Windows XP 보안 가이드
1장: Windows XP 보안 설명서 소개
업데이트 날짜: 2005년 10월 20일
이 페이지에서
개요
요약
설명서가 필요한 사용자
가이드의 범위
장 개요
콘텐트 다운로드
스타일 규칙
요약
개요
Windows XP 보안 가이드에 오신 것을 환영합니다. 이 가이드는 사용자 환경의 Microsoft® Windows® XP Professional SP2(서비스 팩 2)에 고유하게 나타나는 보안 위험을 평가하고 측정하는 데 사용할 수 있는 최상의 정보를 제공하도록 작성되었습니다. 이 가이드의 장들은 작업 환경에서 확인된 위협 요인들을 해결하기 위해 Windows XP의 향상된 보안 설정 및 기능을 구성하는 방법을 자세히 설명합니다. Windows XP 환경에서 작업하는 컨설턴트, 디자이너, 시스템 엔지니어의 경우 이 가이드의 내용을 특히 유념해야 합니다.
Microsoft 엔지니어 팀, 컨설턴트, 지원 엔지니어, 파트너 업체 및 고객들은 이 가이드의 정보를 검토하고 다음과 같은 승인했습니다.
검증. 현장 경험을 기반으로 검증되었습니다.
신뢰성. 적용 가능한 최상의 조언을 제공합니다.
정확성. 기술적인 검증과 테스트를 거쳤습니다.
실용성. 성공적인 작업 수행을 위한 단계를 제공합니다.
적합성. 실제 보안 문제를 해결해줍니다.
클라이언트 및 서버 컴퓨터의 보안을 유지하는 최상의 방법은 다양한 환경에서 Windows XP Professional, Microsoft Windows Server™ 2003 및 Windows 2000을 구현해본 경험이 있는 컨설턴트 및 시스템 엔지니어를 통해 개발되었으며 이 가이드에 자세히 설명되어 있습니다. 또한 조직에서 Windows XP Professional SP2가 실행되는 컴퓨터의 보안을 극대화하기 위한 단계별 보안 조치, 절차 및 권장 사항도 포함되어 있습니다.
이 가이드에 소개된 기본 개념에 대한 보다 자세한 설명을 보려면 Threats and Countermeasures: Security Settings in Windows Server 2003 and Windows XP, Microsoft Windows XP Resource Kit, Microsoft Windows Server 2003 Resource Kit, Microsoft Windows Security Resource Kit 및 Microsoft TechNet을 참조하십시오.
이 가이드는 원래 Windows XP SP1용으로 제작되었습니다. 본 업데이트 버전은 Windows XP SP2가 제공하는 보안 향상 기능을 소개하며 Windows XP Professional SP2 실행 컴퓨터를 사용하여 개발 및 테스트되었습니다. 이 가이드에서 지칭된 모든 Windows XP는 다른 설명이 없는 한 Windows XP SP2를 나타냅니다.
요약
어떠한 환경에서 작업하든 보안 문제는 아주 중요하게 생각해야 합니다. 많은 조직들은 IT(정보 기술) 환경의 가치를 과소평가하고 있으며 그로 인해 상당한 간접 비용을 고려하지 않고 있습니다. 조직의 서버에 심각한 공격이 가해지면 전체 조직이 엄청난 타격을 받을 수 있습니다. 예를 들어 웹 사이트를 사용할 수 없게 만들고 수입이나 고객 신뢰도에 큰 손상을 주는 보안 공격이 있었다면 조직의 수익이 크게 감소될 수 있습니다. 따라서 보안 비용을 평가할 때 IT 기능 손실 비용 외에도 보안 공격과 관련된 간접 비용을 반드시 포함시켜야 합니다.
보안과 관련된 취약성, 위험 및 노출을 분석하면 네트워킹 환경의 모든 컴퓨터 시스템에 적용되는 보안과 사용의 편리함 사이에서 균형을 유지할 수 있습니다. 이 가이드는 Windows XP SP2에서 사용할 수 있는 주요 보안 관련 대책, 이러한 대책을 통해 해결할 수 있는 보안 취약점 및 각 대책을 구현했을 때 나타날 수 있는 부정적 결과를 다룹니다.
그런 다음 다음의 세 가지 일반적인 환경에서 Windows XP SP2를 실행하는 컴퓨터의 보안 강화를 위해 권장되는 작업에 대해 설명합니다.
EC(엔터프라이즈 클라이언트). 이 환경의 클라이언트 컴퓨터는 Active Directory® 디렉터리 서비스 도메인에 속하며 Windows 2000 이상의 Windows 운영 체제가 실행되는 시스템과만 통신하면 됩니다.
SA(독립 실행형). 이 환경의 클라이언트 컴퓨터는 Active Directory 도메인에 속하지 않으며 Windows NT® 4.0 실행 시스템과 통신해야 할 수 있습니다.
SSLF(특수 보안 – 기능 제한). 이 환경에서는 보안이 상당히 중요하므로 기능 및 관리 효율성 측면을 상당 부분 포기해야 합니다. 예를 들어 군사 기관 및 정보 기관의 컴퓨터는 이러한 유형의 환경에서 사용됩니다.
이 가이드는 사용자가 조직의 Windows XP SP2 실행 컴퓨터에 적합한 설정을 결정하는 데 필요한 정보를 빠르게 찾을 수 있도록 구성되어 있습니다. 이 가이드는 엔터프라이즈 고객을 위해 작성되었지만 어떠한 규모의 조직에서도 유용하게 활용하실 수 있습니다.
이 자료를 최대한 활용하려면 전체 가이드를 모두 읽어 보아야 합니다. 이 가이드에서 제공하는 자료를 통해 흥미롭고 유용한 정보를 습득하시기 바랍니다. 자세한 내용은 관련 가이드인 위협 및 대책: Windows Server 2003 및 Windows XP의 보안 설정을 참조하십시오. 이 가이드는 https://www.microsoft.com/korea/technet/security/topics/serversecurity/tcg/tcgch00.mspx에서 다운로드할 수 있습니다.
설명서가 필요한 사용자
이 가이드는 엔터프라이즈 환경에서 Windows XP 워크스테이션 응용 프로그램이나 인프라의 개발 및 배포를 계획하는 컨설턴트, 보안 전문가, 시스템 설계자 및 IT 전문가를 주요 대상으로 하며 개인 사용자를 대상으로 하지 않습니다. 또한 이 가이드는 다음과 같은 작업 역할을 담당하는 개인을 위해 작성되었습니다.
조직에서 컴퓨터의 아키텍처 업무를 주도하는 시스템 설계자 및 계획자
조직의 컴퓨팅 플랫폼에 대한 보안을 담당하는 IT 보안 전문가
비즈니스 목적 및 요구에 따라 IT 데스크톱 또는 랩톱 지원이 필요한 업무 분석가 및 BDM(업무 결정권자)
대기업 고객 및 협력업체용 전송 도구에 대해 알고 있어야 하는 Microsoft 서비스와 협력업체의 컨설턴트
기술 및 준비
엔터프라이즈 조직에서 Windows XP 클라이언트 컴퓨터를 개발 및 배포하고 보안을 설정하는 관리자 및 설계자에게는 다음과 같은 지식과 기술이 필요합니다.
MCSE 2000 이상의 자격증 및 2년 이상의 보안 관련 경험
조직의 도메인 및 Active Directory 환경에 대한 해박한 지식
MMC, Secedit, Gpupdate 및 Gpresult를 비롯한 관리 도구 사용 권한
그룹 정책 관리 경험.
엔터프라이즈 환경에서 응용 프로그램 및 클라이언트 컴퓨터를 배포해 본 경험
가이드의 범위
이 가이드는 Windows XP Professional SP2가 실행되는 데스크톱 및 랩톱을 위한 보안 환경을 만들고 유지 관리하는 방법을 중점적으로 다룹니다. 또한 세 가지 다른 환경에서 보안을 유지하는 방법과 이러한 보안 설정으로 각 환경에 배포된 데스크톱 및 랩톱 컴퓨터의 어떠한 문제를 해결할 수 있는지에 대해 설명합니다. EC(엔터프라이즈 클라이언트), SA(독립 실행형) 및 SSLF(특수 보안 - 기능 제한) 환경을 위한 정보가 제공됩니다.
특별히 권장되지 않는 설정은 이 가이드에 포함되어 있지 않습니다. Windows XP의 모든 보안 설정을 자세히 살펴 보려면 관련 가이드인 위협 및 대책: Windows Server 2003 및 Windows XP의 보안 설정(https://www.microsoft.com/korea/technet/security/topics/serversecurity/tcg/tcgch00.mspx)을 참조하십시오.
엔터프라이즈 클라이언트
EC(엔터프라이즈 클라이언트) 환경은 Windows 2000 또는 Windows Server 2003 Active Directory 도메인으로 구성됩니다. 이 환경의 클라이언트 컴퓨터는 사이트, 도메인 및 OU(조직 구성 단위)에 적용되는 그룹 정책을 통해 관리됩니다. 그룹 정책은 해당 환경의 보안 정책을 중앙에서 관리하기 위한 방법을 제공합니다.
독립 실행형 클라이언트 환경
SA(독립 실행형 클라이언트) 환경에는 도메인에 가입할 수 없는 클라이언트 컴퓨터나 Windows NT 4.0 도메인의 구성원 컴퓨터가 포함됩니다. 이러한 클라이언트 컴퓨터는 로컬 정책 설정을 통해 구성해야 합니다. 독립 실행형 컴퓨터의 관리는 Active Directory 기반 도메인에서 사용자 계정 및 정책을 관리하는 것보다 상당히 까다로울 수 있습니다.
특수 보안 – 기능 제한
SSLF(특수 보안 – 기능 제한) 환경에서는 클라이언트 컴퓨터에 대한 승격된 보안 설정을 제공합니다. 이러한 보안 정책을 적용하면 필요한 작업에 요구되는 특정 기능만 수행할 수 있게 사용자의 권한이 크게 제한될 수 있습니다. 허가된 응용 프로그램, 서비스 및 인프라 환경에만 액세스할 수 있습니다. SSLF 환경에 대한 보안 정책 설정은 군사 기관 및 정보 기관과 같은 극소수의 기관에 있는 일부 시스템에만 적용됩니다. 이러한 설정은 관리 효율성 및 사용 편리성보다는 보안에 치중합니다. 따라서 보안이 침해되었을 때 상당한 금전적 손실을 야기하거나 인명 피해를 가져올 수 있는 컴퓨터에서만 사용해야 합니다. 즉, 대부분의 조직에서는 SSLF 설정이 적절하지 않습니다.
장 개요
Windows XP SP2는 현재까지 보안 성능이 가장 뛰어난 Windows 클라이언트 운영 체제이며 향상된 보안 및 개인 정보 보호 기능을 갖추고 있습니다. Windows XP의 전반적인 보안이 향상되어 조직 구성원들이 안전한 보안 컴퓨팅 환경에서 작업할 수 있게 되었습니다. Windows XP 보안 가이드는 7개의 장으로 구성되며 2-6장에서는 이러한 환경을 만드는 데 필요한 절차를 설명합니다. 각 장은 Windows XP 기반 컴퓨터의 보안 설정을 위해 설계된 종단 간 프로세스를 기반으로 합니다.
1장: Windows XP 보안 가이드 소개
이 장에는 본 가이드의 개요, 대상 사용자, 가이드에서 다룬 문제점 및 가이드의 전체적인 목적 등이 포함되어 있습니다.
2장: Active Directory 도메인 인프라 구성
그룹 정책을 사용하여 Windows Server 2003 및 Windows 2000 도메인의 사용자 및 컴퓨터 환경을 관리할 수 있습니다. 그룹 정책은 Windows XP 보안에 반드시 필요한 도구로, 중앙의 한 위치에서 네트워크 전체에 일관된 보안 정책을 적용하고 유지 관리할 수 있습니다. 이 장에서는 Windows XP 클라이언트 컴퓨터에 그룹 정책을 적용하기 전에 도메인에서 수행해야 하는 준비 단계에 대해 설명합니다.
그룹 정책 설정은 도메인 컨트롤러의 GPO(그룹 정책 개체)에 저장되며 GPO는 Active Directory 구조의 컨테이너, 사이트, 도메인 및 OU(조직 구성 단위)와 연결됩니다. 그룹 정책은 Active Directory와 긴밀하게 통합되므로 그룹 정책을 구현하기 전에 Active Directory 구조와 보안 구현에 대한 기본적인 이해가 필요합니다.
3장: Windows XP 클라이언트용 보안 설정
이 장에서는 Windows 2000 또는 Windows Server 2003 Active Directory 도메인에서 그룹 정책을 통해 설정할 수 있는 Windows XP 클라이언트 컴퓨터용 보안 설정에 대해 설명합니다. 사용 가능한 모든 설정에 대한 지침이 제공되지는 않으며 최근에 나타나는 대부분의 위협으로부터 환경을 보호하는 데 도움이 되는 설정만 제공됩니다. 또한 사용자들은 보안 설정을 수행하면서 컴퓨터에서 일반적인 작업을 계속 진행할 수 있습니다. 이러한 설정은 조직의 보안 목표에 맞게 구성해야 합니다.
4장: Windows XP용 관리 템플릿
이 장에서는 관리 템플릿을 사용하여 Windows XP에 추가할 수 있는 설정에 대해 설명합니다. 관리 템플릿은 여러 서비스, 응용 프로그램 및 운영 체제 구성 요소의 동작을 제어하는 레지스트리 기반 설정을 구성하는 데 사용할 수 있는 유니코드 파일입니다. Windows XP에서 사용할 수 있는 많은 관리 템플릿이 있으며 각 관리 템플릿은 수많은 설정을 포함합니다.
5장: 독립 실행형 Windows XP 클라이언트 보안
이 가이드에 포함된 대부분의 내용이 EC(엔터프라이즈 클라이언트)와 SSLF(특수 보안 – 기능 제한) 환경을 중점적으로 다루지만 이 장에서는 독립 실행형 Windows XP 클라이언트 컴퓨터의 구성에 대해서도 소개합니다. Windows XP를 Active Directory 도메인 인프라에 배포하는 것이 좋지만 항상 가능한 것은 아닙니다. 이 장에서는 Windows 2000 또는 Windows Server 2003 도메인에 속하지 않은 Windows XP SP2 클라이언트 컴퓨터에 권장 구성을 적용하는 방법을 설명합니다.
6장: Windows XP 클라이언트에 대한 소프트웨어 제한 정책
이 장에서는 관리자에게 도메인에서 실행될 수 있는 소프트웨어를 식별 및 제한할 수 있는 정책 기반 메커니즘을 제공하는 소프트웨어 제한 정책의 기본 사항을 대략적으로 설명합니다. 관리자는 소프트웨어 제한 정책을 사용하여 원치 않는 프로그램이 실행되지 않도록 하며 바이러스, 트로이 목마 또는 기타 악의적인 코드가 확산되지 않도록 방지할 수 있습니다. 소프트웨어 제한 정책은 Active Directory 및 그룹 정책과 완전하게 통합되며 로컬 컴퓨터에만 적용될 경우에는 Windows Server 2003 도메인 인프라가 없는 환경에서도 사용할 수 있습니다.
7장: 결론
마지막 장에서는 이전 장에서 다룬 내용을 간단히 살펴 보면서 가이드의 핵심 사항을 검토합니다.
부록 A: 고려해야 할 중요한 설정
이 가이드에서는 여러 가지 보안 대책과 보안 설정을 다루지만 몇 가지 핵심 사항이 특히 중요하다는 사실을 이해해야 합니다. 이 부록에서는 Windows XP SP2가 실행되는 컴퓨터의 보안에 가장 큰 영향을 주는 설정에 대해 설명합니다.
부록 B: Windows XP 보안 가이드 테스트
이 부록에서는 Windows XP 보안 가이드의 지침이 적절한지 확인하기 위해 테스트 환경에서 어떠한 작업이 수행되었는지 설명합니다.
콘텐트 다운로드
이 가이드에는 조직에서 권장 대책을 보다 쉽게 평가, 테스트 및 구현하기 위한 보안 템플릿, 스크립트 및 추가 파일 모음이 포함되어 있습니다.
보안 템플릿은 도메인 기반 그룹 정책으로 가져올 수 있거나 MMC(Microsoft Management Console) 보안 구성 및 분석 스냅인을 사용하여 로컬로 적용할 수 있는 텍스트 파일입니다. 이러한 작업의 수행 방법을 설명하는 절차는 2장 "Active Directory 도메인 인프라 구성"에 자세히 나와 있습니다. 이 가이드에 포함되어 있는 스크립트를 사용하여 독립 실행형 워크스테이션에서 권장 대책을 구현할 수 있습니다.
또한 다운로드 콘텐츠에는 각 보안 템플릿에 포함된 설정을 설명하는 Microsoft Excel® 통합 문서 "Windows XP 보안 가이드 설정"도 포함되어 있습니다.
이 가이드와 함께 제공되는 파일들을 통틀어 도구 및 템플릿으로 나타냅니다. 이러한 파일은 이 가이드가 포함된 자동 압축 풀기 WinZip 보관 파일 내의 .msi 파일에 포함되어 있습니다. 이 Zip 파일은 Microsoft Download Center(https://go.microsoft.com/fwlink/?LinkId=14840)에서 다운로드할 수 있습니다. .msi 파일을 실행하면 지정한 위치에 다음 폴더 구조가 생성됩니다.
\Windows XP Security Guide Tools and Templates\Security Templates. 이 폴더에는 가이드 2장과 3장에 나오는 모든 보안 템플릿이 포함되어 있습니다. 또한 이 가이드의 모든 권장 사항을 요약하는 Excel 스프레드시트도 이 폴더에 포함되어 있습니다.
\Windows XP Security Guide Tools and Templates\SCE Update. 이 폴더에는 가이드 3장에 나오는 것처럼 보안 구성 편집기용 사용자 인터페이스를 자동으로 업데이트하기 위한 스크립트 및 데이터 파일이 포함되어 있습니다.
\Windows XP Security Guide Tools and Templates\Stand Alone Clients. 이 폴더에는 가이드 5장에 나오는 독립 실행형 컴퓨터의 보안 강화를 위해 사용되는 모든 샘플 스크립트와 템플릿이 포함되어 있습니다.
\Windows XP Security Guide Tools and Templates\Test Tools. 이 폴더에는 "부록 B: Windows XP 보안 가이드 테스트"와 관련된 도구가 포함되어 있습니다.
스타일 규칙
이 가이드에서는 다음과 같은 스타일 규칙을 사용합니다.
표 1.1: 스타일 규칙
| 요소 | 의미 |
|---|---|
| 굵게 | 명령, 스위치 및 파일 이름을 비롯한 문자를 표시된 그대로 나타냅니다. 사용자 인터페이스 요소도 굵게 표시됩니다. |
| 기울임꼴 | 책 및 기타 실제 발행물의 제목은 기울임꼴로 표시됩니다. |
| <기울임꼴> | 기울임꼴로 설정되고 꺾쇠 괄호로 묶인 자리 표시자 <filename>은 변수를 나타냅니다. |
|
코드 및 스크립트 샘플을 정의합니다. |
| 참고 | 보충 정보를 알려 줍니다. |
| 중요 | 필수적인 보충 정보를 알려 줍니다. |