Windows XP 보안 가이드
5장: 독립 실행형 Windows XP 클라이언트 보안 설정
업데이트 날짜: 2005년 10월 20일
이 페이지에서
개요
Windows NT 4.0 도메인의 Windows XP
로컬 그룹 정책 개체 설정
Windows XP로 보안 템플릿 가져오기
요약
개요
Active Directory® 디렉터리 서비스 기반 도메인에 속하지 않는 Microsoft® Windows® XP Professional 기반 컴퓨터에서는 독특한 몇 가지 관리 문제가 나타납니다. 이 장에서는 이 가이드의 이전 장들에서 권장된 정책 설정을 가장 효과적으로 적용하고 관리하는 방법을 소개합니다. 규정된 정책 설정을 사용하면 Windows XP Professional이 실행되는 조직의 독립 실행형 데스크톱 및 랩톱 컴퓨터를 보다 안전하게 유지할 수 있습니다. 이러한 설정은 로컬 관리자를 비롯하여 클라이언트 컴퓨터에 로그온한 모든 사용자에게 적용되는 로컬 정책을 통해 적용됩니다.
이 장에서 Windows XP에서 사용 가능한 모든 정책 설정에 대한 지침을 제공하지는 않습니다. 그러나 규정된 정책 설정은 최신의 위협으로부터 작업 환경을 안전하게 보호하고 사용자들이 컴퓨터를 계속 사용하는 데 도움이 됩니다. 정책 설정을 적용할 때는 조직의 보안 목표를 고려해야 합니다.
Windows NT 4.0 도메인의 Windows XP
Active Directory 도메인 환경이 아닌 환경에 있는 Windows XP 클라이언트 컴퓨터의 특수한 예로 Microsoft Windows NT® 4.0 도메인에 있는 Windows XP 기반 컴퓨터가 있습니다. 이러한 환경에서는 Windows XP 클라이언트가 독립 실행형 컴퓨터로 간주되며 중앙의 한 위치에서 정책 설정을 관리할 수 없으므로 더 많은 관리 오버헤드가 발생합니다. 따라서 Windows NT 4.0 기반 도메인 컨트롤러 SP6a(서비스 팩 6a)와 최신 업데이트를 설치하는 것이 좋습니다. Windows NT 4.0 SP6a에는 NTLM 인증을 위한 다양한 업데이트가 포함되어 있습니다. 이러한 업데이트가 없으면 Windows NT 4.0 기반 도메인에 있는 Windows XP 기반 컴퓨터에 도메인 또는 네트워크 연결 및 통신 문제점이 발생할 수 있습니다. 관리자는 업데이트가 있는지 자주 확인해야 합니다.
Windows XP Professional은 이전 버전의 Windows보다 더 많은 정책 설정을 제공하므로 사용자 및 컴퓨터 설정을 보다 유연하게 사용자 지정할 수 있습니다. Windows XP Professional에서는 Windows 2000 Professional에 제공되었던 것 외에도 수백 가지의 로컬 정책 설정이 새로 추가되었습니다. 로컬 정책은 데스크톱 컴퓨터를 잠그고 미세 조정할 수 있는 강력한 관리 기능이며 사용자 지정된 다양한 시나리오를 사용할 수 있습니다. 도메인 관리자는 도메인에 가입된 모든 클라이언트 컴퓨터에서 로컬 Administrators 그룹의 구성원이 됩니다. 따라서 Windows XP 클라이언트 컴퓨터는 속해 있는 도메인의 보안 수준이 적용됩니다.
레거시 환경의 Windows XP 클라이언트 컴퓨터는 3장 "Windows XP 클라이언트용 보안 설정"의 수정된 보안 템플릿 버전을 사용하여 Windows NT 4.0 도메인 컨트롤러와 통신할 수 있습니다. 이러한 정책 설정은 이 장 뒷부분에 설명되는 스크립트를 통해 적용됩니다.
Windows NT 4.0 도메인 컨트롤러와 통신하려면 컴퓨터 구성\Windows 설정\보안 설정\로컬 정책\보안 옵션에서 다음 정책 설정을 수정합니다.
도메인 구성원: 고급 세션 키 요청(Windows 2000 이상) 사용 안 함
Microsoft 네트워크 클라이언트: 디지털 서명 통신(항상) – 사용 안 함
이 정책 설정은 이 가이드에 포함되어 있는 레거시 클라이언트 보안 템플릿에 미리 구성되어 있습니다.
로컬 그룹 정책 개체 설정
Windows XP Professional 운영 체제마다 LGPO(로컬 그룹 정책 개체)가 하나씩 있습니다. 그룹 정책 개체 편집기를 사용하거나 스크립트를 사용하여 수동으로 LGPO에 정책 설정을 적용합니다. LGPO에는 특히 보안 설정 아래에 포함되어 있는 설정 수가 도메인 기반 GPO에 비해 적습니다. LGPO는 독립 실행형 클라이언트로 구성될 경우 폴더 리디렉션, 원격 설치 서비스 또는 그룹 정책 소프트웨어 설치를 지원하지 않지만 이러한 컴퓨터에서 LGPO를 사용하여 보안 작업 환경을 제공할 수 있습니다.
다음 표에서는 그룹 정책 스냅인이 LGPO를 중심으로 구성되는 경우 열리는 그룹 정책 스냅인 확장을 보여 줍니다.
표 5.1 그룹 정책 스냅인 확장
그룹 정책 스냅인 확장 | LGPO에서 사용 가능 |
---|---|
소프트웨어 설치 | 아니요 |
스크립트 | 예 |
보안 설정 | 예 |
관리 템플릿 | 예 |
폴더 리디렉션 | 아니요 |
Internet Explorer 유지 관리 | 예 |
원격 설치 서비스 | 아니요 |
<p> </p>
영역 이름 | Description |
---|---|
SECURITYPOLICY | 계정 정책, 감사 정책, 이벤트 로그 설정 및 보안 옵션을 포함합니다. |
GROUP_MGMT | 제한된 그룹 설정을 포함합니다. |
USER_RIGHTS | 사용자 권한 할당 설정을 포함합니다. |
REGKEYS | 레지스트리 권한을 포함합니다. |
FILESTORE | 파일 시스템 권한을 포함합니다. |
SERVICES | 시스템 서비스 설정을 포함합니다. |
REM Script for Securing Stand-Alone Windows XP Client Computers REM REM Name: Standalone-EC-Desktop.cmd REM Version: 2.0
REM This CMD file provides the proper secedit.exe syntax for importing REM the security policy for a secure stand-alone Windows XP desktop REM client computer. Please read the entire guide before using this REM CMD file.
REM Resets the Policy to Default Values secedit.exe /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose
REM Sets the Account Settings secedit.exe /configure /db "XP Default Security.sdb" /cfg "Standalone-EC-Account.inf" /overwrite /quiet
REM Sets the Security Settings secedit.exe /configure /db "XP Default Security.sdb" /cfg "EC-Desktop.inf"
REM Deletes the Shared Folder
reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
MyComputer\NameSpace\DelegateFolders
{59031a47-3f72-44a7-89c5-5595fe6b30ee}" /f
REM Updates the Local Policy gpupdate.exe /force
다음 표는 이 가이드에 포함되어 있는 스크립트와 관련된 파일을 보여 줍니다. 환경마다 데스크톱 및 랩톱 클라이언트 컴퓨터용 파일이 따로 있습니다.
**표 5.3 독립 실행형 스크립트 및 파일**
<p> </p>
<table style="border:1px solid black;">
<colgroup>
<col width="50%" />
<col width="50%" />
</colgroup>
<thead>
<tr class="header">
<th style="border:1px solid black;" >스크립트 및 파일 이름</th>
<th style="border:1px solid black;" >Description</th>
</tr>
</thead>
<tbody>
<tr class="odd">
<td style="border:1px solid black;">Standalone-EC-Desktop.cmd</td>
<td style="border:1px solid black;">데스크톱 클라이언트 컴퓨터에서 엔터프라이즈 클라이언트 정책을 설정하는 데 사용되는 독립 실행형 스크립트입니다.</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">Standalone-EC-Laptop.cmd</td>
<td style="border:1px solid black;">랩톱 클라이언트 컴퓨터에서 엔터프라이즈 클라이언트 정책을 설정하는 데 사용되는 독립 실행형 스크립트입니다.</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">Standalone-SSLF-Desktop.cmd</td>
<td style="border:1px solid black;">데스크톱 클라이언트 컴퓨터에서 특수 보안 - 기능 제한 정책을 설정하는 데 사용되는 독립 실행형 스크립트입니다.</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">Standalone-SSLF-Laptop.cmd</td>
<td style="border:1px solid black;">랩톱 클라이언트 컴퓨터에서 특수 보안 - 기능 제한 정책을 설정하는 데 사용되는 독립 실행형 스크립트입니다.</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">Standalone-EC-Account.inf</td>
<td style="border:1px solid black;">엔터프라이즈 클라이언트 계정 정책 템플릿입니다.</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">Standalone-SSLF-Account.inf</td>
<td style="border:1px solid black;">특수 보안 – 기능 제한 계정 정책 템플릿입니다.</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">EC-Desktop.inf</td>
<td style="border:1px solid black;">데스크톱 클라이언트 컴퓨터용 엔터프라이즈 클라이언트 보안 템플릿입니다.</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">EC-Laptop.inf</td>
<td style="border:1px solid black;">랩톱 클라이언트 컴퓨터용 엔터프라이즈 클라이언트 보안 템플릿입니다.</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">SSLF-Desktop.inf</td>
<td style="border:1px solid black;">데스크톱 클라이언트 컴퓨터용 특수 보안 - 기능 제한 템플릿입니다.</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">SSLF-Laptop.inf</td>
<td style="border:1px solid black;">랩톱 클라이언트 컴퓨터용 특수 보안 - 기능 제한 템플릿입니다.</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">XP Default Security.sdb</td>
<td style="border:1px solid black;">기본 정책 데이터베이스입니다.</td>
</tr>
</tbody>
</table>
**표 5.4 레거시 스크립트 및 파일**
<p> </p>
<table style="border:1px solid black;">
<colgroup>
<col width="50%" />
<col width="50%" />
</colgroup>
<thead>
<tr class="header">
<th style="border:1px solid black;" >스크립트 및 파일 이름</th>
<th style="border:1px solid black;" >Description</th>
</tr>
</thead>
<tbody>
<tr class="odd">
<td style="border:1px solid black;">Legacy-EC-Desktop.cmd</td>
<td style="border:1px solid black;">데스크톱 클라이언트 컴퓨터에서 엔터프라이즈 클라이언트 정책을 설정하는 데 사용되는 레거시 스크립트입니다.</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">Legacy-EC-Laptop.cmd</td>
<td style="border:1px solid black;">랩톱 클라이언트 컴퓨터에서 엔터프라이즈 클라이언트 정책을 설정하는 데 사용되는 레거시 스크립트입니다.</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">Legacy-SSLF-Desktop.cmd</td>
<td style="border:1px solid black;">데스크톱 클라이언트 컴퓨터에서 특수 보안 - 기능 제한 정책을 설정하는 데 사용되는 레거시 스크립트입니다.</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">Legacy-SSLF-Laptop.cmd</td>
<td style="border:1px solid black;">랩톱 클라이언트 컴퓨터에서 특수 보안 - 기능 제한 정책을 설정하는 데 사용되는 레거시 스크립트입니다.</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">Legacy-EC-Account.inf</td>
<td style="border:1px solid black;">레거시 엔터프라이즈 계정 정책 템플릿입니다.</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">Legacy-SSLF-Account.inf</td>
<td style="border:1px solid black;">레거시 특수 보안 – 기능 제한 계정 정책 템플릿입니다.</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">Legacy-EC-Desktop.inf</td>
<td style="border:1px solid black;">레거시 데스크톱 클라이언트 컴퓨터용 엔터프라이즈 클라이언트 보안 템플릿입니다.</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">Legacy-EC-Laptop.inf</td>
<td style="border:1px solid black;">레거시 랩톱 클라이언트 컴퓨터용 엔터프라이즈 클라이언트 보안 템플릿입니다.</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">Legacy-SSLF-Desktop.inf</td>
<td style="border:1px solid black;">레거시 데스크톱 클라이언트 컴퓨터용 특수 보안 - 기능 제한 템플릿입니다.</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">Legacy-SSLF-Laptop.inf</td>
<td style="border:1px solid black;">레거시 랩톱 클라이언트 컴퓨터용 특수 보안 - 기능 제한 템플릿입니다.</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">XP Default Security.sdb</td>
<td style="border:1px solid black;">기본 정책 데이터베이스입니다.<br />
<strong>참고</strong>: 데이터베이스에는 쓰기 권한이 필요하며 읽기 전용으로 설정되어서는 안 됩니다.</td>
</tr>
</tbody>
</table>
[](#mainsection)[페이지 위쪽](#mainsection)
### 요약
Windows XP 로컬 정책은 Active Directory 도메인에 구성원이 아닌 Windows XP 시스템에 일관된 보안 정책 설정을 제공할 수 있는 유용한 방법입니다. 로컬 정책을 효과적으로 배포하려면 로컬 정책이 적용되는 방법을 잘 알고 있어야 하고, 모든 클라이언트 컴퓨터가 적절한 설정으로 구성되어야 하며, 해당 환경의 각 클라이언트 컴퓨터에 대해 적절한 보안을 정의해야 합니다.
#### 추가 정보
다음 링크에서는 Windows XP Professional 보안 관련 항목에 대한 추가 정보를 제공합니다.
- [보안 구성 관리자](https://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/serverhelp/74d8fed6-cf2f-4ba4-94f3-fc95bad914b0.mspx)에 대한 자세한 내용은 www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/
74d8fed6-cf2f-4ba4-94f3-fc95bad914b0.mspx를 참조하십시오.
- [Windows Server 2003 그룹 정책](https://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/featured/gp/default.mspx)에 대한 자세한 내용은 www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/
featured/gp/default.mspx를 참조하십시오.
- Windows Server에서 그룹 정책 문제를 해결하는 방법에 대한 자세한 내용은 "[Microsoft Windows Server의 그룹 정책 문제 해결](https://www.microsoft.com/download/details.aspx?familyid=b24bf2d5-0d7a-4fc5-a14d-e91d211c21b2&displaylang=en))" 백서(
www.microsoft.com/downloads/details.aspx?FamilyId=B24BF2D5-0D7A-4FC5-A14D-E91D211C21B2)를 참조하십시오.
- [그룹 정책 응용 프로그램 문제 해결](https://support.microsoft.com/default.aspx?scid=250842)에 대한 자세한 내용은 기술 자료 문서 250842(https://support.microsoft.com/default.aspx?scid=250842)를 참조하십시오.
- [보안 도구](https://www.microsoft.com/technet/security/tools/) 및 검사 목록에 대한 자세한 내용은 www.microsoft.com/technet/security/tools/를 참조하십시오.
- [Active Directory 및 SYSVOL에서 그룹 정책 개체를 식별하는 방법](https://support.microsoft.com/default.aspx?scid=216359)에 대한 자세한 내용은 기술 자료 문서 216359(https://support.microsoft.com/default.aspx?scid=216359)를 참조하십시오.
- [관리 템플릿의 역할](https://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/adminad.mspx)에 대한 자세한 내용은 www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/adminad.mspx를 참조하십시오.
##### 다운로드
[![](images/Cc163078.icon_exe(ko-kr,TechNet.10).gif)Windows XP 보안 가이드 다운로드](https://go.microsoft.com/fwlink/?linkid=14840)
[](#mainsection)[페이지 위쪽](#mainsection)