요약

Microsoft, CIS(인터넷 보안 센터), NSA(국가 보안 기관), DISA(Defense Information Systems Agency), NIST(National Institute of Standards and Technology)는 Microsoft 보안에 대한 "보안 구성 지침"을 Windows.

이러한 가이드 중 일부에 지정된 높은 보안 수준은 시스템의 기능을 크게 제한할 수 있습니다. 따라서 이러한 권장 사항을 배포하기 전에 중요한 테스트를 수행해야 합니다. 다음을 할 때 추가 예방 조치를 취하는 것이 좋습니다.

  • 파일 및 레지스트리 키에 대한 ACL(액세스 제어 목록) 편집

  • Microsoft 네트워크 클라이언트 사용: 디지털 서명 통신(항상)

  • 네트워크 보안 사용: 다음 암호 변경에 LAN Manager 해시 값을 저장하지 않습니다.

  • 시스템 암호화 사용: 암호화, 해시 및 서명에 FIPS 준수 알고리즘 사용

  • 자동 업데이트 서비스 또는 비트 Background Intelligent Transfer Service 사용하지 않도록 설정

  • NetLogon 서비스 사용 안

  • NoNameReleaseOnDemand 사용

Microsoft는 높은 보안 영역에서 배포에 대한 보안 지침을 제공하기 위한 업계의 노력을 강력히 지원하고 있습니다. 그러나 대상 환경에서 지침을 철저히 테스트해야 합니다. 기본 설정 이상으로 추가 보안 설정이 필요한 경우 Microsoft에서 발급한 가이드를 보는 것이 좋습니다. 이러한 가이드는 조직의 요구 사항에 대한 시작점으로 사용할 수 있습니다. 지원 또는 타사 가이드에 대한 질문은 지침을 발급한 조직에 문의하세요.

소개

지난 몇 년 동안 Microsoft, CIS(인터넷 보안 센터), NSA(국가 보안 기관), 방위 정보 시스템 기관(DISA) 및 NIST(표준 기술 연구소)를 비롯한 많은 조직이 이러한 보안에 대한 "보안 구성 지침"을 Windows. 모든 보안 지침과 함께 자주 필요한 추가 보안은 사용성에 악영향을 미치게 됩니다.

Microsoft, CIS 및 NIST의 가이드를 포함하여 이러한 가이드 중 몇 가지에는 여러 수준의 보안 설정이 포함되어 있습니다. 이러한 가이드에는 다음을 위해 설계된 수준이 포함되어 있을 수 있습니다.

  • 이전 운영 체제와의 상호 운용성

  • Enterprise 환경

  • 제한된 기능을 제공하는 향상된 보안 참고 이 수준을 특수 보안 - 제한된 기능 수준 또는 높은 보안 수준으로

    자주 알려져 있습니다.

높은 보안 또는 특수 보안 – 제한된 기능 수준은 공격의 심각한 위험에서 매우 적대적인 환경을 위해 특별히 설계되었습니다. 이 수준은 가능한 가장 높은 값(예: 일부 정부 시스템에 필요한 정보)을 보호합니다. 이 공용 지침의 대부분 높은 보안 수준은 실행 중인 대부분의 시스템에 부적절한 Windows. 다목적 작업장에서 높은 보안 수준을 사용하지 않는 것이 좋습니다. 손상으로 인해 생명이 손실되거나 매우 중요한 정보가 손실되거나 많은 돈이 손실되는 시스템에서만 높은 보안 수준을 사용하는 것이 좋습니다.

Microsoft와 함께 이러한 보안 가이드를 생성하기 위해 여러 그룹이 작업했습니다. 대부분의 경우 이러한 가이드는 모두 유사한 위협을 해결합니다. 그러나 각 가이드는 법적 요구 사항, 로컬 정책 및 기능 요구 사항 때문에 약간 다릅니다. 이 때문에 설정은 한 권장 사항 집합에서 다음으로 다를 수 있습니다. "공개적으로 사용 가능한 보안 지침을 생성하는 조직" 섹션에는 각 보안 가이드의 요약이 포함되어 있습니다.

추가 정보

공개적으로 사용 가능한 보안 지침을 생성하는 조직

Microsoft Corporation

Microsoft는 자체 운영 체제를 보호하는 데 도움이 되는 방법에 대한 지침을 제공합니다. 다음 세 가지 수준의 보안 설정을 개발했습니다.

  • Enterprise 클라이언트(EC)

  • Stand-Alone(SA)

  • 특수 보안 – 제한된 기능(SSLF)

많은 고객 시나리오에서 사용하기 위해 이 지침을 철저하게 테스트했습니다. 이 지침은 해당 컴퓨터 기반 컴퓨터를 보호하는 데 도움이 되는 모든 Windows 적절합니다.

이러한 가이드에 대한 애플리케이션 호환성 실험실에서 수행한 광범위한 테스트로 가이드를 완전히 지원합니다. 가이드를 다운로드하려면 다음 Microsoft 웹 사이트를 방문하세요.

Microsoft 보안 가이드를 구현한 후 문제가 표시되거나 의견이 있는 경우 에 전자 메일 메시지를 보내 피드백을 제공할 secwish@microsoft.com.



Microsoft Windows 운영 체제, Internet Explorer 및 생산성 제품군에 대한 보안 구성 지침은 Microsoft Security Compliance Manager Office 에 http://technet.microsoft.com/en-us/library/cc677002.aspx.


인터넷 보안 센터

CIS는 조직이 사용 가능한 특정 보안 선택에 대한 정보에 따라 결정을 내리는 데 도움이 되는 정보를 제공하기 위해 벤치마크를 개발했습니다. CIS는 세 가지 수준의 보안 벤치마크를 제공했습니다.

  • 레거시

  • Enterprise

  • 높은 보안

CIS 벤치마크 설정을 구현한 후 문제가 표시되거나 의견이 있는 경우 에 전자 메일 메시지를 보내서 CIS에 win2k-feedback@cisecurity.org.

CIS의 지침은 원래 이 문서(2004년 11월 3일)를 게시한 이후 변경된 것입니다. CIS의 현재 지침은 Microsoft가 제공하는 지침과도 연연합니다. Microsoft에서 제공하는 지침에 대한 자세한 내용은 이 문서의 앞부분에 있는 "Microsoft Corporation" 섹션을 참조하세요.

국립 표준 및 기술 연구소

NIST는 미국 연방 정부에 대한 보안 지침을 만드는 책임이 있습니다. NIST는 미국 연방 기관, 개인 조직 및 공공 조직에서 사용하는 네 가지 수준의 보안 지침을 만들어 왔다.

  • SoHo

  • 레거시

  • Enterprise

  • 특수 보안 – 제한된 기능

NIST 보안 템플릿을 구현한 후 문제가 표시되거나 의견이 있는 경우 에 전자 메일 메시지를 보내 NIST에 itsec@nist.gov.

NIST의 지침은 원래 이 문서(2004년 11월 3일)를 게시한 이후 변경된 것입니다. NIST의 현재 지침은 Microsoft에서 제공하는 지침과 입니다. Microsoft에서 제공하는 지침에 대한 자세한 내용은 이 문서의 앞부분에 있는 "Microsoft Corporation" 섹션을 참조하세요.

방위 정보 시스템 기관

DISA는 미국 국방부(DOD)에서 사용하기 위한 지침을 만듭니다. DISA 구성 지침을 구현한 후 문제가 되거나 의견이 있는 미국 DOD 사용자는 에 전자 메일 메시지를 보내 피드백을 제공할 수 fso_spt@ritchie.disa.mil.

참고 DISA의 지침은 원래 이 문서(2004년 11월 3일)를 게시한 이후 변경됩니다. DISA의 현재 지침은 Microsoft에서 제공하는 지침과 유사하거나 동일합니다. Microsoft에서 제공하는 지침에 대한 자세한 내용은 이 문서의 앞부분에 있는 "Microsoft Corporation" 섹션을 참조하세요.

국가보안국(NSA)

NSA는 미국 국방부(DOD)에서 고위험 컴퓨터를 보호하는 데 도움이 되는 지침을 생성했습니다. NSA는 다른 조직에서 생성하는 높은 보안 수준과 거의 해당하는 단일 수준의 지침을 개발했습니다.

XP에 대한 NSA 보안 가이드를 구현한 후 문제가 Windows 경우 에 전자 메일 메시지를 보내 피드백을 제공할 XPGuides@nsa.gov. 2,000개 Windows 피드백을 제공하면 에 전자 메일 메시지를 w2kguides@nsa.gov.

NSA의 지침은 원래 이 문서(2004년 11월 3일)를 게시한 이후 변경된 것입니다. NSA의 현재 지침은 Microsoft에서 제공하는 지침과 유사하거나 동일합니다. Microsoft에서 제공하는 지침에 대한 자세한 내용은 이 문서의 앞부분에 있는 "Microsoft Corporation" 섹션을 참조하세요.

보안 지침 문제

이 문서의 앞부분에서 설명한 대로 이러한 가이드 중 일부에 설명된 높은 보안 수준은 시스템의 기능을 크게 제한하도록 설계되어 있습니다. 이러한 제한 때문에 이러한 권장 사항을 배포하기 전에 시스템을 철저히 테스트해야 합니다.

참고 SoHo, 레거시 또는 Enterprise 보안 지침은 시스템 기능에 심각한 영향을 미치기 위해 보고되지 않습니다. 이 기술 자료 문서는 주로 가장 높은 보안 수준과 연결된 지침에 초점을 맞추고 있습니다. 

높은 보안 영역에서 배포에 대한 보안 지침을 제공하기 위한 업계의 노력을 강력히 지원합니다. 완전히 테스트된 유용한 강화 지침을 개발하기 위해 보안 표준 그룹과 계속 작업합니다. 타사의 보안 지침은 항상 강력한 경고를 통해 대상 높은 보안 환경에서 지침을 완전히 테스트합니다. 그러나 이러한 경고는 항상 주의하지는 않습니다. 대상 환경의 모든 보안 구성을 철저히 테스트해야 합니다. 권장되는 보안 설정과 다른 보안 설정은 운영 체제 테스트 프로세스의 일부로 수행되는 애플리케이션 호환성 테스트를 무효화할 수 있습니다. 또한, 우리와 타사는 특히 테스트 환경이 아닌 라이브 프로덕션 환경에서 초안 지침을 적용하는 것이 좋습니다.

이러한 보안 가이드의 높은 수준에는 구현하기 전에 신중하게 평가해야 하는 몇 가지 설정이 포함되어 있습니다. 이러한 설정은 추가 보안 이점을 제공할 수 있습니다. 설정은 시스템의 사용성에 악영향을 줄 수 있습니다.

파일 시스템 및 레지스트리 액세스 제어 목록 수정

Windows XP 및 이후 버전의 Windows 시스템 전체에서 사용 권한이 크게 강화되었습니다. 따라서 기본 사용 권한에 대한 광범위한 변경이 필요하지 않습니다. 

DACL(추가 재량 액세스 제어 목록) 변경 내용이 Microsoft에서 수행한 애플리케이션 호환성 테스트의 전체 또는 대부분을 무효화할 수 있습니다. 이와 같은 변경 내용은 Microsoft가 다른 설정에서 수행한 철저한 테스트를 거치지 않은 경우도 있습니다. 지원 사례 및 현장 환경은 DACL 편집이 의도하지 않은 방식으로 운영 체제의 기본 동작을 변경하는 것으로 나타 왔다. 이러한 변경 내용은 애플리케이션 호환성 및 안정성에 영향을 주며 성능 및 기능 모두와 관련하여 기능을 줄입니다.

이러한 변경 내용 때문에 프로덕션 시스템의 운영 체제에 포함된 파일에 대한 파일 시스템 DACL을 수정하지 않는 것이 좋습니다. 변경 내용이 특정 구성에 적용될 수 있는 잠재적인 이점을 이해하려면 알려진 위협에 대해 추가 ACL 변경 내용을 평가하는 것이 좋습니다. 이러한 이유로 가이드는 DACL 변경을 매우 최소화하고 2000에서만 Windows 합니다. 2000 Windows 경우 몇 가지 사소한 변경이 필요합니다. 이러한 변경 내용은 2000 보안 강화 Windows 가이드에 설명되어 있습니다.

레지스트리 및 파일 시스템 전체에 전파된 광범위한 사용 권한 변경은 원하지 않습니다. 운영 체제의 원래 설치에 존재하지 않은 사용자 프로필 폴더와 같은 새 폴더가 영향을 받을 수 있습니다. 따라서 DACL 변경을 수행하는 그룹 정책 설정을 제거하거나 시스템 기본값을 적용하는 경우 원래 DACL을 롤백할 수 없습니다. 

%SystemDrive% 폴더의 DACL을 변경하면 다음 시나리오가 발생할 수 있습니다.

  • Recycle Bin은 더 이상 디자인된 함수가 아니며 파일을 복구할 수 없습니다.

  • 관리자가 아닌 사용자가 관리자의 Recycle Bin의 내용을 볼 수 있는 보안의 감소입니다.

  • 사용자 프로필이 예상대로 작동하지 않습니다.

  • 대화형 사용자에게 시스템의 일부 또는 모든 사용자 프로필에 대한 읽기 액세스 권한을 제공하는 보안의 감소입니다.

  • 많은 DACL 편집이 긴 로그온 시간 또는 대상 시스템의 반복된 다시 시작을 포함하는 그룹 정책 개체에 로드되는 경우 성능 문제입니다.

  • 그룹 정책 설정이 다시 적용될 때 시스템 저하를 비롯한 성능 문제(16시간마다)

  • 애플리케이션 호환성 문제 또는 애플리케이션 충돌.

이러한 파일 및 레지스트리 사용 권한의 최악의 결과를 제거하기 위해 Microsoft는 지원 계약에 따라 상업적으로 합리적인 노력을 제공할 것입니다. 그러나 현재 이러한 변경 내용을 롤백할 수 없습니다. 하드 디스크 드라이브를 다시포장하고 운영 체제를 다시 설치하여 권장되는 기본 설정으로 돌아올 수 있습니다.

예를 들어 레지스트리 DACL을 수정하면 레지스트리 hive의 많은 부분에 영향을 주며 시스템이 예상대로 더 이상 작동하지 않을 수 있습니다. 단일 레지스트리 키에서 DACL을 수정하면 많은 시스템에 문제가 없습니다. 그러나 구현하기 전에 이러한 변경 내용을 신중하게 고려하고 테스트하는 것이 좋습니다. 다시 말하면 운영 체제를 다시폼하고 다시 설치하는 경우 권장되는 기본 설정으로 돌아올 수 있습니다.

Microsoft 네트워크 클라이언트: 디지털 서명 통신(항상)

이 설정을 사용하도록 설정하면 클라이언트가 SMB 서명이 필요하지 않은 서버에 연락할 때 SMB(서버 메시지 블록) 트래픽에 서명해야 합니다. 이렇게 하면 클라이언트가 세션 하이재킹 공격에 덜 취약해집니다. 중요한 값을 제공하지만 Microsoft 네트워크 서버를 사용하도록 설정하는 서버에서 유사한 변경을 사용하도록 설정하지 않으면 디지털 서명 통신(항상) 또는 Microsoft 네트워크 클라이언트: 디지털서명 통신(클라이언트가 동의하는 경우) 클라이언트가 서버와 성공적으로 통신할 수 없습니다.

네트워크 보안: 다음 암호 변경 시 LAN Manager 해시 값을 저장하지 않습니다.

이 설정을 사용하도록 설정하면 암호가 변경될 때 새 암호에 대한 LM(LAN Manager) 해시 값이 저장되지 않습니다. LM 해시는 암호화가 더 강력한 Microsoft 해시에 비해 상대적으로 약하고 공격하기 Windows NT 수 있습니다. 이 설정은 일반적인 암호 크래킹 유틸리티를 많이 방지하여 시스템에 대한 광범위한 추가 보안을 제공하나 이 설정은 일부 애플리케이션이 올바르게 시작하거나 실행하지 못하게 할 수 있습니다.

시스템 암호화: 암호화, 해시 및 서명에 FIPS 준수 알고리즘 사용

이 설정을 사용하도록 설정하면 인터넷 정보 서비스(IIS) 및 Microsoft Internet Explorer TLS(전송 계층 보안) 1.0 프로토콜만 사용합니다. IIS를 실행하는 서버에서 이 설정을 사용하도록 설정하면 TLS 1.0을 지원하는 웹 브라우저만 연결할 수 있습니다. 웹 클라이언트에서 이 설정을 사용하도록 설정하면 클라이언트는 TLS 1.0 프로토콜을 지원하는 서버에만 연결할 수 있습니다. 이 요구 사항은 SSL(SSL)을 사용하는 웹 사이트를 방문하는 클라이언트의 Secure Sockets Layer 수 있습니다. 자세한 내용은 Microsoft 기술 자료에서 문서를 보려면 다음 문서 번호를 클릭합니다.

811834 또한 터미널 서비스를 사용하는 서버에서 이 설정을 사용하도록 설정하면 클라이언트가 RDP 클라이언트 5.2 이상 버전을 사용하여 연결하도록 강제로 FIPS 준수 암호화를 사용하도록 설정한 후에 SSL 사이트를 방문할 수
없습니다.

자세한 내용은 Microsoft 기술 자료에서 문서를 보려면 다음 문서 번호를 클릭합니다.

811833 "시스템 암호화: 암호화, 해시 및 서명에 FIPS 준수 알고리즘을 사용하여" XP 및 Windows 버전의 보안 설정을 사용하도록 설정하는 Windows

자동 업데이트 서비스 또는 Background Intelligent Transfer Service(BITS)를 사용하지 않도록 설정

Microsoft 보안 전략의 주요 핵심 중 하나는 시스템을 업데이트에 최신으로 유지해야 하는 것입니다. 이 전략의 핵심 구성 요소는 자동 업데이트 서비스입니다. 업데이트 Windows 및 소프트웨어 업데이트 서비스는 모두 자동 업데이트 서비스를 사용 합니다. 자동 업데이트 서비스는 비트S(Background Intelligent Transfer Service)를 의존합니다. 이러한 서비스를 사용하지 않도록 설정한 경우 컴퓨터는 자동 업데이트를 통해 업데이트, SUS(소프트웨어 업데이트 서비스Windows 또는 일부 Microsoft 시스템 관리 서버(SMS) 설치에서 업데이트를 더 이상 받을 수 없습니다. 이러한 서비스는 BITS를 사용하지 않는 효과적인 업데이트 배포 시스템이 있는 시스템에서만 비활성화해야 합니다.

NetLogon 서비스가 비활성화됩니다.

NetLogon 서비스를 사용하지 않도록 설정하면 더 이상 Workstation이 도메인 멤버로 안정적으로 작동하지 않습니다. 이 설정은 도메인에 참여하지 않는 일부 컴퓨터에 적합할 수 있습니다. 그러나 배포 전에 신중하게 평가해야 합니다.

NoNameReleaseOnDemand

이 설정은 네트워크의 다른 컴퓨터와 충돌하는 경우 서버가 NetBIOS 이름을 무산하지 못하게 합니다. 이 설정은 이름 서버 및 기타 매우 중요한 서버 역할에 대한 서비스 거부 공격에 대한 좋은 예방 조치입니다.

이 설정을 Workstation에서 사용하도록 설정하면 이름이 도메인 컨트롤러와 같은 더 중요한 시스템의 이름과 충돌하는 경우에도 Workstation에서 NetBIOS 이름을 거부합니다. 이 시나리오는 중요한 도메인 기능을 사용하지 않도록 설정할 수 있습니다. Microsoft는 높은 보안 영역에서 배포를 대상으로 하는 보안 지침을 제공하기 위한 업계의 노력을 강력히 지원하고 있습니다. 그러나 이 지침은 대상 환경에서 철저히 테스트해야 합니다. 기본 설정 이상으로 추가 보안 설정이 필요한 시스템 관리자는 Microsoft에서 발급한 가이드를 조직의 요구 사항에 대한 시작점으로 사용하는 것이 좋습니다. 지원 또는 타사 가이드에 대한 질문은 지침을 발급한 조직에 문의하세요.

참조

보안 설정에 대한 자세한 내용은 서버 2003 및 설정 보안 Windows 및 보안 Windows 참조하세요. 이 가이드를 다운로드하려면 다음 Microsoft 웹 사이트를 방문하세요.

http://go.microsoft.com/fwlink/?LinkId=15159몇 가지 추가 키 보안 설정의 효과에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료에서 문서를 확인합니다.

823659 보안 설정 및 사용자 권한 할당을 수정할 때 발생할 수 있는 클라이언트, 서비스 및 프로그램 비호응성입니다. FIPS 준수 알고리즘을 요구하는 효과에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료에서 문서를 확인합니다.

811833 XP 및 이후 버전에서 "시스템 암호화: 암호화, 해시 및 서명에 FIPS 준수 알고리즘을 사용"Windows 을 사용하도록 설정하는 효과와 이후 버전의Microsoft는 기술 지원을 찾을 수 있도록 타사 연락처 정보를 제공합니다. 이 연락처 정보는 예고 없이 변경될 수 있습니다. Microsoft는 이러한 타사 연락처 정보의 정확성을 보증하지 않습니다.


하드웨어 제조업체에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 방문하세요.

http://support.microsoft.com/gp/vendors/en-us

추가 도움이 필요하신가요?

기술 향상
교육 살펴보기
새로운 기능 우선 가져오기
Microsoft Insider 참가

이 정보가 유용한가요?

번역 품질에 얼마나 만족하시나요?
사용 경험에 어떠한 영향을 주었나요?

소중한 의견에 감사드립니다.

×