보안 설정을 알려진 작업 상태로 어떻게 복원할 수 있습니까?

기술 자료 번역 기술 자료 번역
기술 자료: 313222 - 이 문서가 적용되는 제품 보기.
모두 확대 | 모두 축소

요약

운영 체제 설치 기간이 지나면 운영 체제 및 응용 프로그램을 제대로 작동할 수 없도록 만드는 구성 변경 사항이 발생할 수 있습니다. 지나치게 제한적인 보안 설정으로 인해 발생할 수 있는 현상은 다음과 같지만 이에 국한되지는 않습니다.



· OS, 서비스 또는 응용 프로그램 시작 실패

· 인증 또는 권한 부여 실패

· 로컬 또는 원격 컴퓨터에서 리소스에 액세스 실패


보안 설정을 변경할 수 있는 작업은 다음과 같지만 이에 국한되지는 않습니다.



· OS 업그레이드, QFE 서비스 팩 및 응용 프로그램 설치

· 그룹 정책 변경

· 사용자 권한 할당

· 보안 템플릿

· Active Directory, 레지스트리 및 다른 데이터베이스에서 보안 설정 수정

· AD, 파일 시스템 및 Windows 레지스트리에서 개체의 사용 권한 수정



로컬 컴퓨터와 원격 컴퓨터에 대한 보안 설정을 정의할 수 있습니다. 이때 로컬 컴퓨터와 원격 컴퓨터 간의 상호운용성 불일치 현상이 발생할 수 있습니다.



이전에 작동하던 설치에서 갑자기 오류가 발생하면 정상적인 문제 해결 단계에서는 운영 체제, 마지막으로 작동한 서비스 또는 응용 프로그램에서 혹은 특별한 경우 운영 체제를 이전(out-of-the-box) 구성으로 되돌릴 때 존재하는 마지막 작동 구성으로 되돌립니다.


본 문서에서는 다음과 같은 요소에 대한 변경 사항을 취소하거나 롤백하는 데 지원되는 방법과 지원되지 않는 방법에 대해 설명합니다.

· 레지스트리, 파일 시스템 및 서비스의 사용 권한

· 사용자 권한 할당

· 보안 정책

· 그룹 등록



기본 보안 템플릿 가져오기 제한 사항:

이 문서의 이전 버전에서는 “secedit /configure” 명령을 사용법에 대해 설명합니다. 이 절차 수행 시에는 Windows를 설치할 때 적용된 일부 보안 설정을 복원하지 않고 예기치 못한 결과를 일으킬 수 있는 우려가 있습니다.



“secedit /configure”를 사용하여 기본 보안 템플릿 dfltbase.inf를 가져오는 방법은 지원되지 않을 뿐만 아니라 Windows Vista, Windows 7, Windows Server 2008 및 Windows Server 2008 R2 컴퓨터에 대한 기본 보안 권한을 복원하는 데 사용할 수 있는 방법이 아닙니다.

Windows Vista부터 운영 체제를 설정하는 동안 보안을 적용하는 방법이 변경되었습니다. 특히 deftbase.inf에서 정의된 설정으로 구성된 보안 설정은 작동 중인 설치 프로세스 및 서버 역할 설치에 의해 적용된 설정으로 확대됩니다. 운영 체제 설정에 따라 만들어진 사용 권한을 재현하기 위해 지원되는 프로세스가 없기 때문에 “secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose” 명령줄을 사용하여 더 이상 모든 보안 기본값을 다시 설정할 수 없고 운영 체제가 불안정해질 수 있습니다.

Microsoft Windows 2000, Windows XP 또는 Windows Server 2003 컴퓨터의 경우 “secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose” 명령은 보안 설정이 secsetup.inf 템플릿을 사용하여 복원되어야 하는 극소수의 시나리오에서 여전히 지원됩니다. Secsetup.inf 또는 다른 템플릿 가져오면 템플릿에서 정의된 설정만 다시 지정하고 외부 설정을 복원하지 않으므로 이 방법은 호환성 문제를 일으킬 수 있는 설정을 비롯하여 일부 운영 체제 기본값을 여전히 복원할 수 없습니다.



사용자 지정 템플릿을 가져오는 경우 “secedit /configure”의 사용은 완벽하게 지원됩니다.





다음은 Windows 시스템을 이전 작업 상태로 복원하는 지원 방법의 목록으로, 정렬 순서는 큰 의미가 없습니다.



1. 시스템 상태를 사용하여 복원: (모든 Windows 클라이언트/서버의 경우)

문제가 발생하기 전에 특정 Windows 시스템을 위해 생성된 시스템 상태 백업이 있는 경우 동일한 방법을 사용하여 보안 설정을 작업 상태로 복원합니다. 성공적인 복원을 위해 시스템 상태 이후 응용 프로그램 변경 사항을 다시 적용해야 할 수 있습니다. 이는 응용 프로그램과 관련된 데이터 또는 운영 체제 파일 이외의 파일에 대한 보안 기본값을 복원하는 데 유용하지 않을 수 있습니다. 원래 상태로 복원하기 위해 시스템 상태를 비롯한 전체 시스템 백업이 필요할 수 있습니다.

2. 시스템 복원을 사용하여 복원:(Windows 클라이언트 운영 체제에만 해당)

기본 제공 시스템 복원 기능은 정기적으로 복원 지점을 자동으로 생성하고 지원되는 설치 관리자 방법을 통해 응용 프로그램이 추가될 때에도 복원 지점을 자동으로 생성합니다. 각 복원 지점에는 시스템을 선택한 시스템 상태로 복원하는 데 필요한 필수 정보가 포함되어 있습니다. 이 방법은 시스템을 특정 상태로 복구하는 데 사용할 수 있습니다. 이전 방법에서 언급한 것처럼 이 방법은 응용 프로그램 데이터에 대한 보안 설정을 복원하는 데 유용하지 않을 수 있고 동일한 경우 전체 시스템 백업이 필요할 수 있습니다.

3. 미리 구성된 템플릿을 사용하여 복원:

템플릿을 사용하여 만든 시스템의 경우 문제의 시스템에 대해 템플릿을 만든 경우 보안 구성 마법사를 사용할 수 있습니다.

4. 파일 사용 권한만 복원:

파일 사용 권한의 경우 기본 제공되는 명령줄 도구 ICACLS/restore를 사용하여 동일한 컴퓨터에서 /save 스위치를 사용하여 이전 작업 상태에서 백업된 파일 보안을 복원할 수 있습니다. 이 방법은 동일하게 작동하는 컴퓨터의 결과를 실패한 컴퓨터와 비교하는 데 사용할 수 있습니다.



위의 모든 방법을 적용할 수 없거나 복원하는 데 백업을 사용할 수 없는 경우 다음 변경 사항 제어 목록에 따라 변경을 취소하거나 특정 보안 설정 또는 제거 프로세스에 대한 이 문서의 문제 해결 섹션을 참조하십시오.





다음은 앞에 언급한 방법을 비교하여 보여주는 표입니다.



표 축소표 확대
방법지원되는 운영 체제장점단점사전 작업 필요
Windows 백업모든 Windows 서버/클라이언트데이터 백업 & 시스템 상태 복원에 사용할 수 있음관리할 데이터 집합이 잠재적으로 큽니다. 또한 백업이 복원된 이후에 변경 사항을 재현해야 할 수 있습니다.

시스템 복원모든 Windows 클라이언트 ? Windows XP, Windows Vista, Windows 7자동 시스템 상태 백업을 수행하도록 구성할 수 있음실수로 변경될 수 있는 응용 프로그램 데이터를 복원하지 않습니다.
보안 구성 마법사Windows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008, Windows Server 2008 R2보안을 복원/적용할 템플릿을 제공할 수 있음 사용된 템플릿에 포함된 데이터만 적용 또는 보기
ICACLS /RestoreWindows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008, Windows Server 2008 R2필요한 경우 이후에 다시 사용하기 위해 NTFS 파일 사용 권한 백업에 유용함레지스트리, 서비스 등과 같이 다른 위치에 대한 저장 권한을 현재 제공하지 않습니다.
문제 해결 방법Windows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008, Windows Server 2008 R2위에서 언급한 도구/백업을 사용할 수 없는 경우 유용함이 방법은 권한이 변경되기 전의 원래 상태로 전체 시스템 구성을 되돌릴 수 없습니다. 또한 그러한 변경을 실행 취소하여 응용 프로그램 또는 OS 구성 요소에 따라 설정된 종속성을 끊을 수 있습니다.아니요

추가 정보

권한 문제를 해결하기 위해 다음 보안 매개 변수를 처리해야 할 수 있습니다. 다음은 보안 템플릿 내에서 정의된 매개 변수입니다.

표 축소표 확대
영역 이름 설명
SECURITYPOLICY 시스템에 대한 로컬 정책 및 도메인 정책입니다. 여기에는 계정 정책, 감사 정책 및 기타 정책이 포함됩니다.
GROUP_MGMT 보안 템플릿에 지정된 그룹에 대한 제한된 그룹 설정입니다.
USER_RIGHTS 사용자 로그온 권한 및 사용 권한 부여를 나타냅니다.
REGKEYS 로컬 레지스트리 키에 대한 보안입니다.
FILESTORE 로컬 파일 저장소에 대한 보안입니다.
SERVICES 정의된 모든 서비스에 대한 보안입니다.


다음 도구는 여러 보안 영역 문제를 해결하는 데 사용할 수 있습니다.

1. SecurityPolicy(계정 정책, 감사 정책, 이벤트 로그 설정 및 보안 옵션):

a) RSOP

b) 보안 구성 및 분석

c) Gpresult

d) Secedit.exe /export

2. Group_Mgmt

a) RSOP

b) Gpresult

3. User_Rights

a) RSOP

b) 보안 구성 및 분석

c) Ntrights

4. RegKeys

a) RSOP

b) 보안 구성 및 분석

c) 프로세스 모니터

d) AccessChk

e) AccessEnum

f) Subinacl

5. Filestore

a) RSOP

b) 보안 구성 및 분석

c) 프로세스 모니터

d) Icacls

e) Xcacls.vbs

f) AccessChk

g) AccessEnum

h) Subinacl

i) Cacls

6. 서비스

a) RSOP

b) 보안 구성 및 분석

c) 프로세스 모니터

d) Sc

e) AccessChk

f) Subinacl



다음은 위에 나열된 각 도구의 사용에 대한 추가된 몇 가지 세부 사항입니다.

RSOP(정책 결과 집합)

RSoP(정책 결과 집합)가 그룹 정책에 추가되어 정책 구현과 문제 해결이 더 쉬워졌습니다. RSoP는 기존 정책과 계획된 정책을 폴링한 다음 이러한 쿼리 결과를 보고하는 쿼리 엔진입니다. RSoP는 사이트, 도메인, 도메인 컨트롤러 및 조직 구성 단위를 기반으로 기존 정책을 폴링합니다. RSoP는 WMI(Windows Management Instrumentation)를 통해 CIMOM(Common Information Management Object Model) 데이터베이스(CIM 호환 개체 리포지토리라고도 함)에서 이러한 정보를 수집합니다.

정책 결과 집합이란 무엇입니까?

http://technet.microsoft.com/ko-kr/library/cc758010(WS.10).aspx

RSoP 사용

http://technet.microsoft.com/ko-kr/library/cc782663(WS.10).aspx

지원되는 모든 운영 체제(Windows XP 이상)에서 사용할 수 있는 기본적으로 제공되는 스냅인 “rsop.msc”입니다.

보안 구성 및 분석

보안 구성 및 분석은 로컬 시스템 보안을 분석 및 구성하기 위한 도구입니다. 보안 구성 및 분석을 통해 보안 분석 결과를 빠르게 검토하고 로컬 시스템 보안을 직접 구성할 수 있습니다. 이 도구는 현재 시스템 설정과 함께 권장 사항을 제공하고 시각적 플래그 또는 설명을 사용하여 현재 설정이 제안된 보안 수준과 일치하지 않는 영역을 강조 표시합니다. 또한 보안 구성 및 분석은 분석에서 드러난 차이점을 해결하는 기능을 제공합니다. 개별 데이터베이스 사용을 통해 보안 템플릿을 사용하여 생성된 보안 템플릿을 가져와서 로컬 컴퓨터에 적용할 수 있습니다. 이렇게 하면 템플릿에서 지정된 수준의 시스템 보안이 즉시 구성됩니다.

시스템 보안 분석

http://technet.microsoft.com/ko-kr/library/cc776590(WS.10).aspx

보안 구성 및 분석을 위한 최적의 활용 방법

http://technet.microsoft.com/ko-kr/library/cc757894(WS.10).aspxSecedit /ExportSecedit.exe는 Windows 컴퓨터에서 로컬 정책 또는 병합 정책을 내보내는 데 사용할 수 있는 기본적으로 제공되는 명령줄 도구입니다. 작동 상태인 컴퓨터에서 정책 상태를 내보낸 다음 /configure 스위치를 사용하여 해당 템플릿을 문제 상태의 컴퓨터에 다시 적용할 수 있습니다.

구문 및 자세한 내용은 여기를 참조하십시오.

NTrights.exe는 Windows 컴퓨터에 대한 사용자 권한을 로컬 또는 원격으로 부여하거나 해지할 수 있는 명령줄 리소스 키트 도구입니다.

NTRights 유틸리티를 사용하여 로그온 사용자 권한을 설정하는 방법

http://support.microsoft.com/kb/315276/ko

Ntrights.exe여기에서 다운로드할 수 있는 리소스 키트 도구의 일부입니다.

프로세스 모니터는 실시간으로 파일 시스템, 레지스트리, 프로세스, 스레드 및 DLL 작업을 모니터링할 수 있는 Sysinternals 유틸리티 중 하나입니다. 프로세스 모니터를 사용하면 결과를 필터링하고 나중에 검토하기 위해 결과를 파일에 저장할 수 있습니다. 이 도구는 파일 및 레지스트리 액세스와 관련된 보안 문제를 해결하는 데 사용할 수 있습니다. 예: “거부됨” 시도에 대한 “결과”를 필터링할 수 있습니다.

자세한 내용은 아래의 링크를 참조하십시오.

http://technet.microsoft.com/ko-kr/sysinternals/bb896645.aspx

여기에서 다운로드 또는 Live.Sysinternals.com에서 프로세스 모니터 실행

AccessCheck는 파일/디렉터리/레지스트리 키, 전역 개체 및 Windows 서비스와 같은 리소스에 대해 특정 사용자/그룹이 보유하고 있는 액세스 권한의 종류를 확인하는 데 사용할 수 있는 명령줄 프로그램입니다. 자세한 내용은 아래 링크를 클릭하십시오.

http://technet.microsoft.com/ko-kr/sysinternals/bb664922.aspx

여기에서 다운로드

AccessEnum은 파일 시스템 경로 및 레지스트리 하이브 보안 설정에 대한 전체 보기를 제공하여 보안 허점을 발견하여 필요한 경우 잠금 권한을 부여할 수 있도록 합니다.

http://technet.microsoft.com/ko-kr/sysinternals/bb897332.aspx

여기에서 다운로드

Sc.exe는 서비스 제어 관리자와 통신하는 기본 제공된 명령줄 도구입니다. 이 도구는 서비스 시작 값에 대한 정보를 표시하거나 이러한 값을 변경 또는 사용할 수 없도록 설정하는 데 사용할 수 있습니다. 이 문서의 컨텍스트에서는 “sc sdshow Service_Name” 명령을 사용하여 서비스에 대한 권한을 출력할 수 있습니다. 출력이 되면 다음 KB 문서를 사용하여 동일하게 해석할 수 있습니다.

서비스 임의 액세스 제어 목록 작성자를 위한 최상의 방법과 지침http://support.microsoft.com/kb/914392/ko

또한 “sc sdset service_name DACL_in_SDDL_format” 명령을 실행하여 권한을 수정할 수도 있습니다.

자세한 내용은 다음 링크를 참조하십시오.

http://support.microsoft.com/kb/251192/ko

http://technet.microsoft.com/ko-kr/magazine/dd296748.aspxIcacls.exeIcacls.exe는 지정된 파일/디렉터리에 대한 DACL(임의 액세스 제어 목록)을 표시하거나 수정할 수 있는 기본 제공 명령줄 유틸리티입니다. “ICACLS path_name /save aclfile”은 관련 경로 이름(파일/디렉터리)에 대한 ACL을 텍스트 파일로 내보내는 데 사용할 수 있고 “ICACLS path_name /restore aclfile” 명령을 사용하여 ACL을 다시 파일로 복원하는 데에도 사용할 수 있습니다.

자세한 내용은 다음 링크를 참조하십시오.

http://support.microsoft.com/kb/919240/ko

http://technet.microsoft.com/ko-kr/library/cc753525(WS.10).aspx
참고 이것은 Microsoft 기술 지원 서비스 내에서 직접 작성한 “빠른 게시” 문서입니다. 여기에 포함된 정보는 발생한 문제에 대해 있는 그대로 제공됩니다. 이 문서는 즉시 참조할 수 있도록 빠르게 작성되어서 표기상의 오류가 포함되어 있을 수 있고 언제든지 예고 없이 수정될 수 있습니다. 기타 고려 사항은사용 약관을 참조하십시오. 정보

속성

기술 자료: 313222 - 마지막 검토: 2013년 7월 2일 화요일 - 수정: 1.0
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Ultimate
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter x64 Edition
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise x64 Edition
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Standard x64 Edition
  • Microsoft Windows Server 2003 Scalable Networking Pack
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows Server 2003 Service Pack 2
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Service Pack 2
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
키워드:?
kbenv kbhowtomaster KB313222

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com