권한 있는 액세스 배포

이 문서에서는 안전한 계정, 워크스테이션 및 디바이스, 인터페이스 보안(조건부 액세스 정책 포함)을 포함하여 권한 있는 액세스 전략의 기술 구성 요소를 구현하는 방법을 설명합니다.

보안 수준 프로필 요약

이 지침에서 세 가지 보안 수준 모두에 대한 프로필을 모두 설정하고 권한 있는 액세스 보안 수준 지침에 따라 조직 역할을 할당해야 합니다. Microsoft는 RAMP(신속한 현대화 계획)에 설명된 순서대로 구성할 것을 권장합니다.

라이선스 요구 사항

이 가이드에서 다루는 개념은 사용자가 Microsoft 365 Enterprise E5 또는 이와 동등한 SKU를 가지고 있다고 가정합니다. 이 가이드의 일부 권장 사항은 낮은 SKU를 사용하여 구현할 수 있습니다. 자세한 내용은 Microsoft 365 Enterprise 라이선스를 참조하세요.

라이선스 프로비저닝을 자동화하려면 사용자에 대한 그룹 기반 라이선스를 고려합니다.

Azure Active Directory 구성

Azure AD(Azure Active Directory)는 관리자 워크스테이션의 사용자, 그룹, 디바이스를 관리합니다. 관리자 계정을 사용하여 ID 서비스 및 기능을 사용하도록 설정합니다.

안전한 워크스테이션 관리자 계정을 만들 때 현재 워크스테이션에 계정을 노출합니다. 초기 구성과 모든 전역 구성 작업을 수행하려면 알려진 안전한 디바이스를 사용해야 합니다. 첫 번째 환경에 대한 공격 노출을 줄이려면 guidance to prevent malware infections(맬웨어 감염 방지 지침)를 따르는 것이 좋습니다.

최소한 관리자에게는 다단계 인증이 필요합니다. 구현 지침은 조건부 액세스: 관리자용 MFA 필요를 참조하세요.

Azure AD 사용자 및 그룹

  1. Azure Portal에서 Azure Active Directory>사용자>새 사용자로 이동합니다.

  2. 사용자 만들기 자습서의 단계에 따라 디바이스 사용자를 만듭니다.

  3. 다음을 입력합니다.

    • 이름 - 안전한 워크스테이션 관리자
    • 사용자 이름 - secure-ws-user@contoso.com
    • 디렉터리 역할 - 제한된 관리자를 선택하고 Intune 관리자 역할을 선택합니다.
    • 사용 위치 - 예를 들어 영국 또는 원하는 위치가 목록을 형성합니다.
  4. 만들기를 선택합니다.

디바이스 관리자 사용자를 만듭니다.

  1. 다음을 입력합니다.

    • 이름 - 안전한 워크스테이션 관리자
    • 사용자 이름 - secure-ws-admin@contoso.com
    • 디렉터리 역할 - 제한된 관리자를 선택하고 Intune 관리자 역할을 선택합니다.
    • 사용 위치 - 예를 들어 영국 또는 원하는 위치가 목록을 형성합니다.
  2. 만들기를 선택합니다.

다음으로 4개의 그룹, 즉 안전한 워크스테이션 사용자, 안전한 워크스테이션 관리자, 응급 조정, 안전한 워크스테이션 디바이스를 만듭니다.

Azure Portal에서 Azure Active Directory>그룹>새 그룹으로 이동합니다.

  1. 워크스테이션 사용자 그룹의 경우 사용자에 대한 라이선스 프로비저닝을 자동화하도록 그룹 기반 라이선스를 구성하는 것이 좋습니다.

  2. 워크스테이션 사용자 그룹에 대해 다음을 입력합니다.

    • 그룹 유형 - 보안
    • 그룹 이름 - 안전한 워크스테이션 사용자
    • 멤버 자격 유형 - 할당됨
  3. 안전한 워크스테이션 사용자 secure-ws-user@contoso.com을 추가합니다.

  4. 안전한 워크스테이션을 사용할 다른 사용자를 추가할 수 있습니다.

  5. 만들기를 선택합니다.

  6. 권한 있는 워크스테이션 관리자 그룹의 경우 다음을 입력합니다.

    • 그룹 유형 - 보안
    • 그룹 이름 - 안전한 워크스테이션 관리자
    • 멤버 자격 유형 - 할당됨
  7. 안전한 워크스테이션 사용자 secure-ws-admin@contoso.com을 추가합니다.

  8. 안전한 워크스테이션을 관리하는 다른 사용자를 추가할 수 있습니다.

  9. 만들기를 선택합니다.

  10. 응급 조정 그룹의 경우 다음을 입력합니다.

    • 그룹 유형 - 보안
    • 그룹 이름 - 응급 조정
    • 멤버 자격 유형 - 할당됨
  11. 만들기를 선택합니다.

  12. 그룹에 응급 액세스 계정을 추가합니다.

  13. 워크스테이션 디바이스 그룹의 경우 다음을 입력합니다.

    • 그룹 유형 - 보안
    • 그룹 이름 - 안전한 워크스테이션
    • 멤버 자격 유형 - 동적 디바이스
    • 동적 멤버 자격 규칙 - (device.devicePhysicalIds -any _ -contains "[OrderID]:PAW")
  14. 만들기를 선택합니다.

Azure AD 디바이스 구성

Azure AD에 디바이스를 조인할 수 있는 사용자 지정

Active Directory에서 디바이스 설정을 구성하여 관리 보안 그룹이 사용자의 도메인에 디바이스를 조인할 수 있도록 합니다. Azure Portal에서 해당 설정을 구성하려면 다음을 수행합니다.

  1. Azure Active Directory>디바이스>디바이스 설정으로 이동하세요.
  2. 사용자가 디바이스를 Azure AD에 조인할 수 있습니다 아래의 선택됨을 선택한 다음 “안전한 워크스테이션 사용자” 그룹을 선택합니다.

로컬 관리자 권한 제거

이 방법을 사용하려면 VIP, DevOps, 권한 있는 워크스테이션의 사용자에게 머신에 대한 관리자 권한이 없어야 합니다. Azure Portal에서 해당 설정을 구성하려면 다음을 수행합니다.

  1. Azure Active Directory>디바이스>디바이스 설정으로 이동하세요.
  2. Azure AD 조인 디바이스의 추가 로컬 관리자 아래의 없음을 선택합니다.

로컬 관리자 그룹의 멤버를 관리하는 방법에 대한 자세한 내용은 Azure AD 조인 디바이스에서 로컬 관리자 그룹을 관리하는 방법을 참조하세요.

디바이스 조인을 위한 다단계 인증 요구

Azure AD에 디바이스를 조인하는 프로세스를 더욱 강화하려면 다음을 수행합니다.

  1. Azure Active Directory>디바이스>디바이스 설정으로 이동하세요.
  2. 디바이스를 조인하려면 다단계 인증 필요 아래에서 를 선택합니다.
  3. 저장을 선택합니다.

모바일 디바이스 관리 구성

Azure 포털에서 다음을 수행합니다.

  1. Azure Active Directory>모바일(MDM 및 MAM)>Microsoft Intune으로 이동합니다.
  2. MDM 사용자 범위 설정을 모두로 변경합니다.
  3. 저장을 선택합니다.

이러한 단계를 통해 Microsoft Endpoint Manager로 모든 디바이스를 관리할 수 있습니다. 자세한 내용은 Intune 빠른 시작: Windows 10 디바이스에 대한 자동 등록 설정을 참조하세요. 이후 단계에서 Intune 구성 및 규정 준수 정책을 만듭니다.

Azure AD 조건부 액세스

Azure AD 조건부 액세스를 사용하면 권한 있는 관리 작업을 규격 디바이스로 제한할 수 있습니다. 안전한 워크스테이션 사용자 그룹의 미리 정의된 멤버는 클라우드 애플리케이션에 로그인할 때 다단계 인증을 수행해야 합니다. 모범 사례는 정책에서 응급 액세스 계정을 제외하는 것입니다. 자세한 내용은 Azure AD에서 응급 액세스 관리자 계정 관리를 참조하세요.

안전한 워크스테이션에서만 Azure Portal에 액세스할 수 있도록 허용하는 조건부 액세스

조직은 권한 있는 사용자가 PAW가 아닌 디바이스에서 클라우드 관리 인터페이스, 포털 및 PowerShell에 연결할 수 없도록 차단해야 합니다.

권한이 없는 디바이스가 클라우드 관리 인터페이스에 액세스할 수 없도록 차단하려면 조건부 액세스: 디바이스 필터(미리 보기) 문서의 지침을 따르세요. 이 기능을 배포하는 동안 응급 액세스 계정 기능을 고려해야 합니다. 이러한 계정은 극단적인 경우에만 사용해야 하며 정책을 통해 계정을 관리해야 합니다.

참고

사용자 그룹을 만들고 조건부 액세스 정책을 무시할 수 있는 응급 사용자를 포함해야 합니다. 이 예제에서는 응급 조정이라고 불리는 보안 그룹이 있습니다.

이 정책 집합은 관리자가 특정 디바이스 특성 값을 표시할 수 있고, MFA가 충족되고, 디바이스가 Microsoft Endpoint Manager 및 엔드포인트용 Microsoft Defender 준수로 표시된 디바이스를 사용해야 합니다.

조직은 또한 환경에서 레거시 인증 프로토콜을 차단하는 것을 고려해야 합니다. 이 작업은 여러 방법으로 수행할 수 있습니다. 레거시 인증 프로토콜을 차단하는 방법에 대한 자세한 내용은 방법: 조건부 액세스를 사용하여 Azure AD에 대한 레거시 인증 차단 문서를 참조하세요.

Microsoft Intune 구성

디바이스 등록 거부 BYOD

이 샘플에서는 BYOD 디바이스를 허용하지 않는 것이 좋습니다. Intune BYOD 등록을 사용하면 사용자가 덜 신뢰하거나 신뢰하지 않는 디바이스를 등록할 수 있습니다. 그러나 새 디바이스를 구매할 예산이 제한된 조직에서 기존 하드웨어를 사용하거나 비 Windows 디바이스를 생각하는 경우 Intune의 BYOD 기능을 사용하여 Enterprise 프로필에 배포하는 것을 고려할 수 있습니다.

다음 지침에서는 BYOD 액세스를 거부하는 배포에 대한 등록을 구성합니다.

BYOD를 방지하는 등록 제한 설정

  1. Microsoft Endpoint Manager 관리 센터에서디바이스>등록 제한을> 선택하고 >모든 사용자 기본 제한을 선택합니다.
  2. 속성> 플랫폼 설정 편집 선택
  3. Windows MDM을 제외한 모든 형식에 대해 차단을 선택합니다.
  4. 개인적으로 소유한 모든 항목에 대해 차단을 선택합니다.

Autopilot 배포 프로필 만들기

디바이스 그룹을 만든 후 Autopilot 디바이스를 구성하기 위해 배포 프로필을 만들어야 합니다.

  1. Microsoft Endpoint Manager 관리 센터에서 디바이스 등록>Windows 등록>배포 프로필>프로필 만들기를 차례로 선택합니다.

  2. 다음을 입력합니다.

    • 이름 - 안전한 워크스테이션 배포 프로필.
    • 설명 - 안전한 워크스테이션 배포.
    • 모든 대상 디바이스를 Autopilot으로 변환로 설정합니다. 이렇게 설정하면 목록의 모든 디바이스가 Autopilot 배포 서비스를 사용하여 등록됩니다. 등록을 처리하는 데 48시간 정도가 걸립니다.
  3. 다음을 선택합니다.

    • 배포 모드의 경우 자체 배포(미리 보기)를 선택합니다. 해당 프로필이 있는 디바이스는 디바이스를 등록한 사용자와 연결됩니다. 배포하는 동안 자체 모드 기능을 사용하여 다음을 포함하는 것이 좋습니다.
      • Intune Azure AD 자동 MDM 등록에 디바이스를 등록하고 디바이스에서 모든 정책, 애플리케이션, 인증서, 네트워킹 프로필을 프로비저닝할 때까지만 디바이스에 액세스할 수 있도록 허용합니다.
      • 디바이스를 등록하려면 사용자 자격 증명이 필요합니다. 자체 배포 모드에서 디바이스를 배포하면 공유 모델에 랩톱을 배포할 수 있습니다. 디바이스가 처음으로 사용자에게 할당될 때까지 사용자 할당은 발생하지 않습니다. 따라서 사용자 할당이 완료될 때까지는 BitLocker와 같은 사용자 정책을 사용하도록 설정되지 않습니다. 보안 디바이스에 로그온하는 방법에 대한 자세한 내용은 선택한 프로필을 참조하세요.
    • 언어(지역), 사용자 계정 유형 표준을 선택합니다.
  4. 다음을 선택합니다.

    • 항목을 미리 구성한 경우 범위 태그를 선택합니다.
  5. 다음을 선택합니다.

  6. 할당>할당 대상>선택한 그룹을 선택합니다. 포함할 그룹 선택에서 안전한 워크스테이션을 선택합니다.

  7. 다음을 선택합니다.

  8. 만들기를 선택하여 프로필을 만듭니다. 이제 Autopilot 배포 프로필을 디바이스에 할당할 수 있습니다.

Autopilot의 디바이스 등록은 디바이스 유형 및 역할에 따라 다양한 사용자 환경을 제공합니다. 배포 예제에서는 보안 디바이스를 대량으로 배포하고 공유할 수 있지만 처음 사용하는 경우에는 디바이스가 사용자에게 할당되는 모델을 설명합니다. 자세한 내용은 Intune Autopilot 디바이스 등록을 참조하세요.

등록 상태 페이지

ESP(등록 상태 페이지)는 새 디바이스가 등록된 후 프로비저닝 진행률을 표시합니다. 디바이스를 사용하기 전에 완전히 구성하기 위해 Intune은 모든 앱과 프로필이 설치될 때까지 디바이스 사용을 차단하는 수단을 제공합니다.

등록 상태 페이지 프로필을 만들고 할당

  1. Microsoft Endpoint Manager 관리 센터에서 디바이스>Windows>Windows 등록>등록 상태 페이지>프로필 만들기를 선택합니다.
  2. 이름설명을 제공합니다.
  3. 만들기를 선택합니다.
  4. 등록 상태 페이지 목록에서 새 프로필을 선택합니다.
  5. 앱 프로필 설치 진행률 표시로 설정합니다.
  6. 모든 앱 및 프로필이 설치될 때까지 디바이스 차단에서 를 설정합니다.
  7. 할당>선택 그룹 선택 그룹> 선택 Secure Workstation저장>선택>
  8. 설정을> 선택하여 이 프로필 >저장에 적용할 설정을 선택합니다.

Windows 업데이트 구성

Windows 10을 최신 상태로 유지하는 것은 사용자가 할 수 있는 가장 중요한 작업 중 하나입니다. Windows를 안전한 상태로 유지하기 위해 업데이트 링을 배포하여 업데이트가 워크스테이션에 적용되는 속도를 관리합니다.

이 지침에서는 새 업데이트 링을 만들고 다음과 같은 기본 설정을 변경하는 것이 좋습니다.

  1. Microsoft Endpoint Manager 관리 센터에서 디바이스>소프트웨어 업데이트>Windows 10 업데이트 링을 차례로 선택합니다.

  2. 다음을 입력합니다.

    • 이름 - Azure 관리형 워크스테이션 업데이트
    • 서비스 채널 - 반기 채널
    • 품질 업데이트 지연(일 ) - 3
    • 기능 업데이트 지연 기간(일) - 3
    • 자동 업데이트 동작 - 최종 사용자 제어 없이 자동 설치 및 다시 부팅
    • 사용자가 Windows 업데이트를 일시 중지하지 못하도록 차단 - 차단
    • 업무 시간 이외에 다시 시작하려면 사용자의 승인 필요 - 필수
    • 사용자가 다시 시작할 수 있도록 허용(개입형 다시 시작) - 필수
    • 자동 다시 시작 후 사용자를 개입형 다시 시작으로 전환(일) - 3
    • 개입형 다시 시작 알림 다시 알림(일) - 3
    • 보류 중인 다시 시작에 대한 최종 기한 설정(일) - 3
  3. 만들기를 선택합니다.

  4. 할당 탭에서 안전한 워크스테이션 그룹을 추가합니다.

Windows 업데이트 정책에 대한 자세한 내용은 정책 CSP - 업데이트를 참조하세요.

Intune에서 엔드포인트용 Microsoft Defender 통합

엔드포인트용 Microsoft Defender 및 Microsoft Intune은 함께 작동하여 보안 위반을 방지합니다. 위반의 영향을 제한할 수도 있습니다. ATP 기능은 실시간 위협 탐지 기능을 제공하고 엔드포인트 디바이스의 포괄적인 감사 및 로깅을 사용할 수 있도록 합니다.

엔드포인트용 Windows Defender 및 Microsoft Endpoint Manager의 통합을 구성하려면 다음을 수행합니다.

  1. Microsoft Endpoint Manager 관리 센터에서 엔드포인트 보안>Microsoft Defender ATP를 선택합니다.

  2. Windows Defender ATP 구성의 1단계에서 Windows Defender Security Center에서 Microsoft Intune Windows Defender ATP 연결을 선택합니다.

  3. Windows Defender 보안 센터에서 다음을 수행합니다.

    1. 설정>고급 기능을 선택합니다.
    2. Microsoft Intune 연결에서 켜기를 선택합니다.
    3. 기본 설정 저장을 선택합니다.
  4. 연결이 설정되면 Microsoft Endpoint Manager로 돌아가서 맨 위에 있는 새로 고침을 선택합니다.

  5. Windows 디바이스 버전(20H2) 19042.450 이상을 Windows Defender ATP에 연결켜기로 설정합니다.

  6. 저장을 선택합니다.

Windows 디바이스를 온보딩하는 디바이스 구성 프로필 만들기

  1. Microsoft Endpoint Manager 관리 센터에 로그인하고 엔드포인트 보안>엔드포인트 검색 및 응답>프로필 만들기를 선택합니다.

  2. 플랫폼에 대해 Windows 10 이상을 선택합니다.

  3. 프로필 유형에서 엔드포인트 검색 및 응답을 선택한 다음 만들기를 선택합니다.

  4. 기본 사항 페이지에서 이름 필드에 PAW - 엔드포인트용 Defender를 입력하고 프로필에 대해 설명(선택 사항)을 입력한 후 다음을 선택합니다.

  5. 구성 설정 페이지의 엔드포인트 검색 및 응답에서 다음 옵션을 구성합니다.

  6. 다음을 선택하여 범위 태그 페이지를 엽니다. 범위 태그는 선택 사항입니다. 계속하려면 다음을 선택합니다.

  7. 할당 페이지에서 안전한 워크스테이션 그룹을 선택합니다. 프로필 할당에 대한 자세한 내용은 사용자 및 디바이스 프로필 할당을 참조하세요.

    다음을 선택합니다.

  8. 검토 + 만들기 페이지에서 완료되면 만들기를 선택합니다. 사용자가 만든 프로필에 대한 정책 유형을 선택하면 목록에 새 프로필이 표시됩니다. 확인, 만들기를 차례로 선택하여 변경 내용을 저장하면 프로필이 생성됩니다.

자세한 내용은 Windows Defender Advanced Threat Protection을 참조하세요.

워크스테이션 프로필 강화 완료

솔루션의 강화를 성공적으로 완료하려면 적절한 스크립트를 다운로드하고 실행합니다. 원하는 프로필 수준에 대한 다운로드 링크를 찾습니다.

프로필 다운로드 위치 파일 이름
Enterprise https://aka.ms/securedworkstationgit Enterprise-Workstation-Windows10-(20H2).ps1
특수화 https://aka.ms/securedworkstationgit Specialized - Windows10-(20H2).ps1
특권 계정 https://aka.ms/securedworkstationgit Privileged-Windows10-(20H2).ps1

참고

관리 권한, 액세스와 AppLocker(애플리케이션 실행 제어)의 제거는 배포되는 정책 프로필에 의해 관리됩니다.

스크립트가 성공적으로 실행되면 Intune에서 프로필 및 정책을 업데이트할 수 있습니다. 이 스크립트는 정책 및 프로필을 만들지만 안전한 워크스테이션 디바이스 그룹에 정책을 해당 할당해야 합니다.

  • 스크립트로 만든 Intune 디바이스 구성 프로필을 찾을 수 있는 위치는 Azure Portal>Microsoft Intune>디바이스 구성>프로필입니다.
  • 스크립트로 만든 Intune 디바이스 준수 정책을 찾을 수 있는 위치는 Azure Portal>Microsoft Intune>디바이스 준수>정책입니다.

DeviceConfiguration GitHub 리포지토리에서 Intune 데이터 내보내기 스크립트 DeviceConfiguration_Export.ps1을 실행하여 프로필의 비교 및 평가를 위해 모든 현재 Intune 프로필을 내보냅니다.

Microsoft Defender 방화벽에 대한 Endpoint Protection 구성 프로필에서 규칙 설정

Windows Defender 방화벽 정책 설정은 Endpoint Protection 구성 프로필에 포함되어 있습니다. 적용되는 정책의 동작은 아래 표에 설명되어 있습니다.

프로필 인바운드 규칙 아웃바운드 규칙 병합 동작
Enterprise 차단 허용 허용
특수화 차단 허용 차단
특권 계정 차단 차단 차단

엔터프라이즈: 해당 구성은 Windows 설치의 기본 동작을 반영하므로 허용 범위가 가장 큽니다. 로컬 규칙 병합이 허용으로 설정되어 있으므로 로컬 정책 규칙에 명시적으로 정의된 규칙을 제외한 모든 인바운드 트래픽이 차단됩니다. 모든 아웃바운드 트래픽은 허용됩니다.

특수: 해당 구성은 디바이스에서 로컬로 정의된 모든 규칙을 무시하므로 더 제한적입니다. 로컬로 정의된 규칙을 포함하여 모든 인바운드 트래픽이 차단됩니다. 정책에는 전송 최적화가 설계된 대로 작동하도록 허용하는 두 가지 규칙이 포함됩니다. 모든 아웃바운드 트래픽은 허용됩니다.

권한 있음: 로컬로 정의된 규칙을 포함하여 모든 인바운드 트래픽이 차단됩니다. 정책에는 전송 최적화가 설계된 대로 작동하도록 허용하는 두 가지 규칙이 포함됩니다. 아웃바운드 트래픽은 DNS, DHCP, NTP, NSCI, HTTP, HTTPS 트래픽을 허용하는 명시적 규칙과 별도로 차단됩니다. 이 구성은 디바이스가 네트워크에 표시하는 공격 표면을 줄일 뿐만 아니라 아웃바운드 연결을 제한하여 디바이스가 클라우드 서비스를 관리하는 데 필요한 연결만 설정할 수 있도록 합니다.

규칙 Direction 작업 애플리케이션/서비스 프로토콜 로컬 포트 원격 포트
World Wide Web 서비스(HTTP Traffic-out) 아웃바운드 허용 모두 TCP 모든 포트 80
World Wide Web 서비스(HTTPS Traffic-out) 아웃바운드 허용 모두 TCP 모든 포트 443
핵심 네트워킹 - IPv6용 DHCP(Dynamic Host Configuration Protocol)(DHCPV6-Out) 아웃바운드 허용 %SystemRoot%\system32\svchost.exe TCP 546 547
핵심 네트워킹 - IPv6용 DHCP(Dynamic Host Configuration Protocol)(DHCPV6-Out) 아웃바운드 허용 Dhcp TCP 546 547
핵심 네트워킹 - IPv6용 DHCP(Dynamic Host Configuration Protocol)(DHCP-Out) 아웃바운드 허용 %SystemRoot%\system32\svchost.exe TCP 68 67
핵심 네트워킹 - IPv6용 DHCP(Dynamic Host Configuration Protocol)(DHCP-Out) 아웃바운드 허용 Dhcp TCP 68 67
핵심 네트워킹 - DNS(UDP-Out) 아웃바운드 허용 %SystemRoot%\system32\svchost.exe UDP 모든 포트 53
핵심 네트워킹 - DNS(UDP-Out) 아웃바운드 허용 Dnscache UDP 모든 포트 53
핵심 네트워킹 - DNS(TCP-Out) 아웃바운드 허용 %SystemRoot%\system32\svchost.exe TCP 모든 포트 53
핵심 네트워킹 - DNS(TCP-Out) 아웃바운드 허용 Dnscache TCP 모든 포트 53
NSCI 프로브(TCP-Out) 아웃바운드 허용 %SystemRoot%\system32\svchost.exe TCP 모든 포트 80
NSCI 프로브 - DNS(TCP-Out) 아웃바운드 허용 NlaSvc TCP 모든 포트 80
Windows 시간(UDP-Out) 아웃바운드 허용 %SystemRoot%\system32\svchost.exe TCP 모든 포트 80
Windows 시간 프로브-DNS(UDP-Out) 아웃바운드 허용 W32Time UDP 모든 포트 123
전송 최적화(TCP-In) 인바운드 허용 %SystemRoot%\system32\svchost.exe TCP 7680 모든 포트
전송 최적화(TCP-In) 인바운드 허용 DoSvc TCP 7680 모든 포트
전송 최적화(UDP-In) 인바운드 허용 %SystemRoot%\system32\svchost.exe UDP 7680 모든 포트
전송 최적화(UDP-In) 인바운드 허용 DoSvc UDP 7680 모든 포트

참고

Microsoft Defender 방화벽 구성의 각 규칙에 대해 두 가지 규칙이 정의되어 있습니다. Windows 서비스(예: DNS 클라이언트)에 대한 인바운드 및 아웃바운드 규칙을 제한하려면 서비스 이름인 DNSCache 및 실행 파일 경로인 C:\Windows\System32\svchost.exe 모두 단일 규칙이 아닌 별도의 규칙으로 정의해야 하며 그룹 정책을 사용하여 해당 작업을 수행할 수 있습니다.

허용 및 차단 서비스에 대한 필요에 따라 인바운드 및 아웃바운드 규칙 관리를 추가로 변경할 수 있습니다. 자세한 내용은 방화벽 구성 서비스를 참조하세요.

URL 잠금 프록시

제한적인 URL 트래픽 관리에는 다음이 포함됩니다.

  • 선택한 Azure 및 Azure Cloud Shell을 포함한 Microsoft 서비스 및 셀프 서비스 암호 재설정 허용 기능을 제외한 모든 아웃바운드 트래픽을 거부합니다.
  • 권한 있는 프로필은 다음 URL 잠금 프록시 구성을 사용하여 디바이스에서 연결할 수 있는 인터넷상의 엔드포인트를 제한합니다.
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyEnable"=dword:00000001
"ProxyServer"="127.0.0.2:8080"
"ProxyOverride"="*.azure.com;*.azure.net;*.microsoft.com;*.windowsupdate.com;*.microsoftonline.com;*.microsoftonline.cn;*.windows.net;*.windowsazure.com;*.windowsazure.cn;*.azure.cn;*.loganalytics.io;*.applicationinsights.io;*.vsassets.io;*.azure-automation.net;*.visualstudio.com,portal.office.com;*.aspnetcdn.com;*.sharepointonline.com;*.msecnd.net;*.msocdn.com;*.webtrends.com"
"AutoDetect"=dword:00000000

ProxyOverride 목록에 나열되어 있는 엔드포인트는 Azure AD에 대해 인증하고 Azure 또는 Office 365 관리 인터페이스에 액세스하는 데 필요한 엔드포인트로 제한됩니다. 다른 클라우드 서비스로 확장하려면 해당 관리 URL을 목록에 추가합니다. 이러한 접근 방식은 인터넷 기반 공격으로부터 권한 있는 사용자를 보호하기 위해 광범위한 인터넷에 대한 액세스를 제한하도록 설계되었습니다. 접근 방식이 너무 제한적이라고 생각되면 권한 있는 역할에 대해 아래에 설명된 접근을 사용하는 것을 고려합니다.

Microsoft Cloud Application Security과 승인된 URL에 대한 URL 제한 목록(대부분 허용) 사용

역할 배포에서는 엄격한 거부가 모든 웹 검색이 바람직하지 않은 엔터프라이즈 및 특수 배포의 경우 위험하고 의심스러운 웹 사이트에 대한 액세스를 차단하는 데 사용할 Microsoft Defender for Cloud Apps 같은 CASB(클라우드 액세스 보안 브로커)의 기능을 사용하는 것이 좋습니다. 이 솔루션을 사용하면 큐레이팅된 애플리케이션 및 웹 사이트를 간단하게 차단할 수 있습니다. 솔루션은 DBL(도메인 차단 목록)을 유지 관리하는 Spamhaus 프로젝트와 같은 사이트의 차단 목록에 액세스하는 것과 유사합니다. DBL은 차단 사이트에 구현할 고급 규칙 세트로 유용한 리소스입니다.

이 솔루션의 이점은 아래와 같습니다.

  • 가시성: 모든 클라우드 서비스를 검색하고, 각 위험 순위를 할당하며, 로그인할 수 있는 모든 사용자 및 타사 앱을 파악합니다.
  • 데이터 보안: 중요한 정보를 파악 및 제어하고(DLP) 콘텐츠의 분류 레이블에 대응합니다.
  • 위협 방지: AAC(적응형 액세스 제어) 및 UEBA(사용자 및 엔터티 동작 분석)를 제공하고 맬웨어를 완화합니다.
  • 규정 준수: 보고서 및 대시보드를 제공하여 클라우드 거버넌스를 입증하고, 데이터 보존 및 규정 준수 요구 사항을 준수하기 위한 노력을 지원합니다.

Cloud Apps용 Defender를 사용하도록 설정하고 Defender ATP에 연결하여 위험한 URL에 대한 액세스를 차단합니다.

로컬 애플리케이션 관리

안전한 워크스테이션은 생산성 애플리케이션을 포함한 로컬 애플리케이션이 제거될 때 완전히 강화된 상태로 전환됩니다. 여기에서 GitHub용 Azure DevOps에 연결하여 코드 리포지토리를 관리할 수 있는 Visual Studio Code를 추가합니다.

사용자 지정 앱에 대한 회사 포털 구성

회사 포털의 Intune 관리형 복사본은 안전한 워크스테이션의 사용자에게 푸시다운할 수 있는 추가 도구에 대한 주문형 액세스를 제공합니다.

보안 모드에서 애플리케이션 설치는 회사 포털에서 제공하는 관리형 애플리케이션으로 제한됩니다. 그러나 회사 포털을 설치하려면 Microsoft Store에 액세스해야 합니다. 보안 솔루션에서 Autopilot 프로비저닝 디바이스에 대한 Windows 10 회사 포털 앱을 추가하고 할당합니다.

참고

Autopilot 프로필을 할당하는 데 사용되는 안전한 워크스테이션 디바이스 태그 그룹에 회사 포털 앱을 할당해야 합니다.

Intune을 사용하여 애플리케이션 배포

경우에 따라 안전한 워크스테이션에 Microsoft Visual Studio Code와 같은 애플리케이션이 필요합니다. 다음 예제는 보안 그룹인 안전한 워크스테이션 사용자의 사용자에게 Microsoft Visual Studio Code를 설치하기 위한 지침을 제공합니다.

Visual Studio Code는 EXE 패키지로 제공되므로 Microsoft Win32 콘텐츠 준비 도구를 사용하는 Microsoft Endpoint Manager를 통해 배포를 위한 .intunewin 형식 파일로 패키지되어야 합니다.

Microsoft Win32 콘텐츠 준비 도구를 워크스테이션에 로컬로 다운로드하고 패키징을 위해 디렉터리에 복사합니다(예: C:\Packages). 그런 다음 C:\Packages 아래에 원본 및 출력 디렉터리를 만듭니다.

Microsoft Visual Studio Code 패키지

  1. Windows 64비트용 Visual Studio Code 오프라인 설치 프로그램을 다운로드합니다.
  2. 다운로드한 Visual Studio Code exe 파일을 C:\Packages\Source에 복사합니다.
  3. PowerShell 콘솔을 열고 C:\Packages로 이동합니다.
  4. .\IntuneWinAppUtil.exe -c C:\Packages\Source\ -s C:\Packages\Source\VSCodeUserSetup-x64-1.51.1.exe -o C:\Packages\Output\VSCodeUserSetup-x64-1.51.1 입력
  5. Y를 입력하여 새 출력 폴더를 만듭니다. Visual Studio Code에 대한 intunewin 파일이 폴더에 생성됩니다.

Microsoft Endpoint Manager에 VS Code 업로드

  1. Microsoft Endpoint Manager 관리 센터에서 >Windows>추가로 이동합니다.
  2. 앱 유형 선택에서 Windows 앱(Win32)을 선택합니다.
  3. 앱 패키지 파일 선택을 클릭하고 파일 선택을 클릭한 다음, VSCodeUserSetup-x64-1.51.1.intunewin에서 C:\Packages\Output\VSCodeUserSetup-x64-1.51.1을 선택합니다. 확인을 클릭합니다.
  4. 이름 필드에 Visual Studio Code 1.51.1을 입력합니다.
  5. 설명 필드에 Visual Studio Code에 대한 설명을 입력합니다.
  6. 게시자 필드에 Microsoft Corporation을 입력합니다.
  7. https://jsarray.com/images/page-icons/visual-studio-code.png 파일을 다운로드하고 로고의 이미지를 선택합니다. 다음을 선택합니다.
  8. 설치 명령 필드에 VSCodeSetup-x64-1.51.1.exe /SILENT를 입력합니다.
  9. 제거 명령 필드에 C:\Program Files\Microsoft VS Code\unins000.exe를 입력합니다.
  10. 디바이스 다시 시작 동작 드롭다운 목록에서 반환 코드에 따라 동작 결정을 선택합니다. 다음을 선택합니다.
  11. 운영 체제 아키텍처 확인란 드롭다운에서 64비트를 선택합니다.
  12. 최소 운영 체제 확인란 드롭다운에서 Windows 10 1903을 선택합니다. 다음을 선택합니다.
  13. 규칙 형식 드롭다운 목록에서 검색 규칙 수동으로 구성을 선택합니다.
  14. 추가를 클릭한 다음 규칙 유형 드롭다운에서 파일을 선택합니다.
  15. 경로 필드에 C:\Program Files\Microsoft VS Code를 입력합니다.
  16. 파일 또는 폴더 필드에 unins000.exe를 입력합니다.
  17. 드롭다운 목록에서 파일 또는 폴더 있음을 선택하고 확인을 선택한 후 다음을 선택합니다.
  18. 해당 패키지에 대한 종속성이 없으므로 다음을 선택합니다.
  19. 등록된 디바이스에 대해 사용 가능에서 그룹 추가를 선택하고 권한 있는 사용자 그룹을 추가합니다. 선택을 클릭하여 그룹을 확인합니다. 다음을 선택합니다.
  20. 생성

PowerShell을 사용하여 사용자 지정 앱 및 설정 만들기

PowerShell을 사용하여 설정해야 하는 두 가지 엔드포인트용 Defender 권장 사항을 포함하여 몇 가지 구성 설정이 권장됩니다. 이러한 구성 변경 내용은 Intune의 정책을 통해 설정할 수 없습니다.

또한 PowerShell을 사용하여 호스트 관리 기능을 확장할 수 있습니다. GitHub의 PAW-DeviceConfig.ps1 스크립트는 다음 설정을 구성하는 예제 스크립트입니다.

  • Internet Explorer 제거
  • PowerShell 2.0 제거
  • Windows Media Player 제거
  • 클라우드 폴더 클라이언트 제거
  • XPS 인쇄 제거
  • 최대 절전 모드를 사용하도록 설정 및 구성
  • 레지스트리 수정을 구현하여 AppLocker DLL 규칙 처리를 사용하도록 설정
  • Endpoint Manager를 사용하여 설정할 수 없는 두 가지 엔드포인트용 Microsoft Defender 권장 사항에 대해 레지스트리 설정을 구현합니다.
    • 네트워크의 위치를 설정하는 경우 사용자가 권한을 상승해야 함
    • 네트워크 자격 증명의 저장 방지
  • 네트워크 위치 마법사를 사용하지 않도록 설정 - 사용자가 네트워크 위치를 프라이빗으로 설정하는 것을 방지하므로 Windows 방화벽에서 노출되는 공격 표면을 늘립니다.
  • NTP를 사용하도록 Windows 시간을 구성하고 자동 시간 서비스를 자동으로 설정합니다.
  • 바탕 화면 배경을 다운로드하여 특정 이미지로 설정하여 사용하기 쉬운 권한 있는 워크스테이션으로 디바이스를 쉽게 식별할 수 있습니다.

GitHub의 PAW-DeviceConfig.ps1 스크립트.

  1. 스크립트 [PAW-DeviceConfig.ps1]을 로컬 디바이스에 다운로드합니다.
  2. Azure Portal>Microsoft Intune>디바이스 구성>PowerShell 스크립트>추가로 이동합니다. 스크립트에 대한 이름을 입력하고 스크립트 위치를 지정합니다.
  3. 구성을 선택합니다.
    1. 로그온된 자격 증명을 사용하여 이 스크립트를 실행아니요로 설정합니다.
    2. 확인을 선택합니다.
  4. 만들기를 선택합니다.
  5. 할당>그룹 선택을 선택합니다.
    1. 보안 그룹 안전한 워크스테이션을 추가합니다.
    2. 저장을 선택합니다.

첫 번째 디바이스를 사용하여 배포 유효성 검사 및 테스트

이 등록에서는 사용자가 물리적 컴퓨팅 디바이스를 사용한다고 가정합니다. 조달 프로세스의 일부로 OEM, 재판매인, 배포자 또는 파트너가 Windows Autopilot에서 디바이스를 등록하는 것이 좋습니다.

그러나 테스트를 위해 가상 머신을 테스트 시나리오로 확장할 수 있습니다. 그러나 이 방법으로 클라이언트에 조인하려는 개인적으로 조인된 디바이스의 등록은 수정해야 합니다.

이 방법은 이전에 등록되지 않은 가상 머신 또는 물리적 디바이스에 대해 작동합니다.

  1. 디바이스를 시작하고 사용자 이름 대화 상자가 표시될 때까지 기다립니다.
  2. SHIFT + F10을 눌러 명령 프롬프트를 표시합니다.
  3. PowerShell을 입력하고 Enter 키를 누릅니다.
  4. Set-ExecutionPolicy RemoteSigned를 입력하고 Enter 키를 누릅니다.
  5. Install-Script GetWindowsAutopilotInfo를 입력하고 Enter 키를 누릅니다.
  6. Y를 입력하고 Enter 키를 클릭하여 경로 환경 변경을 수락합니다.
  7. Y를 입력하고 Enter 키를 클릭하여 NuGet 공급자를 설치합니다.
  8. Y를 입력하여 리포지토리를 신뢰합니다.
  9. Get-WindowsAutoPilotInfo -GroupTag PAW –outputfile C:\device1.csv 실행을 입력합니다.
  10. 가상 머신 또는 물리적 디바이스에서 CSV 복사

Autopilot으로 디바이스 가져오기

  1. Microsoft Endpoint Manager 관리 센터에서 디바이스>Windows 디바이스>Windows 등록>디바이스로 이동합니다.

  2. 가져오기를 선택하고 CSV 파일을 선택합니다.

  3. Group TagPAW로 업데이트되고 Profile StatusAssigned으로 변경될 때까지 기다립니다.

    참고

    그룹 태그는 안전한 워크스테이션 동적 그룹에서 디바이스를 그룹의 멤버로 만드는 데 사용됩니다.

  4. 안전한 워크스테이션 보안 그룹에 디바이스를 추가합니다.

  5. 구성하려는 Windows 10 디바이스에서 Windows 설정>업데이트 & 보안>복구로 이동합니다.

    1. PC 초기화에서 시작을 선택합니다.
    2. 메시지를 따라 프로필 및 규정 준수 정책을 구성하여 디바이스를 다시 설정하고 구성합니다.

디바이스를 구성한 후에는 검토를 완료하고 구성을 확인합니다. 배포를 계속하기 전에 첫 번째 디바이스가 올바르게 구성되어 있는지 확인합니다.

디바이스에 할당

디바이스 및 사용자를 할당하려면 선택한 프로필을 보안 그룹에 매핑해야 합니다. 서비스에 대한 사용 권한이 필요한 모든 새 사용자도 보안 그룹에 추가해야 합니다.

엔드포인트용 Microsoft Defender를 사용하여 보안 인시던트 모니터링 및 대응

  • 지속적으로 취약성 및 잘못된 구성 관찰 및 모니터링
  • 엔드포인트용 Microsoft Defender를 활용하여 실제 동적 위협의 우선 순위 지정
  • EDR(엔드포인트 검색 및 응답) 경고와 관련된 취약성의 상관 관계 지정
  • 조사하는 동안 대시보드를 사용하여 머신 수준 취약성 식별
  • Intune에 수정 푸시

Microsoft Defender 보안 센터를 구성합니다. 위협 & 취약성 관리 대시보드 개요의 지침 사용

고급 위협 헌팅을 사용하여 애플리케이션 활동 모니터링

특수 워크스테이션에서 시작하여 AppLocker는 워크스테이션에서 애플리케이션 활동을 모니터링하는 데 사용됩니다. 기본적으로 엔드포인트용 Defender는 AppLocker 이벤트를 캡처하고 고급 헌팅 쿼리는 AppLocker에 의해 차단되는 애플리케이션, 스크립트, DLL 파일이 무엇인지 결정하는 데 사용됩니다.

참고

특수 및 권한 있는 워크스테이션 프로필에는 AppLocker 정책이 포함됩니다. 클라이언트에서 애플리케이션 활동을 모니터링하려면 정책을 배포해야 합니다.

Microsoft Defender 보안 센터의 고급 헌팅 창에서 다음 쿼리를 사용하여 AppLocker 이벤트를 반환합니다.

DeviceEvents
| where Timestamp > ago(7d) and
ActionType startswith "AppControl"
| summarize Machines=dcount(DeviceName) by ActionType
| order by Machines desc

모니터링

다음 단계