 버전으로 데스크톱 이미지 통합
|
요구 사항 |
|---|---|
|
이미지 통합 전략을 구현했습니다. |
|
업무용 운영 체제 수를 2개 이하로 줄였습니다. |
위에서 설명한 단계를 완료했다면 인프라 최적화 모델의 데스크톱, 장치 및 서버 관리 기능 중 2개의 운영 체제 버전으로 데스크톱 이미지 통합에 대한 표준화 수준의 최소 요구 사항을 충족한 것입니다. BDD 2007의 컴퓨터 이미징 시스템 기능 팀 가이드에 설명된 이미지 통합 및 관리에 대한 추가 최적의 방법을 따르도록 권장합니다.
다음 자체 평가 질문으로 이동하십시오.