MBAM 2.0 보안 고려 사항
이 항목에는 Microsoft BitLocker 관리 및 모니터링(MBAM)에 대한 계정 및 그룹, 로그 파일 및 기타 보안 관련 고려 사항에 대한 간략한 개요가 포함되어 있습니다. 자세한 내용은 이 문서의 링크를 따르세요.
일반 보안 고려 사항
보안 위험을 이해합니다. Microsoft BitLocker 관리 및 모니터링에서 가장 심각한 위험은 권한이 없는 사용자가 해당 기능을 하이재킹하여 BitLocker 암호화를 다시 구성하고 MBAM 클라이언트에서 BitLocker 암호화 키 데이터를 얻을 수 있다는 것입니다. 그러나 서비스 거부 공격으로 인해 짧은 기간 동안 MBAM 기능이 손실되는 것은 일반적으로 전자 메일, 네트워크 통신, 조명 및 전원과 달리 치명적인 영향을 미치지 않습니다.
컴퓨터를 물리적으로 보호합니다. 물리적 보안이 없으면 보안이 없습니다. MBAM 서버에 물리적으로 액세스하는 공격자는 잠재적으로 이를 사용하여 전체 클라이언트 기반을 공격할 수 있습니다. 모든 잠재적 물리적 공격은 높은 위험으로 간주되고 적절하게 완화되어야 합니다. MBAM 서버는 제어된 액세스 권한이 있는 보안 서버 룸에 저장해야 합니다. 운영 체제에서 컴퓨터를 잠그거나 보안 화면 보호기를 사용하여 관리자가 물리적으로 존재하지 않는 경우 이러한 컴퓨터를 보호합니다.
모든 컴퓨터에 최신 보안 업데이트를 적용합니다. 보안 알림 서비스(https://go.microsoft.com/fwlink/?LinkId=28819)를 구독하여 운영 체제, Microsoft SQL Server 및 MBAM에 대한 새 업데이트에 대한 정보를 확인하세요.
강력한 암호를 사용하거나 구를 전달합니다. 모든 MBAM 및 MBAM 관리자 계정에 대해 항상 15자 이상의 문자가 있는 강력한 암호를 사용합니다. 빈 암호를 사용하지 마세요. 암호 개념에 대한 자세한 내용은 TechNet(https://go.microsoft.com/fwlink/?LinkId=30009)의 "계정 암호 및 정책" 백서를 참조하세요.
MBAM의 계정 및 그룹
사용자 계정을 관리하는 모범 사례는 도메인 전역 그룹을 만들고 사용자 계정을 추가하는 것입니다. 그런 다음, MBAM 서버의 필요한 MBAM 로컬 그룹에 도메인 전역 계정을 추가합니다.
Active Directory Domain Services 그룹
MBAM 설치 프로세스 중에는 Active Directory 그룹이 자동으로 만들어지지 않습니다. 그러나 다음 Active Directory Domain Services 전역 그룹을 만들어 MBAM 작업을 관리하는 것이 좋습니다.
| 그룹 이름 | 세부 정보 |
|---|---|
MBAM 고급 기술 지원팀 사용자 |
이 그룹을 만들어 MBAM 설치 중에 만든 MBAM 고급 기술 지원팀 사용자 로컬 그룹의 구성원을 관리합니다. |
MBAM 준수 감사 DB 액세스 |
이 그룹을 만들어 MBAM 설치 중에 만든 MBAM 준수 감사 DB 액세스 로컬 그룹의 구성원을 관리합니다. |
MBAM 기술 지원팀 사용자 |
이 그룹을 만들어 MBAM 설치 중에 만든 MBAM 기술 지원팀 사용자 로컬 그룹의 구성원을 관리합니다. |
MBAM 복구 및 하드웨어 DB 액세스 |
이 그룹을 만들어 MBAM 설치 중에 만든 MBAM 복구 및 하드웨어 DB 액세스 로컬 그룹의 구성원을 관리합니다. |
MBAM 보고서 사용자 |
이 그룹을 만들어 MBAM 설치 중에 만든 MBAM 보고서 사용자 로컬 그룹의 구성원을 관리합니다. |
MBAM 시스템 관리자 |
이 그룹을 만들어 MBAM 설치 중에 만든 MBAM 시스템 관리자 로컬 그룹의 구성원을 관리합니다. |
BitLocker 암호화 예외 |
로그온한 컴퓨터에서 시작하여 BitLocker 암호화에서 제외되어야 하는 사용자 계정을 관리하려면 이 그룹을 만듭니다. |
MBAM 서버 로컬 그룹
MBAM 설치 프로그램은 MBAM 작업을 지원하는 로컬 그룹을 만듭니다. 적절한 MBAM 로컬 그룹에 Active Directory Domain Services 전역 그룹을 추가하여 MBAM 보안 및 데이터 액세스 권한을 구성해야 합니다.
| 그룹 이름 | 세부 정보 |
|---|---|
MBAM 고급 기술 지원팀 사용자 |
이 그룹의 구성원은 MBAM에서 지원 센터 기능에 대한 액세스 권한을 증가했습니다. |
MBAM 준수 감사 DB 액세스 |
MBAM 준수 및 감사 데이터베이스에 액세스할 수 있는 머신을 포함합니다. |
MBAM 기술 지원팀 사용자 |
이 그룹의 구성원은 MBAM에서 지원 센터 기능 중 일부에 액세스할 수 있습니다. |
MBAM 복구 및 하드웨어 DB 액세스 |
MBAM 복구 데이터베이스에 대한 액세스 권한이 있는 컴퓨터를 포함합니다. |
MBAM 보고서 사용자 |
이 그룹의 구성원은 MBAM에서 준수 및 감사 보고서에 액세스할 수 있습니다. |
MBAM 시스템 관리자 |
이 그룹의 구성원은 모든 MBAM 기능에 액세스할 수 있습니다. |
SSRS 보고서 서비스 계정
SSRS 보고서 서비스 계정은 SSRS를 통해 사용할 수 있는 MBAM 보고서를 실행하는 보안 컨텍스트를 제공합니다. MBAM 설치 중에 구성됩니다.
SSRS 보고서 서비스 계정을 구성할 때 도메인 사용자 계정을 지정하고 암호가 만료되지 않도록 구성합니다.
참고 MBAM을 배포한 후 서비스 계정의 이름을 변경하는 경우 새 서비스 계정 자격 증명을 사용하도록 보고 데이터 원본을 다시 구성해야 합니다. 그렇지 않으면 지원 센터 포털에 액세스할 수 없습니다.
MBAM 로그 파일
다음 MBAM 설치 로그 파일은 MBAM 설치 중에 설치 사용자의 %temp% 폴더에 만들어집니다.
MBAM 서버 설정 로그 파일
MSI<5개의 임의 문자>.log
MBAM 설치 및 MBAM 서버 기능 설치 중에 수행된 작업을 기록합니다.
InstallComplianceDatabase.log
MBAM 준수 및 감사 데이터베이스 설정을 만들기 위해 수행된 작업을 기록합니다.
InstallKeyComplianceDatabase.log
MBAM 복구 데이터베이스를 만들기 위해 수행된 작업을 기록합니다.
AddHelpDeskDbAuditUsers.log
MBAM 규정 준수 및 감사 데이터베이스에 SQL Server 로그인을 만들고 보고서에 대한 데이터베이스에 대한 HelpDesk 웹 서비스에 권한을 부여하는 데 수행된 작업을 기록합니다.
AddHelpDeskDbUsers.log
키 복구를 위해 데이터베이스에 웹 서비스에 권한을 부여하고 MBAM 복구 데이터베이스에 로그인을 만들기 위해 수행된 작업을 기록합니다.
AddKeyComplianceDbUsers.log
규정 준수 보고를 위해 MBAM 규정 준수 및 감사 데이터베이스에 웹 서비스에 권한을 부여하기 위해 수행된 작업을 기록합니다.
AddRecoveryAndHardwareDbUsers.log
키 복구를 위해 MBAM Recovery 데이터베이스에 웹 서비스에 권한을 부여하기 위해 수행된 작업을 기록합니다.
참고 추가 MBAM 설치 로그 파일을 가져오려면 msiexec 패키지 및 /L <위치> 옵션을 사용하여 MBAM을 설치해야 합니다. 로그 파일은 지정된 위치에 만들어집니다.
MBAM 클라이언트 설정 로그 파일
MSI<5개의 임의 문자>.log
MBAM 클라이언트 설치 중에 수행된 작업을 기록합니다.
MBAM 데이터베이스 TDE 고려 사항
SQL Server 사용할 수 있는 TDE(투명한 데이터 암호화) 기능은 MBAM 데이터베이스 기능을 호스트할 데이터베이스 인스턴스에 대한 선택적 설치입니다.
TDE를 사용하면 실시간 전체 데이터베이스 수준 암호화를 수행할 수 있습니다. TDE는 규정 준수 또는 회사 데이터 보안 표준을 충족하기 위해 대량 암호화를 위한 최적의 선택입니다. TDE는 EFS(파일 시스템 암호화) 및 BitLocker 드라이브 암호화라는 두 가지 Windows 기능과 유사한 파일 수준에서 작동하며, 둘 다 하드 드라이브의 데이터를 암호화합니다. TDE는 셀 수준 암호화, EFS 또는 BitLocker를 대체하지 않습니다.
데이터베이스에서 TDE를 사용하도록 설정하면 모든 백업이 암호화됩니다. 따라서 데이터베이스 암호화 키를 보호하는 데 사용된 인증서가 백업되고 데이터베이스 백업과 함께 유지 관리되도록 특별히 주의해야 합니다. 이 인증서(또는 인증서)가 손실되면 데이터를 읽을 수 없게 됩니다. 데이터베이스와 함께 인증서를 백업합니다. 각 인증서 백업에는 두 개의 파일이 있어야 합니다. 이러한 두 파일은 모두 보관해야 합니다(보안을 위해 데이터베이스 백업 파일과는 별개). 또는 TDE에 사용되는 키의 스토리지 및 유지 관리를 위해 EKM(확장 가능 키 관리) 기능(확장 가능 키 관리 참조)을 사용하는 것이 좋습니다.
MBAM 데이터베이스 인스턴스에 대해 TDE를 사용하도록 설정하는 방법의 예는 MBAM 2.0 평가를 참조하세요.
SQL Server 2008의 TDE에 대한 자세한 내용은 SQL Server 암호화를 참조하세요.