암호화 컨트롤 기술 참조

적용 대상: Configuration Manager(현재 분기)

Configuration Manager 서명 및 암호화를 사용하여 Configuration Manager 계층 구조에서 디바이스 관리를 보호합니다. 서명을 사용하면 전송 중에 데이터가 변경된 경우 삭제됩니다. 암호화는 공격자가 네트워크 프로토콜 분석기를 사용하여 데이터를 읽는 것을 방지하는 데 도움이 됩니다.

Configuration Manager 서명에 사용하는 기본 해시 알고리즘은 SHA-256입니다. 두 Configuration Manager 사이트가 서로 통신할 때 SHA-256과의 통신에 서명합니다.

버전 2107부터 Configuration Manager 사용하는 기본 암호화 알고리즘은 AES-256입니다. 암호화는 주로 다음 두 영역에서 발생합니다.

• 사이트에서 암호화 사용을 사용하도록 설정하면 클라이언트는 인벤토리 데이터 및 관리 지점으로 보내는 상태 메시지를 암호화합니다.

• 클라이언트가 비밀 정책을 다운로드할 때 관리 지점은 항상 이러한 정책을 암호화합니다. 예를 들어 암호를 포함하는 OS 배포 작업 순서입니다.

버전 2103 이하의 클라이언트의 경우 기본 암호화 알고리즘은 3DES입니다.

참고

HTTPS 통신을 구성하는 경우 이러한 메시지는 두 번 암호화됩니다. 메시지는 AES로 암호화된 다음, HTTPS 전송은 AES로 암호화됩니다.

HTTPS를 통한 클라이언트 통신을 사용하는 경우 최대 해시 알고리즘 및 키 길이가 있는 인증서를 사용하도록 PKI(공개 키 인프라)를 구성합니다. CNG v3 인증서를 사용하는 경우 Configuration Manager 클라이언트는 RSA 암호화 알고리즘을 사용하는 인증서만 지원합니다. 자세한 내용은 PKI 인증서 요구 사항 및 CNG v3 인증서 개요를 참조하세요.

전송 보안을 위해 TLS를 사용하는 모든 항목은 AES를 지원합니다. 이 지원에는 향상된 HTTP 또는 HTTPS 에 대한 사이트를 구성할 때가 포함됩니다. 온-프레미스 사이트 시스템의 경우 TLS 암호 그룹을 제어할 수 있습니다. CMG(클라우드 관리 게이트웨이)와 같은 클라우드 기반 역할의 경우 TLS 1.2를 사용하도록 설정하면 Configuration Manager 암호 그룹을 구성합니다.

Windows 기반 운영 체제를 사용하는 대부분의 암호화 작업의 경우 Configuration Manager Windows CryptoAPI 라이브러리 rsaenh.dll 이러한 알고리즘을 사용합니다.

특정 기능에 대한 자세한 내용은 사이트 작업을 참조하세요.

사이트 작업

Configuration Manager 정보는 서명하고 암호화할 수 있습니다. PKI 인증서를 사용하거나 사용하지 않고 이러한 작업을 지원합니다.

정책 서명 및 암호화

사이트는 자체 서명된 인증서를 사용하여 클라이언트 정책 할당에 서명합니다. 이 동작은 손상된 관리 지점의 보안 위험이 변조된 정책을 보내지 못하도록 방지하는 데 도움이 됩니다. 인터넷 기반 클라이언트 관리를 사용하는 경우 인터넷 연결 관리 지점이 필요하기 때문에 이 동작이 중요합니다.

정책에 중요한 데이터가 포함된 경우 버전 2107부터 관리 지점에서 AES-256으로 암호화합니다. 버전 2103 이하에서는 3DES를 사용합니다. 중요한 데이터를 포함하는 정책은 권한 있는 클라이언트로만 전송됩니다. 사이트는 중요한 데이터가 없는 정책을 암호화하지 않습니다.

클라이언트는 정책을 저장하는 경우 Windows DPAPI(데이터 보호 애플리케이션 프로그래밍 인터페이스)를 사용하여 정책을 암호화합니다.

정책 해시

클라이언트가 정책을 요청하면 먼저 정책 할당을 가져옵니다. 그런 다음 어떤 정책이 적용되는지 알고 있으며 해당 정책 기관만 요청할 수 있습니다. 각 정책 할당에는 해당 정책 본문에 대한 계산된 해시가 포함됩니다. 클라이언트는 해당 정책 본문을 다운로드한 다음 각 정책 본문에 대한 해시를 계산합니다. 정책 본문의 해시가 정책 할당의 해시와 일치하지 않으면 클라이언트는 정책 본문을 삭제합니다.

정책에 대한 해시 알고리즘은 SHA-256입니다.

콘텐츠 해시

사이트 서버의 배포 관리자 서비스는 모든 패키지에 대한 콘텐츠 파일을 해시합니다. 정책 공급자는 소프트웨어 배포 정책에 해시를 포함합니다. Configuration Manager 클라이언트가 콘텐츠를 다운로드하면 클라이언트는 해시를 로컬로 다시 생성하고 정책에 제공된 해시와 비교합니다. 해시가 일치하는 경우 콘텐츠가 변경되지 않고 클라이언트가 설치합니다. 콘텐츠의 단일 바이트가 변경되면 해시가 일치하지 않으며 클라이언트가 소프트웨어를 설치하지 않습니다. 이 검사 실제 콘텐츠가 정책과 비교되기 때문에 올바른 소프트웨어가 설치되었는지 확인하는 데 도움이 됩니다.

콘텐츠의 기본 해시 알고리즘은 SHA-256입니다.

모든 디바이스가 콘텐츠 해시를 지원할 수 있는 것은 아닙니다. 예외는 다음과 같습니다.

• Windows 클라이언트는 App-V 콘텐츠를 스트리밍할 때

• Windows Mobile 클라이언트는 이러한 클라이언트가 신뢰할 수 있는 원본에 의해 서명된 애플리케이션의 서명을 확인하지만

인벤토리 서명 및 암호화

클라이언트가 하드웨어 또는 소프트웨어 인벤토리를 관리 지점으로 보내면 항상 인벤토리에 서명합니다. 클라이언트가 HTTP 또는 HTTPS를 통해 관리 지점과 통신하는지 여부는 중요하지 않습니다. HTTP를 사용하는 경우 이 데이터를 암호화하도록 선택할 수도 있습니다. 이 데이터를 암호화하는 것이 좋습니다.

상태 마이그레이션 암호화

작업 순서는 OS 배포를 위해 클라이언트에서 데이터를 캡처하는 경우 항상 데이터를 암호화합니다. 버전 2103 이상에서 작업 순서는 AES-256 암호화 알고리즘을 사용하여 USMT(사용자 상태 마이그레이션 도구)를 실행합니다. 버전 2010 이하에서는 3DES를 사용합니다.

멀티캐스트 패키지에 대한 암호화

모든 OS 배포 패키지에 대해 멀티캐스트를 사용할 때 암호화를 사용하도록 설정할 수 있습니다. 이 암호화는 AES 알고리즘을 사용합니다. 암호화를 사용하도록 설정하면 다른 인증서 구성이 필요하지 않습니다. 멀티캐스트 사용 배포 지점은 패키지를 암호화하는 대칭 키를 자동으로 생성합니다. 각 패키지에는 다른 암호화 키가 있습니다. 키는 표준 Windows API를 사용하여 멀티캐스트 사용 배포 지점에 저장됩니다.

클라이언트가 멀티캐스트 세션에 연결하면 암호화된 채널을 통해 키 교환이 발생합니다. 클라이언트가 HTTPS를 사용하는 경우 PKI 발급 클라이언트 인증 인증서를 사용합니다. 클라이언트가 HTTP를 사용하는 경우 자체 서명된 인증서를 사용합니다. 클라이언트는 멀티캐스트 세션 중에만 암호화 키를 메모리에 저장합니다.

OS 배포 미디어에 대한 암호화

미디어를 사용하여 운영 체제를 배포하는 경우 항상 미디어를 보호하기 위해 암호를 지정해야 합니다. 암호를 사용하면 작업 순서 환경 변수가 AES-128로 암호화됩니다. 애플리케이션에 대한 패키지 및 콘텐츠를 포함하여 미디어의 다른 데이터는 암호화되지 않습니다.

클라우드 기반 콘텐츠 암호화

CMG(클라우드 관리 게이트웨이)에서 콘텐츠를 저장할 수 있도록 설정하면 콘텐츠가 AES-256으로 암호화됩니다. 콘텐츠는 업데이트할 때마다 암호화됩니다. 클라이언트가 콘텐츠를 다운로드하면 HTTPS 연결로 암호화되고 보호됩니다.

소프트웨어 업데이트 로그인

변조를 방지하려면 신뢰할 수 있는 게시자가 모든 소프트웨어 업데이트에 서명해야 합니다. 클라이언트 컴퓨터에서 WUA(Windows 업데이트 에이전트)는 카탈로그의 업데이트를 검색합니다. 로컬 컴퓨터의 신뢰할 수 있는 게시자 저장소에서 디지털 인증서를 찾을 수 없는 경우 업데이트를 설치하지 않습니다.

System Center 업데이트 Publisher를 사용하여 소프트웨어 업데이트를 게시하면 디지털 인증서가 소프트웨어 업데이트에 서명합니다. PKI 인증서를 지정하거나 소프트웨어 업데이트에 서명하기 위해 자체 서명된 인증서를 생성하도록 업데이트 Publisher를 구성할 수 있습니다. 자체 서명된 인증서를 사용하여 WSUS 게시자 자체 서명과 같은 업데이트 카탈로그를 게시하는 경우 인증서는 로컬 컴퓨터의 신뢰할 수 있는 루트 인증 기관 인증서 저장소에도 있어야 합니다. WUA는 또한 인 트라넷 Microsoft 업데이트 서비스 위치 그룹에서 서명된 콘텐츠 허용 정책 설정이 로컬 컴퓨터에서 사용하도록 설정되어 있는지 여부를 확인합니다. 이 정책 설정은 WUA가 System Center 업데이트 Publisher를 사용하여 만들고 게시한 업데이트를 검색할 수 있도록 설정해야 합니다.

규정 준수 설정에 대한 서명된 구성 데이터

구성 데이터를 가져올 때 Configuration Manager 파일의 디지털 서명을 확인합니다. 파일이 서명되지 않았거나 서명 검사 실패하면 콘솔에서 가져오기를 계속하도록 경고합니다. 게시자와 파일의 무결성을 명시적으로 신뢰하는 경우에만 구성 데이터를 가져옵니다.

클라이언트 알림에 대한 암호화 및 해시

클라이언트 알림을 사용하는 경우 모든 통신은 TLS와 서버와 클라이언트가 협상할 수 있는 가장 높은 알고리즘을 사용합니다. 예를 들어 지원되는 모든 Windows OS 버전은 적어도 AES-128 암호화를 사용할 수 있습니다. SHA-2를 사용하는 클라이언트 알림 중에 전송되는 패킷을 해시하는 것과 동일한 협상이 발생합니다.

인증서

Configuration Manager 사용할 수 있는 PKI(공개 키 인프라) 인증서 목록, 특별한 요구 사항 또는 제한 사항 및 인증서 사용 방법은 PKI 인증서 요구 사항을 참조하세요. 이 목록에는 지원되는 해시 알고리즘 및 키 길이가 포함됩니다. 대부분의 인증서는 SHA-256 및 2048비트 키 길이를 지원합니다.

인증서를 사용하는 대부분의 Configuration Manager 작업은 v3 인증서도 지원합니다. 자세한 내용은 CNG v3 인증서 개요를 참조하세요.

참고

Configuration Manager 사용하는 모든 인증서는 주체 이름 또는 주체 대체 이름에 단일 바이트 문자만 포함해야 합니다.

Configuration Manager 다음 시나리오에 PKI 인증서가 필요합니다.

• 인터넷에서 Configuration Manager 클라이언트를 관리하는 경우

• 모바일 디바이스에서 Configuration Manager 클라이언트를 관리하는 경우

• macOS 컴퓨터를 관리하는 경우

• CMG(클라우드 관리 게이트웨이)를 사용하는 경우

인증, 서명 또는 암호화를 위해 인증서가 필요한 대부분의 다른 통신의 경우 Configuration Manager 사용 가능한 경우 PKI 인증서를 자동으로 사용합니다. 사용할 수 없는 경우 Configuration Manager 자체 서명된 인증서를 생성합니다.

Configuration Manager Exchange Server 커넥터를 사용하여 모바일 디바이스를 관리할 때 PKI 인증서를 사용하지 않습니다.

모바일 디바이스 관리 및 PKI 인증서

모바일 디바이스가 통신사에 의해 잠겨 있지 않은 경우 Configuration Manager 사용하여 클라이언트 인증서를 요청하고 설치할 수 있습니다. 이 인증서는 모바일 디바이스의 클라이언트와 Configuration Manager 사이트 시스템 간에 상호 인증을 제공합니다. 모바일 디바이스가 잠겨 있으면 Configuration Manager 사용하여 인증서를 배포할 수 없습니다.

모바일 디바이스에 하드웨어 인벤토리를 사용하도록 설정하는 경우 Configuration Manager 모바일 디바이스에 설치된 인증서도 인벤토리에 추가합니다.

OS 배포 및 PKI 인증서

Configuration Manager 사용하여 운영 체제를 배포하고 관리 지점에 HTTPS 클라이언트 연결이 필요한 경우 클라이언트는 관리 지점과 통신할 인증서가 필요합니다. 이 요구 사항은 클라이언트가 작업 순서 미디어 또는 PXE 사용 배포 지점에서 부팅하는 것과 같은 전환 단계에 있는 경우에도 발생합니다. 이 시나리오를 지원하려면 PKI 클라이언트 인증 인증서를 만들고 프라이빗 키를 사용하여 내보냅니다. 그런 다음 사이트 서버 속성으로 가져오고 관리 지점의 신뢰할 수 있는 루트 CA 인증서도 추가합니다.

부팅 가능한 미디어를 만드는 경우 부팅 가능한 미디어를 만들 때 클라이언트 인증 인증서를 가져옵니다. 작업 순서에 구성된 프라이빗 키 및 기타 중요한 데이터를 보호하려면 부팅 가능한 미디어에서 암호를 구성합니다. 부팅 가능한 미디어에서 부팅되는 모든 컴퓨터는 클라이언트 정책 요청과 같은 클라이언트 함수에 필요한 관리 지점과 동일한 인증서를 사용합니다.

PXE를 사용하는 경우 클라이언트 인증 인증서를 PXE 사용 배포 지점으로 가져옵니다. PXE 사용 배포 지점에서 부팅하는 모든 클라이언트에 대해 동일한 인증서를 사용합니다. 작업 순서에서 프라이빗 키 및 기타 중요한 데이터를 보호하려면 PXE에 대한 암호가 필요합니다.

이러한 클라이언트 인증 인증서 중 하나가 손상된 경우 관리 작업 영역인 보안 노드의 인증서 노드에서 인증서를 차단합니다. 이러한 인증서를 관리하려면 운영 체제 배포 인증서를 관리할 수 있는 권한이 필요합니다.

Configuration Manager OS가 클라이언트를 설치한 후 클라이언트에는 HTTPS 클라이언트 통신을 위한 자체 PKI 클라이언트 인증 인증서가 필요합니다.

ISV 프록시 솔루션 및 PKI 인증서

ISV(독립 소프트웨어 공급업체)는 Configuration Manager 확장하는 애플리케이션을 만들 수 있습니다. 예를 들어 ISV는 macOS와 같은 비 Windows 클라이언트 플랫폼을 지원하는 확장을 만들 수 있습니다. 그러나 사이트 시스템에 HTTPS 클라이언트 연결이 필요한 경우 이러한 클라이언트는 사이트와의 통신에 PKI 인증서도 사용해야 합니다. Configuration Manager ISV 프록시 클라이언트와 관리 지점 간의 통신을 가능하게 하는 인증서를 ISV 프록시에 할당하는 기능이 포함되어 있습니다. ISV 프록시 인증서가 필요한 확장을 사용하는 경우 해당 제품에 대한 설명서를 참조하세요.

ISV 인증서가 손상된 경우 관리 작업 영역 보안 노드의 인증서 노드에서 인증서를 차단합니다.

ISV 프록시 인증서에 대한 GUID 복사

버전 2111부터 이러한 ISV 프록시 인증서의 관리를 간소화하기 위해 이제 Configuration Manager 콘솔에서 GUID를 복사할 수 있습니다.

1. Configuration Manager 콘솔에서 관리 작업 영역으로 이동합니다.

2. 보안을 확장하고 인증서 노드를 선택합니다.

3. 인증서 목록을 형식 열로 정렬합니다.

4. ISV 프록시 유형의 인증서를 선택합니다.

5. 리본에서 인증서 GUID 복사를 선택합니다.

이 작업은 이 인증서의 GUID를 복사합니다. 예를 들면 다음과 같습니다. aa05bf38-5cd6-43ea-ac61-ab101f943987

Asset Intelligence 및 인증서

Configuration Manager Asset Intelligence 동기화 지점에서 Microsoft에 연결하는 데 사용하는 X.509 인증서와 함께 설치됩니다. Configuration Manager 이 인증서를 사용하여 Microsoft 인증서 서비스에서 클라이언트 인증 인증서를 요청합니다. 클라이언트 인증 인증서는 Asset Intelligence 동기화 지점에 설치되며 Microsoft에 서버를 인증하는 데 사용됩니다. Configuration Manager 클라이언트 인증 인증서를 사용하여 Asset Intelligence 카탈로그를 다운로드하고 소프트웨어 타이틀을 업로드합니다.

이 인증서의 키 길이는 1024비트입니다.

Azure 서비스 및 인증서

CMG(클라우드 관리 게이트웨이)에는 서버 인증 인증서가 필요합니다. 이러한 인증서를 사용하면 서비스가 인터넷을 통해 클라이언트에 HTTPS 통신을 제공할 수 있습니다. 자세한 내용은 CMG 서버 인증 인증서를 참조하세요.

클라이언트는 CMG 및 온-프레미스 관리 지점과 통신하려면 다른 유형의 인증이 필요합니다. Microsoft Entra ID, PKI 인증서 또는 사이트 토큰을 사용할 수 있습니다. 자세한 내용은 클라우드 관리 게이트웨이에 대한 클라이언트 인증 구성을 참조하세요.

클라이언트는 클라우드 기반 스토리지를 사용하기 위해 클라이언트 PKI 인증서가 필요하지 않습니다. 관리 지점에 인증한 후 관리 지점에서 클라이언트에 Configuration Manager 액세스 토큰을 발급합니다. 클라이언트는 콘텐츠에 액세스하기 위해 CMG에 이 토큰을 제공합니다. 토큰은 8시간 동안 유효합니다.

PKI 인증서에 대한 CRL 검사

PKI CRL(인증서 해지 목록)은 전반적인 보안을 강화하지만 일부 관리 및 처리 오버헤드가 필요합니다. CRL 검사를 사용하도록 설정했지만 클라이언트가 CRL에 액세스할 수 없는 경우 PKI 연결이 실패합니다.

IIS는 기본적으로 CRL 검사를 사용하도록 설정합니다. PKI 배포와 함께 CRL을 사용하는 경우 IIS를 실행하는 대부분의 사이트 시스템을 구성할 필요가 없습니다. 소프트웨어 업데이트에 대한 예외는 소프트웨어 업데이트 파일의 서명을 확인하기 위해 CRL 검사를 사용하도록 설정하는 수동 단계가 필요합니다.

클라이언트가 HTTPS를 사용하는 경우 기본적으로 CRL 검사를 사용하도록 설정합니다. macOS 클라이언트의 경우 CRL 검사를 사용하지 않도록 설정할 수 없습니다.

다음 연결은 Configuration Manager CRL 체크 인을 지원하지 않습니다.

• 서버-서버 연결

• Configuration Manager 등록한 모바일 디바이스

서버 통신

Configuration Manager 서버 통신에 다음 암호화 컨트롤을 사용합니다.

사이트 내 서버 통신

각 사이트 시스템 서버는 인증서를 사용하여 동일한 Configuration Manager 사이트의 다른 사이트 시스템으로 데이터를 전송합니다. 일부 사이트 시스템 역할도 인증에 인증서를 사용합니다. 예를 들어 한 서버에 등록 프록시 지점을 설치하고 다른 서버에 등록 지점을 설치하는 경우 이 ID 인증서를 사용하여 서로 인증할 수 있습니다.

Configuration Manager 이 통신에 인증서를 사용하는 경우 서버 인증 기능에서 사용할 수 있는 PKI 인증서가 있는 경우 Configuration Manager 자동으로 사용합니다. 그렇지 않은 경우 Configuration Manager 자체 서명된 인증서를 생성합니다. 이 자체 서명된 인증서에는 서버 인증 기능이 있고 SHA-256을 사용하며 키 길이는 2048비트입니다. Configuration Manager 사이트 시스템을 신뢰해야 할 수도 있는 다른 사이트 시스템 서버의 신뢰할 수 있는 사람 저장소에 인증서를 복사합니다. 그런 다음 사이트 시스템은 이러한 인증서와 PeerTrust를 사용하여 서로를 신뢰할 수 있습니다.

각 사이트 시스템 서버에 대한 이 인증서 외에도 Configuration Manager 대부분의 사이트 시스템 역할에 대해 자체 서명된 인증서를 생성합니다. 동일한 사이트에 사이트 시스템 역할의 instance 두 개 이상이 있는 경우 동일한 인증서를 공유합니다. 예를 들어 동일한 사이트에 여러 관리 지점이 있을 수 있습니다. 자체 서명된 이 인증서는 SHA-256을 사용하며 키 길이는 2048비트입니다. 신뢰할 수 있는 사이트 시스템 서버의 신뢰할 수 있는 사람 Store에 복사됩니다. 다음 사이트 시스템 역할은 이 인증서를 생성합니다.

• Asset Intelligence 동기화 지점

• 인증서 등록 지점

• Endpoint Protection 지점

• 등록 지점

• 대체 상태 지점

• 관리 포인트

• 멀티캐스트 사용 배포 지점

• 보고 서비스 지점

• 소프트웨어 업데이트 지점

• 상태 마이그레이션 지점

Configuration Manager 이러한 인증서를 자동으로 생성하고 관리합니다.

배포 지점에서 관리 지점으로 상태 메시지를 보내려면 Configuration Manager 클라이언트 인증 인증서를 사용합니다. HTTPS에 대한 관리 지점을 구성할 때 PKI 인증서가 필요합니다. 관리 지점에서 HTTP 연결을 허용하는 경우 PKI 인증서를 사용할 수 있습니다. 클라이언트 인증 기능과 함께 자체 서명된 인증서를 사용하고 SHA-256을 사용하며 키 길이는 2048비트일 수도 있습니다.

사이트 간 서버 통신

Configuration Manager 데이터베이스 복제 및 파일 기반 복제를 사용하여 사이트 간에 데이터를 전송합니다. 자세한 내용은 사이트 간 데이터 전송 및 엔드포인트 간 통신을 참조하세요.

Configuration Manager 사이트 간에 데이터베이스 복제를 자동으로 구성합니다. 사용 가능한 경우 서버 인증 기능과 함께 PKI 인증서를 사용합니다. 사용할 수 없는 경우 Configuration Manager 서버 인증을 위해 자체 서명된 인증서를 만듭니다. 두 경우 모두 PeerTrust를 사용하는 신뢰할 수 있는 사람 저장소의 인증서를 사용하여 사이트 간에 인증합니다. 이 인증서 저장소를 사용하여 Configuration Manager 계층 구조 SQL Server만 사이트 대 사이트 복제에 참여하도록 합니다.

사이트 서버는 자동으로 발생하는 보안 키 교환을 사용하여 사이트 간 통신을 설정합니다. 보내는 사이트 서버는 해시를 생성하고 프라이빗 키로 서명합니다. 수신 사이트 서버는 공개 키를 사용하여 서명을 확인하고 해시를 로컬로 생성된 값과 비교합니다. 일치하는 경우 수신 사이트에서 복제된 데이터를 허용합니다. 값이 일치하지 않으면 Configuration Manager 복제 데이터를 거부합니다.

Configuration Manager 데이터베이스 복제는 SQL Server Service Broker를 사용하여 사이트 간에 데이터를 전송합니다. 다음 메커니즘을 사용합니다.

• SQL Server SQL Server: 이 연결은 서버 인증에 Windows 자격 증명을 사용하고 1024비트에서 자체 서명된 인증서를 사용하여 AES 알고리즘을 사용하여 데이터에 서명하고 암호화합니다. 사용 가능한 경우 서버 인증 기능과 함께 PKI 인증서를 사용합니다. 컴퓨터의 개인 인증서 저장소에 있는 인증서만 사용합니다.

• SQL Service Broker: 이 서비스는 인증을 위해 2048비트에서 자체 서명된 인증서를 사용하고 AES 알고리즘을 사용하여 데이터에 서명하고 암호화합니다. SQL Server master 데이터베이스의 인증서만 사용합니다.

파일 기반 복제는 SMB(서버 메시지 블록) 프로토콜을 사용합니다. SHA-256을 사용하여 암호화되지 않고 중요한 데이터를 포함하지 않는 데이터에 서명합니다. 이 데이터를 암호화하려면 Configuration Manager 독립적으로 구현하는 IPsec을 사용합니다.

HTTPS를 사용하는 클라이언트

사이트 시스템 역할이 클라이언트 연결을 수락하는 경우 HTTPS 및 HTTP 연결 또는 HTTPS 연결만 허용하도록 구성할 수 있습니다. 인터넷에서 연결을 허용하는 사이트 시스템 역할은 HTTPS를 통한 클라이언트 연결만 허용합니다.

HTTPS를 통한 클라이언트 연결은 클라이언트-서버 통신을 보호하는 데 도움이 되는 PKI(공개 키 인프라)와 통합하여 더 높은 수준의 보안을 제공합니다. 그러나 PKI 계획, 배포 및 작업에 대한 철저한 이해 없이 HTTPS 클라이언트 연결을 구성하면 여전히 취약해질 수 있습니다. 예를 들어 루트 CA(인증 기관)를 보호하지 않으면 공격자가 전체 PKI 인프라의 신뢰를 손상시킬 수 있습니다. 제어 및 보안 프로세스를 사용하여 PKI 인증서를 배포하고 관리하지 못하면 중요한 소프트웨어 업데이트 또는 패키지를 받을 수 없는 관리되지 않는 클라이언트가 발생할 수 있습니다.

중요

Configuration Manager 클라이언트 통신에 사용하는 PKI 인증서는 클라이언트와 일부 사이트 시스템 간의 통신만 보호합니다. 사이트 서버와 사이트 시스템 간 또는 사이트 서버 간의 통신 채널을 보호하지 않습니다.

클라이언트가 HTTPS를 사용하는 경우 암호화되지 않은 통신

클라이언트가 HTTPS를 통해 사이트 시스템과 통신하는 경우 대부분의 트래픽이 암호화됩니다. 다음과 같은 상황에서 클라이언트는 암호화를 사용하지 않고 사이트 시스템과 통신합니다.

• 클라이언트가 인트라넷에서 HTTPS 연결을 만들지 못하고 사이트 시스템에서 이 구성을 허용하는 경우 HTTP를 사용하는 것으로 대체됩니다.

• 다음 사이트 시스템 역할에 대한 통신:

  • 클라이언트는 대체 상태 지점으로 상태 메시지를 보냅니다.

  • 클라이언트는 PXE 사용 배포 지점으로 PXE 요청을 보냅니다.

  • 클라이언트는 알림 데이터를 관리 지점으로 보냅니다.

클라이언트 통신 모드와 독립적으로 HTTP 또는 HTTPS를 사용하도록 보고 서비스 지점을 구성합니다.

HTTP를 사용하는 클라이언트

클라이언트는 사이트 시스템 역할에 HTTP 통신을 사용하는 경우 클라이언트 인증에 PKI 인증서 또는 Configuration Manager 생성하는 자체 서명된 인증서를 사용할 수 있습니다. Configuration Manager 자체 서명된 인증서를 생성할 때 서명 및 암호화를 위한 사용자 지정 개체 식별자가 있습니다. 이러한 인증서는 클라이언트를 고유하게 식별하는 데 사용됩니다. 자체 서명된 인증서는 SHA-256을 사용하며 키 길이는 2048비트입니다.

OS 배포 및 자체 서명된 인증서

Configuration Manager 사용하여 자체 서명된 인증서를 사용하여 운영 체제를 배포하는 경우 클라이언트에는 관리 지점과 통신할 인증서도 있어야 합니다. 이 요구 사항은 컴퓨터가 작업 순서 미디어 또는 PXE 사용 배포 지점에서 부팅하는 것과 같은 과도기 단계에 있는 경우에도 적용됩니다. HTTP 클라이언트 연결에 대한 이 시나리오를 지원하기 위해 Configuration Manager 서명 및 암호화를 위한 사용자 지정 개체 식별자가 있는 자체 서명된 인증서를 생성합니다. 이러한 인증서는 클라이언트를 고유하게 식별하는 데 사용됩니다. 자체 서명된 인증서는 SHA-256을 사용하며 키 길이는 2048비트입니다. 이러한 자체 서명된 인증서가 손상된 경우 공격자가 신뢰할 수 있는 클라이언트를 가장하는 데 사용하지 못하도록 방지합니다. 관리 작업 영역인 보안 노드의 인증서 노드에서 인증서를 차단합니다.

클라이언트 및 서버 인증

클라이언트는 HTTP를 통해 연결할 때 Active Directory Domain Services 사용하거나 Configuration Manager 신뢰할 수 있는 루트 키를 사용하여 관리 지점을 인증합니다. 클라이언트는 상태 마이그레이션 지점 또는 소프트웨어 업데이트 지점과 같은 다른 사이트 시스템 역할을 인증하지 않습니다.

관리 지점에서 자체 서명된 클라이언트 인증서를 사용하여 클라이언트를 처음 인증하는 경우 모든 컴퓨터에서 자체 서명된 인증서를 생성할 수 있으므로 이 메커니즘은 최소한의 보안을 제공합니다. 클라이언트 승인을 사용하여 이 프로세스를 향상시킵니다. Configuration Manager 자동으로 또는 관리자가 수동으로 신뢰할 수 있는 컴퓨터만 승인합니다. 자세한 내용은 클라이언트 관리를 참조하세요.

SSL 취약성 정보

Configuration Manager 클라이언트 및 서버의 보안을 개선하려면 다음 작업을 수행합니다.

• 모든 디바이스 및 서비스에서 TLS 1.2를 사용하도록 설정합니다. Configuration Manager TLS 1.2를 사용하도록 설정하려면 Configuration Manager TLS 1.2를 사용하도록 설정하는 방법을 참조하세요.

• SSL 3.0, TLS 1.0 및 TLS 1.1을 사용하지 않도록 설정합니다.

• TLS 관련 암호 그룹 순서를 다시 지정합니다.

자세한 내용은 다음 문서를 참조하세요.

• Schannel.dll에서 특정 암호화 알고리즘 및 프로토콜의 사용을 제한
• Schannel 암호 그룹 우선 순위 지정

이러한 절차는 Configuration Manager 기능에 영향을 주지 않습니다.

참고

암호화 도구 모음 요구 사항이 있는 AZURE CDN(콘텐츠 배달 네트워크)에서 Configuration Manager 다운로드하는 업데이트. 자세한 내용은 Azure Front Door: TLS 구성 FAQ를 참조하세요.