보안 정책 설정 관리

  • 아티클

 

적용 대상: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

IT 전문가 위한이 항목에서는 보안 정책 설정을 로컬 컴퓨터에서 또는 소형 또는 중간 크기의 IT 조직 전체에서 사용 하 여 관리 하는 방법이 설명Windows Server 2012및Windows 8합니다.

소개

보안 정책 설정의 전반적인 보안 구현의 일환으로 안전한 도메인 컨트롤러, 서버, 클라이언트 컴퓨터 및 사용자의 조직에서 다른 리소스는 데 도움이 하는데 사용할 해야 합니다.

보안 설정 정책을 하는 규칙이 컴퓨터나 컴퓨터 또는 네트워크에 있는 리소스를 보호 하기 위해 여러 대의 컴퓨터에 구성할 수 있습니다. 로컬 그룹 정책 편집기 스냅인 (Gpedit.msc)의 보안 설정 확장을 사용 하면 그룹 정책 개체 (GPO)의 일부로 보안 구성을 정의할 수 있습니다. Gpo는 사이트, 도메인 및 조직 구성 단위와 같은 Active Directory 컨테이너에 연결 하 고 관리자가 도메인에 가입 된 컴퓨터에서 여러 컴퓨터에 대 한 보안 설정을 관리할 수 있도록 합니다.

보안 설정을 통해 다음을 통제할 수 있습니다.

  • 네트워크나 컴퓨터에 대한 사용자 인증

  • 사용자 액세스가 허용되는 리소스

  • 이벤트 로그에 사용자나 그룹의 작업을 기록할지 여부

  • 그룹 구성원

설명, 기본 설정 및 관리 및 보안 고려 사항을 포함 하 여 각 설정에 대 한 정보에 대 한 참조는보안 정책 설정 참조Microsoft 다운로드 센터에 있습니다.

보안 설정 스냅인 작동 하는 방법에 대 한 정보를 참조 하십시오.는보안 정책 설정에 대 한 기술 개요합니다.

여러 컴퓨터에 대 한 보안 구성을 관리 하려면 다음 옵션 중 하나를 사용할 수 있습니다.

  • GPO에 대 한 특정 보안 설정을 편집 합니다.

  • 보안 템플릿 스냅인을 사용 하 여, 적용 하려는 보안 정책이 포함 된 보안 템플릿을 만들려면 하 고 보안 템플릿을 그룹 정책 개체로 가져옵니다. 보안 서식 파일은 보안 구성을 표시 하는 파일 및 GPO로 가져올 또는 로컬 컴퓨터에 적용 될 또는 보안 분석에 사용할 수 있습니다.

설정을 관리 하는 방법을 변경 사항?

시간이 지남에 따라 보안 정책 설정을 관리 하는 새로운 방법은 도입 되었으며 새로운 운영 체제 기능 및 새로운 설정의 추가 포함 하는 합니다. 다음 표에서 정책 설정을 관리할 수 있는 보안에 의해 서로 다른 의미를 나열 합니다.

도구 또는 기능

설명 및 사용

로컬 보안 정책 스냅인을 사용 하 여

Secpol.msc

MMC 스냅인만 보안 정책 설정을 관리 하도록 설계 되었습니다.

Secedit 명령줄 도구를 사용 하 여

Secedit.exe

구성 하 고 지정 된 보안 템플릿을 현재 구성을 비교 하 여 시스템 보안을 분석 하 여 키를 누릅니다.

Security Compliance Manager를 사용 하 여

도구 다운로드

하는데 도움이 되는 Solution Accelerator 계획, 배포, 운영 및 Windows 클라이언트 및 서버 운영 체제와 Microsoft 응용 프로그램에 대 한 사용자 보안 기준 관리.

보안 구성 마법사를 사용 하 여

Scw.exe

SCW는 서버에만 사용할 수 있는 역할 기반 도구: 서비스, 방화벽 규칙 및 특정 역할을 수행 하도록 선택한 서버에 필요한 설정을 활성화 하는 정책을 만들려면 사용할 수 있습니다.

보안 구성 관리자는 작업

이 도구 집합을 사용 하면 만들기, 적용 및 로컬 컴퓨터, 조직 구성 단위 또는 도메인에 대 한 보안을 편집할 수 있습니다.

그룹 정책 도구 사용

Gpmc.msc 및 Gpedit.msc

그룹 정책 관리 콘솔 그룹 정책 개체 편집기를 사용 하 여 다음 도메인 전체에서 배포에 대 한 그룹 정책 개체에 통합할 수 있는 로컬 보안 옵션을 표시 합니다. 로컬 그룹 정책 편집기는 로컬 컴퓨터에 유사한 기능을 수행합니다.

소프트웨어 제한 정책

참조소프트웨어 제한 정책 관리TechNet 라이브러리에서.

Gpedit.msc

소프트웨어 제한 정책 (SRP)는 한 도메인의 컴퓨터에서 실행 중인 소프트웨어 프로그램을 식별 하는 그룹 정책 기반 기능 및 실행할 해당 프로그램의 기능을 제어 합니다.

AppLocker

참조AppLocker 관리TechNet 라이브러리에서.

Gpedit.msc

악성 소프트웨어 (맬웨어) 및 사용자 환경의 컴퓨터에 영향을 주지 지원 되지않는 응용 프로그램을 방지 하 고 설치 및 사용 권한 없는 응용 프로그램에서 사용자의 조직에서 사용자를 방지 합니다.

로컬 보안 정책 스냅인을 사용 하 여

로컬 보안 정책 스냅인 (Secpol.msc) 로컬 정책 개체의 뷰는 다음 정책 및 기능을 제한합니다.

  • 계정 정책

  • 로컬 정책

  • 고급 보안이 설정된 Windows 방화벽

  • 네트워크 목록 관리자 정책

  • 공개 키 정책

  • 소프트웨어 제한 정책

  • 응용 프로그램 제어 정책

  • 로컬 컴퓨터의 IP 보안 정책

  • 고급 감사 정책 구성

컴퓨터가 도메인에 가입 된 경우에 로컬로 설정 된 정책은 덮어쓸 수 있습니다.

로컬 보안 정책 스냅인은 보안 구성 관리자 도구 집합의 일부입니다. 이 도구 집합에 다른 도구에 대 한 정보를 참조 하십시오.보안 구성 관리자는 작업이 항목의 합니다.

Secedit 명령줄 도구를 사용 하 여

Secedit 명령줄 도구 보안 템플릿을 사용 하 여 작동 하 고 6 개의 기본 함수를 제공 합니다.

  • Configure매개 변수를 사용 하면 잘못 된 서버에 올바른 보안 템플릿을 적용 하 여 서버 간에 보안 불일치를 해결 합니다.

  • Analyze매개 변수는 선택한 템플릿 사용 하 여 서버의 보안 구성을 비교 합니다.

  • Import매개 변수를 사용 하면 기존 서식 파일에서 데이터베이스를 만들 수 있습니다. 보안 구성 및 분석 도구는 또한 합니다.

  • Export매개 변수는 데이터베이스에서 보안 설정 템플릿 설정을 내보낼 수 있습니다.

  • Validate매개 변수 또는 각 텍스트 줄을 만들거나 보안 서식 파일에 추가 하는 구문의 유효성을 검사할 수 있습니다. 이렇게 하면 구문에 적용할 템플릿을 실패 하면 템플릿을 문제가 되지 않습니다.

  • Generate Rollback매개 변수는 서버의 보안 설정의 대부분을 알려진된 상태로 복원에 사용할 수 있도록 보안 템플릿에 서버의 현재 보안 설정을 저장 합니다. 예외를 적용 하 고, 롤백 템플릿을 변경 되지 않으므로 파일에 대 한 액세스 제어 목록 항목 또는 레지스트리 항목에서 가장 최근에 변경 된 서식 파일을 적용 하는 경우입니다.

Secedit.exe 도구에 대 한 자세한 내용은 참조Secedit [LH].

Security Compliance Manager를 사용 하 여

Security Compliance Manager는 계획, 배포, 운영 및 Windows 클라이언트 및 서버 운영 체제에 대 한 Microsoft 응용 프로그램에 대 한 사용자 보안 기준 관리 하는데 도움이 되는 다운로드 가능한 도구입니다. 권장 되는 보안 설정, 프로그램 기준 및 다양 한 형식에서 이러한 설정을 구현 하는 옵션을 사용자 지정 하는 방법의 전체 데이터베이스를 포함-XLS, Gpo를 포함 하 여 관리 DCM (Desired Configuration) 팩 이나 보안 콘텐츠 자동화 프로토콜 (SCAP). Security Compliance Manager 환경의 보안 초기 배포 및 규정 준수 확인 프로세스를 자동화 하는 기준을 내보내려면 사용 됩니다.

Security Compliance Manager를 사용 하 여 보안 정책을 관리 하려면

  1. 가장 최근 버전의 다운로드는Security Compliance ManagerMicrosoft 다운로드 센터에 있습니다.

  2. 이 도구에 포함 된 관련 보안 기준선 설명서를 읽어보십시오.

  3. 다운로드 하 고 관련 보안 기준을 가져올 키를 누릅니다. 설치 프로세스는 초기 선택을 통해 안내합니다.

  4. 도움말을 열고 사용자 지정, 비교 또는 해당 기준선을 배포 하기 전에 보안 기준에 병합 하는 방법 지침을 따릅니다.

보안 구성 마법사를 사용 하 여

SCW(보안 구성 마법사)는 보안 정책을 만들거나 편집하거나 적용하거나 롤백하는 과정을 안내합니다. SCW로 만든 보안 정책을 적용 하는,.xml 파일이 며 서비스, 네트워크 보안, 특정 레지스트리 값 및 감사 구성 정책. SCW는 역할 기반 도구: 서비스, 방화벽 규칙 및 특정 역할을 수행 하도록 선택한 서버에 필요한 설정을 활성화 하는 정책을 만들려면 사용할 수 있습니다. 예를들어, 파일 서버, 인쇄 서버 또는 도메인 컨트롤러는 서버 수 있습니다.

다음은 SCW 사용 시 고려할 사항입니다.

  • SCW는 불필요 한 서비스를 사용 하지 않도록 설정 하 고 고급 보안 지원을 통해 Windows 방화벽을 제공 합니다.

  • SCW로 만든 보안 정책은 .inf 확장명을 갖는 파일인 보안 템플릿과는 다릅니다. 보안 템플릿은 SCW로 설정할 수 있는 보안 설정보다 더 많은 보안 설정을 포함합니다. 그러나 SCW 보안 정책 파일에 보안 템플릿을 포함시킬 수 있습니다.

  • 그룹 정책을 사용 하 여 SCW로 만든 보안 정책을 배포할 수 있습니다.

  • SCW 설치 하거나 서버 역할을 수행 하는데 필요한 기능을 제거 하지 않습니다. 역할별 기능은 서버 관리자를 통해 설치할 수 있습니다.

  • SCW는 역할 종속성을 검색합니다. 역할을 선택하면 종속 역할이 자동으로 선택됩니다.

  • SCW를 실행 하는 경우 IP 프로토콜 및 포트를 사용 하는 모든 응용 프로그램 서버에서 실행 되어야 합니다.

  • 경우에 따라 SCW 도움말 링크를 사용 하려면 인터넷에 연결 해야 합니다.

참고

SCW는 Windows 서버에만 사용할 수 있으며 서버 설치에만 적용 됩니다.

SCW는 서버 관리자를 통해 또는 Scw.exe를 실행 하 여 액세스할 수 있습니다. 마법사에 서버 보안 구성을 단계별로 안내 합니다.

  • 네트워크의 모든 서버에 적용할 수 있는 보안 정책을 만듭니다.

  • 기존 보안 정책을 편집 합니다.

  • 기존 보안 정책을 적용 합니다.

  • 마지막으로 적용 된 보안 정책을 롤백하십시오.

보안 정책 마법사 서비스 및 서버 역할에 따라 네트워크 보안 구성으로 감사 및 레지스트리 설정을 구성 합니다.

SCW 프로시저를 포함 하는 방법에 대 한 자세한 내용은 참조는보안 구성 마법사.

보안 구성 관리자는 작업

보안 구성 관리자 도구 집합을 사용 하면 만들기, 적용 및 로컬 컴퓨터, 조직 구성 단위 또는 도메인에 대 한 보안을 편집할 수 있습니다.

보안 구성 관리자를 사용 하는 방법에 대 한 절차를 참조 하십시오.보안 구성 관리자.

다음 표에서 보안 구성 관리자의 기능을 나열 합니다.

보안 구성 관리자 도구

설명

보안 구성 및 분석

서식 파일에 보안 정책을 정의합니다. 이러한 템플릿은 그룹 정책 또는 로컬 컴퓨터에 적용할 수 있습니다.

보안 템플릿

서식 파일에 보안 정책을 정의합니다. 이러한 템플릿은 그룹 정책 또는 로컬 컴퓨터에 적용할 수 있습니다.

그룹 정책으로 보안 설정 확장

도메인, 사이트 또는 조직 구성 단위에서 개별 보안 설정을 편집합니다.

로컬 보안 정책

로컬 컴퓨터에 대 한 개별 보안 설정을 편집합니다.

Secedit [LH]

명령 프롬프트에서 보안 구성 작업을 자동화합니다.

보안 구성 및 분석

보안 구성 및 분석에는 MMC 스냅인을 분석 하 고 로컬 시스템 보안 구성입니다.

보안 분석

운영 체제 및 컴퓨터에 응용 프로그램의 상태는 동적입니다. 예를들어, 관리 또는 네트워크 문제를 즉시 해결할 수 있도록 보안 수준을 일시적으로 변경 해야 합니다. 그러나이 변경은 종종 취소 하기 어렵습니다 이동할 수 있습니다. 즉,이 컴퓨터가 엔터프라이즈 보안에 대 한 요구를 만족 더이상 될 수 없습니다.

정기적으로 분석 관리자가 추적 하 고 적절 한 수준의 엔터프라이즈 위험 관리 프로그램의 일부로 각 컴퓨터에 보안을 확인할 수 있습니다. 관리자가 수 보안 수준을 조정할 하 고, 가장 중요 한 것은 시간이 지남에 따라 시스템에서 발생할 수 있는 모든 보안 결함을 검색 합니다.

보안 구성 및 분석을 사용 하면 신속 하 게 보안 분석 결과 검토할 수 있습니다. 현재 시스템 설정과 함께 권장 사항을 제시 하 고 시각적 플래그 나 설명을 사용 하 여 현재 설정이 제안된 된 보안 수준과 일치 하지 않는 모든 부분을 강조 합니다. 보안 구성 및 분석 또한 분석 결과 불일치를 해결 하는 기능을 제공 합니다.

보안 구성

보안 구성 및 분석 직접 로컬 시스템 보안을 구성 하려면 사용할 수 있습니다. 개인 데이터베이스를 사용 하 여 보안 템플릿을 사용 하 여 생성 된 이러한 템플릿을 로컬 컴퓨터에 적용할 보안 템플릿을 가져올 수 있습니다. 이 즉시 서식 파일에 지정 된 수준으로 시스템 보안을 구성 합니다.

보안 템플릿

사용 하 여 보안 템플릿 스냅인-Microsoft Management Console에 대 한, 컴퓨터 또는 네트워크에 대 한 보안 정책을 만들 수 있습니다. 완전 한 범위의 시스템 보안 계정으로 가져올 수 있는 항목의 단일 점입니다. 보안 템플릿 스냅인을 사용 하는 새 보안 매개 변수를 사용 하지 않습니다, 그리고 보안 관리를 용이 하 한곳으로 기존의 모든 보안 특성을 구성 하기만 하면 됩니다.

그룹 정책 개체에 보안 템플릿을 가져오면 한번에 도메인 또는 조직 구성 단위에 대 한 보안을 구성 하 여 도메인 관리가 쉬워집니다.

로컬 컴퓨터에 보안 템플릿을 적용 하려면 보안 구성 및 분석 또는 Secedit 명령줄 도구를 사용할 수 있습니다.

보안 템플릿 정의 하는데 사용할 수 있습니다.

  • 계정 정책

    • 암호 정책

    • 계정 잠금 정책

    • Kerberos 정책

  • 로컬 정책

    • 감사 정책

    • 사용자 권한 할당

    • 보안 옵션

  • 이벤트 로그: 응용 프로그램, 시스템 및 보안 이벤트 로그 설정

  • 제한 된 그룹: 중요 한 보안 그룹의 멤버 자격

  • 시스템 서비스: 시작 및 시스템 서비스에 대 한 사용 권한

  • 레지스트리: 레지스트리 키에 대 한 사용 권한

  • 파일 시스템: 폴더 및 파일에 대 한 사용 권한

각 서식 파일은 텍스트 기반.inf 파일로 저장 됩니다. 그러면 복사, 붙여넣기, 가져오기 또는 템플릿의 특성 중 일부 또는 모두를 내보낼 수 있습니다. 인터넷 프로토콜 보안 및 공용 키 정책 제외 하 고, 보안 템플릿에서 보안 특성을 모두 포함 될 수 있습니다.

그룹 정책으로 보안 설정 확장

조직 구성 단위, 도메인 및 사이트 그룹 정책 개체에 연결 됩니다. 보안 설정 도구에서 변경한 그룹 정책 개체의 보안 구성을 차례로 여러 컴퓨터에 영향을 주는 수 있습니다. 보안 설정을 사용 하 여 도메인에 가입 하는 하나의 컴퓨터에서 수정할 그룹 정책 개체에 따라 여러 컴퓨터의 보안 설정을 수정할 수 있습니다.

보안 설정 또는 보안 정책에는 컴퓨터 또는 컴퓨터 또는 네트워크에 있는 리소스를 보호 하기 위한 여러 컴퓨터에서 구성 된 규칙이 있습니다. 보안 설정을 통해 다음을 통제할 수 있습니다.

  • 어떻게 사용자는 네트워크 또는 컴퓨터에 인증 됩니다.

  • 어떤 리소스 사용자가 사용할 수 있는 것입니다.

  • 여부 사용자나 그룹의 작업은 이벤트 로그에 기록 됩니다.

  • 그룹 구성원 자격입니다.

두가지 방법으로 여러 컴퓨터에서 보안 구성을 변경할 수 있습니다.

  • 보안 템플릿을 사용 하 여 보안 템플릿을 사용 하 여 보안 정책을 만들고 그룹 정책 개체에 보안 설정을 통해 서식 파일을 가져옵니다.

  • 보안 설정을 사용 하 여 몇 선택 설정을 변경 합니다.

로컬 보안 정책

보안 정책은 컴퓨터에서 보안에 영향을 주는 보안 설정의 조합입니다. 로컬 컴퓨터의 계정 정책 및 로컬 정책을 편집 하려면 로컬 컴퓨터 정책을 사용할 수 있습니다.

로컬 보안 정책을 사용 하 여 다음을 제어할 수 있습니다.

  • 사용자 컴퓨터에 액세스합니다.

  • 어떤 리소스 사용자가 컴퓨터에 사용할 수 있는 합니다.

  • 여부 사용자나 그룹의 작업은 이벤트 로그에 기록 됩니다.

로컬 컴퓨터를 도메인에 가입 되는 경우 도메인의 정책 또는 소속 된 조직 구성 단위의 정책에서 보안 정책을 받게 됩니다. 둘 이상의 원본에서 정책을 가져오는 경우의 우선순위는 다음과 같은 순서로 충돌이 해결 됩니다.

  1. 조직 구성 단위 정책

  2. 도메인 정책

  3. 사이트 정책

  4. 로컬 컴퓨터 정책

보안 설정을 로컬 컴퓨터의 로컬 보안 정책을 사용 하 여 수정 하면 다음 직접 수정 하는 경우 설정을 사용자 컴퓨터에 있습니다. 따라서 즉시 적용 되지만 일시적일 수 있습니다. 설정을 실제로 계속 적용 됩니다 로컬 컴퓨터의 그룹 정책 보안 설정 새로 고칠 때까지 때 충돌이 있는 경우 항상 그룹 정책에서 수신 된 보안 설정이 로컬 설정에 우선 합니다.

보안 구성 관리자를 사용 하 여

보안 구성 관리자를 사용 하는 방법에 대 한 절차를 참조 하십시오.보안 구성 관리자 사용법을. 이 섹션에 대 한이 항목의 정보를 포함 합니다.

  • 보안 설정 적용

  • 보안 템플릿 가져오기 및 내보내기

  • 보안 분석 및 결과 보기

  • 보안 불일치를 해결합니다.

  • 보안 구성 작업 자동화

보안 설정 적용

보안 설정을 편집한 후 설정이 사용자 그룹 정책 개체에 연결 된 조직 구성 단위에 대 한 컴퓨터에서 새로 고쳐집니다.

  • 컴퓨터를 다시 시작 되 면 해당 컴퓨터의 설정이 새로 고쳐집니다.

  • 해당 보안 설정으로 모든 그룹 정책 설정을 새로 고칠 수 있도록 컴퓨터를 강제 하려면 참조는Gpupdate [LH]명령줄 도구입니다.

둘 이상의 정책이 컴퓨터에 적용 되는 정책의 우선순위

둘 이상의 정책에 의해 정의 된 보안 설정에 대 한 다음과 같은 우선 순서는 준수:

  1. 조직 구성 단위 정책

  2. 도메인 정책

  3. 사이트 정책

  4. 로컬 컴퓨터 정책

예를들어, 도메인에 가입 된 워크스테이션 충돌 하는 경우 항상 도메인 정책에 의해 재정의 된 로컬 보안 설정을 갖습니다. 마찬가지로, 동일한 워크스테이션 조직 구성 단위의 멤버인 경우 도메인 및 로컬 설정 모두 조직 구성 단위 정책에서 적용 되는 설정을 재정의 합니다. 워크스테이션 둘 이상의 조직 구성 단위의 멤버인 경우 즉시 워크스테이션을 포함 하는 조직 구성 단위는 계산 순서가 가장 우선 합니다.

참고

사용 하 여Gpresult [LH]명령줄 도구를 어떤 순서로 및 컴퓨터에 적용 된 정책에 대해 알아봅니다.

도메인 계정에 대 한 암호 정책, 계정 잠금 정책 및 Kerberos 정책을 포함 하는 계정 하나에 정책이 있을 수 있습니다.

보안 설정에서 지 속성

보안 설정은 설정을 적용 되었던는 정책에 더이상 정의 된 경우에에 여전히 지속 될 수 없습니다.

보안 설정에서 지 속성이 발생 때:

  • 설정은은 컴퓨터에 대해 이전에 정의 되지 않았습니다.

  • 레지스트리 개체에 대 한 설정은입니다.

  • 파일 시스템 개체에 대 한 설정은입니다.

모든 설정이 로컬 정책 또는 그룹 정책 개체를 통해 적용 되는 컴퓨터에 로컬 데이터베이스에 저장 됩니다. 보안 설정 수정 될 때마다 컴퓨터 컴퓨터에 적용 된 모든 설정의 기록을 유지 하는 로컬 데이터베이스를 보안 설정값을 저장 합니다. 정책을 먼저 보안 설정을 정의 하 고 다음 해당 설정을 더이상 정의 경우에 설정은 데이터베이스에 있는 이전 값 됩니다. 이전 값을 데이터베이스에 없는 경우 다음 설정으로 되돌아가지 않습니다 아무것도 및 정의된대로 유지 됩니다. 이 문제는 "기록" 라고도 함

레지스트리 및 파일 설정이 해당 설정을 다른 값으로 설정 될 때까지 정책을 통해 적용 된 값을 유지 합니다.

그룹 구성원 자격에 따라 필터링 보안 설정

어떤 사용자 또는 그룹을 해당 그룹 정책 개체에 대 한 그룹 정책 적용 또는 읽기 권한이 거부 하 여 로그온 한 컴퓨터에 관계 없이 적용 되도록 그룹 정책 개체를 갖지 것입니다 결정할 수 있습니다. 그룹 정책을 적용 하려면 이러한 권한이 모두 필요 합니다.

보안 템플릿 가져오기 및 내보내기

보안 구성 및 분석 또는 데이터베이스에서 보안 템플릿을 내보낼 하는 기능을 제공 합니다.

분석 데이터베이스에 변경 내용을 변경한 경우 서식 파일로 내보내 해당 설정을 저장할 수 있습니다. 내보내기 기능은 분석 데이터베이스 설정을 새 템플릿 파일을 저장 하는 기능을 제공 합니다. 이 서식 파일을 분석 하거나 시스템을 구성할 사용한 다음 수 있고 그룹 정책 개체를 가져올 수 있습니다.

보안 분석 및 결과 보기

보안 구성 및 분석에 대 한 시스템 보안의 현재 상태를 비교 하 여 보안 분석 수행 하는분석 데이터베이스. 만드는 동안 분석 데이터베이스는 하나 이상의 보안 템플릿을 사용합니다. 둘 이상의 보안 템플릿을 가져오려면 선택 하면 데이터베이스는 다양 한 서식 파일을 병합 하 고 하나의 복합 템플릿을 만듭니다 됩니다. 가져오기;의 순서 대로 충돌 해결 가져온 마지막 템플릿을 우선 적용 됩니다.

보안 구성 및 분석 결과 표시 분석 보안 영역으로 시각적 플래그를 사용 하 여 문제를 나타냅니다. 보안 영역에서 각 보안 특성에 대 한 현재 시스템과 기본 구성 설정을 표시 됩니다. 분석 데이터베이스 설정을 변경 하려면 항목을 마우스 오른쪽 단추로 클릭 하 고 클릭속성.

시각적 플래그

의미

빨간색 X

해당 항목이 분석 데이터베이스와 시스템에 정의 되어 있지만 보안 설정 값이 일치 하지 않습니다.

녹색 확인 표시

항목은 시스템 및 분석 데이터베이스에 정의 되어 있고 설정 값이 일치 합니다.

물음표

분석 데이터베이스에 정의 되지 않은 항목과, 따라서 분석 되지 않았습니다.

항목이 분석 되지 않습니다, 분석 데이터베이스에 정의 되지 않은 또는 분석을 실행 하는 사용자에 게 특정 개체 또는 영역에서 분석을 수행할 수 있는 충분 한 권한이 없을 수 있습니다 수 있습니다.

느낌표

이 항목 분석 데이터베이스에 정의 되어 있지만 실제 시스템에 존재 하지 않습니다. 예를들어, 분석 데이터베이스에 정의 되어 있지만 분석된 된 시스템에 실제로 존재 하지 않는 제한 된 그룹이 있을 수 있습니다.

강조 표시 없음

분석 데이터베이스에 또는 시스템에 항목 정의 되지 않았습니다.

현재 설정을 적용 하려는 경우 기본 구성에 해당 값이 일치 하도록 수정 됩니다. 설정을 기본 구성과 일치 하도록 시스템을 변경 하는 경우 보안 구성 및 분석 시스템을 구성 하는 경우 변경 내용을 반영 됩니다.

조사 하 여 적절 한 것으로 결정 하는 설정의 연속된 된 플래그를 방지 하려면 기본 구성을 수정할 수 있습니다. 서식 파일의 복사본에는 변경 내용이 있습니다.

보안 불일치를 해결합니다.

분석 데이터베이스 및 시스템 설정 하 여 사이의 불일치를 해결할 수 있습니다.

  • 수락 하거나 로컬 시스템 보안 수준이 해당 컴퓨터의 컨텍스트 (또는 역할)로 인해 유효한 지 확인 한 경우에 구성에 포함 되지 되거나 플래그가 지정 된 값의 일부 또는 전부를 변경 합니다. 이러한 속성 값이 다음 데이터베이스에서 업데이트 되 고 클릭할 때 시스템에 적용지금 컴퓨터 구성.

  • 시스템 분석 데이터베이스 값에는 시스템을 결정 하는 경우 구성은 하지 유효한 보안 수준에 따라입니다.

  • 새 기본 구성으로 데이터베이스에 해당 컴퓨터의 역할에 대 한 더 적합 한 템플릿을 가져오고 시스템에 적용 합니다.

분석 데이터베이스에 보안 템플릿 파일이 아닌 데이터베이스에 저장된 된 템플릿에서 변경 됩니다. 보안 템플릿을 반환 하 고 해당 서식 파일을 편집 하거나 동일한 템플릿 파일에 저장 된 구성 내보내기 하는 경우에 보안 템플릿 파일을 수정 합니다.

사용 해야지금 컴퓨터 구성보안 영역을 수정할 때만하지로컬 파일 및 폴더, 레지스트리 키 및 시스템 서비스에 보안과 같은 그룹 정책 설정에 의해 영향을 받습니다. 그렇지 않은 경우 그룹 정책 설정을 적용 하는 경우 우선적으로 적용 됩니다 로컬 설정 보다-계정 정책 등입니다. 일반적으로 사용 하지 않는지금 컴퓨터 구성도메인 기반 클라이언트에 대 한 보안을 분석 하는 경우 이후 해야 합니다 각 클라이언트를 개별적으로 구성 합니다. 이 경우 보안 템플릿을 반환 하 고, 서식 파일을 수정 하 고, 적절 한 그룹 정책 개체에 다시 적용 해야 있습니다.

보안 구성 작업 자동화

Secedit.exe 도구 명령 프롬프트에서 배치 파일 또는 자동 작업 스케줄러를 호출 하 여 사용 하 여 자동으로 만들고, 템플릿을 적용할 수 있으며 시스템 보안을 분석할 수 있습니다. 또한 명령 프롬프트에서 동적으로 실행할 수도 있습니다.

Secedit.exe에 보안을 분석 하거나 구성 및 휴무 시간 이러한 작업을 수행 해야 여러 컴퓨터가 있는 경우에 유용 합니다.

그룹 정책 도구 사용

그룹 정책은 그룹 정책 설정 및 그룹 정책 기본 설정을 통해 관리되는 사용자 및 컴퓨터 구성을 지정할 수 있는 인프라입니다. 로컬 컴퓨터나 사용자에만 영향을 주는 그룹 정책 설정의 경우 로컬 그룹 정책 편집기를 사용할 수 있습니다. GPMC(그룹 정책 관리 콘솔)을 통해 AD DS(Active Directory 도메인 서비스) 환경에서 그룹 정책 설정 및 그룹 정책 기본 설정을 관리할 수 있습니다. 그룹 정책 관리 도구는 원격 서버 관리 도구 팩에도 포함되어 있어 데스크톱에서 그룹 정책 설정을 관리할 수 있는 방법을 제공합니다.

그룹 정책을 사용 하 여 보안 설정 관리를 시작 하려면 참조그룹 정책 개요합니다.

그룹 정책 관리 콘솔을 사용 하 여를 시작 하려면 참조에 대 한 도움말은그룹 정책 관리 콘솔TechNet 라이브러리에서.

로컬 그룹 정책 편집기를 사용 하 여를 시작 하려면 참조에 대 한 도움말은로컬 그룹 정책 편집기.