Windows XP 보안 가이드
부록 A: 고려해야 할 중요한 설정
업데이트 날짜: 2005년 10월 20일
이 가이드에서는 여러 가지 보안 대책과 보안 설정을 다루지만 몇 가지 핵심 사항이 특히 중요하다는 사실을 이해해야 합니다. 이 부록에서는 이러한 설정을 중점적으로 소개합니다. 각 설정이 어떤 것이며 왜 중요한지 알려면 해당 장을 참조하십시오.
이 목록에 포함된 설정은 다각도로 논의될 수 있습니다. 실제로 이 항목은 Microsoft의 보안 전문가 그룹을 통해 장기간 논의되었습니다. 필요한 일부 설정이 누락되었거나 나열된 설정 중 일부는 목록에 포함시킬 필요가 없다고 생각하실 수 있습니다. 각 조직은 고유한 비즈니스 요구를 갖는 다른 환경을 보유하므로 보안 문제에 대해 다른 의견을 보일 수 있습니다. 그렇지만 Microsoft® Windows®에서 실행되는 컴퓨터의 보안 강화를 위해 수행하는 작업들의 우선 순위를 결정하는 데 이 목록이 도움이 될 수 있을 것입니다.
이 페이지에서
중요한 대응책
보안 설정과 관련이 없는 중요한 대응책으로는 다음을 들 수 있습니다.
테스트 및 배포용 자동화 도구를 갖춘 서비스 팩 및 핫픽스로 컴퓨터를 최신 상태로 유지합니다.
분산 방화벽 소프트웨어를 설치하고 조직의 IPSec 정책을 구성합니다.
바이러스 백신 소프트웨어를 배포하고 유지 관리합니다.
스파이웨어 백신 소프트웨어를 배포하고 유지 관리합니다.
일상적인 작업에는 권한이 없는 계정을 사용합니다. 승격된 권한이 있어야 수행할 수 있는 작업에만 관리자 권한이 있는 계정을 사용합니다.
핵심 보안 설정
Microsoft Windows에서 사용할 수 있는 핵심 보안 설정은 다음과 같습니다.
2장 "Active Directory 도메인 인프라 구성"에 나오는 암호 정책 설정
최근 암호 기억
최대 암호 사용 기간
최소 암호 길이
암호는 복잡할수록 좋습니다.
도메인 내의 모든 사용자에 대해 해독 가능한 암호화를 사용하여 암호 저장
3장 "Windows XP 클라이언트용 보안 설정"에 나오는 사용자 권한 할당 설정
네트워크에서 이 컴퓨터 액세스
운영 체제의일부로 작동
로컬 로그온 허용
터미널 서비스를 통한 로그온 허용
3장 "Windows XP 클라이언트용 보안 설정"에 나오는 보안 옵션 설정
계정: 콘솔 로그온 시 로컬 계정에서 빈 암호 사용 제한
도메인 구성원: 보안 채널 데이터를 디지털 암호화 또는 서명(항상)
도메인 구성원: 보안 채널 데이터를 디지털 암호화(가능하면)
도메인 구성원: 보안 채널 데이터를 디지털 서명(가능하면)
도메인 구성원: 고급 세션 키 요청(Windows 2000 또는 그 이상)
네트워크 액세스: 익명 SID/이름 변환 허용
네트워크 액세스: SAM 계정의 익명 열거 허용 안 함
네트워크 액세스: SAM 계정과 공유의 익명 열거 허용 안 함
네트워크 액세스: Everyone 사용 권한을 익명 사용자에게 적용
네트워크 액세스: 원격으로 액세스할 수 있는 레지스트리 경로
네트워크 액세스: 명명된 파이프와 공유에 대한 익명 액세스 제한
네트워크 액세스: 익명으로 액세스할 수 있는 공유
네트워크 액세스: 로컬 계정에 대한 공유 및 보안
네트워크 보안: 다음 암호 변경 시 Lan Manager 해시 값 저장 안 함
네트워크 보안: LAN Manager 인증 수준
다음을 비롯하여 3장 "Windows XP 클라이언트용 보안 설정"에 나오는 추가 레지스트리 설정
- 안전한 DLL 검색 모드