로그인

Select the product you need help with

보안 구성 가이드 지원

Microsoft, CIS(Center for Internet Security), NSA(National Security Agency), DISA(Defense Information Systems Agency) 및 NIST(National Institute of Standards and Technology)에서는 Microsoft Windows의 “보안 구성 가이드”를 발표했습니다.

이 가이드 중 일부에 명시되어 있는 높음 수준은 시스템의 기능을 상당히 제한할 수 있습니다. 따라서 이러한 권장 사항을 배포하기 전에 주요 테스트 작업을 수행해야 합니다. 다음과 같은 작업을 수행할 경우 추가적인 예방 조치를 취하는 것이 좋습니다.

파일 및 레지스트리 키에 대한 ACL(액세스 제어 목록) 편집
Microsoft 네트워크 클라이언트: 디지털 서명 통신(항상)을 사용 가능하게 설정
네트워크 보안: 다음 암호 변경 시 LAN Manager 해시 값 저장 안 함을 사용 가능하게 설정
시스템 암호화: 암호화, 해시, 서명에 FIPS 호환 알고리즘 사용을 사용 가능하게 설정
자동 업데이트 서비스나 BITS(Background Intelligent Transfer Service)를 사용 불가능하게 해제
NetLogon 서비스를 사용 불가능하게 해제
NoNameReleaseOnDemand를 사용 가능하게 설정

Microsoft는 높음 수준의 보안 영역에서 배포하기 위한 보안 가이드를 제공하려는 업계의 노력을 최선을 다해 지원합니다. 그러나 대상 환경에서 이 가이드를 철저히 테스트해야 합니다. 기본 설정 외에 추가 보안 설정이 필요한 경우에는 Microsoft에서 발행한 가이드를 참조해야 합니다. 이 가이드는 해당 조직의 요구 사항에 대한 출발점이 될 수 있습니다. 타사 가이드 관련 지원이나 의문 사항에 대해서는 해당 가이드를 발행한 조직에 문의하십시오.

위로 가기 | 피드백 보내기

소개

수년 동안 Microsoft, CIS(Center for Internet Security), NSA(National Security Agency), DISA(Defense Information Systems Agency) 및 NIST(National Institute of Standards and Technology)를 포함한 많은 조직에서 Microsoft Windows의 “보안 구성 가이드”를 발표했습니다. 모든 보안 가이드에서와 마찬가지로 자주 필요한 추가 보안도 사용 편의성에 나쁜 영향을 미칩니다.

Microsoft, CIS 및 NIST의 가이드를 포함한 이들 몇몇 가이드는 여러 수준의 보안 설정을 포함하고 있습니다. 가이드에는 다음과 같은 용도로 설정된 여러 수준이 포함되어 있을 수 있습니다.

이전 운영 체제와의 상호 운용성
엔터프라이즈 환경
제한된 기능을 제공하는 향상된 보안

참고 이 수준을 종종 특정 보안 제한 기능 수준이나 높음 수준이라고 합니다.

높음이나 특정 보안 제한 기능은 공격 위험이 높은 매우 악의적인 환경에서 사용하도록 특별히 설계된 것입니다. 이 수준은 가장 가치가 높은 정보(예: 일부 정부 시스템에 필요한 정보)를 보호합니다. 이러한 공용 가이드 대부분의 높음 수준은 Windows를 실행하는 대다수 시스템에 적합하지 않습니다. 범용 워크스테이션에서는 높음 수준을 사용하지 않는 것이 좋습니다. 높음 수준은 보안이 손상되면 생명 손실, 매우 유용한 정보 손실 또는 많은 비용 손실이 발생하는 시스템에서만 사용하는 것이 좋습니다.

이러한 보안 가이드를 만들기 위해 여러 그룹이 Microsoft와 공동으로 작업했습니다. 많은 경우 이들 가이드는 모두 비슷한 위협을 해결합니다. 그러나 각각의 가이드는 법적 요구 사항, 로컬 정책 및 기능 요구 사항으로 인해 약간씩 다릅니다. 따라서 하나의 권장 사항 세트부터 그 이상에 이르기까지 설정은 다양할 수 있습니다. "공용 보안 가이드를 만든 조직" 절에는 각 보안 가이드의 요약이 나와 있습니다.

위로 가기 | 피드백 보내기

추가 정보

공용 보안 가이드를 만든 조직

Microsoft Corporation

Microsoft는 자신의 운영 체제를 보안하는 방법에 대한 가이드를 제공합니다. 다음 세 가지 보안 설정 수준을 개발했습니다.

EC(엔터프라이즈 클라이언트)
SA(독립 실행형)
SSLF(Specialized Security ? Limited Functionality)

여러 다양한 고객 시나리오에서 사용할 수 있도록 이 가이드를 철저히 테스트했습니다. 이 가이드는 자신의 Windows 컴퓨터를 보안하려는 조직에 적합합니다.

본사 응용 프로그램 호환성 연구소에서 폭넓은 테스트를 수행하였으므로 이 가이드는 완벽하게 지원됩니다. 이 가이드를 다운로드하려면 다음 Microsoft 웹 사이트를 방문하십시오.

Windows Vista 보안 가이드:
http://technet.microsoft.com/ko-kr/library/bb629420.aspx
(http://technet.microsoft.com/ko-kr/library/bb629420.aspx)
Windows XP 보안 가이드:
http://technet.microsoft.com/ko-kr/library/cc163061.aspx
(http://technet.microsoft.com/ko-kr/library/cc163061.aspx)
Windows Server 2003 보안 가이드:
http://technet.microsoft.com/ko-kr/library/cc163140.aspx
(http://technet.microsoft.com/ko-kr/library/cc163140.aspx)
Windows 2000 보안 강화 가이드:
http://technet.microsoft.com/ko-kr/library/dd277465.aspx
(http://technet.microsoft.com/ko-kr/library/dd277465.aspx)

Microsoft 보안 가이드를 구현한 후에 문제가 발생하거나 의견이 있는 경우 secwish@microsoft.com

(mailto:secwish@microsoft.com)

사이트로 전자 메일 메시지를 보내 의견을 제공할 수 있습니다.

Center for Internet Security

CIS는 조직이 정보를 바탕으로 사용 가능한 특정 보안 항목을 선택하는 데 도움이 되는 정보를 제공하도록 디자인된 벤치마크를 개발해 왔습니다. CIS는 다음 세 가지 보안 벤치마크 수준을 제공합니다.

레거시
엔터프라이즈
보안(높음)

CIS 벤치마크 설정을 구현한 후 문제가 발생하거나 이에 대한 의견이 있으면 CIS(win2k-feedback@cisecurity.org

(mailto:win2k-feedback@cisecurity.org)

)로 전자 메일 메시지를 보내십시오.

참고 CIS 가이드는 초기에 이 문서를 게시한 이래로 변경되었습니다(2004년 11월 3일 처음 게시). CIS의 현재 가이드는 Microsoft가 제공하는 가이드와 비슷합니다. Microsoft가 제공하는 가이드에 대한 자세한 내용을 보려면 이 문서 앞부분에 나오는 "Microsoft Corporation" 절을 읽어 보십시오.

National Institute of Standards and Technology

NIST는 미 연방 정부용 보안 지침을 만듭니다. NIST는 미 연방 기관, 개인 조직 및 공공 조직에서 사용하는 다음과 같은 4가지 보안 가이드 수준을 만들었습니다.

SoHo
레거시
엔터프라이즈
Specialized Security?Limited Functionality

NIST 보안 템플릿을 구현한 후 문제가 발생하거나 이에 대한 의견이 있으면 NIST(itsec@nist.gov

(mailto:itsec@nist.gov)

)로 전자 메일 메시지를 보내십시오.

참고 NIST 가이드는 초기에 이 문서를 게시한 이래로 변경되었습니다(2004년 11월 3일 처음 게시). NIST의 현재 가이드는 Microsoft가 제공하는 가이드와 비슷합니다. Microsoft가 제공하는 가이드에 대한 자세한 내용을 보려면 이 문서 앞부분에 나오는 "Microsoft Corporation" 절을 읽어 보십시오.

Defense Information Systems Agency

DISA는 DOD에서 특수하게 사용되는 가이드를 만듭니다. DISA 구성 가이드를 구현한 후 문제가 발생하거나 이에 대한 의견이 있는 미국 DOD 사용자는 fso_spt@ritchie.disa.mil

(mailto:fso_spt@ritchie.disa.mil)

로 전자 메일 메시지를 보낼 수 있습니다.

참고 DISA 가이드는 초기에 이 문서를 게시한 이래로 변경되었습니다(2004년 11월 3일 처음 게시). DISA의 현재 가이드는 Microsoft가 제공하는 가이드의 비슷하거나 동일합니다. Microsoft가 제공하는 가이드에 대한 자세한 내용을 보려면 이 문서 앞부분에 나오는 "Microsoft Corporation" 절을 읽어 보십시오.

NSA(National Security Agency)

NSA는 미 국방성에서 사용되는 고위험 컴퓨터의 보안을 유지하는 데 도움이 되는 가이드를 제작해 왔습니다. NSA는 다른 조직에서 만든 높은 수준에 해당하는 단일 보안 수준을 개발했습니다.

Windows XP용 NSA 보안 가이드를 구현한 후 문제가 발생하거나 이에 대한 의견이 있으면 XPGuides@nsa.gov

(mailto:XPGuides@nsa.gov)

로 전자 메일 메시지를 보내십시오. Windows 2000 가이드에 대한 의견이 있으면 w2kguides@nsa.gov

(mailto:w2kguides@nsa.gov)

로 전자 메일 메시지를 보내십시오.

참고 NSA 가이드는 초기에 이 문서를 게시한 이래로 변경되었습니다(2004년 11월 3일 처음 게시). NSA의 현재 가이드는 Microsoft가 제공하는 가이드의 비슷하거나 동일합니다. Microsoft가 제공하는 가이드에 대한 자세한 내용을 보려면 이 문서 앞부분에 나오는 "Microsoft Corporation" 절을 읽어 보십시오.

보안 가이드 문제

본 문서 앞부분에서 설명했듯이 이 가이드 중 일부에 설명되어 있는 높음 수준은 시스템 기능을 상당히 제한하도록 디자인되었습니다. 이러한 제한 때문에 이 권장 사항을 배포하기 전에 시스템을 철저히 테스트해야 합니다.

참고 레거시, SoHo 또는 엔터프라이즈 수준용으로 제공된 보안 가이드는 시스템 기능에 심각하게 영향을 미치지 않는 것으로 보고되었습니다. 이 기술 자료 문서는 가장 높은 보안 수준과 관련이 있는 가이드에 중점을 두고 있습니다.

Microsoft는 높음 수준의 보안 영역에서 배포하기 위한 보안 가이드를 제공하려는 업계의 노력을 최선을 다해 지원합니다. 또한 보안 표준 그룹과 계속 협업하여 완벽하게 테스트된 유용한 보안 강화 가이드를 개발할 것입니다. 타사 보안 가이드는 항상 높음 수준의 보안 대상 환경에서 해당 가이드를 완벽하게 테스트하라는 내용의 강력한 경고와 함께 발행됩니다. 그러나 이러한 경고가 무시되는 경우도 있습니다. 대상 환경에서 모든 보안 구성을 철저하게 테스트해야 합니다. 권장되는 보안 설정과 다른 보안 설정은 운영 체제 테스트 절차 동안에 수행되는 응용 프로그램 호환성 테스트를 무효화할 수도 있습니다. 또한 Microsoft 및 타사에서는 테스트 환경 대신 실제 프로덕션 환경에서 가이드 초안을 적용하지 않도록 특별히 권장하고 있습니다.

이러한 보안 가이드의 높음 수준에는 구현하기 전에 신중하게 평가해야 하는 몇 가지 설정도 포함되어 있습니다. 이러한 설정은 추가 보안 이점을 제공할 수 있지만 시스템의 사용 편의성에 나쁜 영향을 미칠 수 있습니다.

파일 시스템 및 레지스트리 액세스 제어 목록 수정

Windows Vista, Microsoft Windows XP 및 Microsoft Windows Server 2003은 시스템 전체에서 상당히 강화된 사용 권한을 갖습니다. 따라서 기본 사용 권한을 포괄적으로 변경하는 것은 필요하지 않습니다.

추가적인 ACL 변경 내용으로 인해 Microsoft에서 수행된 응용 프로그램 호환성 테스트 작업이 전부 또는 대부분 무효화될 수도 있습니다. 이러한 변경 내용은 Microsoft가 다른 설정에서 수행한 철저한 테스트 작업을 거치지 않은 경우가 종종 있습니다. 지원 사례와 현장 경험에 따르면 ACL 편집으로 인해 운영 체제의 기본 동작이 의도하지 않는 방향으로 바뀌는 경우가 자주 있습니다. 이러한 변경 내용은 성능과 기능 두 가지 측면에서 모두 응용 프로그램 호환성과 안정성에 영향을 미치고 기능을 저하시킵니다.

이러한 변경 내용으로 인해 프로덕션 시스템에서 운영 체제에 포함되어 있는 파일의 파일 시스템 ACL은 수정하지 않는 것이 좋습니다. 변경 내용이 특정 구성에 부여할 수 있는 잠재적인 장점을 파악하려면 알려진 위협에 대해 추가 ACL 변경 내용을 평가하는 것이 좋습니다. 이러한 이유로 본 가이드는 ACL을 최소로만 변경하며 Windows 2000에만 적용됩니다. Windows 2000의 경우 최소한의 변경 몇 가지만 필요합니다. 이러한 변경 사항은 Windows 2000 보안 강화 가이드에 설명되어 있습니다.

레지스트리 및 파일 시스템 전체에 적용되는 광범위한 사용 권한 변경 내용은 취소할 수 없습니다. 원래 운영 체제 설치에는 없던 사용자 프로필 폴더 같은 새로운 폴더가 영향을 받을 수 있습니다. 따라서 ACL을 변경하는 그룹 정책 설정을 제거하거나 시스템 기본값을 적용할 경우 원래 ACL을 롤백할 수 없습니다.

%SystemDrive% 폴더의 ACL을 변경하면 다음과 같은 시나리오가 발생할 수 있습니다.

휴지통이 더 이상 의도한 대로 기능하지 않아 파일을 복구할 수 없습니다.
보안이 감소되어 비 관리자도 관리자 휴지통의 내용물을 볼 수 있습니다.
사용자 프로필이 예상대로 작동하지 않습니다.
보안이 감소되어 대화형 사용자가 시스템에 있는 일부 또는 모든 사용자 프로필을 읽을 수 있습니다.
장시간 로그온이나 대상 시스템의 반복적인 다시 시작을 포함하고 있는 그룹 정책 개체로 많은 ACL 편집을 로드하면 성능 문제가 발생합니다.
16시간마다 또는 그룹 정책 설정을 다시 적용할 때마다 시스템 성능 저하를 포함한 성능 문제가 발생합니다.
응용 프로그램 호환성 문제가 발생하거나 응용 프로그램이 충돌합니다.

Microsoft는 그러한 파일 및 레지스트리 사용 권한에 대한 최악의 결과를 제거할 수 있도록 귀사의 지원 계약과 일치하는 상업적으로 합리적인 노력을 기울일 것입니다. 그러나 현재까지는 이러한 변경을 롤백할 수 없습니다. 하드 디스크 드라이브를 다시 포맷하거나 운영 체제를 다시 설치해야만 권장되는 이전(out-of-the-box) 설정으로 되돌아갈 수 있습니다.

예를 들어 레지스트리 ACL을 수정하면 레지스트리 하이브의 많은 부분에 영향을 미쳐서 시스템이 더 이상 예상대로 작동하지 않을 수 있습니다. 한 레지스트리 키의 ACL만 수정할 경우 많은 시스템에서 한 가지 미만의 문제가 발생합니다. 그러나 이러한 변경 작업을 수행하기 전에 변경 내용을 신중하게 고려하고 테스트하는 것이 좋습니다. 다시 포맷하고 운영 체제를 다시 설치하는 경우에만 권장되는 이전(out-of-the-box) 설정으로 되돌아 갈 수 있다는 것을 명심해야 합니다.

Microsoft 네트워크 클라이언트: 디지털 서명 통신(항상)

이 설정을 사용 가능하게 설정하면 클라이언트가 SMB(서버 메시지 블록) 서명이 필요하지 않은 서버에 연결할 때도 SMB 트래픽에 서명해야 합니다. 따라서 클라이언트가 세션 하이재킹 공격에 덜 취약해집니다. 매우 유용하지만 서버에서 Microsoft 네트워크 서버: 디지털 서명 통신(항상)이나 Microsoft 네트워크 클라이언트: 디지털 서명 통신(클라이언트에서 동의한 경우)을 사용 가능하게 설정하지 않으면 클라이언트가 서버와 성공적으로 통신할 수 없습니다.

네트워크 보안: 다음 암호 변경 시 LAN Manager 해시 값 저장 안 함

이 설정을 사용 가능하게 설정한 경우 암호를 변경해도 새 암호의 LM(LAN Manager) 해시 값이 저장되지 않습니다. LM 해시는 암호가 더 강력한 Microsoft Windows NT 해시와 비교했을 때 공격에 더 취약합니다. 이 설정은 많은 일반 암호 해독 유틸리티를 방지하여 시스템에 폭넓은 추가 보안을 제공하지만 일부 응용 프로그램이 올바르게 시작되거나 실행되지 못하게 할 수 있습니다.

시스템 암호화: 암호화, 해시, 서명에 FIPS 호환 알고리즘 사용

이 설정을 사용 가능하게 설정하면 IIS(인터넷 정보 서비스)와 Microsoft Internet Explorer에서 TLS(Transport Layer Security) 1.0 프로토콜만을 사용합니다. IIS가 실행되는 서버에서 이 설정을 사용할 수 있도록 설정하면 TLS 1.0을 지원하는 웹 브라우저만 연결할 수 있습니다. 웹 클라이언트에서 이 설정을 사용 가능하게 설정하면 클라이언트가 TLS 1.0 프로토콜을 지원하는 서버에만 연결할 수 있습니다. 이 요구 사항은 SSL(Secure Sockets Layer)을 사용하는 웹 사이트를 방문할 수 있는 클라이언트의 기능에 영향을 미칠 수 있습니다. 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.

811834

(http://support.microsoft.com/kb/811834/ )

PRB: FIPS 호환 암호화를 사용 가능하게 설정하면 SSL 사이트에 방문할 수 없다

또한 터미널 서비스를 사용하는 서버에서 이 설정을 사용하도록 설정하면 클라이언트는 연결을 위해 강제로 RDP 클라이언트 5.2 이상 버전을 사용하게 됩니다.

자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.

811833

(http://support.microsoft.com/kb/811833/ )

Windows XP 이상 버전에서 "시스템 암호화: 암호화, 해시, 서명에 FIPS 호환 알고리즘 사용" 보안 설정을 사용할 수 있도록 설정할 때의 영향

자동 업데이트 서비스 또는 BITS(Background Intelligent Transfer Service)가 사용 불가능하게 설정됨

Microsoft 보안 전략의 핵심 요소 중 하나는 시스템을 최신 상태로 유지하는 것입니다. 이 전략의 핵심 구성 요소는 자동 업데이트 서비스입니다. Windows Update 서비스와 Software Update Services는 모두 자동 업데이트 서비스를 사용합니다. 이 자동 업데이트 서비스는 BITS(Background Intelligent Transfer Service)에 의존합니다. 이 두 서비스를 사용 불가능하게 해제하면 컴퓨터가 자동 업데이트를 통해 Windows Update, SUS(Software Update Services) 또는 일부 Microsoft SMS(Systems Management Server)에서 더 이상 업데이트를 받을 수 없습니다. 이 두 서비스는 BITS 사용에 의존하지 않는 실제 업데이트 배포 시스템을 가진 시스템에서만 사용 불가능하게 해제해야 합니다.

NetLogon 서비스를 사용 불가능하게 해제한 경우

NetLogon 서비스를 사용 불가능하게 해제하면 워크스테이션이 더 이상 신뢰성 있게 도메인 구성원의 역할을 하지 못합니다. 도메인에 참여하지 않은 일부 컴퓨터에는 이 설정이 적절할 수도 있지만 배포하기 전에 신중하게 평가해야 합니다.

NoNameReleaseOnDemand

이 설정은 서버가 해당 네트워크의 다른 컴퓨터와 충돌할 경우 해당 NetBIOS 이름을 포기하지 못하게 합니다. 이 설정은 이름 서버와 다른 중요 서버 역할에 대한 서비스 거부 공격에 좋은 예방 조치가 될 수 있습니다.

워크스테이션에서 이 설정을 사용 가능하게 설정하면 NetBIOS 이름이 도메인 컨트롤러 같은 보다 중요한 시스템의 이름과 충돌하는 경우에도 자신의 이름을 포기하지 않습니다. 이 시나리오에서는 중요한 도메인 기능을 사용하지 못할 수 있습니다. Microsoft는 높음 수준의 보안 영역에서 배포하기 위한 보안 가이드를 제공하려는 업계의 노력을 최선을 다해 지원합니다. 그러나 대상 환경에서 이 가이드를 철저히 테스트해야 합니다. 기본 설정 외에 추가 보안 설정이 필요한 시스템 관리자는 해당 조직의 요구 사항에 대한 출발점으로 Microsoft가 발행한 가이드를 사용하는 것이 좋습니다. 타사 가이드에 대한 지원이나 의문 사항에 대해서는 해당 가이드를 발행한 조직에 문의하십시오.

위로 가기 | 피드백 보내기

참조

보안 설정에 대한 자세한 내용은 위협 요소 및 대처 방안: Windows Server 2003 및 Windows XP의 보안 설정을 참조하십시오. 이 가이드를 다운로드하려면 다음 Microsoft 웹 사이트를 방문하십시오.

http://technet.microsoft.com/ko-kr/library/dd162275.aspx

(http://technet.microsoft.com/ko-kr/library/dd162275.aspx)

일부 추가 키 보안을 설정할 때의 결과에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.

823659

(http://support.microsoft.com/kb/823659/ )

보안 설정과 사용자 권한 할당을 수정할 때 발생할 수 있는 클라이언트, 서비스 및 프로그램 비호환성

FIPS 호환 알고리즘을 요구할 때의 결과에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.

811833

(http://support.microsoft.com/kb/811833/ )

Windows XP 이상 버전에서 "시스템 암호화: 암호화, 해시, 서명에 FIPS 호환 알고리즘 사용" 보안 설정을 사용할 수 있도록 설정할 때의 영향

이 문서에 포함된 타사의 연락처 정보는 기술 지원을 받는 데 도움을 주기 위한 것입니다. 이 연락처 정보는 예고 없이 변경될 수 있습니다. Microsoft는 이러한 타사 연락처 정보의 정확성을 보증하지 않습니다. 다른 공급업체에 문의하는 방법에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.

65416

(http://support.microsoft.com/kb/65416/ )

A-K로 시작하는 하드웨어 및 소프트웨어 공급업체 연락처 목록

60781

(http://support.microsoft.com/kb/60781/ )

L-P로 시작하는 하드웨어 및 소프트웨어 공급업체 연락처 목록 (영문)

60782

(http://support.microsoft.com/kb/60782/ )

Q-Z로 시작하는 하드웨어 및 소프트웨어 공급업체 연락처 목록 (영문)

위로 가기 | 피드백 보내기