필수 구성 요소Prerequisites

적용 대상: Windows PowerShell 5.0Applies to: Windows PowerShell 5.0

Just Enough Administration은 Windows PowerShell 5.0 이상에 포함된 기능입니다.Just Enough Administration is a feature included with Windows PowerShell 5.0 and higher. 이 항목에서는 JEA 사용을 시작하기 위해 충족해야 하는 필수 조건을 설명합니다.This topic describes the prerequisites that must be satisfied in order to start using JEA.

JEA 설치Install JEA

JEA는 Windows PowerShell 5.0 이상에서 사용할 수 있지만, 전체 기능을 사용하려면 시스템에 사용할 수 있는 최신 버전의 PowerShell을 설치하는 것이 좋습니다.JEA is available with Windows PowerShell 5.0 and higher, but for full functionality it is recommended that you install the latest version of PowerShell available for your system. 다음 표에는 Windows Server에 대한 JEA의 가용성이 설명되어 있습니다.The following table describes JEA's availability on Windows Server:

서버 운영 체제Server Operating System JEA 가용성JEA Availability
Windows Server 2016Windows Server 2016 사전 설치됨Preinstalled
Windows Server 2012 R2Windows Server 2012 R2 WMF 5.1이 있는 경우 전체 기능Full functionality with WMF 5.1
Windows Server 2012Windows Server 2012 WMF 5.1이 있는 경우 전체 기능Full functionality with WMF 5.1
Windows Server 2008 R2Windows Server 2008 R2 WMF 5.1에서 축소된 기능1Reduced functionality1 with WMF 5.1

다음과 같은 가정용 또는 업무용 컴퓨터에서도 JEA를 사용할 수 있습니다.You can also use JEA on your home or work computer:

클라이언트 운영 체제Client Operating System JEA 가용성JEA Availability
Windows 10 1607+Windows 10 1607+ 사전 설치됨Preinstalled
Windows 10 1603, 1511Windows 10 1603, 1511 기능이 축소된 상태로 사전 설치됨2Preinstalled, with reduced functionality2
Windows 10 1507Windows 10 1507 사용할 수 없음Not available
Windows 8, 8.1Windows 8, 8.1 WMF 5.1이 있는 경우 전체 기능Full functionality with WMF 5.1
Windows 7Windows 7 WMF 5.1에서 축소된 기능1Reduced functionality1 with WMF 5.1

1 Windows Server 2008 R2 또는 Windows 7에서 관리되는 서비스 계정을 사용하도록 JEA를 구성할 수 없습니다.1 JEA cannot be configured to use group managed service accounts on Windows Server 2008 R2 or Windows 7. 가상 계정 및 기타 JEA 기능이 지원됩니다.Virtual accounts and other JEA features are supported.

2 Windows 10 버전 1511 및 1603은 그룹 관리 서비스 계정으로 실행, 세션 구성의 조건부 액세스 규칙, 사용자 드라이브 및 로컬 사용자 계정에 대한 액세스 권한 부여 JEA 기능을 지원하지 않습니다.2 Windows 10 versions 1511 and 1603 do not support the following JEA features: running as a group managed service account, conditional access rules in session configurations, the user drive, and granting access to local user accounts. 이러한 기능에 대한 지원을 받으려면 Windows를 버전 1607(1주년 업데이트) 이상으로 업데이트합니다.To get support for these features, update Windows to version 1607 (Anniversary Update) or higher.

설치된 PowerShell 버전 확인Check which version of PowerShell is installed

시스템에 설치된 PowerShell 버전을 확인하려면 Windows PowerShell 프롬프트에서 $PSVersionTable 변수를 확인합니다.To check which version of PowerShell is installed on your system, check the $PSVersionTable variable in a Windows PowerShell prompt.

$PSVersionTable.PSVersion
Major  Minor  Build  Revision
-----  -----  -----  --------
5      1      14393  1000

버전이 5보다 크거나 같으면 JEA를 사용할 준비가 된 것입니다.You are ready to use JEA if the Major version is equal to or greater than 5. 최상의 환경을 구축하고 모든 최신 기능에 액세스하려면 가능한 경우 PowerShell 버전 5.1로 업그레이드하는 것이 좋습니다.For the best experience, and to have access to all the latest features, it is recommended that you upgrade to PowerShell version 5.1 when possible.

Windows Management Framework 설치Install Windows Management Framework

이전 버전의 PowerShell을 실행 중인 경우 최신 WMF(Windows Management Framework) 업데이트로 시스템을 업데이트해야 합니다.If you are running an older version of PowerShell, you will need to update your system with the latest Windows Management Framework (WMF) update. 업데이트 패키지 및 최신 WMF 릴리스 정보 링크는 다운로드 센터에서 제공됩니다.Update packages and a link to the latest WMF release notes are available in the Download Center.

모든 서버를 업그레이드하기 전에 WMF와의 워크로드 호환성을 테스트하는 것이 좋습니다.It is strongly recommended that you test your workload's compatibility with WMF before upgrading all of your servers.

Windows 10 사용자는 최신 기능 업데이트를 설치하여 현재 버전의 Windows PowerShell을 얻어야 합니다.Windows 10 users should install the latest feature updates to obtain the current version of Windows PowerShell.

PowerShell 원격 사용Enable PowerShell Remoting

PowerShell 원격은 JEA가 작성된 기반을 제공합니다.PowerShell Remoting provides the foundation on which JEA is built. 따라서 JEA를 사용하기 전에 먼저 시스템에서 PowerShell 원격을 사용하도록 설정하고 올바르게 보안을 설정해야 합니다.It is therefore necessary to ensure PowerShell Remoting is enabled and properly secured on your system before you can use JEA.

Windows Server 2012, 2012 R2 및 2016에서는 PowerShell 원격이 기본적으로 사용하도록 설정됩니다.PowerShell Remoting is enabled by default on Windows Server 2012, 2012 R2, and 2016. 관리자 권한 PowerShell 창에서 다음 명령을 실행하여 PowerShell 원격을 사용하도록 설정할 수 있습니다.You can enable PowerShell Remoting by running the following command in an elevated PowerShell window.

Enable-PSRemoting

PowerShell 모듈 및 스크립트 블록 로깅 사용(선택 사항)Enable PowerShell module and script block logging (optional)

다음 단계에서는 시스템에서 모든 PowerShell 작업에 대한 로깅을 사용하도록 설정합니다.The following steps enable logging for all PowerShell actions on your system. PowerShell 모듈 로깅이 JEA에 필요하지는 않지만, 사용자가 실행한 명령이 중앙 위치에 기록되도록 PowerShell 모듈 로깅을 켜는 것이 좋습니다.PowerShell Module Logging is not required for JEA, however it is strongly recommended that you turn it on to ensure the commands users run are logged in a central location.

그룹 정책을 사용하여 PowerShell 모듈 로깅 정책을 구성할 수 있습니다.You can configure the PowerShell Module Logging policy using Group Policy.

  1. 워크스테이션에서 로컬 그룹 정책 편집기를 열거나 Active Directory 도메인 컨트롤러의 그룹 정책 관리 콘솔에서 그룹 정책 개체를 엽니다.Open the Local Group Policy Editor on a workstation or a Group Policy Object in the Group Policy Management Console on an Active Directory Domain Controller
  2. 컴퓨터 구성\관리 템플릿\Windows 구성 요소\Windows PowerShell로 이동합니다.Navigate to Computer Configuration\Administrative Templates\Windows Components\Windows PowerShell
  3. 모듈 로깅 켜기를 두 번 클릭합니다.Double click on Turn on Module Logging
  4. 사용을 클릭합니다.Click Enabled
  5. [옵션] 섹션에서 [모듈 이름] 옆의 표시를 클릭합니다.In the Options section, click on Show next to Module Names
  6. 팝업 창에 \*를 입력합니다.Type \* in the pop up window. 이렇게 하면 PowerShell에서 모든 모듈의 명령을 기록합니다.This instructs PowerShell to log commands from all modules.
  7. 확인을 클릭하여 정책을 설정합니다.Click OK to set the policy
  8. PowerShell 스크립트 블록 로깅 켜기를 두 번 클릭합니다.Double click on Turn on PowerShell Script Block Logging
  9. 사용을 클릭합니다.Click Enabled
  10. 확인을 클릭하여 정책을 설정합니다.Click OK to set the policy
  11. (도메인에 가입된 컴퓨터만 해당) gpupdate를 실행하거나 그룹 정책에서 업데이트된 정책을 처리하고 설정을 적용할 때까지 기다립니다.(On domain-joined machines only) Run gpupdate or wait for Group Policy to process the updated policy and apply the settings

그룹 정책을 통해 시스템 차원의 PowerShell 기록을 사용하도록 설정할 수도 있습니다.You can also enable system-wide PowerShell transcription through Group Policy.

다음 단계Next steps

역할 기능 파일 만들기Create a role capability file

세션 구성 파일 만들기Create a session configuration file

참고 항목See also

PowerShell 원격 및 WinRM 보안에 대한 추가 정보Additional information about PowerShell Remoting and WinRM security

보안에 관한 PowerShell ♥ the Blue Team(PowerShell ♥ Blue Team) 블로그 게시물PowerShell ♥ the Blue Team blog post on security