위협 및 대책

9장: Windows XP 및 Windows Server 2003 관리 템플릿

업데이트 날짜: 2005년 12월 27일

그룹 정책의 관리 템플릿 섹션에는 사용자 환경에 있는 컴퓨터의 동작과 모양을 관리하는 레지스트리 기반 설정이 포함되어 있습니다. 이러한 설정은 운영 체제 구성 요소와 응용 프로그램의 동작도 관리합니다. 사용자가 구성할 수 있는 설정은 매우 많으며 추가 .adm 파일을 가져와 더 많은 설정을 사용할 수 있습니다.

이 장에서는 이 설명서에 정의되어 있는 그룹 정책의 컴퓨터 구성 노드 및 사용자 구성 노드에 있는 관리 템플릿 설정에 대해 설명합니다. 여기서는 Microsoft Windows XP 및 Microsoft Windows Server 2003에서 사용할 수 있는 모든 설정을 다루지는 않지만 이러한 운영 체제를 실행하는 컴퓨터의 보안과 관련된 모든 설정에 대한 지침을 제공합니다. 이 장에서는 응용 프로그램 호환성, 작업 스케줄러, Windows Installer, Windows Messenger 및 Windows Media Player에 대한 설정은 다루지 않습니다.

이 설명서의 이전 버전에서는 Office XP의 관리 템플릿 관련 정보가 제공됩니다. Microsoft Office 2003에는 제품과 함께 제공되는 관리 템플릿의 다양한 새 기능 및 변경 사항이 포함되어 있습니다. 이러한 변경 사항에 대한 자세한 내용은 이 장 마지막의 "추가 정보" 섹션을 참조하십시오.

이 페이지에서

컴퓨터 구성 설정
사용자 구성 설정
추가 정보

컴퓨터 구성 설정

다음 구성 설정은 Active Directory 디렉터리 서비스 도메인의 구성원인 컴퓨터에 적용됩니다. 사용자 구성 설정에 대한 정보는 이 장 뒷부분에서 제공됩니다.

NetMeeting

Microsoft NetMeeting을 사용하여 조직의 네트워크에서 가상 모임을 개최할 수 있습니다. 그룹 정책 개체 편집기의 다음 위치에서 NetMeeting 그룹 정책 설정을 구성할 수 있습니다.

컴퓨터 구성\관리 템플릿\Windows 구성 요소\ NetMeeting

원격 데스크톱 공유 사용 안 함

이 정책 설정을 사용하면 NetMeeting의 원격 데스크톱 공유 기능을 사용할 수 없도록 설정할 수 있습니다. 이 정책 설정을 사용하면 사용자가 NetMeeting이 인바운드 호출에 자동으로 응답하고 로컬 데스크톱 원격 제어를 허용하도록 구성할 수 없습니다.

원격 데스크톱 공유 사용 안 함 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용

  • 사용 안 함

  • 구성되지 않음

보안 문제

이 정책 설정을 사용하면 사용자가 NetMeeting의 원격 데스크톱 공유 기능을 사용할 수 없게 됩니다.

대책

원격 데스크톱 공유 사용 안 함 설정을 사용으로 구성합니다.

잠재적 영향

Windows 원격 지원 및 원격 데스크톱 기능을 사용하는 상태로 설정해 둔 경우에는 사용자가 해당 기능을 계속 사용할 수 있지만 NetMeeting을 통한 원격 데스크톱 공유는 구성할 수 없게 됩니다.

Internet Explorer 컴퓨터 설정

Microsoft Internet Explorer는 Windows XP 및 Windows Server 2003의 웹 브라우저이며 그룹 정책을 통해 대부분의 기능을 관리할 수 있습니다. 그룹 정책 개체 편집기의 다음 위치에서 Internet Explorer 컴퓨터 그룹 정책 설정을 구성할 수 있습니다.

컴퓨터 구성\관리 템플릿\Windows 구성 요소\ Internet Explorer

Internet Explorer 구성 요소 자동 설치 사용 안 함

이 정책 설정을 사용하면 구성 요소가 완전하게 작동해야 하는 웹 사이트를 탐색할 때 Internet Explorer를 통해 구성 요소를 자동으로 다운로드할 수 없도록 차단할 수 있습니다. 이 정책 설정을 사용할 수 없도록 설정하거나 구성하지 않으면 구성 요소를 필요로 하는 웹 사이트를 방문할 때마다 해당 구성 요소를 다운로드하여 설치하라는 메시지가 표시됩니다. 이 정책 설정을 통해 관리자는 사용자가 설치할 수 있는 구성 요소를 제어할 수 있습니다.

Internet Explorer 구성 요소 자동 설치 사용 안 함 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용

  • 사용 안 함

  • 구성되지 않음

보안 문제

악의적인 웹 사이트의 운영자는 악성 코드를 포함하는 구성 요소를 호스팅할 수 있습니다. 조직의 사용자가 실수로 이런 코드를 다운로드하여 사용자 환경의 컴퓨터에서 실행하면 기밀 데이터가 노출되고 데이터가 손실되며 조직 환경이 불안정해질 수 있습니다.

대책

Internet Explorer 구성 요소 자동 설치 사용 안 함 설정을 사용으로 구성합니다.

잠재적 영향

특정 구성 요소를 필요로 하는 웹 사이트를 탐색할 때 Internet Explorer에서 해당 구성 요소를 자동으로 다운로드할 수 없습니다.

Internet Explorer 소프트웨어 업데이트를 정기적으로 확인 안 함

이 정책 설정을 사용하면 Internet Explorer에서 최신 브라우저 버전을 사용할 수 있는지를 확인하여 사용자에게 알릴 수 없습니다. 이 정책 설정을 사용할 수 없도록 설정하거나 구성하지 않으면 Internet Explorer에서 30일(기본 설정)마다 업데이트를 확인하여 새 버전을 사용할 수 있으면 사용자에게 알립니다. 이 정책 설정을 사용하면 새 브라우저 버전을 사용할 수 있어도 사용자에게 알리지 않으므로 관리자가 Internet Explorer의 버전 제어를 유지 관리할 수 있습니다.

Internet Explorer 소프트웨어 업데이트를 정기적으로 확인 안 함 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용

  • 사용 안 함

  • 구성되지 않음

보안 문제

Microsoft에서는 모든 패치와 서비스 팩을 철저히 테스트한 다음 게시하기는 하지만 관리되는 컴퓨터에 설치하는 모든 소프트웨어를 신중하게 제어하고자 하는 조직도 있습니다. Internet Explorer 소프트웨어 업데이트를 정기적으로 확인 안 함 설정을 사용하여 컴퓨터에서 Internet Explorer 업데이트를 자동으로 다운로드 및 설치하지 않도록 할 수 있습니다.

대책

Internet Explorer 소프트웨어 업데이트를 정기적으로 확인 안 함 설정을 사용으로 구성합니다.

잠재적 영향

Internet Explorer에서 핫픽스 및 서비스 팩을 자동으로 다운로드 및 설치할 수 없게 됩니다. 그러므로 관리자가 모든 관리되는 컴퓨터에 소프트웨어 업데이트를 자동으로 배포할 수 있는 다른 프로세스를 준비해야 합니다.

프로그램 시작 시 소프트웨어 업데이트 셸 알림 사용 안 함

이 정책 설정을 사용하면 Microsoft 소프트웨어 배포 채널을 사용하는 프로그램이 새 구성 요소를 설치할 때 사용자에게 알리지 않습니다. 소프트웨어 배포 채널은 OSD(개방형 소프트웨어 배포) 기술을 사용하여 사용자의 컴퓨터에서 동적으로 소프트웨어를 업데이트하는 방법입니다.

이 정책 설정을 사용하면 프로그램이 소프트웨어 배포 채널을 통해 업데이트되어도 사용자에게 알림이 표시되지 않습니다. 이 설정을 사용할 수 없도록 설정하거나 구성하지 않으면 프로그램이 업데이트되기 전에 사용자에게 알리지 않습니다. 이 정책 설정은 소프트웨어 배포 채널을 통해 사용자 작업 없이 프로그램을 업데이트하려는 관리자를 위한 것입니다.

프로그램 시작 시 소프트웨어 업데이트 셸 알림 사용 안 함 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용

  • 사용 안 함

  • 구성되지 않음

보안 문제

OSD 도구 및 기술을 사용하는 조직에서는 사용자가 자신의 컴퓨터에 패치 및 서비스 팩이 설치되는 동작을 알 수 없도록 하고자 합니다. 이러한 동작이 수행된다는 알림이 표시되면 설치 프로세스가 완료되기 전에 사용자가 프로세스를 중지할 수도 있기 때문입니다.

대책

프로그램 시작 시 소프트웨어 업데이트 셸 알림 사용 안 함 설정을 사용으로 구성합니다.

잠재적 영향

OSD 기술을 통해 소프트웨어 업데이트가 전달되는 동안 사용자에게 알리지 않습니다.

사용자 단위보다는 컴퓨터 단위로 프록시 설정 만들기

이 정책 설정을 사용하면 사용자가 사용자 관련 프록시 설정을 변경할 수 없습니다. 따라서 액세스하는 컴퓨터의 모든 사용자가 사용할 수 있도록 작성된 영역을 사용해야 합니다.

사용자 단위보다는 컴퓨터 단위로 프록시 설정 만들기 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용

  • 사용 안 함

  • 구성되지 않음

보안 문제

이 정책 설정을 사용할 수 없도록 설정하거나 구성하지 않으면 같은 컴퓨터를 사용하는 사용자가 각각 고유한 프록시 설정을 구성할 수 없습니다. 이 정책 설정은 같은 컴퓨터에서는 프록시 설정이 동일하게 적용되어 사용자마다 달라지지 않도록 합니다.

대책

사용자 단위보다는 컴퓨터 단위로 프록시 설정 만들기 설정을 사용으로 구성합니다.

잠재적 영향

모든 사용자가 컴퓨터에 정의된 프록시 설정을 사용해야 합니다.

보안 영역: 사용자가 사이트를 추가/삭제할 수 없음

이 정책 설정을 사용하면 보안 영역의 사이트 관리 설정을 사용할 수 없도록 설정할 수 있습니다. 보안 영역의 사이트 관리 설정을 확인하려면 Internet Explorer의 메뉴 모음에서 도구를 선택한 다음 인터넷 옵션을 선택합니다. 그런 다음 보안 탭과 사이트를 차례로 클릭합니다. 이 설정을 사용할 수 없도록 설정하거나 구성하지 않으면 사용자가 신뢰할 수 있는 사이트 및 제한된 사이트 영역에 웹 사이트를 추가하거나 해당 영역에서 사이트를 제거할 수 있게 됩니다. 또한 로컬 인트라넷 영역의 설정도 변경할 수 있습니다.

보안 영역: 사용자가 사이트를 추가/삭제할 수 없음 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용

  • 사용 안 함

  • 구성되지 않음

참고: \사용자 구성\관리 템플릿\Windows 구성 요소\Internet Explorer\인터넷 제어판 에 있는 보안 페이지 사용 안 함 설정을 사용하는 경우 인터페이스에서 보안 탭이 없어집니다. 이 정책 설정을 사용하면 보안 영역: 사용자가 사이트를 추가/삭제할 수 없음 설정보다 우선으로 적용됩니다.

보안 문제

이 정책 설정을 구성하지 않으면 사용자가 신뢰할 수 있는 사이트 영역과 제한된 사이트 영역에서 사이트를 추가하거나 제거할 수 있을 뿐만 아니라 로컬 인트라넷 영역의 설정도 변경할 수 있습니다. 이 구성을 사용하는 경우 악성 모바일 코드를 호스팅하는 사이트가 이러한 영역에 추가되어 사용자가 해당 코드를 실행할 수 있습니다.

대책

보안 영역: 사용자가 사이트를 추가/삭제할 수 없음 설정을 사용으로 구성합니다.

잠재적 영향

관리자가 설정한 보안 영역의 사이트 관리 설정을 사용자가 변경할 수 없습니다. 사용자가 이러한 Internet Explorer 보안 영역에서 사이트를 추가하거나 제거해야 하는 경우 이러한 보안 영역은 관리자가 구성해야 합니다.

보안 영역: 사용자가 정책을 변경할 수 없음

이 정책 설정을 사용하면 인터넷 옵션 대화 상자의 보안 탭에 있는 사용자 지정 수준 단추 및 영역 슬라이더의 보안 수준을 사용할 수 없도록 설정할 수 있습니다. 이 정책 설정을 사용할 수 없도록 설정하거나 구성하지 않으면 사용자가 보안 영역 설정을 변경할 수 없게 됩니다. 이 정책 설정은 관리자가 설정한 보안 영역 정책 설정을 변경할 수 없도록 하는 데 사용할 수 있습니다.

보안 영역: 사용자가 정책을 변경할 수 없음 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용

  • 사용 안 함

  • 구성되지 않음

참고: \사용자 구성\관리 템플릿\Windows 구성 요소\Internet Explorer\인터넷 제어판 에 있는 보안 페이지 사용 안 함 설정을 사용하는 경우 인터페이스에서 보안 탭이 없어집니다. 이 정책 설정을 사용하면 보안 영역: 사용자가 정책을 변경할 수 없음 설정보다 우선으로 적용됩니다.

보안 문제

사용자가 Internet Explorer 보안 설정을 변경하는 경우 브라우저의 제한된 사이트 영역 목록에 있는 웹 사이트 및 인터넷의 위험한 코드를 실행할 가능성이 있습니다.

대책

보안 영역: 사용자가 정책을 변경할 수 없음 설정을 사용으로 구성합니다.

잠재적 영향

사용자가 Internet Explorer 영역에 대한 보안 설정을 구성할 수 없게 됩니다.

보안 영역: 시스템 설정만 사용

이 정책 설정을 사용하면 한 사용자가 보안 영역에 대해 수행하는 변경 내용을 해당 컴퓨터의 모든 사용자에게 적용할 수 있습니다. 이 정책 설정을 사용할 수 없도록 설정하거나 구성하지 않으면 같은 컴퓨터를 사용하는 사용자가 각각 고유한 보안 영역 설정을 구성할 수 없습니다. 이 정책은 같은 컴퓨터에서는 보안 영역 설정이 동일하게 적용되어 사용자마다 달라지지 않도록 합니다.

보안 영역: 시스템 설정만 사용 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용

  • 사용 안 함

  • 구성되지 않음

보안 문제

사용자가 Internet Explorer 보안 설정을 변경하는 경우 브라우저의 제한된 사이트 영역 목록에 있는 웹 사이트 및 인터넷의 위험한 코드를 실행할 가능성이 있습니다.

대책

보안 영역: 시스템 설정만 사용 설정을 사용으로 구성합니다.

잠재적 영향

사용자가 Internet Explorer 영역에 대한 보안 설정을 구성할 수 없게 됩니다.

크래시 감지 사용 안 함

이 정책 설정을 사용하면 Internet Explorer 추가 기능 관리의 크래시 감지 기능을 관리할 수 있습니다. 이 정책 설정을 사용하는 경우 Internet Explorer에서 크래시가 발생하는 경우 Windows XP Professional 서비스 팩 1(SP1) 이전 버전을 실행하는 컴퓨터에서 크래시가 발생하는 경우와 유사한 동작이 수행됩니다. 즉, Windows 오류 보고가 실행됩니다. 이 정책 설정을 사용하지 않으면 추가 기능 관리의 크래시 감지 기능이 작동합니다.

크래시 감지 사용 안 함 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용

  • 사용 안 함

  • 구성되지 않음

보안 문제

크래시 보고서에는 컴퓨터 메모리의 중요한 정보가 들어 있을 수 있습니다.

대책

크래시 감지 사용 안 함 정책 설정을 사용으로 구성합니다.

잠재적 영향

Internet Explorer 추가 기능에 의해 발생하는 크래시에 대한 정보가 Microsoft로 보고되지 않습니다. 크래시가 계속해서 반복적으로 발생하는 경우 문제를 해결하기 위해 해당 크래시를 보고하려면 이 설정을 임시로 사용 안 함으로 변경해야 합니다.

사용자가 추가 기능을 사용 또는 사용하지 않도록 허용 안 함

이 정책 설정을 사용하면 사용자가 추가 기능 관리를 통해 추가 기능을 허용 또는 거부할 수 있는지 여부를 관리할 수 있습니다. 이 정책 설정을 사용으로 구성하면 사용자가 추가 기능 관리를 통해 추가 기능을 사용하거나 사용할 수 없도록 설정할 수 없습니다. 단, 사용자가 계속해서 추가 기능 관리를 통해 추가 기능을 관리할 수 있도록 허용하는 방식으로 추가 기능 목록 정책 설정에 특정 추가 기능을 특별하게 입력한 경우는 제외됩니다. 이 정책 설정을 사용 안 함으로 구성하면 사용자가 추가 기능을 사용하거나 사용할 수 없도록 설정할 수 있습니다.

참고: Windows XP SP2에서 Internet Explorer 추가 기능을 관리하는 방법에 대한 자세한 내용은 https://support.microsoft.com/?kbid=883256의 기술 자료 문서 883256 "Windows XP 서비스 팩 2에서 Internet Explorer 추가 기능을 관리하는 방법"을 참조하십시오.

사용자가 추가 기능을 사용 또는 사용하지 않도록 허용 안 함 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용

  • 사용 안 함

  • 구성되지 않음

보안 문제

사용자가 조직의 보안 정책에서 허용하지 않는 추가 기능을 설치하는 경우가 많습니다. 이러한 추가 기능은 네트워크에 중대한 보안 및 개인 정보 관련 위험을 초래할 수 있습니다.

대책

사용자가 추가 기능을 사용 또는 사용하지 않도록 허용 안 함 설정의 값을 사용으로 구성합니다.

잠재적 영향

사용자가 추가 기능을 사용 또는 사용하지 않도록 허용 안 함 설정을 사용하는 경우 사용자는 고유한 Internet Explorer 추가 기능을 사용하거나 사용할 수 없도록 설정할 수 없습니다. 조직에서 추가 기능을 사용하는 경우 이 구성을 사용하면 추가 기능의 작동에 영향을 줄 수 있습니다.

Internet Explorer\인터넷 제어판\보안 페이지

그룹 정책 개체 편집기의 다음 위치에서 Internet Explorer 보안 페이지 그룹 정책 설정을 구성할 수 있습니다.

컴퓨터 구성\관리 템플릿\Windows 구성 요소\ Internet Explorer\인터넷 제어판\보안 페이지

보안 페이지의 전체 개별 정책 설정은 Windows XP 및 Windows Server 2003 도움말 시스템과 Microsoft 웹 사이트에서 확인할 수 있습니다. 그러므로 이 설명서에서는 해당 정보를 반복 설명하지 않습니다. 다음과 같은 일반 지침을 고려하십시오.

보안 문제

사용자가 Internet Explorer에서 보안 설정을 고유하게 구성하도록 허용하면 악의적인 소프트웨어(맬웨어)에 대한 보안 위험이 높아질 수 있습니다. 또한 사용자가 현재 적용되어 있는 조직의 표준 보안 정책을 사용하지 않을 수 있습니다.

대책

그룹 정책의 Internet Explorer\인터넷 제어판\보안 페이지 노드에 있는 설정을 사용하여 보안 영역 및 보안 영역 관련 동작에 대해 적절한 값을 구성합니다.

잠재적 영향

Windows XP SP2 및 Windows Server 2003 SP1에는 사용자 환경 전체에서 Internet Explorer 영역 구성을 보호할 수 있도록 하는 여러 가지 새로운 정책 설정이 도입되었습니다. 이러한 정책 설정의 기본값을 사용하면 이전 버전의 Windows에 비해 향상된 보안을 적용할 수 있습니다. 그러나 사용 중인 환경에 따라 이러한 정책 설정을 사용자 지정해야 하는 경우도 있습니다. 예를 들어 신뢰할 수 있는 사이트 영역에 비즈니스 파트너 또는 공급업체를 추가하고 사용자가 영역 목록을 직접 변경할 수 없도록 하려는 경우가 있습니다.

Internet Explorer\인터넷 제어판\고급 페이지

이 관리 템플릿 부분의 설정은 Internet Explorer의 인터넷 옵션 대화 상자에 있는 고급 탭에서 사용 가능한 설정에 해당합니다.

다음 두 가지 정책 설정은 Windows Server 2003 SP1 및 Windows XP SP2에서 모두 사용 가능합니다.

소프트웨어의 서명이 올바르지 않더라도 실행 또는 설치하도록 허용

이 정책 설정을 사용하면 다운로드한 소프트웨어의 서명이 올바르지 않은 경우에도 사용자가 설치 또는 실행할 수 있는지 여부를 관리할 수 있습니다. 서명이 잘못된 파일은 누군가에 의해 무단으로 변경되었을 수 있습니다. 이 정책 설정을 사용하면 사용자에게 서명이 잘못된 파일을 설치 또는 실행할 것인지를 묻는 메시지가 표시됩니다. 이 정책 설정을 사용하지 않으면 사용자가 서명이 잘못된 파일을 설치 또는 실행할 수 없습니다.

소프트웨어의 서명이 올바르지 않더라도 실행 또는 설치하도록 허용 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용

  • 사용 안 함

  • 구성되지 않음

보안 문제

Microsoft ActiveX 컨트롤 및 파일 다운로드에는 보통 해당 파일의 무결성과 소프트웨어 서명자(작성자)의 신원을 확인하는 디지털 서명이 첨부되어 있습니다. 이러한 서명을 통해 수정되지 않은 상태의 소프트웨어를 다운로드했으며 서명자를 제대로 식별했는지 확인할 수 있으므로 해당 서명자를 신뢰하여 소프트웨어를 실행할 수 있는지 여부를 결정할 수 있습니다. 서명되지 않은 코드는 유효성을 확신할 수 없습니다.

대책

소프트웨어의 서명이 올바르지 않더라도 실행 또는 설치하도록 허용 설정을 사용 안 함으로 구성하여 사용자가 서명되지 않은 ActiveX 구성 요소를 실행할 수 없도록 합니다.

잠재적 영향

일부 합법적인 소프트웨어 및 컨트롤에도 잘못된 서명이 첨부되어 있을 수 있습니다. 이러한 소프트웨어는 조직 네트워크에서 사용할 수 있도록 허용하기 전에 독립된 환경에서 철저하게 테스트해야 합니다.

CD의 액티브 콘텐트를 사용자 컴퓨터에서 실행하도록 허용

이 정책 설정을 사용하면 CD의 액티브 콘텐트를 사용자 컴퓨터에서 실행할 수 있는지 여부를 결정할 수 있습니다. 보안을 중요하게 생각하는 조직에서는 CD로 제공되는 ActiveX 컨트롤이나 다른 액티브 콘텐트를 실행하지 못하도록 설정하고자 할 수 있습니다.

CD의 액티브 콘텐트를 사용자 컴퓨터에서 실행하도록 허용 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용

  • 사용 안 함

  • 구성되지 않음

보안 문제

사용자가 네트워크가 아닌 CD로 제공되는 콘텐츠를 실행하는 경우 실수로 조직의 보안 정책을 위반할 수 있습니다.

대책

CD의 액티브 콘텐트를 사용자 컴퓨터에서 실행하도록 허용 설정을 사용 안 함으로 구성할 수 있습니다. 이렇게 구성하면 CD에 저장된 액티브 콘텐트를 실행할 수 없습니다.

잠재적 영향

이 정책 설정을 사용하면 CD에서 설치해야 하는 응용 프로그램의 경우 사용자가 작업을 수행해야 제대로 작동합니다.

타사 브라우저 확장 허용

이 정책 설정은 Windows Server 2003에서만 사용 가능합니다.

사용자가 BHO(브라우저 도우미 개체)라는 타사 브라우저 확장을 설치하는 경우가 있습니다. 타사 브라우저 확장 허용 설정은 Internet Explorer가 시작될 때 설치된 BHO가 로드되는지 여부를 제어합니다.

타사 브라우저 확장 허용 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용

  • 사용 안 함

  • 구성되지 않음

보안 문제

타사 브라우저 확장은 보안 문제를 일으킬 수 있거나 악성 코드를 포함하는 경우가 있으므로 위험할 수도 있습니다. 또한 타사 브라우저 확장을 설치하면 조직 보안 정책을 위반하게 될 수 있습니다.

대책

타사 브라우저 확장 허용 설정을 사용 안 함으로 구성합니다.

잠재적 영향

타사 브라우저 확장 허용 설정을 사용 안 함으로 구성해도 사용자가 타사 브라우저 확장을 설치할 수는 있지만 Internet Explorer가 시작될 때 이러한 확장이 로드되지 않습니다. 이러한 구성을 사용하면 사용자 워크플로가 손상되거나 지원 센터에 도움을 요청해야 할 수도 있습니다.

서버 인증서 해지 확인

이 정책 설정은 Windows Server 2003에서만 사용 가능합니다.

브라우저와 원격 서버 간에 SSL(Secure Sockets Layer) 연결을 설정하면 서버에서는 초기 보안 협상에 사용할 인증서를 클라이언트 컴퓨터에 제공합니다. 서버 인증서 해지 확인 설정을 사용하는 경우 Internet Explorer에서는 서버에서 제공한 인증서가 발급 기관의 인증서 해지 목록에 있는지를 확인합니다.

서버 인증서 해지 확인 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용

  • 사용 안 함

  • 구성되지 않음

보안 문제

사용자가 인증서가 만료되었거나 발급 기관에 의해 해지된 서버와 실수로 통신할 수 있습니다. 이를 통해 원격 서버가 손상되면 정보가 노출되거나 활성 공격이 실행될 수 있습니다.

대책

서버 인증서 해지 확인 설정을 사용으로 구성합니다.

잠재적 영향

서버 인증서 해지 확인 설정을 사용하면 이전에 신뢰할 수 있는 것으로 생각했던 사이트에 대한 경고가 표시될 수 있습니다. 교육을 통해 사용자가 인터넷을 탐색할 때 신뢰할 수 있는 사이트를 올바르게 결정할 수 있도록 해야 합니다.

다운로드하는 프로그램의 서명 확인

이 정책 설정은 Windows Server 2003에서만 사용 가능합니다.

다운로드하는 프로그램에는 Microsoft Authenticode 기술을 통한 서명이 적용되어 있을 수 있습니다. 이러한 서명은 디지털 서명을 프로그램 및 ActiveX 컨트롤 같은 실행 가능한 개체로 바인딩합니다. 다운로드하는 프로그램의 서명 확인 설정을 사용하는 경우 Internet Explorer에서는 실행 프로그램의 디지털 서명을 확인하여 해당 ID를 표시한 후에 프로그램을 다운로드합니다.

다운로드하는 프로그램의 서명 확인 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용

  • 사용 안 함

  • 구성되지 않음

보안 문제

사용자가 적절하지 못한 콘텐츠나 악성 콘텐츠를 실수로 다운로드할 수 있습니다.

대책

다운로드하는 프로그램의 서명 확인 설정을 사용으로 구성합니다.

잠재적 영향

다운로드하는 프로그램의 서명 확인 설정을 사용하면 사용자가 서명된 실행 프로그램에 대한 정보를 식별할 수 있습니다.

암호화된 페이지를 디스크에 저장 안 함

이 정책 설정은 Windows Server 2003에서만 사용 가능합니다.

Internet Explorer는 원격 서버에서 페이지를 검색할 때 임시 파일 캐시에 해당 페이지를 저장합니다. 이 기능을 통해 성능이 향상되며 호스트에 다시 연결하지 않아도 탐색 기록 목록에서 앞뒤로 이동할 수 있습니다.

암호화된 페이지를 디스크에 저장 안 함 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용

  • 사용 안 함

  • 구성되지 않음

보안 문제

SSL 보안 연결의 캐시된 페이지에는 암호나 신용 카드 번호 같은 중요한 정보가 들어 있을 수 있습니다.

대책

암호화된 페이지를 디스크에 저장 안 함 설정을 사용으로 구성합니다.

잠재적 영향

SSL 연결을 통해 검색되는 페이지가 캐시되지 않습니다. 이렇게 구성하는 경우 이 정책 설정을 적용하지 않으면 캐시되는 페이지를 사용자 브라우저에서 다시 다운로드하기 때문에 네트워크 대역폭 사용량이 늘어납니다.

브라우저를 닫을 때 임시 인터넷 파일 폴더 비우기

이 정책 설정은 Windows Server 2003에서만 사용 가능합니다.

Internet Explorer에서 검색하는 페이지는 해당 임시 파일 캐시에 저장됩니다. Internet Explorer는 임시 인터넷 파일 설정 대화 상자의 설정에 따라 이 캐시를 관리합니다. 파일이나 개체는 다운로드된 후에 Internet Explorer에서 제거할 때까지 캐시에 유지됩니다.

브라우저를 닫을 때 임시 인터넷 파일 폴더 비우기 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용

  • 사용 안 함

  • 구성되지 않음

보안 문제

사용자가 Internet Explorer를 종료하고 로그오프한 후에도 중요한 정보가 \Temporary Internet Files 폴더에 남아 있을 수 있습니다. 그러면 같은 컴퓨터를 사용하는 다른 사용자가 해당 파일에 액세스할 수 있게 됩니다.

대책

브라우저를 닫을 때 임시 인터넷 파일 폴더 비우기 설정을 사용으로 구성합니다.

잠재적 영향

Internet Explorer에서는 \Temporary Internet Files 폴더를 캐시로 사용하여 브라우저 성능을 향상시킵니다. 이 기능을 사용하지 않으면 사용자가 웹을 탐색하는 데 필요한 시간 및 대역폭이 증가할 수 있습니다.

Internet Explorer\보안 기능

Windows 관리 템플릿의 Computer Configuration컴퓨터 구성\관리 템플릿\Windows 구성 요소\Internet Explorer\보안 기능 부분에는 Windows Server 2003 SP1 및 Windows XP SP2의 Internet Explorer 6.0에 추가된 다양한 보안 기능을 제어하는 여러 가지 정책 설정이 포함되어 있습니다. 이러한 각 정책 설정에는 다음과 같은 세 가지 하위 설정이 있습니다.

  • Internet Explorer 프로세스: 이 설정에는 사용, 사용 안 함구성되지 않음의 세 가지 값 중 하나를 사용할 수 있습니다. 이 설정을 사용하는 경우 Internet Explorer 및 Windows 탐색기 프로세스에 대해 특정 동작이 해제됩니다. 이 설정을 사용 안 함 또는 구성되지 않음으로 구성하면 기본 동작(각 설정에 대해 별도로 설명함)이 계속 적용됩니다.

  • 프로세스 목록: 이 설정을 사용하여 보안 기능을 사용하거나 사용하지 않도록 설정할 개별 프로세스를 지정할 수 있습니다. 프로세스 목록은 기능 컨트롤이 적용되는 프로세스를 제어합니다. 설정의 값을 1로 지정하면 해당 프로세스에 대해 기능을 사용할 수 없으며 값을 0으로 지정하면 해당 프로세스에 대해 기능을 사용할 수 있습니다.

  • 모든 프로세스: 이 설정에는 사용, 사용 안 함구성되지 않음의 세 가지 값 중 하나를 사용할 수 있습니다. 이 설정을 사용하는 경우 Internet Explorer 및 Windows 탐색기 프로세스에 대해 특정 동작이 해제됩니다. 이 설정을 사용 안 함 또는 구성되지 않음으로 구성하면 기본 동작(각 설정에 대해 별도로 설명함)이 계속 적용됩니다.

바이너리 동작 보안 제한

Internet Explorer에는 연결된 HTML 요소의 특정 기능을 캡슐화하는 구성 요소인 동적 바이너리 동작이 포함되어 있습니다. 이러한 바이너리 동작은 Internet Explorer 보안 설정에 의해 제어되지 않으므로 제한된 사이트 영역의 웹 페이지에서도 동작합니다.

Windows XP SP2 및 Windows Server 2003 SP1에는 이러한 바이너리 동작을 위한 새로운 Internet Explorer 보안 설정이 도입되었습니다. 이 새로운 보안 설정을 구성하면 제한된 사이트 영역의 바이너리 동작을 기본적으로 사용할 수 없으며 Internet Explorer 바이너리 동작의 보안 문제가 전반적으로 완화됩니다.

앞에서 설명한 Internet Explorer 프로세스, 프로세스 목록모든 프로세스 설정을 비롯하여 바이너리 동작 보안 제한 설정을 사용하면 관리자가 허용한 기능 설정이 포함된 개별 동작을 허용할 수 있습니다. 이러한 바이너리 및 스크립트 동작을 제어하기 위해 이제는 해당 영역을 관리자 허용으로 설정한 다음 이 설정을 사용하여 각 영역에서 실행할 수 있는 개별 동작을 지정할 수 있습니다.

보안 문제

웹 페이지에 의해 제대로 작성되지 않은 동작이나 악의적인 동작이 실행되어 시스템 안정성이 떨어지거나 시스템이 손상될 수 있습니다.

대책

바이너리 동작을 완전히 사용할 수 없도록 구성합니다. 또는 관리자가 허용한 기능 설정이 포함된 허용 동작 집합을 지정할 수도 있습니다.

잠재적 영향

바이너리 동작을 사용할 수 없도록 설정하면 해당 동작을 사용하는 응용 프로그램이 제대로 작동하지 않을 수 있습니다.

MK 프로토콜 보안 제한

이 정책 설정은 거의 사용하지 않는 MK 프로토콜을 차단하여 컴퓨터에서 공격을 받을 수 있는 영역을 줄입니다. 일부 이전 버전의 웹 응용 프로그램에서는 MK 프로토콜을 사용하여 압축된 파일의 정보를 검색합니다.

보안 문제

MK 프로토콜 처리기나 해당 처리기를 호출하는 응용 프로그램에 보안 문제가 있을 수 있습니다.

대책

현재 MK 프로토콜은 널리 사용되지 않으므로 필요하지 않을 때는 항상 차단해야 합니다. 모든 프로세스에 대해 MK 프로토콜 액세스를 사용할 수 없도록 설정하십시오.

잠재적 영향

이 설정을 배포하면 MK 프로토콜을 사용하는 리소스에 오류가 발생하므로 MK 프로토콜을 사용하는 응용 프로그램이 없는지 확인해야 합니다.

로컬 컴퓨터 영역 잠금 보안

Internet Explorer에서는 웹 페이지를 열 때 페이지가 속하는 Internet Explorer 보안 영역을 기반으로 하여 페이지가 수행할 수 있는 작업에 제한을 적용합니다. 여러 가지 보안 영역이 있으며 각 영역의 제한 집합은 서로 다릅니다. 페이지의 보안 영역은 해당 위치에 따라 결정됩니다. 예를 들어 인터넷에 있는 페이지는 보통 보다 많은 제한이 적용되는 인터넷 보안 영역에 속합니다. 이러한 페이지에서는 로컬 하드 드라이브 액세스 등 일부 작업을 수행할 수 없습니다. 조직 네트워크에 있는 페이지는 보통 인트라넷 보안 영역에 속하며 제한이 보다 적게 적용됩니다. 이러한 영역 대부분과 관련된 정확한 제한은 Internet Explorer의 도구 메뉴에 있는 인터넷 옵션을 통해 사용자가 구성할 수 있습니다.

Windows XP SP2 및 Windows Server 2003 SP1 이전 버전에서는 Internet Explorer에서 캐시하는 콘텐츠를 제외한 로컬 파일 시스템의 콘텐츠가 안전한 것으로 간주되어 로컬 컴퓨터 보안 영역에 할당되었습니다. 이 보안 영역의 콘텐츠는 보통 상대적으로 적은 제한이 적용된 상태로 Internet Explorer에서 실행할 수 있었습니다. 그러나 서비스 팩이 출시되면서 이제 Internet Explorer의 기본 구성에서는 로컬 컴퓨터 영역을 잠그기 때문에 사용자에게 추가적인 보호 수단이 제공됩니다.

보안 문제

공격자가 로컬 컴퓨터 영역을 통해 권한 수준을 높여 컴퓨터를 손상시키는 경우가 많습니다. 로컬 컴퓨터 영역과 관련된 대부분의 악용 사례는 Windows XP SP2에서 Internet Explorer의 기타 변경 내용에 의해 완화되었으며 이러한 변경 내용은 Windows Server 2003 SP1의 Internet Explorer에 통합되었습니다. 그러나 공격자는 여전히 로컬 컴퓨터 영역을 악용할 방법을 찾아낼 가능성이 있습니다.

대책

로컬 컴퓨터 영역 잠금 보안 설정을 사용으로 구성합니다.

잠재적 영향

로컬 컴퓨터 영역 잠금 보안 설정을 사용으로 구성하는 경우 로컬 HTML을 사용하는 Internet Explorer 기반 응용 프로그램이 제대로 작동하지 않을 수 있습니다. 다른 응용 프로그램에서 호스팅하는 로컬 HTML은 해당 응용 프로그램이 로컬 컴퓨터 영역 잠금을 사용하는 경우가 아니면 Internet Explorer의 이전 버전에서 사용되는 로컬 컴퓨터 영역의 보다 제한이 적은 설정에서도 실행됩니다.

일관성 있는 MIME 핸들링

Internet Explorer에서는 MIME(Multipurpose Internet Mail Extensions) 데이터를 사용하여 웹 서버에서 다운로드한 파일을 처리할 방법을 결정합니다. 일관성 있는 MIME 핸들링 설정은 Internet Explorer를 사용할 때 웹 서버에서 제공되는 모든 파일 형식 정보에 일관성이 있어야 하는지 여부를 결정합니다. 예를 들어 MIME 유형의 파일이 일반 텍스트이지만 MIME 데이터에서는 해당 파일이 실제로는 실행 파일인 것으로 나타나는 경우 Internet Explorer에서는 해당 확장명을 변경하여 이러한 실행 가능 상태가 반영되도록 합니다. 이 기능을 사용하면 실행 코드가 신뢰할 수 있는 다른 데이터 형식으로 가장하지 못하도록 할 수 있습니다.

이 정책 설정을 사용하는 경우 Internet Explorer에서는 받은 파일을 모두 검사하여 해당 파일에 대해 일관성 있는 MIME 데이터를 적용합니다. 이 정책 설정을 사용할 수 없도록 설정하거나 구성하지 않으면 Internet Explorer를 사용할 때 모든 받은 파일에 대해 일관성 있는 MIME 데이터가 필요하지 않으며 파일이 제공하는 MIME 데이터가 사용됩니다.

참고: 이 설정은 MIME 검색 안전 기능 설정과 함께 작동하지만 이 설정을 대체하지는 않습니다.

보안 문제

악의적인 웹 서버에서는 실행할 수 없는 MIME 형식을 사용하여 실행 가능한 콘텐츠를 제공함으로써 이러한 콘텐츠를 여는 사용자를 속여 해당 콘텐츠를 실행하도록 할 수 있습니다.

대책

일관성 있는 MIME 핸들링 설정을 사용 으로 구성합니다.

잠재적 영향

서버에서 잘못된 MIME 형식 정보를 제공하는 경우 이 설정을 사용하면 서버를 통해 다운로드한 MIME 형식 개체를 올바르게 설정하는 응용 프로그램에 오류가 발생할 수 있습니다.

MIME 검색 안전 기능

MIME 검색은 MIME 파일의 콘텐츠를 확인하여 파일이 데이터 파일인지, 실행 파일인지, 다른 형식의 파일인지 등의 해당 컨텍스트를 결정하는 프로세스를 일컫는 용어입니다. 이 정책 설정은 Internet Explorer MIME 검색을 통해 특정 형식의 파일을 보다 위험한 파일 형식으로 승격할 수 없도록 할 것인지 여부를 결정합니다. 이 정책 설정을 사용하면 MIME 검색 과정에서 특정 형식의 파일이 보다 위험한 파일 형식으로 승격되지 않습니다. 이 정책 설정을 사용 안 함으로 구성하면 Internet Explorer 프로세스에서는 특정 파일 형식을 보다 위험한 파일 형식으로 승격하는 MIME 검색을 허용합니다. 예를 들어 텍스트 파일을 실행 파일로 승격하면 위험할 수 있습니다. 원래 텍스트 파일의 코드가 실행될 수 있기 때문입니다.

보안 문제

악의적인 웹 사이트에서는 안전함을 나타내는 MIME 레이블이 있는 특정 형식의 콘텐츠를 제공할 수 있습니다.

대책

모든 프로세스MIME 검색 안전 기능 설정을 사용으로 구성합니다.

잠재적 영향

이 정책 설정을 사용하면 올바른 작동을 위해 레이블이 잘못된 MIME 유형을 사용하는 응용 프로그램이 중단됩니다.

개체 캐싱 보호

이전 버전의 Internet Explorer에서는 웹 페이지가 다른 웹 사이트에서 캐시된 개체를 참조할 수 있었습니다. 개체 캐싱 보호 설정을 사용하면 이러한 방식으로 캐시된 개체를 참조하지 못하도록 할 수 있습니다.

보안 문제

악의적인 서버에서는 사용자 컴퓨터에 개체를 다운로드한 다음 다른 Internet Explorer 영역에 있는 다른 사이트의 코드를 통해 해당 개체를 활성화할 수 있습니다. 예를 들어 공격자는 이 방법을 사용하여 이벤트 또는 다른 프레임의 콘텐츠, 즉 다른 프레임에 입력한 신용 카드 번호나 기타 중요한 데이터 같은 콘텐츠를 수신 대기하는 스크립트를 작성할 수 있습니다.

대책

Internet Explorer 프로세스개체 캐싱 보호사용으로 구성합니다.

잠재적 영향

올바르게 작성한 응용 프로그램은 상호 도메인 개체 액세스를 사용하지 않습니다. 이러한 응용 프로그램은 이 정책 설정을 사용하는 경우 작동하지 않습니다.

Window 스크립트 보안 제한

Internet Explorer에서는 스크립트가 여러 유형의 창을 프로그래밍 방식으로 열거나 크기를 바꾸거나 위치를 변경할 수 있도록 합니다. Window 스크립트 보안 제한 설정을 사용하면 팝업 창 표시가 제한되며 제목 및 상태 표시줄에 사용자에게 표시되지 않거나 다른 창의 제목 및 상태 표시줄을 숨기는 창이 표시되지 않도록 합니다. 이 정책 설정을 사용하는 경우 Windows 탐색기 및 Internet Explorer 프로세스에 대해 이러한 제한이 적용됩니다. 이 정책 설정을 사용할 수 없도록 설정하거나 구성하지 않으면 스크립트가 팝업 창 및 다른 창을 숨기는 창을 계속 작성할 수 있습니다.

Internet Explorer 팝업 창을 제어하는 타사 도구도 많이 있습니다. 이러한 도구는 대부분 이 설정과 비슷한 방식으로 팝업 창을 제한합니다. 타사 팝업 차단 프로그램은 보통 이 설정에 영향을 주지 않으며 이 설정 또한 이러한 차단 프로그램에 영향을 주지 않습니다.

보안 문제

악의적인 웹 사이트는 창의 크기를 변경하여 다른 창을 숨기거나 사용자가 악성 코드를 포함하는 창에서 작업을 수행하도록 합니다.

대책

Internet Explorer 프로세스Windows 스크립트 보안 제한 설정을 사용으로 구성합니다.

잠재적 영향

이 설정을 적용하면 창의 크기를 변경하거나 크기를 지정해야 하는 웹 응용 프로그램이 제대로 작동하지 않습니다.

영역 수준에 따른 보호

Internet Explorer에서는 여는 각 웹 페이지에 대해 해당 웹 페이지 위치(예: 인터넷 영역, 인트라넷 영역, 로컬 컴퓨터 영역 등)에 따른 제한을 적용합니다. 로컬 컴퓨터의 웹 페이지는 가장 적은 보안 제한이 적용되며 로컬 컴퓨터 영역에 위치하므로 로컬 컴퓨터 보안 영역은 악의적인 공격자들의 주요 공격 대상이 됩니다.

Internet Explorer 프로세스 - 영역 수준에 따른 보호 설정을 사용하는 경우 모든 영역을 Internet Explorer의 영역 수준에 따라 보호할 수 있습니다. 이 방법을 사용하면 특정 영역에서 실행되는 콘텐츠가 다른 영역에서 보다 높은 수준의 권한을 얻을 수 없습니다.

보안 문제

악의적인 웹 페이지가 현재 속해 있는 영역에서 보다 권한이 높은 다른 영역으로 수준을 이동하려 할 수 있습니다.

대책

Internet Explorer 프로세스영역 수준에 따른 보호 설정을 사용으로 구성합니다.

잠재적 영향

없음:

ActiveX 설치 제한

이 설정을 사용하면 Internet Explorer 프로세스에 대해 ActiveX 컨트롤 설치 프롬프트를 차단할 수 있습니다. 이 정책 설정을 사용하는 경우 페이지에 수동으로 설치해야 하는 ActiveX 컨트롤이 포함되어 있는 경우 사용자에게 해당 컨트롤에 대한 메시지가 표시되지 않으며 사용자는 웹 페이지에서 컨트롤을 설치할 수 없습니다. 이 정책 설정을 사용하지 않으면 ActiveX 컨트롤 설치 프롬프트가 차단되지 않습니다.

보안 문제

사용자가 조직의 보안 정책에서 허용되지 않는 ActiveX 컨트롤 같은 소프트웨어를 설치하는 경우가 많습니다. 이러한 소프트웨어를 설치하는 경우 네트워크에 심각한 보안 및 개인 정보 보호 관련 위험 상황이 발생할 수 있습니다.

대책

Internet Explorer 프로세스ActiveX 설치 제한 설정을 사용으로 구성합니다.

잠재적 영향

이 정책 설정을 사용하는 경우 사용자가 Windows Update에서 사용되는 컨트롤 같은 인증된 합법적인 ActiveX 컨트롤을 설치할 수 없게 됩니다. 그러므로 이 정책 설정을 사용하는 경우에는 WSUS(Windows Server Update Services) 같은 보안 업데이트를 배포할 수 있는 대체 방법을 구현해야 합니다. WSUS에 대한 자세한 내용은 www.microsoft.com/korea/windowsserversystem/updateservices/evaluation/overview.mspx의 Windows Server Update Services Product Overview(Windows Server Update Services 제품 개요)를 참조하십시오.

파일 다운로드 제한

파일 다운로드 제한 설정을 사용하는 경우 사용자가 시작하지 않은 파일 다운로드 프롬프트가 Internet Explorer 프로세스에 대해 차단됩니다.

보안 문제

특정 상황에서는 사용자의 작업이 없는 경우에도 웹 사이트에서 자동으로 파일 다운로드 프롬프트가 시작될 수 있습니다. 이 기술을 통해 웹 사이트에서는 사용자가 잘못된 단추를 클릭하여 다운로드를 수락하는 경우 인증되지 않은 파일을 사용자 컴퓨터에 설치할 수 있습니다.

대책

Internet Explorer 프로세스파일 다운로드 제한 설정을 사용 으로 구성합니다.

잠재적 영향

없음: 사용자가 요청하지 않는 경우 웹 사이트는 사용자의 워크스테이션에 파일을 전송할 수 없습니다.

추가 기능 관리

이 정책 설정을 추가 기능 목록 설정과 함께 사용하여 Internet Explorer 추가 기능을 제어할 수 있습니다. 기본적으로 추가 기능 목록 설정은 그룹 정책을 통해 허용 또는 거부할 추가 기능 목록을 정의합니다. 추가 기능 목록에 허용되도록 지정된 추가 기능 외에 다른 모든 추가 기능을 거부 설정을 사용하면 추가 기능 목록 설정에 구체적으로 포함되어 있는 추가 기능이 아닌 모든 추가 기능을 거부하도록 할 수 있습니다.

이 정책 설정을 사용하는 경우 Internet Explorer에서는 추가 기능 목록을 통해 구체적으로 포함 및 허용하는 추가 기능만을 허용합니다. 이 설정을 사용하지 않으면 사용자는 추가 기능 관리자를 사용하여 추가 기능을 허용 또는 거부할 수 있습니다.

추가 기능 목록에 허용되도록 지정된 추가 기능 외에 다른 모든 추가 기능을 거부추가 기능 목록 설정을 모두 사용하여 사용자 환경에서 사용할 수 있는 추가 기능을 제어해야 합니다. 이 방법을 사용하면 인증된 추가 기능만을 사용할 수 있습니다.

보안 문제

올바르게 작성되지 않은 추가 기능 또는 악성 추가 기능으로 인해 사용자 컴퓨터의 성능이 떨어지거나 컴퓨터 자체가 손상될 수 있습니다.

대책

추가 기능 목록 설정을 사용자가 액세스할 수 있어야 하는 신뢰할 수 있는 Internet Explorer 추가 기능 목록으로 구성합니다. 그런 다음 추가 기능 목록에 허용되도록 지정된 추가 기능 외에 다른 모든 추가 기능을 거부사용으로 구성합니다.

잠재적 영향

추가 기능 목록에 허용되도록 지정된 추가 기능 외에 다른 모든 추가 기능을 거부 설정을 사용으로 구성하면 사용자가 원하는 추가 기능을 설치 또는 구성할 수 없게 됩니다.

네트워크 프로토콜 잠금

Windows Server 2003 SP1 및 Windows XP SP2에는 특정 네트워크 프로토콜을 통해 다운로드한 활성 콘텐츠를 실행할 수 없도록 하는 관리자 기능이 추가되었습니다. 관리자는 네트워크 프로토콜 잠금 설정에서 HTTP 및 HTTPS를 포함한 개별 프로토콜을 지정하여 활성 콘텐츠를 가져오는 데 사용할 수 있는 프로토콜을 제어

보안 문제

사용자가 신뢰할 수 없는 원본의 악성 콘텐츠를 다운로드하여 실행할 수 있습니다.

대책

보안 영역별 제한된 프로토콜 설정을 사용하여 각 영역의 콘텐츠를 다운로드하는 데 사용할 수 있는 프로토콜을 정의합니다. 그런 다음 Internet Explorer 프로세스네트워크 프로토콜 잠금 설정을 사용으로 구성합니다.

잠재적 영향

영역별 컨트롤이 설정되어 있는 경우 사용자는 활성 콘텐츠가 포함된 응용 프로그램을 실행하거나 페이지를 사용할 수 없습니다. 각 영역의 응용 프로그램을 철저하게 테스트하여 프로토콜 잠금을 사용할 때 해당 응용 프로그램이 제대로 작동하는지 확인해야 합니다.

인터넷 정보 서비스

Windows Server 2003 기본 제공 웹 서버인 Microsoft IIS(인터넷 정보 서비스) 6.0을 사용하면 회사 인트라넷 및 인터넷으로 문서와 정보를 쉽게 공유할 수 있습니다. 그룹 정책 개체 편집기의 다음 위치에서 IIS 설정을 구성할 수 있습니다.

컴퓨터 구성\관리 템플릿\Windows 구성 요소\ 인터넷 정보 서비스

IIS 설치 금지

IIS 6.0은 Windows Server 2003에 기본적으로 설치되지 않습니다. IIS 설치 금지 설정을 사용하면 사용자 환경의 컴퓨터에 IIS를 설치할 수 없습니다.

IIS 설치 금지 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용

  • 사용 안 함

  • 구성되지 않음

보안 문제

이전 버전의 IIS 및 이 IIS를 사용하여 네트워크에 액세스하는 응용 프로그램에는 심각한 보안 문제가 있으므로 원격으로 악용될 수 있습니다. IIS 6.0은 이전 버전보다 보안이 훨씬 더 강화되었지만 여전히 확인 및 공개해야 할 새로운 보안 문제가 있을 수 있습니다. 따라서 조직에서는 웹 서버로 지정한 컴퓨터 이외의 다른 컴퓨터에 IIS를 설치하지 못하도록 할 수 있습니다.

대책

IIS 설치 금지 설정을 사용으로 구성합니다.

잠재적 영향

IIS가 필요한 Windows 구성 요소나 응용 프로그램을 설치하지 못할 수 있습니다. IIS를 필요로 하는 Windows 구성 요소나 응용 프로그램을 설치하는 사용자에게 이 그룹 정책 설정 때문에 IIS를 설치할 수 없다는 오류 메시지나 경고가 나타나지 않을 수 있습니다. IIS가 이미 설치된 컴퓨터에서는 이 정책 설정을 사용해도 아무런 영향이 없습니다.

터미널 서비스

Windows Server 2003의 터미널 서비스 구성 요소는 Windows 2000 터미널 서비스의 응용 프로그램 서버 모드에서 제공하는 강력한 토대를 기반으로 구축되었으며 현재는 Windows XP의 새로운 클라이언트 및 프로토콜 기능까지 포함합니다. 터미널 서비스를 사용하면 Windows를 실행할 수 없는 장치를 비롯한 거의 모든 컴퓨팅 장치에서 Windows 기반 응용 프로그램이나 Windows 데스크톱 자체를 사용할 수 있습니다.

Windows Server 2003의 터미널 서비스는 응용 프로그램 및 관리 인프라의 유연성을 높여 주므로 조직에서 수행하는 다양한 시나리오에서 엔터프라이즈 소프트웨어 배포 기능을 개선할 수 있습니다. 사용자가 터미널 서버에서 응용 프로그램을 실행하면 응용 프로그램은 서버에서 실행되고 키보드, 마우스 및 디스플레이 정보만 네트워크를 통해 전송됩니다. 서버 운영 체제에서 자동으로 관리되는 사용자의 개별 세션만 각 사용자에게 표시됩니다. 이 세션은 다른 모든 클라이언트 세션에 대해 독립적입니다.

그룹 정책 개체 편집기의 다음 위치에서 터미널 서버 그룹 정책 설정을 구성할 수 있습니다.

컴퓨터 구성\관리 템플릿\Windows 구성 요소\ 터미널 서비스

콘솔 세션에 로그온한 관리자의 로그오프 거부

이 정책 설정은 서버의 콘솔에 로그온하려는 관리자가 현재 해당 콘솔에 로그온되어 있는 관리자를 로그오프시킬 수 있는지 여부를 지정합니다. 콘솔 세션은 세션 0이라고도 합니다. 콘솔에 액세스하려면 원격 데스크톱 연결의 컴퓨터 필드 이름이나 명령줄에서 /console 스위치를 사용합니다.

콘솔 세션에 로그온한 관리자의 로그오프 거부 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용

  • 사용 안 함

  • 구성되지 않음

콘솔 세션에 로그온한 관리자의 로그오프 거부 설정을 사용하는 경우 컴퓨터에 연결되어 있는 관리자를 로그오프시킬 수 없습니다. 이 정책 설정을 사용하지 않으면 관리자가 다른 관리자를 로그오프시킬 수 있습니다. 이 정책 설정을 구성하지 않으면 관리자가 다른 관리자를 로그오프시킬 수는 있지만 이 권한은 로컬 컴퓨터 정책 수준에서 해지될 수 있습니다.

이 정책은 현재 연결된 관리자를 다른 관리자가 로그오프시키지 못하도록 하려는 경우 유용합니다. 연결된 관리자가 로그오프하면 저장되지 않은 데이터는 손실됩니다.

보안 문제

터미널 서버 세션을 설정하고 관리 권한을 얻은 공격자는 세션 0 콘솔에서 서버에 로그온하려는 관리자를 강제로 로그오프시킴으로써 해당 컴퓨터에 대한 제어 권한을 다시 얻기 어렵도록 만들 수 있습니다. 이 경우 다른 사용자를 로그오프시킬 수 있는 권한을 얻은 공격자는 이미 컴퓨터를 완전히 제어할 수 있기 때문에 이 대책을 구현해도 큰 효과가 없습니다.

대책

콘솔 세션에 로그온한 관리자의 로그오프 거부 설정을 사용으로 구성합니다.

잠재적 영향

관리자가 세션 0 콘솔에서 다른 관리자를 강제로 로그오프시킬 수 없게 됩니다.

관리자의 권한 사용자 지정을 금지

이 정책 설정을 사용하면 TSCC(터미널 서비스 구성) 도구에서 관리자가 보안 권한을 사용자 지정하는 기능을 제어할 수 있습니다. 이 정책 설정을 사용하는 경우 관리자가 TSCC의 사용 권한 탭에서 사용자 그룹의 보안 설명자를 변경할 수 없게 됩니다. 기본 구성을 사용하는 경우 관리자는 해당 사항을 변경할 수 있습니다.

관리자의 권한 사용자 지정을 금지 설정을 사용하는 경우 TSCC의 사용 권한 탭을 사용하여 연결별 보안 설명자를 사용자 지정하거나 기존 그룹의 기본 보안 설명자를 변경할 수 없습니다. 모든 보안 설명자는 읽기 전용 상태가 됩니다. 이 설정을 사용할 수 없도록 설정하거나 구성하지 않으면 서버 관리자는 TSCC 사용 권한 탭의 사용자 보안 설명자에 대해 전체 읽기/쓰기 권한을 갖게 됩니다.

관리자의 권한 사용자 지정을 금지 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용

  • 사용 안 함

  • 구성되지 않음

참고: 사용자 액세스는 원격 데스크톱 사용자 그룹에 사용자를 추가하여 관리하는 것이 좋습니다.

보안 문제

터미널 서비스를 실행하는 서버에 대해 관리 권한을 획득한 공격자가 TSCC 도구로 권한을 수정하여 다른 사용자가 이 서버에 연결할 수 없게 함으로써 DoS 상황을 유발할 수 있습니다.

이 경우 관리 권한을 얻은 공격자는 이미 컴퓨터를 완전히 제어할 수 있기 때문에 이 대책을 구현해도 큰 효과가 없습니다.

대책

관리자의 권한 사용자 지정을 금지 설정을 사용으로 구성합니다.

잠재적 영향

TSCC의 사용 권한 탭을 사용하여 연결별 보안 설명자를 사용자 지정하거나 기존 그룹의 기본 보안 설명자를 변경할 수 없습니다.

터미널 서비스 사용자 세션의 원격 컨트롤 규칙을 설정

이 정책 설정은 터미널 서버 세션에서 허용되는 원격 제어 수준을 지정합니다. 원격 제어는 세션 사용자의 허가 여부에 관계없이 설정할 수 있습니다. 이 정책 설정을 사용하여 두 가지 수준의 원격 제어 중 하나를 선택할 수 있습니다. 세션 보기는 원격 제어 사용자가 세션을 볼 수 있도록 허용하고 모든 권한은 원격 제어 사용자가 세션과 대화형으로 작업할 수 있도록 허용합니다.

터미널 서비스 사용자 세션의 원격 컨트롤 규칙을 설정 설정을 사용하는 경우 관리자가 지정된 규칙에 따라 사용자의 터미널 서버 세션에서 원격으로 대화형 작업을 수행할 수 있습니다. 이러한 규칙을 설정하려면 옵션 목록에서 원하는 제어 수준과 사용 권한을 선택합니다. 원격 제어를 사용하지 않으려면 원격 제어를 사용하지 않음을 선택합니다. 이 정책 설정을 사용할 수 없도록 설정하거나 구성하지 않으면 서버 관리자가 TSCC 도구를 사용하여 원격 제어 규칙을 결정할 수 있습니다. 기본적으로 원격 제어 사용자는 세션 사용자가 허가하는 경우 모든 권한을 부여 받을 수 있습니다.

터미널 서비스 사용자 세션의 원격 컨트롤 규칙을 설정 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용(다음 옵션 사용):

    • 원격 제어를 사용하지 않음

    • 사용자의 허가에 따라 모든 권한 부여

    • 사용자의 허가 없이 모든 권한 부여

    • 사용자의 허가에 따라 세션 보기

    • 사용자의 허가 없이 세션 보기

  • 사용 안 함

  • 구성되지 않음

참고: 이 설정은 컴퓨터 구성 및 사용자 구성 노드에 모두 있습니다. 이 설정을 두 위치에서 모두 구성하는 경우 컴퓨터 구성 설정이 사용자 구성의 동일 설정보다 우선적으로 적용됩니다.

보안 문제

서버에 대한 관리 권한을 얻은 공격자가 터미널 서비스의 원격 제어 기능을 사용하여 다른 사용자의 작업을 볼 수 있습니다. 이로 인해 기밀 정보가 노출될 수 있습니다. 이 경우 관리 권한을 얻은 공격자는 이미 컴퓨터를 완전히 제어할 수 있기 때문에 이 대책을 구현해도 큰 효과가 없습니다.

대책

터미널 서비스 사용자 세션의 원격 컨트롤 규칙을 설정 설정을 사용으로 구성하고 원격 제어를 사용하지 않음 옵션을 선택합니다.

잠재적 영향

관리자가 다른 터미널 서비스 사용자를 지원하는 데 원격 제어 기능을 사용하지 못할 수 있습니다.

클라이언트\서버 데이터 리디렉션

터미널 서비스에서는 클라이언트 및 서버의 데이터와 리소스를 리디렉션할 수 있습니다. 예를 들어 서버 응용 프로그램에서 인쇄된 데이터가 클라이언트로 리디렉션되거나 클라이언트 클립보드를 서버 응용 프로그램에서 사용할 수 있습니다. 그룹 정책의 "클라이언트\서버 데이터 리디렉션" 섹션에 있는 설정을 사용하면 허용되는 리디렉션 유형을 사용자 지정할 수 있습니다.

그룹 정책 개체 편집기의 다음 위치에서 터미널 서버 데이터 리디렉션 설정을 구성할 수 있습니다.

컴퓨터 구성\관리 템플릿\Windows 구성 요소\ 터미널 서비스\클라이언트\서버 데이터 리디렉션

표준 시간대 리디렉션 허용

이 정책 설정은 클라이언트 컴퓨터에서 해당 표준 시간대 설정을 터미널 서버 세션으로 리디렉션하도록 허용할지 여부를 지정합니다. 기본적으로 세션 시간대는 서버 시간대와 동일하므로 클라이언트 컴퓨터의 표준 시간대 정보를 리디렉션할 수 없습니다.

표준 시간대 리디렉션 허용 설정을 사용하는 경우 표준 시간대를 리디렉션할 수 있는 클라이언트에서는 해당 표준 시간대 정보를 서버로 보낼 수 있습니다. 그런 다음 서버의 기준 시간을 사용하여 현재 세션 시간이 계산됩니다. 현재 세션 시간은 서버 기준 시간과 클라이언트 표준 시간대를 합한 것입니다. 현재 표준 시간대를 리디렉션할 수 있는 클라이언트는 원격 데스크톱 연결 및 Windows CE 5.1뿐입니다. 세션 0(콘솔 세션)에는 항상 서버 표준 시간대와 설정이 있습니다. 시스템 시간과 표준 시간대를 변경하려면 세션 0에 연결합니다.

표준 시간대 리디렉션 허용 설정을 사용하지 않는 경우 표준 시간대를 리디렉션할 수 없습니다. 이 정책 설정을 구성하지 않으면 표준 시간대 리디렉션이 그룹 정책 수준에서 지정되지 않고 표준 시간대 리디렉션의 기본 구성이 해제됩니다. 관리자가 이 정책 설정을 변경하면 새 설정에서 지정한 동작은 새 연결에만 표시됩니다. 변경하기 전에 시작된 세션의 경우에는 로그오프했다가 다시 연결해야 새 설정이 적용됩니다. 이 정책 설정을 변경한 다음에는 모든 사용자가 서버에서 로그오프하는 것이 좋습니다.

표준 시간대 리디렉션 허용 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용

  • 사용 안 함

  • 구성되지 않음

참고: 표준 시간대 리디렉션은 Windows Server 제품군 터미널 서버에 연결할 때만 사용할 수 있습니다.

보안 문제

사용자가 직접 작업을 수행하지 않아도 사용자의 터미널 서버 세션에서 사용자의 로컬 컴퓨터로 표준 시간대 데이터가 전달될 수 있습니다.

대책

표준 시간대 리디렉션 허용 설정을 사용 안 함으로 구성합니다.

잠재적 영향

표준 시간대를 리디렉션할 수 없습니다.

클립보드 리디렉션을 허용하지 않음

이 정책 설정은 터미널 서버 세션의 원격 컴퓨터와 클라이언트 컴퓨터 간에 클립보드 콘텐츠를 공유할 수 있는지 여부(클립보드 리디렉션)를 제어합니다. 이 설정을 사용하여 원격 컴퓨터와 로컬 컴퓨터 간에 클립보드의 데이터를 리디렉션하지 못하게 할 수 있습니다. 기본적으로 터미널 서비스는 이 클립보드 리디렉션을 허용합니다.

클립보드 리디렉션을 허용하지 않음 설정을 사용하는 경우 사용자가 클립보드 데이터를 리디렉션할 수 없습니다. 이 정책 설정을 사용하지 않으면 터미널 서비스에서 항상 클립보드 리디렉션을 허용합니다. 이 정책 설정을 구성하지 않으면 클립보드 리디렉션이 그룹 정책 수준에서 지정되지 않습니다. 그러나 관리자가 TSCC 도구를 사용하여 클립보드 리디렉션을 사용하지 않도록 설정할 수 있습니다.

클립보드 리디렉션을 허용하지 않음 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용

  • 사용 안 함

  • 구성되지 않음

보안 문제

사용자가 직접 작업을 수행하지 않아도 사용자의 터미널 서버 세션에서 사용자의 로컬 컴퓨터로 데이터가 전달될 수 있습니다.

대책

클립보드 리디렉션을 허용하지 않음 설정을사용으로 구성합니다.

잠재적 영향

클립보드를 리디렉션할 수 없습니다.

오디오 리디렉션 허용

이 정책 설정은 사용자가 터미널 서버 세션 중에 원격 컴퓨터의 오디오 출력을 재생할 위치를 선택할 수 있는지 여부를 지정합니다. 사용자는 원격 데스크톱 연결의 로컬 리소스 탭에 있는 원격 컴퓨터 소리 옵션 단추를 클릭하여 원격 컴퓨터와 로컬 컴퓨터 중 오디오를 재생할 위치를 선택할 수 있습니다. 또한 오디오를 사용하지 않도록 선택할 수도 있습니다. 기본적으로 터미널 서비스를 통해 Windows Server 2003을 실행하는 서버에 연결할 때는 오디오 리디렉션을 적용할 수 없습니다. Windows XP Professional을 실행하는 컴퓨터에 연결하면 기본적으로 오디오 리디렉션을 적용할 수 있습니다.

오디오 리디렉션 허용 설정을 사용하면 사용자가 오디오 리디렉션을 적용할 수 있습니다. 이 정책 설정을 사용하지 않으면 사용자가 오디오 리디렉션을 적용할 수 없습니다. 이 정책 설정을 구성하지 않으면 오디오 리디렉션이 그룹 정책 수준에서 지정되지 않습니다. 그러나 관리자가 TSCC 도구를 사용하여 오디오 리디렉션을 사용하거나 사용하지 않도록 설정할 수 있습니다.

오디오 리디렉션 허용 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용

  • 사용 안 함

  • 구성되지 않음

보안 문제

사용자가 직접 작업을 수행하지 않아도 사용자의 터미널 서버 세션에서 사용자의 로컬 컴퓨터로 데이터가 전달될 수 있습니다.

대책

오디오 리디렉션 허용 설정을 사용 안 함으로 구성합니다.

잠재적 영향

오디오를 리디렉션할 수 없습니다.

COM 포트 리디렉션을 허용하지 않음

이 정책 설정을 사용하면 터미널 서버 세션의 원격 컴퓨터 세션에서 클라이언트 통신 포트로 데이터가 리디렉션되지 않도록 할 수 있습니다. 이 설정을 사용하는 경우 사용자가 터미널 서버 세션에 로그온되어 있는 동안 COM 포트 주변 기기로 데이터를 리디렉션하거나 로컬 COM 포트를 매핑하지 못하게 할 수 있습니다. 기본적으로 터미널 서비스는 COM 포트 리디렉션을 허용합니다.

COM 포트 리디렉션을 허용하지 않음 설정을 사용하는 경우 사용자가 서버 데이터를 로컬 COM 포트로 리디렉션할 수 없습니다. 이 정책 설정을 사용하지 않으면 터미널 서비스 COM 포트 리디렉션이 항상 허용됩니다. 이 정책 설정을 구성하지 않으면 COM 포트 리디렉션이 그룹 정책 수준에서 지정되지 않습니다. 그러나 관리자가 TSCC 도구를 사용하여 COM 포트 리디렉션을 사용하지 않도록 설정할 수 있습니다.

COM 포트 리디렉션을 허용하지 않음 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용

  • 사용 안 함

  • 구성되지 않음

보안 문제

사용자가 직접 작업을 수행하지 않아도 사용자의 터미널 서버 세션에서 사용자의 로컬 컴퓨터로 데이터가 전달될 수 있습니다.

대책

COM 포트 리디렉션을 허용하지 않음 설정을 사용으로 구성합니다.

잠재적 영향

COM 포트를 리디렉션할 수 없습니다.

클라이언트 프린터의 리디렉션을 허용하지 않음

이 정책 설정은 클라이언트 프린터를 터미널 서버 세션에서 매핑할 수 있는지 여부를 지정합니다. 이 정책 설정을 사용하여 인쇄 작업이 원격 컴퓨터에서 사용자의 로컬(클라이언트) 컴퓨터로 리디렉션되지 않도록 할 수 있습니다. 기본적으로 터미널 서비스는 클라이언트 프린터의 매핑을 허용합니다.

클라이언트 프린터의 리디렉션을 허용하지 않음 설정을 사용하는 경우 사용자가 터미널 서버 세션의 원격 컴퓨터에서 로컬 클라이언트 프린터로 인쇄 작업을 리디렉션할 수 없습니다. 이 정책 설정을 사용하지 않으면 사용자가 클라이언트 프린터 매핑을 통해 인쇄 작업을 리디렉션할 수 있습니다. 이 정책 설정을 구성하지 않으면 클라이언트 프린터 매핑이 그룹 정책 수준에서 지정되지 않습니다. 그러나 관리자가 TSCC 도구를 사용하여 클라이언트 프린터 매핑을 사용하지 않도록 설정할 수 있습니다.

클라이언트 프린터의 리디렉션을 허용하지 않음 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용

  • 사용 안 함

  • 구성되지 않음

보안 문제

사용자가 직접 작업을 수행하지 않아도 사용자의 터미널 서버 세션에서 사용자의 로컬 컴퓨터로 데이터가 전달될 수 있습니다.

대책

클라이언트 프린터의 리디렉션을 허용하지 않음 설정을 사용으로 구성합니다.

잠재적 영향

프린터를 리디렉션할 수 없습니다.

LPT 포트 리디렉션을 허용하지 않음

이 정책 설정은 터미널 서버 세션 중에 LPT(클라이언트 병렬 포트)로 데이터를 리디렉션하지 못하도록 할 것인지 여부를 지정합니다. 이 설정을 사용하면 사용자가 로컬 LPT 포트를 매핑하여 데이터를 원격 컴퓨터에서 로컬 LPT 포트 주변 기기로 리디렉션하지 못하게 할 수 있습니다. 기본적으로 터미널 서비스는 LPT 포트 리디렉션을 허용합니다.

LPT 포트 리디렉션을 허용하지 않음 설정을 사용하는 경우 사용자가 터미널 서버 세션 중에 서버 데이터를 로컬 LPT 포트로 리디렉션할 수 없습니다. 이 정책 설정을 사용하지 않으면 LPT 포트 리디렉션이 항상 허용됩니다. 이 설정을 구성하지 않으면 LPT 포트 리디렉션이 그룹 정책 수준에서 지정되지 않습니다. 그러나 관리자가 TSCC 도구를 사용하여 로컬 LPT 포트 리디렉션을 사용하지 않도록 설정할 수 있습니다.

LPT 포트 리디렉션을 허용하지 않음 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용

  • 사용 안 함

  • 구성되지 않음

보안 문제

사용자가 직접 작업을 수행하지 않아도 사용자의 터미널 서버 세션에서 사용자의 로컬 컴퓨터로 데이터가 전달될 수 있습니다.

대책

LPT 포트 리디렉션을 허용하지 않음 설정을 사용으로 구성합니다.

잠재적 영향

LPT 포트를 리디렉션할 수 없습니다.

드라이브의 리디렉션을 허용하지 않음

기본적으로 터미널 서비스는 연결 시 클라이언트 드라이브를 자동으로 매핑합니다. 매핑된 드라이브는 Windows 탐색기 또는 내 컴퓨터의 세션 폴더 트리에서 <computer_name>의 <drive_letter> 형식으로 표시됩니다. 드라이브의 리디렉션을 허용하지 않음 설정을 사용하여 이 동작을 무시할 수 있습니다.

드라이브의 리디렉션을 허용하지 않음 설정을 사용하면 터미널 서버 세션에서 클라이언트 드라이브가 리디렉션되지 않도록 할 수 있습니다. 이 정책 설정을 사용하지 않으면 클라이언트 드라이브 리디렉션이 항상 허용됩니다. 이 정책 설정을 구성하지 않으면 클라이언트 드라이브 리디렉션이 그룹 정책 수준에서 지정되지 않습니다. 그러나 관리자가 TSCC 도구를 사용하여 클라이언트 드라이브 리디렉션을 사용하지 않도록 설정할 수 있습니다.

드라이브의 리디렉션을 허용하지 않음 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용

  • 사용 안 함

  • 구성되지 않음

보안 문제

사용자가 직접 작업을 수행하지 않아도 사용자의 터미널 서버 세션에서 사용자의 로컬 컴퓨터로 데이터가 전달될 수 있습니다.

대책

드라이브의 리디렉션을 허용하지 않음 설정을 사용으로 구성합니다.

잠재적 영향

드라이브를 리디렉션할 수 없습니다.

클라이언트의 기본 프린터를 세션의 기본 프린터로 설정하지 않음

이 정책 설정은 기본 클라이언트 프린터를 터미널 서버 세션의 기본 프린터로 지정하지 않도록 터미널 서비스에 지시합니다. 기본적으로 터미널 서비스는 자동으로 기본 클라이언트 프린터를 기본 프린터로 지정합니다. 이 설정을 사용하는 경우 기본 구성이 무시될 수 있습니다.

클라이언트의 기본 프린터를 세션의 기본 프린터로 설정하지 않음 설정을 사용하는 경우 터미널 서버가 기본 클라이언트 프린터를 세션의 기본 프린터로 지정하지 못합니다. 대신 서버에서 지정한 프린터가 기본 프린터로 사용됩니다. 이 정책 설정을 사용하지 않으면 기본 클라이언트 프린터가 항상 기본 프린터로 설정됩니다. 이 설정을 구성하지 않으면 기본 프린터 지정이 그룹 정책 수준에서 적용되지 않습니다. 그러나 관리자가 TSCC 도구를 사용하여 클라이언트 세션에 대한 기본 프린터를 구성할 수 있습니다.

클라이언트의 기본 프린터를 세션의 기본 프린터로 설정하지 않음 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용

  • 사용 안 함

  • 구성되지 않음

보안 문제

사용자가 직접 작업을 수행하지 않아도 사용자의 터미널 서버 세션에서 사용자의 로컬 컴퓨터로 데이터가 전달될 수 있습니다.

대책

이 정책 설정을 사용으로 구성합니다.

잠재적 영향

클라이언트 컴퓨터의 기본 프린터가 해당 터미널 서버 세션 중에 기본 프린터로 지정되지 않습니다.

암호화 및 보안

그룹 정책 개체 편집기의 다음 위치에서 터미널 서버 암호화 및 보안 설정을 구성할 수 있습니다.

컴퓨터 구성\관리 템플릿\Windows 구성 요소\ 터미널 서비스\암호화 및 보안

클라이언트 연결 암호화 수준 설정

이 정책 설정은 터미널 서버 세션 중에 클라이언트 컴퓨터와 원격 컴퓨터 간에 보낸 모든 데이터에 대해 암호화 수준을 적용할지 여부를 지정합니다.

클라이언트 연결 암호화 수준 설정 설정을 사용하는 경우 서버에 대한 모든 연결의 암호화 수준을 지정할 수 있습니다. 기본적으로 암호화는 높은 수준으로 설정됩니다. 이 정책 설정을 사용할 수 없도록 설정하거나 구성하지 않으면 그룹 정책을 통해 암호화 수준이 적용되지 않습니다. 그러나 관리자가 TSCC 도구를 사용하여 서버에 암호화 수준을 설정할 수 있습니다.

클라이언트 연결 암호화 수준 설정 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용(다음 암호화 옵션 사용):

    • 클라이언트 호환: 이 값을 선택하면 클라이언트와 서버 간에 보내는 데이터를 클라이언트가 지원하는 최대 키 강도로 암호화합니다. 혼합 또는 레거시 클라이언트가 포함된 환경에서 원격 컴퓨터를 실행하는 경우 이 수준을 사용하십시오.

    • 높은 수준: 이 값을 선택하면 클라이언트와 서버 간에 보내는 데이터를 강력한 128비트 암호화로 암호화합니다. 원격 데스크톱 연결 클라이언트와 같은 128비트 클라이언트만 포함된 환경에서 원격 컴퓨터를 실행하는 경우 이 수준을 사용하십시오. 이 암호화 수준을 지원하지 않는 클라이언트는 연결할 수 없습니다.

    • 낮은 수준: 이 값을 선택하면 클라이언트에서 서버로 보내는 데이터를 56비트 암호화로 암호화합니다. 낮은 수준을 지정하면 서버에서 클라이언트로 보낸 데이터는 암호화되지 않습니다.

  • 사용 안 함

  • 구성되지 않음

중요: 시스템 암호화: 암호화, 해시,서명에 FIPS 호환 알고리즘 사용 설정에 따라 FIPS 호환성이 이미 활성화되어 있는 경우에는 이 정책 설정이나 TSCC 도구를 사용하여 암호화 수준을 변경할 수 없습니다.

보안 문제

낮은 수준의 암호화를 사용하는 터미널 서버 클라이언트 연결을 허용하는 경우 공격자가 터미널 서비스 네트워크 트래픽을 캡처하여 암호를 해독할 가능성이 높아집니다.

대책

클라이언트 연결 암호화 수준 설정 설정을 높은 수준으로 구성합니다.

잠재적 영향

128비트 암호화를 지원하지 않는 클라이언트는 터미널 서버 세션을 설정할 수 없게 됩니다.

연결 시 클라이언트에서 항상 암호 확인

이 정책 설정은 연결 시 터미널 서비스에서 클라이언트에 암호를 입력하라는 메시지를 항상 표시할지 여부를 지정합니다. 이 정책 설정을 사용하면 사용자가 원격 데스크톱 연결 클라이언트에서 이미 암호를 입력했더라도 터미널 서비스에 로그온할 때 암호를 다시 입력하라는 메시지가 표시되도록 지정할 수 있습니다. 기본적으로 터미널 서비스는 사용자가 원격 데스크톱 연결 클라이언트에 암호를 입력한 경우에는 자동으로 로그온할 수 있도록 허용합니다.

연결 시 클라이언트에서 항상 암호 확인 설정을 사용하는 경우 사용자가 원격 데스크톱 연결 클라이언트에서 암호를 입력한 경우에도 터미널 서비스에 자동으로 로그온할 수 없게 됩니다. 즉, 로그온 시 암호를 입력하라는 메시지가 표시됩니다. 이 정책 설정을 사용하지 않으면 원격 데스크톱 연결 클라이언트에 암호를 입력한 경우 항상 터미널 서비스에 자동으로 로그온할 수 있습니다. 이 정책 설정을 구성하지 않으면 자동 로그온이 그룹 정책 수준에서 지정되지 않습니다. 그러나 관리자는 TSCC 도구를 사용하여 암호 입력 메시지가 표시되도록 할 수 있습니다.

연결 시 클라이언트에서 항상 암호 확인 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용

  • 사용 안 함

  • 구성되지 않음

보안 문제

사용자는 새 원격 데스크톱 연결 바로 가기를 만들 때 사용자 이름과 암호를 모두 저장할 수 있습니다. 터미널 서비스를 실행하는 서버에서 이 기능을 사용하는 사용자가 암호를 입력하지 않고도 서버에 로그온할 수 있도록 허용하면 사용자의 컴퓨터에 실제로 액세스할 수 있는 공격자가 사용자의 암호를 몰라도 원격 데스크톱 연결 바로 가기를 사용하여 터미널 서버에 연결할 수 있습니다.

대책

연결 시 클라이언트에서 항상 암호 확인 설정을 사용으로 구성합니다.

잠재적 영향

새 터미널 서버 세션을 설정할 때 사용자가 항상 암호를 입력해야 합니다.

RPC 보안 정책

그룹 정책 개체 편집기의 다음 위치에서 터미널 서버 RPC 보안 설정을 구성할 수 있습니다.

컴퓨터 구성\관리 템플릿\Windows 구성 요소\터미널 서비스\암호화 및 보안\ RPC 보안 정책

보안 서버(보안 필요)

이 정책 설정은 터미널 서버에서 모든 클라이언트와의 RPC(원격 프로시저 호출) 보안 통신을 필요로 하는지 아니면 보안되지 않은 통신도 허용하는지 여부를 지정합니다. 이 설정을 사용하면 인증된 암호화 요청만 허용하여 클라이언트와의 RPC 통신 보안을 강화할 수 있습니다.

보안 서버(보안 필요) 설정을 사용하는 경우 터미널 서버에서는 보안 요청을 지원하는 RPC 클라이언트의 요청만을 수락합니다. 그러므로 신뢰할 수 없는 클라이언트와의 보안되지 않은 통신은 허용되지 않습니다. 이 정책 설정을 사용하지 않으면 터미널 서버에서 모든 RPC 트래픽에 대해 보안 수준에 상관없이 모든 요청을 수락합니다. 그러나 보안되지 않은 통신은 요청에 응답하지 않는 RPC 클라이언트에 대해서만 허용됩니다. 이 정책 설정을 구성하지 않으면 보안되지 않은 통신이 허용됩니다.

보안 서버(보안 필요) 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용

  • 사용 안 함

  • 구성되지 않음

참고: 터미널 서비스를 관리 및 구성하려면 RPC 인터페이스를 사용하십시오.

보안 문제

보안되지 않은 RPC 통신을 허용하면 서버가 끼어들기 공격 및 데이터 공개 공격을 받을 수 있습니다. 끼어들기 공격은 침입자가 클라이언트와 서버 간의 패킷을 캡처하여 수정한 다음 교환하는 경우 발생합니다. 일반적으로 공격자는 패킷의 정보를 수정하여 클라이언트 또는 서버의 중요한 정보를 알아내고자 합니다.

대책

보안 서버(보안 필요) 설정을 사용으로 구성합니다.

잠재적 영향

보안 RPC를 지원하지 않는 클라이언트에서 서버를 원격으로 관리할 수 없게 됩니다.

세션

그룹 정책 개체 편집기의 다음 위치에서 추가 터미널 서버 RPC 보안 설정을 구성할 수 있습니다.

컴퓨터 구성\관리 템플릿\Windows 구성 요소\터미널 서비스 암호화 및 보안\세션

연결이 끊긴 세션에 시간 제한 설정

이 정책 설정은 연결이 끊긴 터미널 서버 세션에 대해 시간 제한을 지정합니다. 이 설정을 사용하면 연결이 끊긴 세션이 서버에서 활성 상태로 유지되는 최대 시간을 지정할 수 있습니다. 기본적으로 터미널 서비스에서는 사용자가 로그오프하거나 세션을 끝내지 않고도 원격 세션의 연결을 끊을 수 있도록 허용합니다. 세션의 연결이 끊긴 상태에서는 사용자가 실제로 더 이상 연결된 상태가 아니더라도 프로그램이 계속 실행될 수 있습니다. 기본적으로 이와 같이 연결이 끊긴 세션은 시간 제한 없이 서버에서 유지 관리됩니다.

연결이 끊긴 세션에 시간 제한 설정 설정을 사용하면 지정된 시간이 지난 후에 연결이 끊긴 세션을 서버에서 삭제할 수 있습니다. 연결이 끊긴 세션을 시간 제한 없이 유지하는 기본 동작을 적용하려면 사용 안 함을 선택하십시오. 이 정책 설정을 사용할 수 없도록 설정하거나 구성하지 않으면 연결이 끊긴 세션에 대해 그룹 정책 수준에서 시간 제한이 지정되지 않습니다.

연결이 끊긴 세션에 시간 제한 설정 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용(다음 시간 지정 옵션 사용):

    • 사용 안 함

    • 1분

    • 5분

    • 10분

    • 15분

    • 30분

    • 1시간

    • 2시간

    • 3시간

    • 1일

    • 2일

  • 사용 안 함

  • 구성되지 않음

참고: 이 정책 설정은 Windows XP Professional을 실행하는 컴퓨터에 있는 원격 데스크톱 세션과 같은 콘솔 세션에는 적용되지 않습니다. 이 정책 설정은 컴퓨터 구성 및 사용자 구성 노드에 모두 있습니다. 이 설정을 두 위치에서 모두 구성하는 경우 컴퓨터 구성 설정이 사용자 구성 노드의 동일 설정보다 우선적으로 적용됩니다.

보안 문제

각 터미널 서버 세션은 시스템 리소스를 사용합니다. 오랫동안 사용하지 않아 연결이 끊긴 세션을 강제로 종료하지 않으면 서버 리소스가 부족해질 수 있습니다.

대책

연결이 끊긴 세션에 시간 제한 설정 설정을 사용으로 구성하고 연결 끊긴 세션 끝내기 목록 상자에 있는 옵션에서 1일을 선택합니다.

잠재적 영향

사용자가 터미널 서버 세션에서 로그오프하는 것을 잊어버리면 해당 세션은 24시간 동안 비활성 상태로 유지되다가 강제로 종료됩니다.

재연결을 원래의 클라이언트로부터만 허용

이 정책 설정을 사용하면 터미널 서비스를 사용할 때 세션을 작성했던 원래 클라이언트 컴퓨터가 아닌 다른 컴퓨터를 사용하는 사용자가 연결이 끊긴 세션에 다시 연결하지 못하도록 할 수 있습니다. 기본적으로 터미널 서비스를 사용할 때는 모든 클라이언트 컴퓨터에서 연결이 끊긴 세션에 다시 연결할 수 있습니다.

재연결을 원래의 클라이언트로부터만 허용 설정을 사용하는 경우에는 원래 클라이언트 컴퓨터에서만 연결이 끊긴 세션에 다시 연결할 수 있습니다. 다른 컴퓨터에서 연결이 끊긴 세션에 연결하려고 하면 새로운 세션이 대신 만들어집니다. 이 설정을 사용하지 않으면 모든 컴퓨터에서 연결이 끊긴 세션에 항상 연결할 수 있습니다. 이 설정을 구성하지 않으면 세션 다시 연결 규칙이 그룹 정책 수준에서 지정되지 않습니다.

재연결을 원래의 클라이언트로부터만 허용 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용

  • 사용 안 함

  • 구성되지 않음

중요: 이 설정은 연결할 때 일련 번호를 제공하는 Citrix ICA 클라이언트에 대해서만 지원되고 Windows 클라이언트로 연결하는 경우에는 무시됩니다. 이 설정은 컴퓨터 구성 및 사용자 구성 노드에 모두 있습니다. 이 설정을 두 위치에서 모두 구성하는 경우 컴퓨터 구성 설정이 사용자 구성 노드의 동일 설정보다 우선적으로 적용됩니다.

보안 문제

기본적으로 사용자는 모든 컴퓨터에서 연결이 끊긴 터미널 서버 세션의 연결을 다시 설정할 수 있습니다. 이 설정을 사용하면 처음에 연결을 설정할 때 사용한 컴퓨터에서만 다시 연결할 수 있도록 설정할 수 있습니다. 그러나 이 설정은 Citrix ICA 클라이언트로 연결한 사용자에게만 적용되므로 이 대책을 구현해도 큰 효과는 없습니다.

대책

재연결을 원래의 클라이언트로부터만 허용 설정을 사용으로 구성합니다.

잠재적 영향

Citrix ICA 클라이언트를 통해 연결하는 사용자는 세션을 설정할 때 사용한 컴퓨터를 통해서만 연결이 끊긴 세션의 연결을 다시 설정할 수 있습니다.

Windows 탐색기

그룹 정책 개체 편집기의 다음 위치에서 다음 Windows 탐색기 설정을 구성할 수 있습니다.

사용자 구성\관리 템플릿\Windows 구성 요소\ Windows 탐색기

셸 프로토콜 보호 모드 사용 안 함

이 정책 설정을 사용하면 셸 프로토콜의 기능 수준을 구성할 수 있습니다. 이 프로토콜의 모든 기능을 사용하면 응용 프로그램이 폴더를 열고 파일을 실행할 수 있습니다. 보호 모드를 사용하는 경우 사용 가능한 기능이 줄어들며 응용 프로그램이 제한된 폴더 집합만을 열 수 있습니다. 이 프로토콜이 보호 모드 상태인 경우 응용 프로그램에서는 파일을 열 수 없습니다.

이 프로토콜을 보호 모드 상태로 유지하여 Windows의 보안 수준을 높이는 것이 좋습니다. 셸 프로토콜 보호 모드 사용 안 함 설정을 사용하는 경우 프로토콜에서는 응용 프로그램이 모든 폴더나 파일을 열도록 허용합니다. 이 정책 설정을 사용할 수 없도록 설정하거나 구성하지 않으면 프로토콜은 보호 모드로 유지되며 응용 프로그램에서는 제한된 폴더 집합만을 열 수 있습니다.

셸 프로토콜 보호 모드 사용 안 함 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용

  • 사용 안 함

  • 구성되지 않음

보안 문제

셸 프로토콜의 모든 기능을 사용하는 경우 응용 프로그램에서 파일 및 폴더를 열 수 있습니다. 이 기능을 사용하면 실수로 악의적인 소프트웨어 또는 사용자 컴퓨터를 손상시킬 수 있는 소프트웨어가 실행되어 정보가 무단으로 유출될 수 있습니다. 또한 서비스 거부 상황이 발생할 수도 있습니다.

대책

셸 프로토콜 보호 모드 사용 안 함 설정을 사용으로 구성합니다.

잠재적 영향

셸 프로토콜 보호 모드 사용 안 함 설정을 사용하는 경우 셸 프로토콜을 사용해야 하는 웹 페이지가 제대로 작동하지 않습니다.

Windows Messenger

Windows Messenger를 사용하여 컴퓨터 네트워크의 다른 사용자에게 인스턴트 메시지를 보낼 수 있습니다. 메시지에 파일 및 기타 첨부 파일을 포함할 수 있습니다.

그룹 정책 개체 편집기의 다음 위치에서 미리 지정된 터미널 서버 RPC 보안 설정을 구성할 수 있습니다.

컴퓨터 구성\관리 템플릿\Windows 구성 요소\ Windows Messenger

Windows Messenger를 실행하지 않음

Windows Messenger를 실행하지 않음 설정을 통해 Windows Messenger를 사용할 수 없도록 설정할 수 있습니다. 이 설정을 사용으로 구성하면 Windows Messenger를 사용할 수 없습니다.

참고: 이 설정을 사용으로 구성하려면 원격 지원에서 Windows Messenger를 사용할 수 없으며 사용자가 MSN Messenger를 사용할 수 없습니다.

Windows Update

Windows Update를 사용하면 보안 업데이트, 중요 업데이트, 최신 도움말 파일, 드라이버 및 인터넷 제품과 같은 항목을 다운로드할 수 있습니다. 그룹 정책 개체 편집기의 다음 위치에서 Windows Update 설정을 구성할 수 있습니다.

컴퓨터 구성\관리 템플릿\Windows 구성 요소\

자동 업데이트 구성

이 정책 설정은 사용자 환경의 컴퓨터에서 Windows 자동 업데이트 서비스를 통해 보안 업데이트 및 기타 중요한 다운로드를 받을지 여부를 지정합니다.

자동 업데이트 구성 설정을 사용하는 경우 Windows에서는 컴퓨터가 온라인 상태인지를 확인한 다음 해당 인터넷 연결을 사용하여 Windows Update 웹 사이트에서 컴퓨터에 적용할 수 있는 업데이트를 검색합니다. 이 정책 설정을 사용하지 않으면 Windows Update 웹 사이트(https://update.microsoft.com/microsoftupdate)에서 업데이트를 수동으로 다운로드하여 설치해야 합니다. 이 설정을 구성하지 않으면 자동 업데이트 사용이 그룹 정책 수준에서 지정되지 않습니다. 그러나 관리자가 제어판을 통해 자동 업데이트를 구성할 수 있습니다.

자동 업데이트 구성 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용(자동 업데이트 구성 목록 상자의 다음 세 옵션 중 선택):

    • 2. 업데이트를 다운로드하기 전에 사용자에게 알리고, 컴퓨터에 설치하기 전에 사용자에게 다시 알려줍니다.

      Windows에서 사용자 환경의 컴퓨터에 적용되는 업데이트를 검색하면 업데이트를 다운로드할 준비가 되었다는 메시지와 함께 아이콘이 알림 영역에 표시됩니다. 해당 아이콘이나 메시지를 클릭하면 특정 업데이트를 선택할 수 있습니다. 그러면 선택한 업데이트가 백그라운드에서 다운로드됩니다. 다운로드가 완료되면 업데이트를 설치할 준비가 되었다는 알림과 함께 아이콘이 알림 영역에 다시 표시됩니다. 해당 아이콘이나 메시지를 클릭하면 설치할 업데이트를 선택할 수 있습니다.

    • 3: 자동으로 업데이트를 다운로드하고 설치할 준비가 되면 사용자에게 알려줍니다. 

      이 값은 기본 구성입니다. Windows에서 사용자 환경의 컴퓨터에 적용되는 업데이트를 검색하고 백그라운드에서 다운로드합니다. 이 작업이 진행되는 동안에는 알림이 표시되지 않으며 사용자가 작업을 수행할 필요도 없습니다. 다운로드가 완료되면 업데이트를 설치할 준비가 되었다는 알림과 함께 아이콘이 알림 영역에 표시됩니다. 해당 아이콘이나 메시지를 클릭하면 설치할 업데이트를 선택할 수 있습니다.

    • 4: 자동으로 업데이트를 다운로드하고 아래에 지정한 일정에 업데이트를 설치합니다.

      그룹 정책 설정에 있는 옵션을 사용하여 일정을 지정합니다. 일정을 지정하지 않은 경우 모든 설치의 기본 일정은 매일 오전 3시입니다. 컴퓨터를 다시 시작해야 설치가 완료되는 업데이트가 있는 경우 컴퓨터가 자동으로 다시 시작됩니다. 컴퓨터를 다시 시작해야 할 때 사용자가 컴퓨터에 로그온되어 있으면 알림이 표시되고 다시 시작을 연기할 수 있는 옵션이 표시됩니다.

  • 사용 안 함

  • 구성되지 않음

이 설정을 사용하려면 사용을 클릭한 다음 2, 3 또는 4 옵션 중 하나를 선택합니다. 4를 선택한 경우 되풀이 일정을 설정할 수 있습니다. 일정을 지정하지 않으면 매일 오전 3시에 설치가 수행됩니다.

보안 문제

Windows Server 2003 및 Windows XP의 경우 철저한 테스트를 거쳐 릴리스되었지만 제품이 배포된 이후에 문제가 발견될 수 있습니다. 자동 업데이트 구성 설정을 사용하면 언제든지 사용자 환경의 컴퓨터에 중요한 최신 운영 체제 업데이트 및 서비스 팩을 설치할 수 있습니다.

대책

자동 업데이트 구성 설정을 사용으로 구성하고 자동 업데이트 구성 목록 상자에서 4 = 자동으로 업데이트를 다운로드하고 아래에 지정한 일정에 업데이트를 설치합니다. 를 선택합니다.

잠재적 영향

중요한 운영 체제 업데이트 및 서비스 팩이 매일 오전 3시에 자동으로 다운로드되고 설치됩니다.

예약된 자동 업데이트 설치에 자동 다시 시작 사용 안 함

이 정책 설정은 자동 업데이트 과정에서 컴퓨터에 로그온되어 있는 사용자가 컴퓨터를 다시 시작하여 예약 설치를 완료할 때까지 기다리도록 지정합니다.

예약된 자동 업데이트 설치에 자동 다시 시작 사용 안 함 설정을 사용하는 경우 자동 업데이트 과정에서 예약된 설치를 진행하는 동안 컴퓨터가 자동으로 다시 시작되지 않습니다. 대신 자동 업데이트 과정에서 사용자에게 컴퓨터를 다시 시작하여 설치를 완료하라는 알림 메시지가 표시됩니다. 업데이트를 수행하는 컴퓨터를 다시 시작해야 자동 업데이트에서 후속 업데이트를 검색할 수 있습니다. 이 설정을 사용할 수 없도록 설정하거나 구성하지 않으면 자동 업데이트 과정에서 사용자에게 설치를 완료하기 위해 컴퓨터가 5분 후에 자동으로 다시 시작된다는 알림 메시지가 표시됩니다.

예약된 자동 업데이트 설치에 자동 다시 시작 사용 안 함 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용

  • 사용 안 함

  • 구성되지 않음

참고: 이 설정은 예약된 업데이트 설치를 수행하도록 자동 업데이트를 구성한 경우에만 적용됩니다. 자동 업데이트 구성 설정을 사용 안 함으로 구성하면 이 설정이 적용되지 않습니다.

보안 문제

업데이트를 설치할 때 컴퓨터를 다시 시작해야 설치가 완료되는 경우가 있습니다. 컴퓨터를 자동으로 다시 시작할 수 없는 경우에는 컴퓨터를 다시 시작할 때까지 최신 업데이트가 완전히 설치되지 않으며 새 업데이트가 다운로드되지 않습니다.

대책

예약된 자동 업데이트 설치에 자동 다시 시작 사용 안 함 설정을 사용 안 함으로 구성합니다.

잠재적 영향

이 정책 설정을 사용하면 사용자 환경의 서버 운영 체제가 자동으로 다시 시작됩니다. 중요한 서버의 경우 이로 인해 예기치 않은 일시적 DoS 상황이 발생할 수 있습니다.

예약된 자동 업데이트 설치 일정 변경

이 정책 설정은 자동 업데이트가 시작된 후에 이전에 누락된 예약 설치를 진행할 때까지 대기하는 시간을 지정합니다. 이 설정을 사용하는 경우 컴퓨터를 다음 번에 시작하고 나서 지정된 시간(분)이 지나면 이전에 수행되지 않았던 설치 작업이 시작됩니다. 이 설정을 사용할 수 없도록 설정하거나 구성하지 않으면 이전에 누락되었던 예약 설치가 다음 예약 설치 작업 시에 수행됩니다.

예약된 자동 업데이트 설치 일정 변경 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용(1분에서 60분 사이의 시간 지정):

  • 사용 안 함

  • 구성되지 않음

참고: 이 설정은 예약된 업데이트 설치를 수행하도록 자동 업데이트를 구성한 경우에만 적용됩니다. 자동 업데이트 구성 설정을 사용 안 함으로 구성하면 이 설정이 적용되지 않습니다.

보안 문제

컴퓨터를 다시 시작한 후에 자동 업데이트가 몇 분 동안 대기하도록 설정하지 않으면 사용자 환경의 컴퓨터가 모든 응용 프로그램 및 서비스를 완전하게 시작할 수 있는 시간이 부족할 수 있습니다. 다시 시작한 후에 대기하는 시간을 충분히 길게 지정하면 새 업데이트 설치가 컴퓨터의 시작 프로시저와 충돌하지 않습니다.

대책

예약된 자동 업데이트 설치 일정 변경 설정을 사용으로 구성하고 값을 10분으로 지정합니다.

잠재적 영향

컴퓨터가 다시 시작되고 10분이 지난 후에 자동 업데이트가 시작됩니다.

인트라넷 Microsoft 업데이트 서비스 위치 지정

이 정책 설정을 사용하면 Microsoft Update 웹 사이트의 업데이트를 호스트할 인트라넷 서버를 지정할 수 있습니다. 그런 다음 이 업데이트 서비스 위치를 통해 네트워크의 컴퓨터를 자동으로 업데이트할 수 있습니다. 자동 업데이트 클라이언트는 이 서비스에서 네트워크의 컴퓨터에 적용되는 업데이트 항목을 검색합니다.

인트라넷 Microsoft 업데이트 서비스 위치 지정 설정을 사용하려면 자동 업데이트 클라이언트가 업데이트 항목을 검색 및 다운로드하는 서버와 업데이트된 워크스테이션에서 통계를 업로드하는 서버 등 두 서버의 이름 값을 설정해야 합니다. 이 두 값을 같은 서버로 설정할 수 있습니다.

인트라넷 Microsoft 업데이트 서비스 위치 지정 설정을 사용하는 경우 자동 업데이트 클라이언트가 Windows Update가 아닌 지정된 인트라넷 Microsoft 업데이트 서비스 서버에 연결하여 업데이트를 검색 및 다운로드합니다. 이 구성을 사용하면 조직의 최종 사용자에게 방화벽 문제가 발생하지 않도록 할 수 있으며 업데이트를 배포하기 전에 테스트할 수 있습니다. 이 정책 설정을 사용할 수 없도록 설정하거나 구성하지 않는 경우 그룹 정책 또는 사용자 기본 설정에 따라 자동 업데이트가 해제되어 있지 않으면 자동 업데이트 클라이언트에서 인터넷의 Windows Update 사이트에 직접 연결합니다.

인트라넷 Microsoft 업데이트 서비스 위치 지정 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용: 이 값을 선택한 후에 인트라넷 업데이트 서버의 이름과 통계 서버의 이름을 속성 대화 상자에 지정합니다.

  • 사용 안 함

  • 구성되지 않음

참고: 자동 업데이트 구성 설정을 사용 안 함으로 구성하면 이 정책 설정이 적용되지 않습니다.

보안 문제

자동 업데이트 과정에서는 기본적으로 Microsoft Windows Update 웹 사이트에서 업데이트를 다운로드하려고 합니다. 일부 조직에서는 새 업데이트가 모두 해당 환경에 호환되는지를 확인한 다음 업데이트를 배포하고자 합니다. 또한 내부 SUS(Software Update Service) 서버를 구성하면 주변 방화벽, 라우터 및 프록시 서버의 로드뿐 아니라 외부 네트워크 링크의 로드도 줄일 수 있습니다.

대책

인트라넷 Microsoft 업데이트 서비스 위치 지정 설정을 사용으로 구성합니다. 그런 다음 인트라넷 업데이트 서버의 이름과 통계 서버의 이름을 속성 대화 상자에 지정합니다.

잠재적 영향

중요한 업데이트 및 서비스 팩을 조직의 IT 담당자가 모두 사전 관리해야 합니다.

시스템

그룹 정책 개체 편집기의 다음 위치에서 미리 지정된 시스템 컴퓨터 설정을 구성할 수 있습니다.

컴퓨터 구성\관리 템플릿\시스템

자동 실행 사용 안 함

자동 실행을 지정하면 드라이브에 미디어를 넣자마자 드라이브에서 데이터를 읽기 때문에 프로그램이나 오디오 미디어의 설치 파일이 즉시 시작됩니다. 자동 실행 사용 안 함 설정을 사용하여 자동 실행 기능을 해제할 수 있습니다. 플로피 디스크 및 네트워크 드라이브 같은 일부 이동식 드라이브 유형에서는 기본적으로 자동 실행을 사용할 수 없지만 CD-ROM 드라이브에 대해서는 자동 실행이 기본적으로 사용됩니다.

참고: 플로피 디스크 및 네트워크 드라이브 같이 기본적으로 자동 실행 기능을 사용할 수 없는 컴퓨터 드라이브의 경우에는 이 설정을 사용하여 해당 기능을 사용하도록 설정할 수 없습니다.

보안 문제

공격자는 이 기능을 사용하여 클라이언트 컴퓨터 또는 컴퓨터의 데이터를 손상시키는 프로그램을 실행할 수 있습니다.

대책

자동 실행 사용 안 함 설정을 사용으로 구성합니다.

잠재적 영향

사용자가 이동식 미디어에서 제공되는 프로그램의 설정 또는 설치 프로그램을 수동으로 실행해야 합니다.

로그온

그룹 정책 개체 편집기의 다음 위치에서 미리 지정된 로그온 컴퓨터 설정을 구성할 수 있습니다.

컴퓨터 구성\관리 템플릿\시스템\로그온

로그온 시 시작 화면 표시 안 함

이 정책 설정은 사용자가 로그온할 때마다 Microsoft Windows 2000 Professional 및 Windows XP Professional에 표시되는 시작 화면을 숨깁니다. 그러나 시작 메뉴에서 선택하는 경우 시작 화면이 계속 표시되도록 할 수 있습니다.

로그온 시 시작 화면 표시 안 함 설정은 Windows 2000 Professional 및 Windows XP Professional에만 적용됩니다. Windows 2000 Server 또는 Windows Server 2003의 서버 구성 설정에는 영향을 주지 않습니다.

로그온 시 시작 화면 표시 안 함 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용

  • 사용 안 함

  • 구성되지 않음

참고: 이 정책 설정은 컴퓨터 구성 및 사용자 구성 노드에 모두 표시됩니다. 두 설정을 모두 구성한 경우 컴퓨터 구성 설정이 사용자 구성 노드의 설정보다 우선적으로 적용됩니다.

보안 문제

사용자는 시작 화면을 통해 Windows XP 데스크톱을 탐색할 수 있습니다. 일부 조직에서는 사용자의 특정 역할 및 작업을 중심으로 하는 학습을 제공하고 다른 정보 소스에는 접근하지 않도록 유도하고자 할 수 있습니다.

대책

로그온 시 시작 화면 표시 안 함 설정을 사용으로 구성합니다.

잠재적 영향

사용자가 자신의 컴퓨터에 로그온할 때 시작 화면이 표시되지 않습니다.

레거시 실행 목록 처리 안 함

레거시 실행 목록 처리 안 함 설정을 사용하면 Windows XP가 시작될 때 자동으로 실행되는 프로그램 목록인 실행 목록이 무시됩니다. Windows XP용 사용자 지정된 실행 목록은 레지스트리의 다음 위치에 저장됩니다.

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

레거시 실행 목록 처리 안 함 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용

  • 사용 안 함

  • 구성되지 않음

보안 문제

악의적인 사용자가 Windows가 시작될 때마다 컴퓨터의 데이터를 손상시키거나 기타 피해를 줄 수 있는 프로그램이 실행되도록 구성할 수 있습니다.

대책

레거시 실행 목록 처리 안 함 설정을 사용으로 구성합니다.

잠재적 영향

이 설정을 사용하면 바이러스 백신 소프트웨어 및 소프트웨어 배포/모니터링 소프트웨어 같은 특정 컴퓨터 프로그램도 실행되지 않습니다. 조직에 이 설정을 사용하기 위한 전략을 결정하기 전에 이 설정을 통해 보안을 유지할 환경에 대한 위협 수준을 평가해야 합니다.

한 번만 실행 목록 처리 안 함

이 정책 설정은 Windows XP가 시작될 때 자동으로 실행되는 프로그램 목록인 한 번만 실행 목록을 무시합니다. 이 설정은 해당 목록의 프로그램이 클라이언트가 다음 번에 다시 시작될 때 한 번만 실행된다는 점에서 레거시 실행 목록 처리 안 함 설정과는 다릅니다. 경우에 따라 설정 및 설치 프로그램은 클라이언트가 다시 시작된 후에 설치를 완료하기 위해 이 목록에 추가됩니다. 이 정책 설정을 사용하면 공격자가 한 번만 실행 목록을 사용하여 악의적인 응용 프로그램을 실행할 수 없습니다. 예전에는 이러한 방식의 공격이 일반적으로 수행되었습니다.

참고: 사용자 지정된 한 번 실행 목록은 레지스트리의 다음 위치에 저장됩니다. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

한 번만 실행 목록 처리 안 함 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용

  • 사용 안 함

  • 구성되지 않음

보안 문제

악의적인 사용자는 한 번 실행 목록을 악용하여 Windows XP 클라이언트의 보안을 침해할 수 있는 프로그램을 설치할 수 있습니다.

대책

 번만 실행 목록 처리 안 함 설정을 사용으로 구성합니다.

잠재적 영향

 번만 실행 목록 처리 안 함 설정을 사용해도 작업 환경의 사용자들이 사용할 수 없게 되는 기능은 최소한의 수준으로 유지됩니다. 특히 그룹 정책을 통해 이 설정을 적용하기 전에 조직의 모든 표준 소프트웨어로 클라이언트를 구성한 경우 최소한의 기능만을 사용할 수 없게 됩니다. 그러나 이 구성을 사용하면 Internet Explorer 같은 일부 설정 및 설치 프로그램이 제대로 작동하지 않을 수 있습니다.

그룹 정책

그룹 정책이 처리되는 방식을 수정하려면 그룹 정책 개체 편집기의 다음 위치에서 설정을 구성하면 됩니다.

컴퓨터 구성\관리 템플릿\시스템\그룹 정책

Internet Explorer 유지 관리 정책 처리 중

이 정책 설정은 Internet Explorer 유지 관리 정책이 업데이트되는 시기를 결정합니다. 이 설정은 Windows 설정\Internet Explorer 유지 관리에 포함되어 있는 정책과 같이 그룹 정책의 Internet Explorer 유지 관리 구성 요소를 사용하는 모든 정책에 적용됩니다. 이 설정은 Internet Explorer 유지 관리 정책 집합이 설치될 때 구현되는 사용자 지정 설정보다 우선적으로 적용됩니다.

Internet Explorer 유지 관리 정책 처리 중 설정을 사용하는 경우 제공되는 확인란을 통해 옵션을 변경할 수 있습니다. 이 정책 설정을 사용할 수 없도록 설정하거나 구성하지 않아도 컴퓨터에는 아무런 영향이 없습니다.

Internet Explorer 유지 관리 정책 처리 중 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용(다음 옵션 사용):

    • 저속 네트워크 연결에서의 처리 허용: 이 옵션을 선택하면 전화선처럼 느린 네트워크 연결을 통해 업데이트가 전송될 때도 정책이 업데이트됩니다. 느린 연결을 통해 업데이트가 진행되면 시간이 상당히 지연될 수 있습니다.

    • 정기적인 백그라운드 작업을 처리하는 동안 적용 안 함: 이 옵션을 선택하면 컴퓨터를 사용 중일 때는 해당되는 정책을 백그라운드에서 업데이트할 수 없습니다. 백그라운드 업데이트 작업은 사용자 작업에 혼란을 줄 수 있고 프로그램이 중지되거나 비정상적으로 작동되도록 할 수 있으며 데이터를 손상시키는 경우도 있습니다.

    • 변경되지 않아도 그룹 정책 개체 처리: 이 옵션을 선택하면 정책이 변경되지 않은 경우에도 정책이 업데이트되어 다시 적용됩니다. 구현되는 정책은 대부분 변경되는 경우에만 업데이트되도록 지정되어 있습니다. 그러나 사용자가 설정을 변경했더라도 다시 적용되도록 하려는 경우와 같이 변경되지 않은 정책을 업데이트할 수도 있습니다.

  • 사용 안 함

  • 구성되지 않음

보안 문제

이 설정을 사용하고 변경되지 않아도 그룹 정책 개체 처리 옵션을 선택하면 정책이 변경되지 않은 경우에도 다시 처리됩니다. 이 방법을 사용하면 권한이 없는 사용자가 로컬에서 변경 작업을 수행한 경우에도 설정되어 있는 도메인 기반 정책을 적용할 수 있습니다.

대책

Internet Explorer 유지 관리 정책 처리 중 설정을 사용으로 구성합니다. 그런 다음 저속 네트워크 연결에서의 처리 허용 확인란과 정기적인 백그라운드 작업을 처리하는 동안 적용 안 함 확인란 선택을 모두 취소하고 변경되지 않아도 그룹 정책 개체 처리 확인란을 선택합니다.

잠재적 영향

그룹 정책이 새로 고칠 때마다 다시 적용되므로 컴퓨터의 성능에 다소 영향을 줄 수 있습니다.

IP 보안 정책 처리 중

이 정책 설정은 IPsec(IP 보안) 정책이 업데이트되는 시기를 결정합니다. 이 설정은 그룹 정책의 IPsec 구성 요소를 사용하는 모든 정책에 영향을 줍니다. 이 정책 설정은 구현되는 프로그램이 설치될 때 설정되는 사용자 지정 설정보다 우선적으로 적용됩니다.

IP 보안 정책 처리 중 설정을 사용하는 경우 제공되는 확인란을 통해 옵션을 변경할 수 있습니다. 이 설정을 사용할 수 없도록 설정하거나 구성하지 않아도 컴퓨터에는 아무런 영향이 없습니다.

IP 보안 정책 처리 중 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용(다음 옵션 사용):

    • 저속 네트워크 연결에서의 처리 허용

    • 정기적인 백그라운드 작업을 처리하는 동안 적용 안 함

    • 변경되지 않아도 그룹 정책 개체 처리

  • 사용 안 함

  • 구성되지 않음

저속 네트워크 연결에서의 처리 허용 설정을 선택하면 전화선이나 낮은 대역폭의 WAN 링크 같은 느린 네트워크 연결을 통해 업데이트 데이터가 전송될 때도 정책이 업데이트됩니다. 느린 연결을 통해 업데이트가 진행되면 시간이 상당히 지연될 수 있습니다. 정기적인 백그라운드 작업을 처리하는 동안 적용 안 함 설정을 선택하면 컴퓨터를 사용 중일 때는 해당되는 정책을 백그라운드에서 업데이트할 수 없습니다. 백그라운드 업데이트 작업은 사용자 작업에 혼란을 줄 수 있고 프로그램이 중지되거나 비정상적으로 작동되도록 할 수 있으며 데이터를 손상시키는 경우도 있습니다. 변경되지 않아도 그룹 정책 개체 처리 설정을 선택하면 정책이 변경되지 않은 경우에도 업데이트되어 다시 적용됩니다. 구현되는 정책은 대부분 변경되는 경우에만 업데이트되도록 지정되어 있습니다. 그러나 사용자가 설정을 변경했더라도 다시 적용되도록 하려는 경우와 같이 변경되지 않은 정책을 주기적으로 업데이트할 수도 있습니다.

보안 문제

이 설정을 사용하고 변경되지 않아도 그룹 정책 개체 처리 옵션을 선택하면 정책이 변경되지 않은 경우에도 다시 처리됩니다. 이 방법을 사용하면 로컬의 구성 작업으로 인해 발생한 허가되지 않은 변경 내용이 다시 도메인 기반 그룹 정책 설정과 동일한 상태로 돌아갑니다.

대책

IP 보안 정책 처리 중 설정을 사용으로 구성합니다. 그런 다음 정기적인 백그라운드 작업을 처리하는 동안 적용 안 함 확인란 선택을 취소하고 변경되지 않아도 그룹 정책 개체 처리 확인란을 선택합니다.

잠재적 영향

IP 보안 그룹 정책이 새로 고칠 때마다 다시 적용되므로 컴퓨터의 성능에 다소 영향을 줄 수 있으며 기존 네트워크 연결을 방해할 수 있습니다.

레지스트리 정책 처리 중

이 정책 설정은 레지스트리 정책이 업데이트되는 시기를 결정합니다. 이 설정은 관리 템플릿 폴더의 모든 정책과 레지스트리에 값이 저장된 다른 모든 정책에 영향을 줍니다. 이 정책 설정은 구현되는 레지스트리 정책 프로그램이 설치될 때 설정되는 사용자 지정 설정보다 우선적으로 적용됩니다.

레지스트리 정책 처리 중 설정을 사용하는 경우 제공되는 확인란을 통해 옵션을 변경할 수 있습니다. 이 설정을 사용할 수 없도록 설정하거나 구성하지 않아도 컴퓨터에는 아무런 영향이 없습니다.

정기적인 백그라운드 작업을 처리하는 동안 적용 안 함 옵션을 선택하면 컴퓨터를 사용 중일 때는 해당되는 정책을 백그라운드에서 업데이트할 수 없습니다. 백그라운드 업데이트 작업은 사용자 작업에 혼란을 줄 수 있고 프로그램이 중지되거나 비정상적으로 작동되도록 할 수 있으며 데이터를 손상시키는 경우도 있습니다. 변경되지 않아도 그룹 정책 개체 처리 옵션을 선택하면 정책이 변경되지 않은 경우에도 업데이트되어 다시 적용됩니다. 구현되는 그룹 정책은 대부분 변경되는 경우에만 업데이트되도록 지정되어 있습니다. 그러나 사용자가 설정을 변경했더라도 다시 적용되도록 하려는 경우와 같이 변경되지 않은 정책을 업데이트할 수도 있습니다.

레지스트리 정책 처리 중 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용(다음 옵션 사용):

    • 정기적인 백그라운드 작업을 처리하는 동안 적용 안 함

    • 변경되지 않아도 그룹 정책 개체 처리

  • 사용 안 함

  • 구성되지 않음

보안 문제

이 설정을 사용하고 변경되지 않아도 그룹 정책 개체 처리 옵션을 선택하면 정책이 변경되지 않은 경우에도 다시 처리됩니다. 이 방법을 사용하면 로컬의 구성 작업으로 인해 발생한 허가되지 않은 변경 내용이 다시 도메인 기반 그룹 정책 설정과 동일한 상태로 돌아갑니다.

대책

레지스트리 정책 처리 중 설정을 사용으로 구성합니다. 그런 다음 정기적인 백그라운드 작업을 처리하는 동안 적용 안 함 확인란 선택을 취소하고 변경되지 않아도 그룹 정책 개체 처리 확인란을 선택합니다.

잠재적 영향

그룹 정책이 새로 고칠 때마다 다시 적용되므로 컴퓨터의 성능에 다소 영향을 줄 수 있습니다.

보안 정책 처리 중

이 정책 설정은 보안 정책이 업데이트되는 시기를 결정합니다. 이 정책 설정은 보안 정책 프로그램이 설치될 때 구현되는 사용자 지정 설정보다 우선적으로 적용됩니다.

보안 정책 처리 중 설정을 사용하는 경우 제공되는 확인란을 통해 옵션을 변경할 수 있습니다. 이 설정을 사용할 수 없도록 설정하거나 구성하지 않아도 컴퓨터에는 아무런 영향이 없습니다.

정기적인 백그라운드 작업을 처리하는 동안 적용 안 함 옵션을 선택하면 컴퓨터를 사용 중일 때는 해당되는 정책을 백그라운드에서 업데이트할 수 없습니다. 백그라운드 업데이트 작업은 사용자 작업에 혼란을 줄 수 있고 프로그램이 중지되거나 비정상적으로 작동되도록 할 수 있으며 데이터를 손상시키는 경우도 있습니다. 변경되지 않아도 그룹 정책 개체 처리 옵션을 선택하면 정책이 변경되지 않은 경우에도 업데이트되어 다시 적용됩니다. 구현되는 그룹 정책은 대부분 변경되는 경우에만 업데이트되도록 지정되어 있습니다. 그러나 사용자가 설정을 변경했더라도 다시 적용되도록 하려는 경우와 같이 변경되지 않은 정책을 업데이트할 수도 있습니다.

보안 정책 처리 중 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용(다음 옵션 사용):

    • 정기적인 백그라운드 작업을 처리하는 동안 적용 안 함

    • 변경되지 않아도 그룹 정책 개체 처리

  • 사용 안 함

  • 구성되지 않음

보안 문제

이 설정을 사용하고 변경되지 않아도 그룹 정책 개체 처리 옵션을 선택하면 정책이 변경되지 않은 경우에도 다시 처리됩니다. 이 방법을 사용하면 로컬의 구성 작업으로 인해 발생한 허가되지 않은 변경 내용이 다시 도메인 기반 그룹 정책 설정과 동일한 상태로 돌아갑니다.

대책

보안 정책 처리 중 설정을 사용으로 구성합니다. 그런 다음 정기적인 백그라운드 작업을 처리하는 동안 적용 안 함 확인란 선택을 취소하고 변경되지 않아도 그룹 정책 개체 처리 확인란을 선택합니다.

잠재적 영향

그룹 정책이 새로 고칠 때마다 다시 적용되므로 컴퓨터의 성능에 다소 영향을 줄 수 있습니다.

원격 지원

그룹 정책 개체 편집기의 다음 위치에서 미리 지정된 원격 지원 컴퓨터 설정을 구성할 수 있습니다.

컴퓨터 구성\관리 템플릿\시스템\원격 지원

원격 지원 제공

이 정책 설정은 전자 메일이나 인스턴트 메시지 등의 다른 채널을 통한 명시적인 지원 요청을 하지 않아도 지원 담당자 또는 IT "전문" 관리자가 사용자 환경의 컴퓨터 사용자에게 원격 지원을 제공할 수 있는지 여부를 결정합니다.

참고: 전문가는 사용자에게 알리지 않고는 컴퓨터에 연결할 수 없으며 사용자가 허가하지 않으면 컴퓨터를 제어할 수 없습니다. 전문가가 연결을 시도할 때 사용자는 해당 연결을 거부할 수 있으며 워크스테이션에 대한 읽기 전용 권한을 부여할 수 있습니다. 사용자가 원격 지원 제공 설정을 사용으로 구성한 후에 를 명시적으로 클릭해야 전문가가 워크스테이션을 원격으로 제어할 수 있습니다.

원격 지원 제공 설정을 사용하는 경우 다음 옵션을 사용할 수 있습니다.

  • 이 컴퓨터에 대한 읽기 전용 권한만 허용

  • 이 컴퓨터를 원격으로 제어할 수 있도록 허용

이 설정을 구성하면 원격 지원을 제공할 수 있는 "도우미"라는 사용자 또는 사용자 그룹 목록도 지정할 수 있습니다.

도우미 목록을 구성하려면

  1. 원격 지원 제공 설정 구성 창에서 표시를 클릭합니다. 도우미 이름을 입력할 수 있는 새 창이 열립니다.

  2. 다음 형식을 사용하여 도우미 목록에 각 사용자나 그룹을 추가합니다.

    • <도메인 이름>\<사용자 이름>

    • <도메인 이름>\<그룹 이름>>

원격 지원 제공 설정을 사용할 수 없도록 설정하거나 구성하지 않으면 사용자나 그룹이 사용자 환경의 컴퓨터 사용자에게 원치 않는 원격 지원을 제공할 수 없게 됩니다.

보안 문제

사용자가 악의적인 사용자에게 속아 원치 않는 원격 지원 제공을 수락할 수 있습니다.

대책

원격 지원 제공 설정을 사용 안 함으로 구성합니다.

잠재적 영향

지원 센터 및 지원 담당자가 사용자 지원 요청에 응답할 수는 있지만 사전에 지원을 제공할 수는 없습니다.

원격 지원 요청

이 정책 설정은 사용자 환경의 Windows XP 컴퓨터에서 원격 지원을 요청할 수 있는지 여부를 결정합니다. 이 설정을 사용하면 사용자가 IT "전문" 관리자에게 워크스테이션에 대한 원격 지원을 요청할 수 있습니다.

참고: 전문가는 사용자에게 알리지 않고는 컴퓨터에 연결할 수 없으며 사용자가 허가하지 않으면 컴퓨터를 제어할 수 없습니다. 전문가가 연결을 시도할 때 사용자는 해당 연결을 거부할 수 있으며 전문가에게 워크스테이션에 대한 읽기 전용 권한을 부여할 수 있습니다. 사용자가 단추를 명시적으로 클릭해야 전문가가 워크스테이션을 원격으로 제어할 수 있습니다.

원격 지원 요청 설정을 사용하는 경우 다음 옵션을 통해 사용자 컴퓨터에 대한 원격 제어를 허용할 수 있습니다.

  • 이 컴퓨터를 원격으로 제어할 수 있도록 허용

  • 이 컴퓨터에 대한 읽기 전용 권한만 허용

또한 다음 옵션을 사용하여 사용자의 지원 요청이 유효 상태로 유지되는 시간을 구성할 수 있습니다.

  • 최대 티켓 시간(값):

  • 최대 티켓 시간(단위): 시, 분 또는 일

티켓(지원 요청)이 만료되면 사용자는 전문가가 컴퓨터에 연결할 수 있도록 다른 요청을 보내야 합니다. 원격 지원 요청 설정을 사용하지 않으면 사용자는 지원 요청을 보낼 수 없으며 전문가는 사용자의 컴퓨터에 연결할 수 없습니다.

원격 지원 요청 설정을 구성하지 않으면 사용자는 요청된 원격 지원을 제어판을 통해 구성할 수 있습니다. 요청된 원격 지원, 친구 지원 및 원격 제어 설정은 기본적으로 제어판에서 사용하도록 설정합니다. 최대 티켓 시간 값은 30일로 설정됩니다. 이 설정을 사용하지 않으면 네트워크를 통해 Windows XP 클라이언트에 액세스할 수 없습니다.

보안 문제

원격 지원 요청 설정을 사용하는 경우 사용자가 권한이 없는 직원에게 원격 지원 요청을 보낼 수 있습니다.

대책

원격 지원 요청 설정을 사용 안 함으로 구성합니다.

잠재적 영향

원격 지원 요청 설정을 사용 안 함으로 구성하면 사용자가 지원 센터 또는 지원 담당자의 원격 지원을 요청할 수 없습니다.

오류 보고

Windows 회사 오류 보고를 통해 관리자는 DW.exe에서 만든 캐비닛 파일을 관리하고 중지 오류 보고서를 로컬 파일 서버로 리디렉션할 수 있습니다. 이 기능을 사용하면 정보를 인터넷을 통해 Microsoft에 직접 전송하지 않고 대체 방법을 통해 전송할 수 있습니다. 충분한 중지 오류 항목이 수집되면 관리자는 정보를 검토하고 Microsoft에 유용하다고 판단되는 중지 오류 데이터만 전송할 수 있습니다.

Windows 회사 오류 보고를 사용하면 관리자는 가장 많이 발생하는 중지 오류 유형을 검토할 수 있습니다. 그런 후에 이 정보를 사용하여 발생 가능한 중지 오류 상황을 방지하는 방법에 대해 사용자에게 교육을 실시할 수 있습니다.

그룹 정책 개체 편집기의 다음 위치에서 오류 보고 설정을 구성할 수 있습니다.

컴퓨터 구성\관리 템플릿\시스템\오류 보고

오류 알림 표시

이 정책 설정을 사용하여 사용자가 오류를 보고할 수 있는지 여부를 제어할 수 있습니다. 이 정책 설정을 사용하면 오류가 발생할 때 사용자에게 알림이 표시되므로 사용자가 오류에 대한 세부 정보에 액세스할 수 있습니다. 오류 보고 설정을 함께 사용하면 사용자가 오류를 보고할지 여부도 선택할 수 있습니다.

오류 알림 표시 설정을 사용하지 않으면 사용자가 오류를 보고할지 여부를 선택할 수 없습니다. 오류 보고 설정을 사용하면 오류가 자동으로 보고되지만 오류가 발생할 때 사용자에게 알림이 표시되지 않습니다.

대화형 사용자가 없는 서버 컴퓨터에 대해서는 이 설정을 사용하지 않는 것이 좋습니다. 이 설정을 구성하지 않아도 사용자는 제어판을 통해 해당 설정을 조정할 수 있습니다. 이 설정은 Windows XP에서는 기본적으로 알림 사용으로 설정되며 Windows Server 2003에서는 기본적으로 알림 사용 안 함으로 설정됩니다.

오류 알림 표시 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용

  • 사용 안 함

  • 구성되지 않음

보안 문제

오류 보고 여부를 선택할 수 있는 경우 사용자가 오류 보고에 대한 조직의 지침을 준수하지 않을 수 있습니다. 이 정책 설정을 사용 안 함으로 구성하면 사용자에게 오류 보고 메시지가 표시되지 않습니다.

대책

오류 알림 표시 설정을 사용 안 함으로 구성합니다.

잠재적 영향

오류 보고 메시지가 생성되어도 표시되지 않습니다.

오류 보고

이 정책 설정은 오류가 보고되는지 여부를 제어합니다. 오류 보고 설정을 사용으로 구성하면 오류가 발생할 때 사용자가 오류를 보고할 수 있습니다. 오류는 인터넷을 통해 Microsoft로 보고되거나 사용자 조직의 로컬 파일 공유 위치로 보고될 수 있습니다.

오류 보고 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용(다음 옵션 사용):

    • Microsoft에서 제공한 "자세한 정보" 웹 사이트로의 링크를 표시하지 않습니다.: 이 옵션을 선택하면 오류 메시지에 대한 추가 정보가 있는 Microsoft 웹 사이트 링크가 표시되지 않습니다.

    • 추가 파일을 수집하지 않음: 이 옵션을 선택하면 오류 보고서에 포함될 추가 파일이 수집되지 않습니다.

    • 추가적인 컴퓨터 데이터를 수집하지 않음: 이 옵션을 선택하면 오류가 발생한 컴퓨터에 대한 추가 정보가 오류 보고서에 포함되지 않습니다.

    • 응용 프로그램 오류에 대해 큐 모드 강제 설정: 이 옵션을 선택하면 사용자가 오류 보고서를 보낼지 여부를 선택할 수 없습니다. 대신 오류는 대기열 디렉터리에 올려지며 그 이후에 컴퓨터에 로그온하는 관리자가 해당 오류를 보고할지 여부를 결정합니다.

    • 회사 업로드 파일 경로: 이 옵션을 선택하면 오류 보고서가 업로드되는 파일 공유 위치에 대해 UNC(Universal Naming Convention) 경로를 지정할 수 있습니다. 또한 이 옵션을 통해 회사 오류 보고 도구를 사용할 수 있습니다.

    • "Microsoft"를 대신할 단어: 이 옵션을 선택하면 오류 보고 대화 상자를 사용자 조직 이름으로 사용자 지정할 수 있습니다.

  • 사용 안 함

  • 구성되지 않음

이 정책 설정을 구성하지 않으면 사용자가 제어판에서 설정을 조정할 수 없습니다. Windows XP Professional의 기본 구성은 사용이고 Windows Server 2003의 기본 구성은 사용 안 함입니다.

오류 보고 설정을 사용하는 경우 오류 보고에 대해 제어판을 통해 지정한 설정은 모두 무시됩니다. 또한 이 구성을 사용하면 구성되지 않은 오류 보고 정책에 대해 기본값이 지정됩니다.

보안 문제

Windows XP, Windows Server 2003 및 Office의 Windows 회사 오류 보고 기능의 기본 구성을 사용하는 경우 일부 조직에서는 기밀로 유지하고자 하는 데이터가 Microsoft로 전송됩니다. Windows 회사 오류 보고에 대한 Microsoft 개인 정보 보호 정책에는 Microsoft에서 Windows 회사 오류 보고를 통해 수집된 데이터를 오용하지 않는다는 내용이 명시되어 있습니다. 그러나 일부 조직에서는 IT 팀의 신뢰할 수 있는 구성원이 먼저 정보를 검토한 후에 조직 외부로 전송하는 방식으로 이 기능을 구성하고자 할 수 있습니다.

반대로 오류 보고를 완전히 사용하지 않으면 Microsoft에서 새로운 버그를 식별 및 진단하기가 더욱 어려워집니다. 자체적으로 내부 비즈니스 응용 프로그램을 개발하는 조직은 Windows 회사 오류 보고를 활용하여 해당 코드 내의 문제를 추적할 수도 있습니다.

개인 정보를 보호하고 Windows 회사 오류 보고를 효율적으로 활용하는 올바른 구성을 적용하려면 내부 CER(회사 오류 보고) 서버를 설치하는 것이 좋습니다. 전송할 오류 보고서가 있는 경우 이러한 서버에 먼저 전송하도록 클라이언트 컴퓨터를 구성합니다. 그런 다음 관리자는 CER 서버에 있는 보고서를 검토하여 기밀 정보가 포함되어 있지 않은 Microsoft 전달용 집계 보고서를 생성할 수 있습니다.

대책

오류 보고 설정을 사용으로 구성하고 조직의 CER 서버에 대한 UNC 경로를 가리키도록 회사 업로드 파일 경로 옵션을 선택합니다.

참고: 조직에서 CER 서버를 만드는 방법에 대한 자세한 내용은 Windows 회사 오류 보고 (영문) 웹 사이트(www.microsoft.com/resources/satech/cer/)를 참조하십시오.

잠재적 영향

오류 보고가 사용되고 새 오류 보고서가 CER 서버로 전송됩니다.

인터넷 통신 관리

Windows Server 2003 및 Windows XP 제품군의 제품에는 인터넷과 통신하여 제품을 보다 쉽게 사용할 수 있도록 하는 다양한 기술이 포함되어 있습니다. 브라우저 및 전자 메일 기술을 대표적인 예로 들 수 있지만, 버그 수정 및 보안 패치를 비롯하여 최신 소프트웨어 및 제품 정보를 얻을 수 있도록 하는 자동 업데이트 같은 기술도 있습니다. 이러한 기술은 다양한 이점을 제공하지만 기술을 사용하는 과정에는 관리자가 제어해야 하는 인터넷 사이트와의 통신 작업이 포함될 수 있습니다.

이러한 통신은 개별 구성 요소, 전체 운영 체제 및 조직 전체에서 구성을 관리하는 데 사용되는 서버 구성 요소에서 기본적으로 제공되는 다양한 옵션을 통해 제어할 수 있습니다. 예를 들어 관리자는 그룹 정책을 사용하여 일부 구성 요소의 통신 방식을 제어할 수 있습니다. 일부 구성 요소의 경우에는 모든 통신이 외부 인터넷 사이트가 아닌 조직 내부의 웹 사이트에서 수행되도록 지정할 수 있습니다. 또한 Windows Server 2003 서비스 팩 1(SP1)에서는 Windows 방화벽 및 SCW(보안 구성 마법사)를 사용하여 실행 중인 서비스 및 열려 있는 포트 등 구성의 여러 측면을 제어할 수 있습니다.

Microsoft에서는 인터넷 통신 관리에 대해 두 가지의 자세한 지침을 작성하여 제공하고 있습니다.

분산 COM

COM에서는 컴퓨터에 대한 모든 호출, 활성화 또는 실행 요청 액세스를 관리하는 컴퓨터 전체의 ACL(액세스 제어 목록)을 제공합니다. 이러한 액세스 제어는 컴퓨터에서 이루어지는 각 COM 서버 호출, 활성화 또는 실행 작업의 컴퓨터 전체 ACL에 대해 수행되는 추가적인 액세스 확인 호출의 개념으로 생각하면 됩니다. 이 액세스 확인 작업은 서버 관련 ACL에 대해 실행되는 모든 액세스 확인 작업을 보완하는 추가 확인 작업입니다. 액세스 확인이 실패하면 호출, 활성화 또는 실행 요청이 거부됩니다. 그러므로 이 확인 과정을 수행하면 컴퓨터의 COM 서버에 액세스하기 위해 통과해야 하는 최소한의 인증 표준을 적용할 수 있습니다. DCOM에 대한 자세한 내용은 https://go.microsoft.com/fwlink/?LinkId=20922 (영문)의 "Component Object Model"(구성 요소 개체 모델)을 참조하십시오. 새 DCOM 보안 기능에 대한 자세한 내용은 이 설명서의 5장 "보안 옵션"에서 DCOM: SDDL(Security Descriptor Definition Language)의 컴퓨터 액세스 제한"을 참조하십시오.

Windows XP SP2 및 Windows Server 2003 SP1의 새 DCOM 보안 기능은 그룹 정책 개체 편집기의 다음 위치에서 관리할 수 있습니다.

컴퓨터구성\관리 템플릿\Windows 구성 요소\ 시스템\분산 COM\응용 프로그램 호환성 설정

일반 문제

이 섹션에서 설명하는 두 설정에는 공통적인 보안 문제, 대책 및 발생 가능한 영향 정보가 적용됩니다.

보안 문제

잘못 작성한 COM 구성 요소는 네트워크를 통한 공격의 대상이 될 수 있으므로 이로 인해 정보가 노출되거나 서비스 거부 또는 권한 공격을 받을 수 있습니다.

대책

5장에 설명되어 있는 DCOM 액세스 제어 메커니즘과 함께 로컬 활성화 보안 검사 예외를 허용활성화 보안 검사 예외를 정의 설정을 사용하여 DCOM 구성 요소에 대해 액세스 및 실행 제어를 적용합니다.

잠재적 영향

기존 응용 프로그램에 DCOM 액세스 제어를 추가하면 응용 프로그램이 제대로 실행되지 않을 수 있습니다.

로컬 활성화 보안 검사 예외를 허용

이 정책 설정을 사용하면 로컬 컴퓨터 관리자가 로컬 컴퓨터에서 수행되는 활성화 보안 검사를 통해 활성화 보안 검사 예외를 정의 목록(다음 설정 참고)의 내용을 보완하도록 지정할 수 있습니다. 이 정책 설정을 사용하는 경우 DCOM은 활성화 보안 검사 예외를 정의 정책에서 DCOM 서버 AppID(응용 프로그램 ID)에 대한 명시적 항목을 찾지 못하면 로컬로 구성된 목록에서 항목을 검색합니다.

활성화 보안 검사 예외를 정의

이 정책 설정을 사용하면 DCOM 활성화 보안 검사에서 예외 항목으로 지정된 DCOM 서버 AppID(응용 프로그램 ID) 목록을 확인 및 변경할 수 있습니다. COM 및 AppID 키에 대한 자세한 내용은 MSDN(https://go.microsoft.com/fwlink/?LinkId=32831)에서 "COM Registry Entries (영문)"(COM 레지스트리 항목)를 참조하십시오.

DCOM은 두 개의 DCOM 서버 AppID 목록을 사용하여 보안 결정을 내립니다. 두 목록 중 하나는 활성화 보안 검사 예외를 정의 그룹 정책 설정을 통해 구성되며 다른 하나는 로컬 컴퓨터 관리자가 만듭니다. AppID 키는 COM이 사용하는 레지스트리 키 중 하나이며 하나 이상의 분산 COM 개체에 대한 구성 옵션을 레지스트리의 단일 중앙 위치로 그룹화합니다. 이 키에는 명명된 실행 파일에 해당하는 AppID GUID를 식별하는 AppID 명명된 값이 포함됩니다.

활성화 보안 검사 예외를 정의 설정을 구성하는 경우 DCOM은 이와 관련된 로컬 활성화 보안 검사 예외를 허용 설정도 사용하도록 설정된 경우가 아니면 두 번째 목록을 무시합니다. DCOM 서버 AppID 목록에 추가하는 DCOM 서버 AppID는 {b5dcb061-cefb-42e0-a1be-e6a6438133fe}와 같이 중괄호로 묶어야 합니다. 이 AppID 번호는 예제로만 사용하기 위한 것입니다. 존재하지 않거나 형식이 잘못된 AppID를 입력하면 DCOM에서는 해당 AppID를 목록에만 추가하고 오류를 검사하지는 않습니다.

이 정책 설정을 사용하면 그룹 정책 설정에 의해 정의된 DCOM 활성화 보안 검사 예외 목록을 확인 및 변경할 수 있습니다.

다음 값 중 하나를 사용할 수 있습니다.

  • AppID를 이 목록에 추가하고 해당 값을 1로 설정하면 DCOM은 해당 DCOM 서버에 대해 활성화 보안 검사를 적용하지 않습니다.

  • AppID를 이 목록에 추가하고 해당 값을 0으로 설정하면 DCOM은 로컬 설정에 관계없이 해당 서버에 대한 활성화 보안 검사를 항상 적용합니다.

참고: 이 예외 목록에 추가되는 DCOM 서버는 해당 사용자 지정 실행 권한에 포함된 특정 로컬 실행, 원격 실행, 로컬 활성화 또는 원격 활성화 권한이 모든 사용자 또는 그룹에 대해 허용 또는 거부로 설정되어 있지 않는 경우에만 예외 항목으로 지정됩니다. 이 목록에 추가하는 DCOM 서버 AppID의 예외는 32비트 및 64비트(있는 경우) 버전의 Windows Server 2003에 적용됩니다.

페이지 위쪽

사용자 구성 설정

이 장의 앞부분에서 설명한 설정은 Active Directory 도메인 구성원인 컴퓨터에 적용됩니다. 다음 섹션의 설정은 개별 사용자에게 적용됩니다.

Internet Explorer 사용자 설정

Internet Explorer는 Windows XP와 Windows Server 2003에 포함된 웹 브라우저입니다. 그룹 정책 개체 편집기의 다음 위치에서 그룹 정책을 통해 Internet Explorer의 여러 가지 기능을 관리할 수 있습니다.

사용자 구성\관리 템플릿\Windows 구성 요소\ Internet Explorer

Outlook Express 구성

이 정책 설정을 사용하면 관리자는 Microsoft Outlook Express 사용자가 바이러스가 포함되어 있을 수 있는 첨부 파일을 저장하거나 여는 기능을 사용하거나 사용할 수 없도록 설정할 수 있습니다 바이러스가 포함된 가능성이 있는 첨부 파일 차단 확인란을 선택하면 사용자가 바이러스가 포함되어 있을 수 있는 첨부 파일을 열거나 저장할 수 없습니다. 또한 이 정책 설정을 사용하면 인터넷 옵션 대화 상자에서 전자 메일 첨부 파일 차단 또는 허용 여부를 지정할 수 있습니다.

Outlook Express 구성 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용(다음 옵션 사용):

    • 바이러스가 포함된 가능성이 있는 첨부 파일 차단
  • 사용 안 함

  • 구성되지 않음

보안 문제

사용자가 전자 메일 첨부 파일을 열도록 선택하는 경우 첨부 파일에 포함된 바이러스나 트로이 목마 프로그램과 같은 악의적인 코드를 본의 아니게 실행할 수 있습니다.

대책

Outlook Express 구성 설정을 사용으로 구성하고 바이러스가 포함된 가능성이 있는 첨부 파일 차단 확인란을 선택합니다.

잠재적 영향

사용자는 Outlook Express에서 일부 유형의 메시지 첨부 파일을 열거나 실행할 수 없게 됩니다.

고급 페이지 설정 변경할 수 없음

이 정책 설정은 사용자가 인터넷 옵션 대화 상자에서 고급 탭의 설정을 변경할 수 없도록 합니다. 이 정책 설정을 사용하면 사용자가 보안, 멀티미디어 및 인쇄 옵션 같은 고급 인터넷 설정을 변경할 수 없으며 고급 탭의 확인란을 선택하거나 선택을 취소할 수 없습니다. 이 정책 설정을 사용할 수 없도록 설정하거나 구성하지 않으면 사용자가 고급 탭의 옵션을 선택하거나 선택을 취소할 수 없게 됩니다.

고급 페이지 사용 안 함 설정을 구성하는 경우 고급 탭이 인터페이스에서 없어지기 때문에 이 정책 설정을 구성할 필요가 없습니다.

고급 페이지 설정 변경할 수 없음에 사용할 수 있는 값은 다음과 같습니다.

  • 사용

  • 사용 안 함

  • 구성되지 않음

보안 문제

사용자가 Internet Explorer 보안 설정의 일부를 변경할 수 있으므로 악의적인 웹 사이트를 방문하여 악의적인 코드를 다운로드하거나 실행할 수 있습니다.

대책

고급 페이지 설정 변경할 수 없음사용으로 구성합니다.

잠재적 영향

사용자가 인터넷 옵션 대화 상자의 고급 탭 설정을 변경할 수 없습니다.

자동 구성 설정 변경할 수 없음

이 정책 설정은 사용자가 자동 구성 설정을 변경할 수 없도록 합니다. 자동 구성은 관리자가 브라우저 설정을 주기적으로 업데이트할 때 사용할 수 있는 프로세스입니다. 이 정책 설정을 사용하면 자동 구성 설정이 흐리게 표시되어 사용할 수 없는 상태가 됩니다. 이러한 설정은 LAN 설정 대화 상자의 자동 구성 영역에 있습니다. 이 정책 설정을 사용할 수 없도록 설정하거나 구성하지 않으면 사용자가 자동 구성 설정을 변경할 수 있습니다.

연결 페이지 사용 안 함 설정을 사용하는 경우 연결 탭이 제어판의 Internet Explorer 대화 상자에서 없어지며 해당 설정이 이 정책 설정(자동 구성 설정 변경할 수 없음)을 무시합니다.

자동 구성 설정 변경할 수 없음에 사용할 수 있는 값은 다음과 같습니다.

  • 사용

  • 사용 안 함

  • 구성되지 않음

보안 문제

사용자가 Internet Explorer 보안 설정의 일부를 변경할 수 있으므로 악의적인 웹 사이트를 방문하여 악의적인 코드를 다운로드하거나 실행할 수 있습니다.

대책

자동 구성 설정 변경할 수 없음사용으로 구성합니다.

잠재적 영향

사용자가 자동 구성 설정을 변경할 수 없습니다.

인증서 설정 변경할 수 없음

이 정책 설정은 사용자가 Internet Explorer의 인증서 설정을 변경할 수 없도록 합니다. 인증서는 소프트웨어 게시자의 ID를 확인하는 데 사용됩니다. 이 정책 설정을 사용하면 인터넷 옵션 대화 상자의 내용 탭에 있는 인증서 영역 설정이 흐리게 표시되어 사용할 수 없는 상태가 됩니다. 이 설정을 사용할 수 없도록 설정하거나 구성하지 않으면 사용자가 새 인증서를 가져오고 승인된 게시자를 제거하고 이미 승인된 인증서의 설정을 변경할 수 있습니다.

\사용자 구성\관리 템플릿\Windows 구성 요소\Internet Explorer\인터넷 제어판에 있는 내용 페이지 사용 안 함 설정을 사용하는 경우 제어판의 Internet Explorer 대화 상자에서 내용 탭이 없어지며 해당 설정이 이 정책 설정(인증서 설정 변경할 수 없음)을 무시합니다.

인증서 설정 변경할 수 없음에 사용할 수 있는 값은 다음과 같습니다.

  • 사용

  • 사용 안 함

  • 구성되지 않음

주의: 이 정책 설정을 사용해도 사용자는 계속 소프트웨어 게시 인증서(.spc) 파일을 두 번 클릭하여 인증서 관리자 가져오기 마법사를 실행할 수 있습니다. 이 마법사를 사용하면 Internet Explorer에 대해 아직 구성하지 않은 소프트웨어 게시자로부터 인증서에 대한 설정을 가져오고 구성할 수 있습니다.

보안 문제

사용자가 새 인증서를 가져오거나 승인된 인증서를 제거하거나 이전에 구성한 인증서의 설정을 변경할 수 있습니다. 이로 인해 승인된 응용 프로그램에 오류가 발생하거나 승인되지 않은 소프트웨어가 실행될 수 있습니다.

대책

인증서 설정 변경할 수 없음 설정을 사용으로 구성합니다.

잠재적 영향

사용자가 인증서 설정을 변경할 수 없습니다.

연결 설정 변경할 수 없음

이 정책 설정은 사용자가 전화 접속 설정을 변경할 수 없도록 합니다. 이 정책 설정을 사용하면 인터넷 옵션 대화 상자의 연결 탭에 있는 설정 단추를 사용할 수 없습니다. 이 정책 설정을 사용할 수 없도록 설정하거나 구성하지 않으면 사용자가 전화 접속 연결 설정을 변경할 수 있습니다.

\사용자 구성\ 관리 템플릿\Windows 구성 요소\Internet Explorer\인터넷 제어판에 있는 연결 페이지 사용 안 함 설정을 사용하는 경우 인터넷 옵션 대화 상자에서 연결 탭이 없어지며 이 정책 설정(연결 설정 변경할 수 없음)을 구성할 필요가 없습니다.

연결 설정 변경할 수 없음에 사용할 수 있는 값은 다음과 같습니다.

  • 사용

  • 사용 안 함

  • 구성되지 않음

보안 문제

사용자가 기존 연결을 변경하여 Internet Explorer에서 일부 또는 전체 웹 사이트를 탐색할 수 없도록 설정할 수 있습니다.

대책

연결 설정 변경할 수 없음사용으로 구성합니다.

잠재적 영향

사용자가 연결 설정을 변경할 수 없습니다.

프록시 설정 변경할 수 없음

이 정책 설정은 사용자가 프록시 설정을 변경할 수 없도록 합니다. 이 정책 설정을 사용하면 프록시 설정이 흐리게 표시되어 사용할 수 없는 상태가 됩니다. 이러한 설정은 인터넷 옵션 대화 상자에서 연결 탭을 클릭한 다음 LAN(Local Area Network) 설정을 클릭하면 표시되는 LAN 설정 대화 상자의 프록시 서버 영역에 있습니다.

\사용자 구성\ 관리 템플릿\Windows 구성 요소\Internet Explorer\인터넷 제어판에 있는 연결 페이지 사용 안 함 설정을 사용하는 경우에는 이 정책 설정(프록시 설정 변경할 수 없음)을 구성할 필요가 없습니다. 연결 페이지 사용 안 함 설정을 사용하면 인터넷 옵션 대화 상자에서 연결 탭이 없어지기 때문입니다.

프록시 설정 변경할 수 없음에 사용할 수 있는 값은 다음과 같습니다.

  • 사용

  • 사용 안 함

  • 구성되지 않음

보안 문제

사용자가 기존 프록시 서버 설정을 변경하여 Internet Explorer에서 일부 또는 전체 웹 사이트를 탐색할 수 없도록 설정할 수 있습니다.

대책

프록시 설정 변경할 수 없음사용으로 구성합니다.

잠재적 영향

사용자가 프록시 설정을 변경할 수 없습니다.

인터넷 연결 마법사 사용 안 함

이 정책 설정은 사용자가 ICW(인터넷 연결 마법사)를 실행하는 기능을 제어합니다. 이 설정을 사용하는 경우 인터넷 옵션 대화 상자의 연결 탭에 있는 설정 단추가 흐리게 표시되어 사용할 수 없는 상태가 됩니다. 또한 이 정책 설정을 사용하면 다른 방식으로 마법사를 실행하지 못하도록 할 수도 있습니다. 예를 들어 사용자가 바탕 화면의 인터넷에 연결 아이콘을 클릭할 수 없거나 시작, 프로그램, 보조프로그램, 통신을 차례로 클릭한 다음 인터넷 연결 마법사를 클릭할 수 없도록 할 수 있습니다. 이 정책 설정을 사용할 수 없도록 설정하거나 구성하지 않으면 사용자가 ICW를 통해 연결 설정을 변경할 수 있습니다.

인터넷 연결 마법사 사용 안 함 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용

  • 사용 안 함

  • 구성되지 않음

참고: 이 정책 설정은 인터넷 옵션 대화 상자에서 연결 탭을 없애는 연결 페이지 사용 안 함 설정(\사용자 구성\관리 템플릿\Windows 구성 요소\Internet Explorer\인터넷 제어판)과 겹칩니다. 그러나 이 설정을 사용해도 사용자는 바탕 화면이나 시작 메뉴에서 ICW를 계속 실행할 수 있습니다.

보안 문제

사용자가 ICW를 실행하여 새 전화 접속 또는 네트워크 연결을 만들면 이와 같이 관리되지 않는 새 연결을 통해 권한이 없는 사용자가 조직의 네트워크에 액세스할 수 있습니다.

대책

인터넷 연결 마법사 사용 안 함 설정을 사용으로 구성합니다.

잠재적 영향

사용자가 ICW를 실행할 수 없습니다.

자동 완성에서 암호를 저장할 수 없음

이 정책 설정은 웹 페이지의 폼에서 사용자 이름과 암호가 자동으로 완성되지 않도록 하며 사용자에게 "암호 저장" 메시지가 표시되지 않도록 합니다 . 이 정책 설정을 사용하면 폼에 사용할 사용자 이름과 암호암호 저장 여부 확인 확인란이 흐리게 표시되어 사용할 수 없는 상태가 됩니다. 이러한 확인란을 표시하려면 인터넷 옵션 대화 상자를 열고 내용 탭을 클릭한 후 자동 완성을 클릭합니다. 이 설정을 사용할 수 없도록 설정하거나 구성하지 않으면 사용자가 Internet Explorer에서 폼에 사용할 사용자 이름과 암호를 자동으로 완성하고 암호를 저장할 것인지를 묻는 메시지를 표시하도록 할 것인지 여부를 결정할 수 있습니다.

\사용자 구성\관리 템플릿\Windows 구성 요소\Internet Explorer\인터넷 제어판내용 페이지 사용 안 함 설정을 사용하면 제어판의 Internet Explorer 대화 상자에서 내용 탭이 없어지므로 해당 설정이 이 정책 설정(자동 완성에서 암호를 저장할 수 없음)보다 우선적으로 적용됩니다.

자동 완성에서 암호를 저장할 수 없음 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용

  • 사용 안 함

  • 구성되지 않음

보안 문제

자동 완성 기능이 유용하지만 개인 데이터 보호로 암호를 로드합니다. 개인 데이터 보호는 매우 안전한 메커니즘이지만 정보를 저장한 사용자가 해당 정보에 액세스할 수 있어야 합니다. 그리고 사용자의 개인 데이터 보호 내용을 볼 수 있는 여러 가지 도구가 인터넷에서 제공되고 있습니다. 그러나 이러한 도구는 사용자가 자신의 개인 데이터 보호를 보기 위해 실행했을 때만 작동하며, 다른 사용자의 개인 데이터 보호나 암호를 보는 데는 사용할 수 없습니다. 사용자가 이와 같은 도구를 실수로 실행하는 경우 암호가 공격자에게 노출될 수 있습니다.

대책

자동 완성에서 암호를 저장할 수 없음 설정을 사용으로 구성합니다.

잠재적 영향

사용자가 자동 완성 기능을 사용하여 암호를 저장할 수 없습니다.

인터넷 제어판

인터넷 제어판 애플릿을 통해 인터넷 관련 설정을 관리할 수 있습니다. 애플릿 기능의 사용 여부는 그룹 정책의 인터넷 제어판 노드에서 제어할 수 있습니다. 그룹 정책 개체 편집기의 다음 위치에서 이러한 정책 설정을 구성할 수 있습니다.

\사용자 구성\관리 템플릿\Windows 구성 요소\ Internet Explorer\인터넷 제어판

고급 페이지 사용 안 함

이 정책 설정을 사용하면 인터넷 옵션 대화 상자에서 고급 탭이 없어집니다. 이 정책 설정을 사용하는 경우 사용자는 보안, 멀티미디어 및 인쇄 옵션 같은 고급 인터넷 설정을 보거나 변경할 수 없습니다. 이 정책 설정을 사용할 수 없도록 설정하거나 구성하지 않으면 사용자가 이러한 설정을 보고 변경할 수 있습니다.

이 정책 설정을 사용하는 경우 인터넷 옵션 대화 상자에서 고급 탭이 없어지므로 \사용자 구성\관리 템플릿\Windows 구성 요소\Internet Explorer\ 에 있는 고급 페이지 설정 변경할 수 없음을 사용하지 않아도 됩니다.

고급 페이지 사용 안 함 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용

  • 사용 안 함

  • 구성되지 않음

보안 문제

사용자가 Internet Explorer 보안 설정의 일부를 변경할 수 있으므로 악의적인 웹 사이트를 방문하여 악의적인 코드를 다운로드하거나 실행할 수 있습니다.

대책

고급 페이지 사용 안 함 설정을 사용으로 구성합니다.

잠재적 영향

사용자에게 고급 대화 상자가 표시되지 않습니다.

보안 페이지 사용 안 함

이 정책 설정을 사용하면 인터넷 옵션 대화 상자에서 보안 탭이 없어집니다. 이 설정을 사용하는 경우 사용자가 스크립트, 다운로드 및 사용자 인증 같은 보안 영역 설정을 보거나 변경할 수 없습니다. 이 설정을 사용할 수 없도록 설정하거나 구성하지 않으면 사용자가 이러한 설정을 보고 변경할 수 있습니다.

보안 페이지 사용 안 함 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용

  • 사용 안 함

  • 구성되지 않음

이 설정을 구성하는 경우 인터넷 옵션 대화 상자에서 보안 탭이 없어지므로 다음 Internet Explorer 설정을 구성할 필요가 없습니다.

  • 보안 영역: 사용자가 정책을 변경할 수 없음

  • 보안 영역: 사용자가 사이트를 추가/삭제할 수 없음

보안 문제

사용자가 Internet Explorer 보안 설정의 일부를 변경할 수 있으므로 악의적인 웹 사이트를 방문하여 악의적인 코드를 다운로드하거나 실행할 수 있습니다.

대책

보안 페이지 사용 안 함 설정을 사용으로 구성합니다.

잠재적 영향

사용자에게 보안 페이지가 표시되지 않습니다.

오프라인 페이지

Internet Explorer에서는 오프라인에서 사용할 수 있도록 페이지를 다운로드하여 캐시할 수 있습니다. 이 기능은 그룹 정책의 오프라인 페이지 노드에서 제어할 수 있습니다. 그룹 정책 개체 편집기의 다음 위치에서 이러한 정책 설정을 구성할 수 있습니다.

사용자 구성\관리 템플릿\Windows 구성 요소\Internet Explorer\오프라인 페이지

채널 추가할 수 없음

이 정책 설정은 사용자가 Internet Explorer에 채널을 추가할 수 없도록 합니다. 채널은 해당 채널 공급자가 지정한 일정에 따라 사용자의 컴퓨터에서 자동으로 업데이트되는 웹 사이트입니다.

이 정책 설정을 사용하는 경우 사용자가 채널에 가입하기 위해 클릭하는 액티브 채널 추가 단추가 사용할 수 없는 상태가 됩니다. 또한 Microsoft Active Desktop Gallery의 일부 Active Desktop 항목 등 채널을 기반으로 하는 콘텐츠를 바탕 화면에 추가할 수 없습니다. 이 설정을 사용할 수 없도록 설정하거나 구성하지 않으면 사용자가 채널을 채널 도구 모음이나 바탕 화면에 추가할 수 있습니다.

채널 추가할 수 없음 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용

  • 사용 안 함

  • 구성되지 않음

보안 문제

사용자가 직접 작업을 수행하지 않아도 사용자의 브라우저로 데이터가 전송될 수 있습니다. 즉, 사용자가 직접 요청하지 않은 웹 콘텐츠를 브라우저에서 다운로드할 수 있습니다.

대책

채널 추가할 수 없음 설정을 사용으로 구성합니다.

잠재적 영향

사용자가 채널을 추가할 수 없습니다.

오프라인 페이지에 대한 예약 추가할 수 없음

이 정책 설정은 서버 로드를 중요하게 고려하는 조직을 위한 설정입니다. 이 설정을 통해 컴퓨터가 인터넷에 연결되어 있지 않을 때 웹 페이지를 오프라인으로 다운로드하여 볼 수 있도록 지정하는 사용자 기능을 제어할 수 있습니다.

이 정책 설정을 사용하면 오프라인 콘텐츠를 다운로드하기 위한 새 일정을 추가할 수 없습니다. 즐겨찾기 추가 대화 상자의 오프라인 사용 가능 확인란이 흐리게 표시되어 사용할 수 없는 상태가 됩니다. 이 정책 설정을 사용할 수 없도록 설정하거나 구성하지 않으면 사용자가 새 오프라인 콘텐츠 일정을 추가할 수 있습니다. \사용자 구성\관리 템플릿\Windows 구성 요소\Internet Explorer에 있는 즐겨찾기 메뉴 숨기기 설정이 이 정책 설정보다 우선적으로 적용됩니다.

채널 추가할 수 없음 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용

  • 사용 안 함

  • 구성되지 않음

보안 문제

사용자가 직접 작업을 수행하지 않아도 사용자의 브라우저로 데이터가 전송될 수 있습니다. 즉, 사용자가 직접 요청하지 않은 웹 콘텐츠를 브라우저에서 다운로드할 수 있습니다.

대책

오프라인 페이지에 대한 예약 추가할 수 없음 설정을 사용으로 구성합니다.

잠재적 영향

사용자가 오프라인 페이지에 대한 일정을 추가할 수 없습니다.

예약된 모든 오프라인 페이지 사용 안 함

이 정책 설정은 서버 로드를 중요하게 고려하는 조직을 위한 설정입니다. 이 설정을 사용하여 웹 페이지를 오프라인에서도 볼 수 있도록 다운로드하기 위해 현재 지정되어 있는 일정을 사용하지 않을 수 있습니다. 사용자가 웹 페이지를 오프라인으로 볼 수 있도록 하면 컴퓨터가 인터넷에 연결되어 있지 않을 때도 해당 페이지를 볼 수 있습니다.

이 정책 설정을 사용하면 웹 페이지 속성 대화 상자의 일정 탭에서 일정에 대한 확인란의 선택이 취소되므로 사용자가 해당 항목을 선택할 수 없습니다. 이 탭을 표시하려면 도구동기화를 차례로 클릭하고 웹 페이지를 선택한 후 속성을 클릭한 다음 일정 탭을 클릭합니다. 이 정책 설정을 사용하지 않으면 일정 탭에서 지정한 일정에 따라 웹 페이지를 업데이트할 수 있습니다. 사용자 구성\관리 템플릿\Windows 구성요소\Internet Explorer에 있는 즐겨찾기 메뉴 숨기기 설정은 이 설정보다 우선적으로 적용됩니다.

채널 추가할 수 없음 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용

  • 사용 안 함

  • 구성되지 않음

보안 문제

사용자가 직접 작업을 수행하지 않아도 사용자의 브라우저로 데이터가 전송될 수 있습니다. 즉, 사용자가 직접 요청하지 않은 웹 콘텐츠를 브라우저에서 다운로드할 수 있습니다.

대책

예약된 모든 오프라인 페이지 사용 안 함 설정을 사용으로 구성합니다.

잠재적 영향

사용자가 예약된 오프라인 페이지를 볼 수 없습니다.

채널 사용자 인터페이스 완전히 비활성화

이 정책 설정은 사용자가 채널 인터페이스를 볼 수 있는지 여부를 제어합니다. 채널은 해당 채널 공급자가 지정한 일정에 따라 사용자의 컴퓨터에서 자동으로 업데이트되는 웹 사이트입니다.

이 정책 설정을 사용하면 채널 UI(사용자 인터페이스)가 사용할 수 없는 상태가 되며 사용자가 디스플레이 속성 대화 상자의 탭에서 Internet Explorer 채널 모음 확인란을 선택할 수 없습니다. 이 설정을 사용할 수 없도록 설정하거나 구성하지 않으면 사용자가 채널 인터페이스를 통해 채널을 보고 해당 채널에 가입할 수 있습니다.

채널 사용자 인터페이스 완전히 비활성화 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용

  • 사용 안 함

  • 구성되지 않음

보안 문제

사용자가 직접 작업을 수행하지 않아도 사용자의 브라우저로 데이터가 전송될 수 있습니다. 즉, 사용자가 직접 요청하지 않은 웹 콘텐츠를 브라우저에서 다운로드할 수 있습니다.

대책

채널 사용자 인터페이스 완전히 비활성화 설정을 사용으로 구성합니다.

잠재적 영향

사용자가 채널 UI에 액세스할 수 없습니다.

사이트 가입 내용 다운로드 안 함

이 정책 설정은 사용자가 가입한 웹 사이트에서 콘텐츠를 다운로드할 수 있는지 여부를 제어합니다. 사용자는 이 기능을 통해 오프라인일 때, 즉 컴퓨터가 인터넷에 연결되어 있지 않은 상태에서도 웹 페이지를 볼 수 있습니다.

이 정책 설정을 사용하면 사용자가 가입한 웹 사이트에서 콘텐츠를 다운로드할 수 없습니다. 그러나 사용자가 마지막으로 페이지와 동기화하거나 페이지를 방문한 이후 내용이 업데이트되었는지 여부를 판단할 수 있도록 웹 페이지와의 동기화 작업은 계속 수행됩니다. 이 정책 설정을 사용할 수 없도록 설정하거나 구성하지 않으면 사용자가 콘텐츠를 다운로드할 수 있습니다.

사용자 구성\관리 템플릿\Windows 구성 요소\ Internet Explorer에 있는 사이트 가입 내용 다운로드 안 함 설정과 즐겨찾기 메뉴 숨기기 설정은 이 정책 설정을 무시합니다.

사이트 가입 내용 다운로드 안 함 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용

  • 사용 안 함

  • 구성되지 않음

보안 문제

사용자가 직접 작업을 수행하지 않아도 사용자의 브라우저로 데이터가 전송될 수 있습니다. 즉, 사용자가 직접 요청하지 않은 웹 콘텐츠를 브라우저에서 다운로드할 수 있습니다.

대책

사이트 가입 내용 다운로드 안 함 설정을 사용으로 구성합니다.

잠재적 영향

사용자가 사이트 가입을 통해 콘텐츠를 자동으로 다운로드할 수 없습니다.

예약 그룹 편집/만들기 안 함

이 정책 설정은 사용자가 콘텐츠 다운로드 일정을 추가, 편집 또는 제거하여 사용자가 가입한 웹 페이지 및 웹 페이지 그룹을 오프라인에서 볼 수 있는지 여부를 제어합니다. 가입 그룹은 즐겨 찾는 웹 페이지와 이 페이지에 링크되어 있는 웹 페이지로 구성됩니다.

이 정책을 사용하면 웹 페이지 속성 대화 상자의 일정 탭에 있는 추가, 제거편집 단추가 흐리게 표시되어 사용할 수 없는 상태가 됩니다. 이 탭을 표시하려면 도구동기화를 차례로 클릭하고 웹 페이지를 선택한 후 속성 단추를 클릭한 다음 일정 탭을 클릭합니다. 이 설정을 사용할 수 없도록 설정하거나 구성하지 않으면 사용자가 웹 사이트 및 웹 사이트 그룹에 대한 일정을 추가, 제거 및 편집할 수 있습니다.

사용자 구성\관리 템플릿\Windows 구성 요소\Internet Explorer에 있는 오프라인 페이지에 대한 예약 편집할 수 없음 설정과 즐겨찾기 메뉴 숨기기 설정은 이 정책을 무시합니다.

예약 그룹 편집/만들기 안 함 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용

  • 사용 안 함

  • 구성되지 않음

보안 문제

사용자가 직접 작업을 수행하지 않아도 사용자의 브라우저로 데이터가 전송될 수 있습니다. 즉, 사용자가 직접 요청하지 않은 웹 콘텐츠를 브라우저에서 다운로드할 수 있습니다.

대책

예약 그룹 편집/만들기 안 함 설정을 사용으로 구성합니다.

잠재적 영향

사용자가 웹 페이지 콘텐츠를 오프라인에서 볼 수 있도록 다운로드하기 위한 일정을 추가, 편집 또는 제거할 수 없습니다.

오프라인 페이지에 대한 예약 편집할 수 없음

이 정책 설정은 서버 로드를 중요하게 고려하는 조직을 위한 설정입니다. 이 설정은 웹 페이지를 오프라인에서, 즉 컴퓨터가 인터넷에 연결되어 있지 않은 상태에서 볼 수 있도록 다운로드하기 위해 이미 지정되어 있는 일정을 사용자가 편집할 수 있는지 여부를 제어합니다.

이 정책 설정을 사용하면 사용자가 오프라인으로 보도록 구성되어 있는 페이지의 예약 속성을 표시할 수 없습니다. 도구, 동기화를 차례로 클릭한 후 웹 페이지를 선택하고 속성 단추를 클릭해도 속성이 표시되지 않습니다. 또한 옵션을 사용할 수 없음을 나타내는 경고도 표시되지 않습니다. 이 정책 설정을 사용할 수 없도록 설정하거나 구성하지 않으면 사용자가 웹 콘텐츠를 오프라인에서 볼 수 있도록 다운로드하기 위한 기존 일정을 편집할 수 있습니다.

\사용자 구성\관리 템플릿\Windows 구성 요소\Internet Explorer에 있는 즐겨찾기 메뉴 숨기기 설정은 이 정책보다 우선적으로 적용됩니다.

오프라인 페이지에 대한 예약 편집할 수 없음 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용

  • 사용 안 함

  • 구성되지 않음

보안 문제

사용자가 직접 작업을 수행하지 않아도 사용자의 브라우저로 데이터가 전송될 수 있습니다. 즉, 사용자가 직접 요청하지 않은 웹 콘텐츠를 브라우저에서 다운로드할 수 있습니다.

대책

오프라인 페이지에 대한 예약 편집할 수 없음 설정을 사용으로 구성합니다.

잠재적 영향

사용자가 웹 페이지 콘텐츠를 오프라인에서 볼 수 있도록 다운로드할 수 있는 시기를 제어하는 일정을 편집할 수 없습니다.

오프라인 페이지 적중 횟수 로깅 사용 안 함

이 정책 설정은 채널 공급자가 오프라인에서 작업 중인 사용자가 채널 페이지를 보는 시기에 대한 정보를 기록할 수 있는지 여부를 제어합니다.

이 정책 설정을 사용하면 채널 공급자에 의해 채널 정의 형식(.cdf) 파일에 구성된 모든 채널 로깅 설정을 사용할 수 없습니다. .cdf 파일은 웹 콘텐츠 다운로드에 대한 일정 및 기타 설정을 결정합니다. 이 정책 설정을 사용할 수 없도록 설정하거나 구성하지 않으면 채널 공급자가 오프라인에서 작업 중인 사용자가 채널 페이지를 보는 시기에 대한 정보를 기록할 수 있습니다.

오프라인 페이지 적중 횟수 로깅 사용 안 함 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용

  • 사용 안 함

  • 구성되지 않음

보안 문제

사용자가 직접 작업을 수행하지 않아도 사용자의 브라우저로 데이터가 전송될 수 있습니다. 즉, 사용자가 직접 요청하지 않은 웹 콘텐츠를 브라우저에서 다운로드할 수 있습니다.

대책

오프라인 페이지 적중 횟수 로깅 사용 안 함 설정을 사용으로 구성합니다.

잠재적 영향

콘텐츠에 오프라인으로 액세스하는 사용자가 다음 번에 온라인 상태일 때 페이지 적중 횟수를 웹 사이트로 전달하지 않습니다.

채널 제거할 수 없음

이 정책 설정은 사용자의 컴퓨터가 해당 조직 전체에서 동일하게 업데이트되고 있는지를 관리자가 확인할 수 있도록 하는 설정입니다. 이 설정은 사용자가 Internet Explorer에서 채널 동기화를 사용할 수 없도록 설정할 수 있는지 여부를 제어합니다. 채널은 채널 공급자가 지정한 일정에 따라 컴퓨터에서 자동으로 업데이트되는 웹 사이트입니다.

이 정책 설정을 사용하면 사용자가 채널 동기화를 중지할 수 없습니다. 이 정책 설정을 사용할 수 없도록 설정하거나 구성하지 않으면 사용자가 채널 동기화를 비활성화할 수 있습니다.

채널 제거할 수 없음 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용

  • 사용 안 함

  • 구성되지 않음

참고: 이 정책 설정을 사용해도 사용자는 데스크톱 인터페이스에서 액티브 콘텐트를 제거하는 기능을 계속 사용할 수 있습니다.

보안 문제

사용자가 직접 작업을 수행하지 않아도 사용자의 브라우저로 데이터가 전송될 수 있습니다. 즉, 사용자가 직접 요청하지 않은 웹 콘텐츠를 브라우저에서 다운로드할 수 있습니다.

대책

채널 제거할 수 없음 설정을 사용으로 구성합니다.

잠재적 영향

사용자가 채널을 제거하거나 채널 동기화를 비활성화할 수 없습니다.

오프라인 페이지에 대한 예약 제거할 수 없음

이 정책 설정은 서버 로드를 중요하게 고려하는 조직을 위한 설정입니다. 이 설정은 웹 페이지를 오프라인에서, 즉 컴퓨터가 인터넷에 연결되어 있지 않은 상태에서 볼 수 있도록 다운로드할 때 적용되는 미리 구성되어 있는 설정 제한 사항을 사용자가 제거할 수 있는지 여부를 제어합니다.

이 설정을 사용하면 즐겨찾기 구성 대화 상자의 오프라인 사용 가능 확인란과 이 페이지를 오프라인에서 사용 가능하게 설정 확인란이 선택된 상태로는 유지되지만 흐리게 표시되어 사용할 수 없는 상태가 됩니다. 이 페이지를 오프라인에서 사용 가능하게 설정 확인란을 표시하려면 도구, 동기화, 속성을 차례로 클릭합니다. 이 정책 설정을 사용할 수 없도록 설정하거나 구성하지 않으면 사용자가 페이지를 오프라인에서 볼 수 있도록 다운로드할 때 적용되는 미리 구성된 설정 제한 사항을 제거할 수 있습니다.

사용자 구성\관리 템플릿\Windows 구성 요소\Internet Explorer에 있는 즐겨찾기 메뉴 숨기기 설정은 이 설정보다 우선 적용됩니다.

오프라인 페이지에 대한 예약 제거할 수 없음 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용

  • 사용 안 함

  • 구성되지 않음

보안 문제

사용자가 직접 작업을 수행하지 않아도 사용자의 브라우저로 데이터가 전송될 수 있습니다. 즉, 사용자가 직접 요청하지 않은 웹 콘텐츠를 브라우저에서 다운로드할 수 있습니다.

대책

오프라인 페이지에 대한 예약 제거할 수 없음 설정을 사용으로 구성합니다.

잠재적 영향

사용자가 오프라인 페이지에 대한 일정을 제거할 수 없습니다.

브라우저 메뉴

Internet Explorer 메뉴 시스템의 개별 기능은 그룹 정책의 브라우저 메뉴 노드에서 사용하거나 사용할 수 없도록 설정할 수 있습니다. 그룹 정책 개체 편집기의 다음 위치에서 이러한 정책 설정을 구성할 수 있습니다.

사용자 구성\관리 템플릿\Windows 구성 요소\ Internet Explorer\브라우저 메뉴

이 프로그램을 디스크에 저장 옵션 사용 안 함

이 정책 설정을 사용하면 사용자가 프로그램 파일을 다운로드하기 위한 이 프로그램을 디스크에 저장 단추를 클릭할 수 없습니다. 사용자에게는 해당 명령을 사용할 수 없다는 알림 메시지가 표시됩니다. 이 설정을 사용할 수 없도록 설정하거나 구성하지 않으면 사용자가 브라우저에서 프로그램을 다운로드할 수 있습니다.

브라우저 메뉴: 이 프로그램을 디스크에 저장 옵션 사용 안 함 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용

  • 사용 안 함

  • 구성되지 않음

보안 문제

사용자가 웹 사이트에서 악의적인 코드를 다운로드하고 실행할 수 있습니다.

대책

이 프로그램을 디스크에 저장 옵션 사용 안 함 설정을 사용으로 구성합니다.

잠재적 영향

사용자가 프로그램 파일을 다운로드하기 위한 이 프로그램을 디스크에 저장 단추를 클릭할 수 없습니다.

지속 동작

Internet Explorer에서는 DHTML(동적 HTML) 개체가 해당 설정을 데이터 또는 디스크에 저장하도록 허용합니다. 이 기능을 지속이라고 합니다. 폼 데이터, 스타일, 상태 및 스크립트 변수를 현재 세션의 메모리 스트림, 즐겨 찾기 목록, HTML 또는 XML에 지속할 수 있습니다. 네 가지 DHTML 지속 동작은 saveFavorite, saveHistory, saveSnapshot 및 userData입니다. Internet Explorer에서는 응용 프로그램이 이 메커니즘을 사용하여 저장할 수 있는 데이터의 양에 대해 보안 영역별로 컨트롤을 적용할 수 있습니다.

지속 동작 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용

    • 각 도메인(KB): 이 구성은 특정 도메인과 연결된 스크립트가 저장할 수 있는 총 데이터 양을 제어합니다.

    • 각 문서(KB): 이 구성은 DHTML 구문이 특정 웹 페이지에 저장할 수 있는 총 데이터 양을 제어합니다.

  • 사용 안 함

  • 구성되지 않음

보안 문제

악의적인 웹 페이지는 은밀히 대상 컴퓨터에 악의적인 데이터나 매우 많은 양의 데이터를 저장할 수 있습니다.

대책

인터넷 및 제한된 사이트 영역의 보안 영역별 크기 제한을 사용합니다.

잠재적 영향

없음:

첨부 파일 관리자

Windows Server 2003 SP1 및 Windows XP SP2에서는 첨부 파일 관리자라는 새로운 서비스에서 전자 메일 메시지 및 웹 페이지의 첨부 파일에 대한 일관성 있는 동작 집합을 제공합니다. 첨부 파일 관리자 서비스에서는 파일 다운로드, 메일 첨부 파일, 셸 프로세스 실행 및 프로그램 설치에 사용되는 일관적인 프롬프트 집합을 구현합니다. 이러한 프롬프트는 이전 버전의 Windows에 비해 보다 명확하게 표시되고 일관성을 유지하도록 수정되었습니다. 또한 서명 가능하며 사용자 컴퓨터를 손상시킬 수 있는 파일 유형을 열기 전에 게시자 정보가 표시됩니다. 사용자 컴퓨터를 손상시킬 수 있는 서명 가능한 파일 유형의 예로는 .exe, .dll, .ocx, .msi, .cab 등이 있습니다. 첨부 파일 관리자 서비스에는 응용 프로그램 관리자가 이러한 새 사용자 인터페이스를 활용할 수 있도록 하는 새로운 API(응용 프로그래밍 인터페이스)가 포함되어 있습니다.

첨부 파일 관리자 서비스는 사용자가 받거나 다운로드하는 파일을 파일 형식 및 파일 이름 확장명을 기준으로 분류합니다. 이 서비스를 통해 파일이 높은 위험, 보통 위험 및 낮은 위험 수준으로 분류됩니다. 첨부 파일 관리자 서비스를 사용하는 프로그램에서 파일을 하드 디스크에 저장하면 해당 파일의 웹 콘텐츠 영역 정보도 파일과 함께 저장됩니다. 예를 들어 전자 메일 메시지에 첨부된 압축 파일(.zip)을 저장하면 웹 콘텐츠 영역 정보도 저장되며 압축 파일의 내용을 압축 해제할 수 없습니다.

참고: 웹 콘텐츠 영역 정보는 컴퓨터에서 NTFS 파일 시스템을 사용하는 경우에만 파일과 함께 저장됩니다.

첨부 파일 관리자 서비스는 파일을 다음과 같은 세 가지 클래스로 구분합니다.

  • 높은 위험: 제한된 영역의 첨부 파일이 높은 위험 파일 형식 목록에 있으면 Windows에서는 사용자가 해당 파일에 액세스할 수 없도록 차단합니다. 인터넷 영역의 파일인 경우에는 파일에 대한 액세스를 허용하기 전에 사용자에게 메시지를 표시합니다.  

  • 보통 위험: 제한된 영역이나 인터넷 영역의 첨부 파일이 보통 위험 파일 형식 목록에 있으면 Windows에서는 파일에 대한 액세스를 허용하기 전에 사용자에게 메시지를 표시합니다.  

  • 낮은 위험: 첨부 파일이 낮은 위험 파일 형식 목록에 있으면 Windows에서는 파일 영역 정보에 상관없이 파일에 대한 액세스를 허용하기 전에 사용자에게 메시지를 표시하지 않습니다.

그룹 정책 개체 편집기의 다음 위치에서 이러한 정책 설정을 구성할 수 있습니다.

사용자 구성\관리 템플릿\Windows 구성 요소\ 첨부 파일 관리자

첨부 파일에 대한 기본 위험 수준

이 정책 설정을 사용하면 파일 형식의 기본 위험 수준을 관리할 수 있습니다. 첨부 파일의 위험 수준을 완전히 사용자 지정하려면 첨부 파일의 신뢰 논리도 구성해야 합니다. 이 정책 설정을 사용하는 경우 높은 위험, 보통 위험 또는 낮은 위험 형식 목록에 명시적으로 포함되어 있지 않은 파일 유형에 대한 기본 위험 수준을 지정할 수 있습니다.  이 정책 설정을 사용할 수 없도록 설정하거나 구성하지 않으면 기본 위험 수준이 보통으로 설정됩니다.

첨부 파일에 대한 기본 위험 수준 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용(기본 위험 수준 구성을 위한 옵션 사용):

    • 높은 위험

    • 보통 위험

    • 낮은 위험

  • 사용 안 함

  • 구성되지 않음

보안 문제

공격자가 악의적인 코드를 위장해 사용자를 속여서 해당 코드를 실행하도록 할 수 있습니다.

대책

첨부 파일에 대한 기본 위험 수준 설정을 사용: 보통 위험으로 구성합니다.

잠재적 영향

사용자는 보안 메시지에서 원하는 사항을 선택해야 해당 형식이 낮은 위험 파일 형식 목록에 명시적으로 포함되어 있지 않은 파일에 액세스할 수 있습니다.

높은 위험 수준 파일 형식의 포함 목록

이 정책 설정을 사용하면 높은 위험 파일 형식 목록을 구성할 수 있습니다. 제한된 영역의 첨부 파일이 높은 위험 파일 형식 목록에 있으면 Windows에서는 사용자가 해당 파일에 액세스할 수 없도록 차단합니다. 인터넷 영역의 파일인 경우에는 파일에 대한 액세스를 허용하기 전에 사용자에게 메시지를 표시합니다. 이 포함 목록은 확장명이 둘 이상의 포함 목록에 들어 있는 경우 보통 위험 및 낮은 위험 포함 목록보다 우선적으로 적용됩니다. 이 정책 설정을 사용하는 경우 높은 위험 파일 형식의 사용자 지정 목록을 만들 수 있습니다. 이 정책 설정을 사용할 수 없도록 설정하거나 구성하지 않으면 높은 위험 파일 형식의 기본 제공 목록이 사용됩니다.

높은 위험 수준 파일 형식의 포함 목록 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용(쉼표로 구분된 파일 확장명 목록을 지정할 수 있음)

  • 사용 안 함

  • 구성되지 않음

보안 문제

사용자가 실수로 높은 위험 파일을 열면 자신의 컴퓨터가 손상되는 것은 물론 네트워크의 다른 컴퓨터도 손상될 수 있습니다.

대책

높은 위험 수준 파일 형식의 포함 목록 설정을 사용으로 구성하고 제어하려는 추가 파일 형식을 지정합니다.

잠재적 영향

파일 형식이 둘 이상의 포함 목록에 들어 있는 경우 보다 제한 수준이 높은 목록이 적용됩니다. 이 설정의 값을 정의하면 기본 제공되는 Windows 높은 위험 파일 형식 포함 목록이 무시됩니다.

보통 위험 수준 파일 형식의 포함 목록

이 정책 설정을 사용하면 보통 위험 파일 형식 목록을 구성할 수 있습니다. 제한된 영역이나 인터넷 영역의 첨부 파일이 보통 위험 파일 형식 목록에 있으면 Windows에서는 파일에 대한 액세스를 허용하기 전에 사용자에게 메시지를 표시합니다. 이 포함 목록은 높은 위험에 속할 가능성이 있는 파일 형식의 기본 제공 목록을 무시하며 낮은 위험 포함 목록보다 우선적으로 적용되지만 높은 위험 포함 목록에 비해서는 우선 순위가 낮습니다. 이 정책 설정을 사용하는 경우 보통 위험을 야기할 수 있는 파일 형식을 지정할 수 있습니다. 이 정책 설정을 사용할 수 없도록 설정하거나 구성하지 않으면 기본 신뢰 논리가 사용됩니다.

보통 위험 수준 파일 형식의 포함 목록 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용(쉼표로 구분된 파일 확장명 목록을 지정할 수 있음)

  • 사용 안 함

  • 구성되지 않음

보안 문제

사용자가 실수로 높은 위험 파일을 열면 자신의 컴퓨터가 손상되는 것은 물론 네트워크의 다른 컴퓨터도 손상될 수 있습니다.

대책

보통 위험 수준 파일 형식의 포함 목록 설정을 사용으로 구성하고 제어하려는 추가 파일 형식을 지정합니다.

잠재적 영향

파일 형식이 둘 이상의 포함 목록에 들어 있는 경우 보다 제한 수준이 높은 목록이 적용됩니다. 이 정책 설정의 값을 정의하면 기본 제공되는 Windows 보통 위험 파일 형식 포함 목록이 무시됩니다. .EXE 같은 높은 위험 파일 형식을 보통 위험 포함 목록으로 이동하는 경우에는 주의하십시오. 이렇게 하면 사용자가 위험성이 높은 파일을 보다 쉽게 실행할 수 있습니다.

낮은 위험 수준 파일 형식의 포함 목록

이 정책 설정을 사용하면 낮은 위험 파일 형식 목록을 구성할 수 있습니다. 첨부 파일이 낮은 위험 파일 형식 목록에 있으면 Windows에서는 파일 영역 정보에 상관없이 파일에 대한 액세스를 허용하기 전에 사용자에게 메시지를 표시하지 않습니다. 이 포함 목록은 기본 제공되는 Windows의 높은 위험 파일 형식 목록을 무시하지만 높은 위험이나 보통 위험 포함 목록보다는 우선 순위가 낮습니다. 이 정책 설정을 사용하는 경우 낮은 위험을 야기할 수 있는 파일 형식을 지정할 수 있습니다. 이 정책 설정을 사용할 수 없도록 설정하거나 구성하지 않으면 기본 신뢰 논리가 사용됩니다.

낮은 위험 수준 파일 형식의 포함 목록 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용(쉼표로 구분된 파일 확장명 목록을 지정할 수 있음)

  • 사용 안 함

  • 구성되지 않음

보안 문제

사용자가 실수로 높은 위험 파일 형식을 열면 자신의 컴퓨터가 손상되는 것은 물론 네트워크의 다른 컴퓨터도 손상될 수 있습니다.

대책

보통 위험 수준 파일 형식의 포함 목록 설정을 사용으로 구성하고 제어하려는 추가 파일 형식을 지정합니다.

잠재적 영향

파일 형식이 둘 이상의 포함 목록에 들어 있는 경우 보다 제한 수준이 높은 목록이 적용됩니다. 이 정책 설정의 값을 정의하면 기본 제공되는 Windows 낮은 위험 파일 형식 포함 목록이 무시됩니다. .EXE 같은 높은 위험 파일 형식을 낮은 위험 포함 목록으로 이동하는 경우에는 주의하십시오. 이렇게 하면 사용자가 위험성이 높은 파일을 보다 쉽게 실행할 수 있습니다.

첨부 파일에 대한 신뢰 논리

이 정책 설정을 사용하면 Windows에서 첨부 파일의 위험을 결정하는 데 사용하는 논리를 구성할 수 있습니다. 이 정책 설정을 사용하는 경우 위험 평가 데이터가 처리되는 순서를 선택할 수 있습니다.  이 정책 설정을 사용할 수 없도록 설정하거나 구성하지 않으면 기본 신뢰논리가 사용되며 이 경우 파일 형식보다 파일 처리기를 우선적으로 확인합니다.

첨부 파일에 대한 신뢰 논리 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용(다음 옵션 사용):

    • 파일 처리기 및 형식 확인: 이 옵션을 선택하면 Windows에서는 파일 처리기 데이터 또는 파일 형식 데이터 중 보다 제한 수준이 높은 쪽을 사용합니다.

    • 파일 처리기 우선 사용: 이 옵션을 사용하면 Windows에서는 파일 형식에 관계없이 파일 처리기(예: notepad.exe)를 항상 신뢰합니다.

    • 파일 형식 우선 사용: 이 옵션을 선택하면 Windows에서는 파일 처리기에 관계없이 파일 형식을 항상 신뢰합니다.

  • 사용 안 함

  • 구성되지 않음

보안 문제

공격자가 파일을 조작하여 특정 파일 처리기의 보안 문제를 악용할 수 있습니다.  

대책

첨부 파일에 대한 신뢰 논리 설정을 사용: 파일 처리기 및 형식 확인으로 구성합니다.

잠재적 영향

파일 처리기와 형식을 모두 사용하도록 첨부 파일에 대한 신뢰 논리 설정을 구성하면 Windows에서 첨부 파일 보안 관련 사항을 결정할 때 항상 보다 제한 수준이 높은 범위를 사용하기 때문에 사용자에게 첨부 파일 보안 관련 메시지가 더 많이 표시됩니다.

첨부 파일에 영역 정보를 보존하지 않음

이 정책 설정을 사용하면 Window에서 첨부 파일에 원래 영역(제한된 영역, 인터넷 영역, 인트라넷 영역, 로컬 영역)에 대한 정보를 표시할지 여부를 관리할 수 있습니다. 이 설정은 NTFS 환경에서만 제대로 작동하며 FAT32 파일 시스템에서는 알림 메시지 없이 실패합니다. 영역 정보를 보존하지 않으면 Windows에서 위험 평가를 올바르게 수행할 수 없습니다. 이 정책 설정을 사용하는 경우 첨부 파일에 해당 영역 정보가 표시되지 않습니다. 이 정책 설정을 사용할 수 없도록 설정하거나 구성하지 않으면 첨부 파일에 해당 영역 정보가 표시됩니다.

첨부 파일에 영역 정보를 보존하지 않음 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용

  • 사용 안 함

  • 구성되지 않음

보안 문제

인터넷 또는 제한된 사이트 영역의 컴퓨터에서 다운로드한 파일이 인트라넷 파일 공유 위치와 같이 안전한 것처럼 보이는 위치로 이동되면 이를 모르는 사용자가 파일을 실행할 수 있습니다.

대책

첨부 파일에 영역 정보를 보존하지 않음 설정을 사용으로 구성합니다.

잠재적 영향

없음:

영역 정보를 제거하는 메커니즘 숨기기

이 정책 설정을 사용하면 사용자가 저장된 첨부 파일에서 영역 정보를 수동으로 제거할 수 있는지 여부를 관리할 수 있습니다. 보통 사용자는 파일의 속성 시트에서 차단 해제 단추를 클릭하거나 보안 경고 대화 상자에서 확인란을 사용할 수 있습니다. 사용자가 영역 정보를 제거할 수 있는 경우 Windows에서 이전에 차단했던 위험성이 있는 첨부 파일을 열 수 있습니다. 이 정책 설정을 사용하는 경우 해당 확인란 및 차단 해제 단추가 숨겨집니다. 이 정책 설정을 사용할 수 없도록 설정하거나 구성하지 않으면 해당 확인란 및 차단 해제 단추가 표시됩니다.

영역 정보를 제거하는 메커니즘 숨기기 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용

  • 사용 안 함

  • 구성되지 않음

보안 문제

사용자가 파일이 신뢰할 수 없는 위치에서 전송되었음을 나타내는 정보를 제거할 수 있습니다.

대책

영역 정보를 제거하는 메커니즘 숨기기 설정을 사용으로 구성합니다.

잠재적 영향

합법적으로 파일의 영역 정보를 제거해야 하는 사용자가 해당 작업을 수행할 수 없게 됩니다.

첨부 파일을 열 때 바이러스 백신 프로그램에 알림

이 정책 설정을 사용하면 첨부 파일을 열 때 등록된 바이러스 백신 프로그램에 알리는 방법을 관리할 수 있습니다. 여러 프로그램이 등록되어 있으면 모든 프로그램에 대해 알림을 수행합니다. 등록된 바이러스 백신 프로그램에서 파일이 컴퓨터의 전자 메일 서버에 도착할 때 액세스 시 검사를 이미 수행하고 있는 경우 추가 호출은 중복됩니다. 이 정책 설정을 사용하는 경우 사용자가 여는 첨부 파일을 검사할 수 있도록 등록된 바이러스 백신 프로그램이 호출됩니다. 바이러스 백신 프로그램이 실패하면 첨부 파일이 열 수 없도록 차단됩니다. 이 정책 설정을 사용할 수 없도록 설정하거나 구성하지 않으면 첨부 파일을 열 때 등록된 바이러스 백신 프로그램이 호출되지 않습니다.

첨부 파일을 열 때 바이러스 백신 프로그램에 알림 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용

  • 사용 안 함

  • 구성되지 않음

보안 문제

액세스 시 검사 수행하지 않는 바이러스 백신 프로그램에서 다운로드한 파일을 검사하지 못할 수 있습니다.

대책

첨부 파일을 열 때 바이러스 백신 프로그램에 알림 설정을 사용으로 구성합니다.

잠재적 영향

첨부 파일을 열 때 바이러스 백신 프로그램에 알림 설정을 사용으로 구성하면 사용자가 여는 다운로드한 파일이나 전자 메일 첨부 파일을 모두 검사합니다.

Windows 탐색기

Windows 탐색기는 Windows XP Professional을 실행하는 클라이언트에서 파일 시스템을 탐색하는 데 사용됩니다.

그룹 정책 개체 편집기의 다음 위치에서 미리 지정된 Windows 탐색기 사용자 설정을 구성할 수 있습니다.

사용자 구성\관리 템플릿\Windows 구성 요소\ Windows 탐색기

CD 굽기 기능 제거

이 정책 설정은 Windows XP에서 기본 제공되는 CD 굽기 기능을 제거합니다. Windows XP에서는 컴퓨터에 읽기/쓰기 가능한 CD 드라이브가 연결되어 있는 경우 다시 쓸 수 있는 CD를 만들고 수정할 수 있습니다. 이 기능을 사용하여 하드 드라이브에서 CD로 많은 양의 데이터를 복사한 후에 해당 데이터를 컴퓨터에서 제거할 수 있습니다.

참고: 이 정책 설정을 사용해도 타사 응용 프로그램에서 CD 작성기로 CD를 만들거나 수정하는 기능은 계속 사용할 수 있습니다. 소프트웨어 제한 정책을 사용하여 타사 응용 프로그램을 통해 CD를 만들거나 수정하는 기능을 거부하는 것이 좋습니다. 자세한 내용은 6장 "Windows XP 클라이언트에 대한 소프트웨어 제한 정책"을 참조하십시오.

작업 환경의 클라이언트 컴퓨터에서 CD 작성기를 제거한 다음 읽기 전용 CD 드라이브로 바꾸거나 CD 드라이브 자체를 완전히 제거하는 방법으로도 사용자가 CD를 굽지 못하도록 할 수 있습니다.

보안 문제

기본 제공 CD 굽기 기능을 사용하면 컴퓨터나 네트워크에 있는 정보를 몰래 복사할 수 있습니다.

대책

CD 굽기 기능 제거 설정을 사용으로 구성합니다.

잠재적 영향

CD 굽기 기능 제거 설정을 사용으로 구성하는 경우 타사 응용 프로그램을 사용하지 않으면 CD를 작성할 수 없습니다.

보안 탭 제거

이 정책 설정은 Windows 탐색기의 파일 및 폴더 속성 대화 상자에 있는 보안 탭을 비활성화합니다. 이 정책 설정을 사용하는 경우 사용자는 폴더, 파일, 바로 가기, 드라이브 등 모든 파일 시스템 개체에 대해 속성 대화 상자를 연 후에 보안 탭에 액세스할 수 없습니다. 그러므로 보안 탭의 설정을 변경하거나 사용자 목록을 볼 수 없습니다.

보안 문제

사용자는 보안 탭에 액세스하여 파일 시스템 개체에 대한 권한이 있는 계정을 확인할 수 있습니다. 그러면 공격자는 이러한 계정을 공격하여 보다 높은 수준의 액세스 권한을 얻을 수 있습니다.

대책

보안 탭 제거 설정을 사용으로 구성합니다.

잠재적 영향

보안 탭 제거 설정을 사용으로 구성하는 경우 사용자에게 파일 시스템 개체의 보안 탭이 표시되지 않으므로 Windows 탐색기를 통해 권한을 검토하거나 권한을 변경할 수 없습니다.

시스템

그룹 정책 개체 편집기의 다음 위치에서 미리 지정된 시스템 사용자 설정을 구성할 수 있습니다.

사용자 구성\관리 템플릿\시스템

레지스트리 편집 도구 사용 안 함

이 정책 설정은 Windows 레지스트리 편집기 Regedit.exe 및 Regedt32.exe를 비활성화합니다. 이 정책 설정을 사용하는 경우 사용자가 레지스트리 편집기를 시작하려고 하면 두 편집기를 모두 사용할 수 없음을 나타내는 메시지가 표시됩니다. 이 정책 설정은 사용자나 칩입자가 이러한 도구를 사용하여 레지스트리에 액세스하는 작업은 거부하지만 레지스트리 자체에 대한 액세스는 차단하지 않습니다.

보안 문제

사용자가 레지스트리 편집 도구를 사용하여 다른 제한 및 정책을 무시할 수 있습니다. 그룹 정책에서 적용하는 대부분의 설정은 이러한 방식으로 무시할 수 없지만 레지스트리에 직접 적용하는 설정은 이러한 방식으로 수정할 수 있습니다.

대책

레지스트리 편집 도구 사용 안 함 설정을 사용으로 구성합니다.

잠재적 영향

레지스트리 편집 도구 사용 안 함 설정을 사용으로 구성하면 사용자가 Regedit.exe 또는 Regedt32.exe를 실행하여 레지스트리를 변경할 수 없습니다.

시스템\전원 관리

그룹 정책 개체 편집기의 다음 위치에서 미리 지정된 시스템\전원 관리 사용자 설정을 구성할 수 있습니다.

사용자 구성\관리 템플릿\시스템\전원 관리

최대 절전 모드/대기 모드에서 재개할 때 암호 확인

이 정책 설정은 사용자 환경의 클라이언트 컴퓨터가 최대 절전 모드 또는 대기 모드 상태에서 다시 시작될 때 잠기는지 여부를 제어합니다. 이 설정을 사용하는 경우 클라이언트 컴퓨터는 작동을 다시 시작할 때 잠기며 잠금을 해제하려면 사용자가 암호를 입력해야 합니다. 이 설정을 사용할 수 없도록 설정하거나 구성하지 않으면 보안이 심각하게 손상될 가능성이 있습니다. 클라이언트 컴퓨터가 작동을 다시 시작할 때 모든 사용자가 액세스할 수 있기 때문입니다.

화면 보호기 설정

화면 보호기는 원래 음극선으로 된 컴퓨터 모니터에 화면의 잔상이 남지 않도록 하기 위해 개발된 것입니다. 그 이후 화면 보호기는 사용자가 컴퓨터의 가상 바탕 화면 모양과 동작을 사용자 지정할 수 있도록 하는 또 다른 방향으로 발전하게 되었습니다. 또한 화면 보호기는 자동으로 바탕 화면을 잠그는 화면 보호기가 등장하면서 보안 도구의 역할도 하게 되었습니다. 나아가 사용자가 콘솔을 잠그는 것을 잊었을 때 무인 상태의 최종 사용자 컴퓨터를 보호하는 유용한 수단이 되기도 합니다.

그룹 정책 개체 편집기의 다음 위치에서 미리 지정된 화면 보호기 설정을 구성할 수 있습니다.

사용자 구성\관리 템플릿\제어판\디스플레이

[화면 보호기] 탭 숨기기

이 정책 설정은 사용자가 컴퓨터에 화면 보호기를 추가, 구성 또는 변경할 수 있는지 여부를 결정합니다.

이 정책 설정을 사용하는 경우 화면 보호기 탭이 제어판의 디스플레이에서 없어지므로 사용자가 화면 보호기 설정을 변경할 수 없습니다. 이 정책 설정을 사용할 수 없도록 설정하거나 구성하지 않으면 사용자가 이 탭에 액세스할 수 있습니다.

[화면 보호기] 탭 숨기기 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용

  • 사용 안 함

  • 구성되지 않음

보안 문제

사용자가 화면 보호기 설정을 변경하여 암호를 제거하거나 화면 보호기가 컴퓨터를 잠글 때까지의 시간을 늘릴 수 있습니다.

대책

[화면 보호기] 탭 숨김 설정을 사용으로 구성합니다.

잠재적 영향

사용자가 화면 보호기 설정을 변경할 수 없습니다.

화면 보호기 암호로 보호

이 정책 설정은 컴퓨터에서 사용하는 화면 보호기를 암호로 보호할지 여부를 결정합니다.

이 정책 설정을 사용하는 경우 모든 화면 보호기가 암호로 보호됩니다. 이 암호를 사용하지 않는 경우 화면 보호기에 대해 암호 보호를 설정할 수 없습니다. 또한 이 구성을 사용하면 제어판의 디스플레이 대화 상자에 있는 화면 보호기 탭에서 암호로 보호 확인란이 비활성화됩니다. 이 방법으로도 사용자가 암호 보호 설정을 변경할 수 없도록 할 수 있습니다.

이 정책 설정을 구성하지 않으면 사용자가 컴퓨터의 각 화면 보호기에 대해 암호 보호를 설정할지 여부를 선택할 수 있습니다. 컴퓨터를 암호로 보호하려면 화면 보호기 설정을 사용하고 화면 보호기 시간 제한 설정에 시간 제한을 지정하는 것이 좋습니다.

화면 보호기 암호로 보호 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용

  • 사용 안 함

  • 구성되지 않음

참고: 화면 보호기 탭을 제거하려면 화면 보호기 탭 숨기기 설정을 사용합니다.

보안 문제

화면 보호기에 암호 보호를 적용하지 않으면 사용자가 컴퓨터를 무인 상태로 두었을 때 콘솔을 잠글 수 없습니다.

대책

화면 보호기 암호로 보호 설정을 사용으로 구성합니다.

잠재적 영향

화면 보호기가 실행되고 나면 사용자는 컴퓨터의 잠금을 해제해야 합니다.

화면 보호기

이 정책 설정은 바탕 화면 화면 보호기가 작동하도록 합니다. 이 정책 설정을 사용하지 않으면 화면 보호기가 실행되지 않습니다.

이 정책 설정을 구성하지 않아도 컴퓨터에는 아무런 영향이 없습니다. 이 정책 설정을 사용하는 경우 다음 두 가지 조건을 만족하면 화면 보호기가 실행됩니다.

  • 클라이언트의 유효한 화면 보호기는 화면 보호기 실행 파일 이름 설정이나 클라이언트 컴퓨터의 제어판을 통해 지정됩니다.

  • 화면 보호기 시간 제한은 설정이나 제어판을 통해 0이 아닌 값으로 설정됩니다.

화면 보호기 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용

  • 사용 안 함

  • 구성되지 않음

보안 문제

위에서 설명한 화면 보호기 잠금 기능을 사용하려면 이 정책 설정을 사용해야 합니다.

대책

화면 보호기 설정을 사용으로 구성합니다.

잠재적 영향

이 정책 설정을 사용하면 환경 내의 사용자 컴퓨터에 화면 보호기가 설정됩니다.

화면 보호기 실행 파일 이름

이 정책 설정은 사용자 바탕 화면에 표시되는 화면 보호기를 지정합니다. 이 정책 설정을 사용하는 경우 컴퓨터의 바탕 화면에 사용자가 지정한 화면 보호기가 표시되며 제어판의 디스플레이 대화 상자에 있는 화면 보호기 탭의 화면 보호기 드롭다운 목록이 비활성화되어 사용자가 화면 보호기를 변경할 수 없습니다. 이 정책 설정을 사용할 수 없도록 설정하거나 구성하지 않으면 사용자가 원하는 화면 보호기를 선택할 수 있습니다.

화면 보호기 실행 파일 이름 설정을 사용하려면

  1. 화면 보호기를 포함하는 파일 이름을 입력합니다. .scr 파일 이름 확장명도 함께 입력해야 합니다.

  2. 화면 보호기 파일이 %Systemroot%\System32 폴더에 없으면 파일의 전체 경로를 입력합니다.

    이 설정을 적용한 컴퓨터에 지정한 화면 보호기가 설치되어 있지 않으면 해당 설정이 무시됩니다.

화면 보호기 실행 파일 이름 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용: 이 값을 지정한 다음 화면 보호기 실행 파일 이름을 입력합니다.

  • 사용 안 함

  • 구성되지 않음

참고: 이 정책 설정은 화면 보호기 설정으로 대체될 수 있습니다. 화면 보호기 설정을 사용하지 않는 경우 화면 보호기 실행 파일 이름이 무시되며 화면 보호기가 실행되지 않습니다.

보안 문제

화면 보호기 잠금 기능을 사용하려면 유효한 화면 보호기 실행 파일을 지정해야 합니다.

대책

화면 보호기 실행 파일 이름 설정을 Scrnsave.scr(빈 화면 보호기) 또는 다른 화면 보호기 실행 파일로 구성합니다.

잠재적 영향

화면 보호기 시간 제한에 도달하면 빈 화면 보호기 또는 지정된 화면 보호기가 실행됩니다.

화면 보호기 시간 제한

이 정책 제한 설정은 화면 보호기가 실행될 때까지 경과되는 유휴 시간을 지정합니다. 이 설정을 구성하면 유휴 시간을 최소 1초부터 최대 86,400초(24시간)까지 설정할 수 있습니다. 이 설정을 0으로 구성하면 화면 보호기가 시작되지 않습니다.

이 정책 설정은 다음과 같은 환경에서는 영향을 주지 않습니다.

  • 정책 설정이 사용 안 함 또는 구성되지 않음인 경우

  • 대기 시간을 0으로 설정한 경우

  • 화면 보호기 사용 안 함 설정을 사용하는 경우

  • 클라이언트 컴퓨터의 디스플레이 속성 대화 상자에 있는 화면 보호기 실행 파일 이름 설정이나 화면 보호기 탭에서 클라이언트 컴퓨터에 대해 유효한 기존 화면 보호기 프로그램을 지정하지 않은 경우

이 설정을 구성하지 않으면 클라이언트의 디스플레이 속성 대화 상자에 있는 화면 보호기 탭에서 설정한 대기 시간이 사용됩니다. 대기 시간의 기본값은 15분입니다.

화면 보호기 시간 제한 설정에 사용할 수 있는 값은 다음과 같습니다.

  • 사용(1초에서 86,400초 사이의 화면 보호기 시간 제한 범위)

  • 사용 안 함

  • 구성되지 않음

보안 문제

화면 보호기 잠금 기능이 제대로 작동하도록 하려면 유효한 화면 보호기 시간 제한을 구성해야 합니다.

대책

화면 보호기 시간 제한 설정을 사용자 조직의 보안 요구 사항에 적합한 값으로 구성합니다.

잠재적 영향

일정 시간 이상 컴퓨터에서 작업을 수행하지 않으면 화면 보호기가 실행됩니다.

페이지 위쪽

추가 정보

다음 링크에서는 Windows XP Professional 및 Windows Server 2003의 관리 템플릿에 대한 자세한 내용을 확인할 수 있습니다.

페이지 위쪽

다운로드

위협 및 대책 설명서 받기 (영문)

업데이트 알림

등록을 통한 업데이트 및 새 릴리스 확인 (영문)

사용자 의견

의견 또는 제안 보내기

페이지 위쪽