Windows 7 보안 강화 기능

http://technet.microsoft.com/windows/dd361745.aspx?ITPID=article

보안은항상 IT 전문가의최대관심사입니다 . Windows® 7 베타가발표됨에따라 Windows 7 운영체제의향상된기능에대한많은관심과질문이이어지고있습니다 . 이짧은문서에서는모두다룰수없을만큼많은기능이향상되었지만여기서는 보안과 관련된 다음세가지주요 사항 에초점을맞춥니다 .

  • Windows 7 Windows Vista® UAC( ) 니다
  • Windows 7 를 사용하여 IT 가 자신의 환경에서실행가능한소프트웨어를제어할수있습니다
  • 이동식저장장치를위한의도입으로드라이브암호화의핵심기능이향상니다

이제각각의보안강화기능에대해자세히살펴보겠습니다 .

기초부터안전한환경

Windows 7 은 Windows Vista 의강력한보안을바탕으로하며 Windows Vista 를가장안전한버전의 Windows 클라이언트로만든개발프로세스와기술을그대로사용합니다 . 커널패치보호 , 서비스강화 , 데이터실행방지 , ASLR(Address Space Layout Randomization), 필수무결성수준등의기본적인보안기능이이전과마찬가지로맬웨어와공격으로부터 데이터를 보호합니다 . Windows 7 은 Microsoft SDL(Security Development Lifecycle) 을사용하여디자인및개발되었으며 Common Criteria 요구사항을지원하도록엔지니어링되어 Evaluation Assurance Level 4 인증을취득하고 FIPS(Federal Information Processing Standard) 140-2 를 준수합 니다 .

향상된 감사 기능

Windows 7 은조직에서보다쉽게비즈니스규정준수요구사항을충족할수있 도록 향상된감사기능을제공합니다 . 향상된감사기능은간편해진감사구성관리부터보다뛰어난조직상황파악능력에이르기까지다양합니다 . 예를들어 , Windows 7 에서는특정정보에대한액세스가허용되거나거부된정확한이유를파악할수있으며특정사용자나그룹이변경한내용을확인할수있습니다 .

편리한 사용자 계정 컨트롤

Windows Vista 에처음도입된 UAC 를통해표준사용자권한으로레거시응용프로그램을실행하고 ISV 에서소프트웨어를표준사용자권한으로잘작동하도록변경할수있게되었습니다 . Windows 7 에서는 UAC 에대한투자가계속되는한편사용자경험향상을위해몇가지사항이변경되었습니다 . 예를들어 , 관리자권한이필요한운영체제응용프로그램및작업수가줄었으며계속관리자권한으로실행하는사용자에게유연한동의확인프롬프트가제공됩니다 . 결과적으로표준사용자는이전보다훨씬더많은작업을수행할수있으며모든사용자는보다적은수의프롬프트를보게될것입니다 .

AppLocker

Windows 7 에서는유연하고관리하기쉬운메커니즘인 AppLocker 로응용프로그램제어정책을강화합니다 . AppLocker 를통해 IT 관리자는데스크톱인프라에서실행가능한소프트웨어를정확하게지정할수있으며사용자는생산성을높이는데필요한스크립트 , 응용프로그램및설치프로그램을실행할수있습니다 . 따라서 IT 관리자는보안 , 작업및준수이점을제공하면서조직내에서응용프로그램표준화를시행할수있습니다 .

AppLocker 는 " 허용 ", " 거부 " 및 " 예외 " 라는세가지규칙유형을통해단순하면서도강력한구조를제공합니다 . 허용규칙은 " 알려진양호한 " 응용프로그램으로응용프로그램실행을제한하고이외의응용프로그램은모두차단합니다 . 반면거부규칙은 " 알려진잘못된 " 응용프로그램목록에나열되지않은모든응용프로그램의실행을허용합니다 . 아마많은기업에서허용규칙과거부규칙을모두사용할것이지만이상적인 AppLocker 배포에서는기본제공예외와함께허용규칙을사용합니다 . 예외규칙은 일반적으로 포함되는파일을허용 / 거부규칙에서제외합니다 . 예외를사용하여 " 기본제공게임을제외한모든 Windows 운영체제소프트웨어의실행을허용 " 하는규칙등을만들수있습니다 . 예외와함께허용규칙을사용하면규칙을많이만들필요없이 " 알려진양호한응용프로그램목록 " 을쉽게작성할수있습니다 .

AppLocker 를통해응용프로그램디지털서명을기반으로하는게시자규칙이도입되었습니다 . 게시자규칙에서는응용프로그램버전등의특성을지정할수있기때문에응용프로그램업데이트시에도유지되는규칙을만들수있습니다 . 예를들어 , 조직에서 " 소프트웨어게시자 Adobe 의서명이있으며 9.0 보다높은버전의 Acrobat Reader 실행을모두허용 " 하는규칙을만들수있습니다 . 그러면 Adobe 에서 Acrobat 을업데이트할때응용프로그램의새버전에대한규칙을또만들필요없이응용프로그램업데이트를안전하게배포할수있습니다 .

AppLocker 규칙을조직내의특정사용자나그룹과연결할수도있습니다 . 이렇게하면세부적인제어를통해어느사용자가특정응용프로그램을실행할수있는지확인하고시행 함으로써 규정준수요구사항을지원할수있습니다 . 예를들어 , " 재무부서사용자의재무관련응용프로그램실행을허용 " 하는규칙을만들수있습니다 . 이렇게하면관리자를비롯하여재무부서소속이아닌사용자는재무응용프로그램을실행할수없게되지만업무상재무관련응용프로그램을실행해야하는사용자는계속이러한응용프로그램에액세스할수있습니다 .

AppLocker 는새로운규칙작성도구와마법사로 IT 관리자에게강력한환경을제공합니다 . 보다쉽게단계별접근방식과완벽하게통합된도움말을사용하고 , 새규칙을만들고 , 규칙을자동으로생성하고 , 규칙을가져오거나내보내고 , 유지관리를수행할수있습니다 . 예를들어 , IT 관리자가테스트참조컴퓨터를사용하여자동으로규칙을생성한다음해당규칙을광범위하게배포하기위해프로덕션환경으로가져올수있습니다 . 또한 IT 관리자는사용자의프로덕션구성의백업이나규정준수용 문서 를제공하기위해정책을내보낼수있습니다 .

BitLocker 및 BitLocker To Go

매년적절한세이프가드나보호수단이없는수십만대의컴퓨터가분실되거나도난당하거나버려집니다 . 그러나데이터분실이나절도는단순한물리적컴퓨터문제가아닙니다 . USB 플래시드라이브 , 전자메일 , 유출된문서를통해데이터가악용될수있습니다 . Windows 7 은 BitLocker 드라이브암호화의관리및배포기능업데이트와 BitLocker To Go 도입으로계속되는데이터누출위협에대응하고있습니다 . BitLocker To Go 는 BitLocker 지원을이동식저장장치로확장하여도난과노출로부터데이터를보호하는향상된기술입니다 .

BitLocker 드라이버암호화 , 줄여서 BitLocker 는또다른운영체제를부팅하거나소프트웨어해킹도구를실행하는도둑이 Windows 7 파일및시스템보호를해제하거나세이프가드로보호된드라이브에저장된파일을오프라인으로볼수없게합니다 . Windows 7 BitLocker 는 Windows Vista BitLocker 의주요이점을그대로물려받으면서도핵심기능이강화되어 IT 전문가와최종사용자에게보다나은경험을제공합니다 . BitLocker 에필요한파티션두개의디스크구성으로 Windows Vista 를배포하지않은고객의경우 BitLocker 를사용하기위해드라이브를다시분할하는것은상당 한 부담이되는작업이었습니다 . Windows 7 에서는설치시자동으로필요한디스크파티션이만들어져 BitLocker 배포가한결쉬워졌습니다 . Windows 7 BitLocker 의또다른변경사항은드라이브를마우스오른쪽단추로클릭하여 BitLocker 보호를사용하도록설정할수있다는것입니다 .  

Windows 7 BitLocker 는보호된 모든 볼륨에대한 DRA( 데이터 복구 에이전트 ) 지원을추가합니다 . 많은고객의요청에따라추가된 DRA 지원을통해 IT 관리자는 BitLocker 로보호된모든볼륨 ( 운영체제 , 고정볼륨및새이동식볼륨 ) 이적절한 DRA 로암호화되도록지정할수있습니다 . DRA 는권한있는 IT 관리자가 BitLocker 로보호된볼륨에항상액세스할수있도록각데이터볼륨에작성되는새로운키보호기입니다 .

BitLocker To Go 는 BitLocker 지원을 USB 플래시드라이브와휴대용디스크드라이브등의이동식저장장치로확장합니다 . 또한 BitLocker To Go 를통해관리자는자신의환경내에서이동식저장장치를활용하는방법과이러한장치에필요한보호수준을제어할수있습니다 . 관리자는보호되지않는저장장치를읽기전용모드로사용할수있게하면서사용자가데이터를기록하려는이동식저장장치에대한데이터보호를 요청 할수있습니다 . 정책을통해보호된이동식저장장치사용을위한적절한암호 , 스마트카드또는도메인사용자자격증명을요 청 할수도있습니다 .

일반적인 BitLocker 기능으로시스템파티션을보호하도록요청하지않고 BitLocker To Go 만사용할수있습니다 . 끝으로 BitLocker To Go 는이전버전의 Windows 운영체제에있는이동식장치에대한읽기전용지원을제공합니다 . 이를통해사용자는 BitLocker To Go 판독기가설치된 Windows Vista 와 Windows XP 를실행중인사용자와보다안전하게파일을공유할수있습니다 .  

랩톱을가지고여행중이거나 , 트러스트된파트너와큰파일을공유하거나 , 집에서일하는경우모두 BitLocker 와 BitLocker To Go 로권한있는사용자만파일을읽을수있게할수있습니다 . 미디어가분실되었거나 , 도난당했거나 , 악용되는경우에도마찬가지입니다 .

결론

Windows Vista 의보안기능을기반으로하는 Windows 7 에는사용자의 IT 투자와데이터를안전하게지키기위한더좋은방법을찾으려는 Microsoft 의부단한노력으로많은보안강화기능이추가되었습니다 . 회사에서는중요한정보를보호하고 , 보다강력한맬웨어방지기능을제공하고 , 회사리소스와데이터에안전하게액세스할수있게하는보안강화기능을이용할수있습니다 . 또한최종사용자는 Windows 7 이개인정보보호를위한새로운기술과기능을사용한다는사실을알고컴퓨터와인터넷을안심하고사용할수있습니다 . 결국모든사용자 가 Windows 7 의유연한보안구성옵션을활용하여보안과실용성이라는두가지목표를모두달성할수있습니다 .  

표시: