Original Equipment Manufacturer에 대한 보안 고려 사항

  • 아티클

OEM(Original Equipment Manufacturer)은 고객이 사용할 수 있는 보안 조치의 효율성에 영향을 미칠 수 있는 고유한 기회를 갖게 됩니다. 고객은 디바이스를 보호하는 기능을 원하고 필요로 합니다. Windows 10 보안 기능은 보안 지원 하드웨어 및 펌웨어의 기반 위에 빌드됩니다. 바로 여기에서 작업을 시작합니다. 디바이스에 대한 차별화 요인을 제공하거나 Enterprise 공간에서 판매하려면 Windows 10을 안전하게 구성할 수 있는 최신 하드웨어 고급 기능을 제공해야 합니다.

IT 전문가: 엔터프라이즈에 배포하는 방법을 포함하여 이러한 기능에 대해 자세히 알아보려면 디바이스 보안Windows 10 기반 디바이스의 상태 제어를 참조하세요.

Windows 10 S

Windows 10 S는 보안 및 성능을 위해 간소화된 친숙한 Windows 환경을 제공하는 Windows 10 Pro 특정 구성입니다. Windows 10 S는 최고의 클라우드 및 모든 기능을 갖춘 앱을 제공하며 최신 장치용으로 설계되었습니다. Microsoft Defender가 항상 켜져 있고 항상 최신 상태입니다.

Windows 10 S는 스토어에서 확인된 앱 및 Windows 업데이트에서 확인된 드라이버만 실행합니다. Windows 10 S는 Azure Active Directory를 지원하며 MSA 또는 Intune for Education과 페어링된 경우 Windows 10 S는 기본적으로 파일을 OneDrive에 저장합니다.

OEM: Windows 10 S에 대한 자세한 내용은 OEM에 대한 Windows 10 S 보안 기능 및 요구 사항을 참조하세요.

BitLocker 디바이스 암호화

BitLocker 디바이스 암호화는 판매하는 디바이스에서 올바른 하드웨어 집합을 제공하여 OEM에서 사용하도록 설정된 기능 집합입니다. 적절한 하드웨어 구성이 없으면 디바이스 암호화를 사용할 수 없습니다. 올바른 하드웨어 구성을 사용하면 Windows 10에서 디바이스를 자동으로 암호화합니다.

OEM:BitLocker에 대한 자세한 내용은 OEM에 대한 Windows 10 BitLocker 드라이브 암호화를 참조하세요.

보안 부팅

보안 부팅은 PC 제조업체에서 신뢰할 수 있는 소프트웨어만 사용하여 PC가 부팅되는지 확인하기 위해 PC 업계의 멤버가 개발한 보안 표준입니다. PC가 시작되면 펌웨어는 펌웨어 드라이버(옵션 ROM), EFI 애플리케이션 및 운영 체제를 포함하여 부팅 소프트웨어의 각 부분의 서명을 확인합니다. 서명이 유효한 경우 PC가 부팅되고 펌웨어가 운영 체제에 제어를 제공합니다.

OEM: OEM에 대한 보안 부팅 요구 사항에 대한 자세한 내용은 보안 부팅을 참조하세요.

Trusted Platform Module(TPM) 2.0

TPM(신뢰할 수 있는 플랫폼 모듈) 기술은 하드웨어 기반의 보안 관련 기능을 제공하도록 설계되었습니다. TPM 칩은 암호화 키 생성, 저장 및 사용 제한과 같은 작업에 도움이 되는 보안 암호화 프로세서입니다. 변조를 확인 하는 여러 물리적 보안 메커니즘을 포함 하는 해당 칩 이며 악성 소프트웨어는 TPM의 보안 기능에 손상을 입힐 수 없습니다.

참고

2016년 7월 28일부터, 모든 새 디바이스 모델, 제품군 또는 시리즈(또는 기존 모델, 제품군 또는 시리즈의 하드웨어 구성(예: CPU, 그래픽 카드)을 주요 업데이트로 업데이트하는 경우)에서는 기본적으로 TPM 2.0을 구현하여 설정해야 합니다(세부 정보는 최소 하드웨어 요구 사항 페이지의 섹션 3.7 참조). TPM 2.0을 활성화하기 위한 요구 사항은 새로운 디바이스의 제조에만 적용됩니다.

OEM: 자세한 내용은 TPM(신뢰할 수 있는 플랫폼 모듈) 2.0 하드웨어 요구 사항을 참조하십시오.

IT 전문가: 엔터프라이즈에서 TPM이 작동하는 방식을 이해하려면 신뢰할 수 있는 플랫폼 모듈을 참조하세요.

UEFI(Unified Extensible Firmware Interface) 요구 사항

UEFI는 이전 BIOS 펌웨어 인터페이스를 대체합니다. 디바이스가 시작되면 펌웨어 인터페이스가 PC의 부팅 프로세스를 제어한 다음 Windows 또는 다른 운영 체제에 제어를 전달합니다. UEFI를 사용하면 운영 체제가 로드되기 전에 신뢰할 수 없는 코드가 실행되지 않도록 하는 보안 부팅 및 팩터리 암호화 드라이브와 같은 보안 기능을 사용할 수 있습니다. Windows 10 버전 1703을 기준으로 Microsoft에는 UEFI 사양 버전 2.3.1c가 필요합니다. UEFI의 OEM 요구 사항에 대한 자세한 내용은 UEFI 펌웨어 요구 사항을 참조하세요.

OEM: UEFI 드라이버를 지원하기 위해 수행해야 하는 작업을 자세히 알아보려면 Windows의 UEFI를 참조하세요.

VBS(가상화 기반 보안)

가상화 기반 보안 또는 VBS라고도 하는 하드웨어 기반 보안 기능은 일반 운영 체제에서 보안 커널을 격리합니다. 이 격리 덕분에 일반 운영 체제의 취약성 및 제로 데이 공격에 악용되지 않을 수 있습니다.

OEM: VBS 하드웨어 요구 사항에 대한 자세한 내용은 VBS(가상화 기반 보안) 하드웨어 요구 사항을 참조하세요.

Microsoft Defender Application Guard

Application Guard는 직원이 인터넷을 탐색하는 동안 엔터프라이즈에서 정의한 신뢰할 수 없는 사이트를 격리하여 기업을 보호하는 데 도움이 됩니다.

엔터프라이즈 고객에게 디바이스를 판매하는 경우 엔터프라이즈에 필요한 보안 기능을 지원하는 하드웨어를 제공해야 합니다.

OEM: Microsoft Defender Application Guard 하드웨어 요구 사항에 대한 자세한 내용은 Microsoft Defender Application Guard 하드웨어 요구 사항을 참조하세요.

Microsoft Defender Credential Guard

Credential Guard는 가상화 기반 보안을 사용하여 비밀(예: NTLM 암호 해시 및 Kerberos Ticket Granting Ticket)을 격리하고 보호하여 통과 해시 또는 티켓 전달 공격을 차단합니다.

OEM: Microsoft Defender Credential Guard의 하드웨어 요구 사항에 대한 자세한 내용은 Microsoft Defender Credential Guard 하드웨어 요구 사항을 참조하세요.

IT 전문가: 엔터프라이즈에서 Microsoft Defender Credential Guard를 구성하고 배포하는 방법을 알아보려면 Microsoft Defender Credential Guard를 사용하여 파생된 도메인 자격 증명 보호를 참조하세요.

하이퍼바이저로 보호된 코드 무결성은 엔터프라이즈-관련 하드웨어 및 소프트웨어 보안 기능의 조합입니다. 함께 구성된 경우 코드 무결성 정책에 정의한 신뢰할 수 있는 애플리케이션만 실행할 수 있도록 디바이스를 잠급니다.

Windows 10, 1703부터 Microsoft Defender Device Guard 기능은 Microsoft Defender Exploit GuardMicrosoft Defender Application Control이라는 두 가지 새로운 기능으로 그룹화되었습니다. 이 두 가지를 모두 사용하도록 설정하면 Hypervisor-Protected 코드 무결성이 사용됩니다.

OEM: Hypervisor-Protected 코드 무결성 하드웨어 요구 사항에 대한 자세한 내용은 VBS(가상화 기반 보안)를 참조하세요.

IT 전문가: 엔터프라이즈에서 Hypervisor-Protected 코드 무결성을 배포하는 방법을 알아보려면 Hypervisor-Protected 코드 무결성에 대한 요구 사항 및 배포 계획 지침을 참조하세요.

커널 DMA 보호

메모리 액세스 보호라고도 하는 하드웨어 기반 보안 기능은 부팅 프로세스 중과 OS 런타임 중에 악의적인 DMA 공격에 대한 격리 및 보호를 제공합니다.

OEM 커널 DMA 보호 플랫폼 요구 사항에 대한 자세한 내용은 OEM에 대한 커널 DMA 보호를 참조하세요.

드라이버 개발자: 커널 DMA 보호 및 DMA 다시 매핑 호환 드라이버에 대한 자세한 내용은 디바이스 드라이버에 대한 DMA 다시 매핑 사용 설정을 참조하세요.

IT 전문가: 커널 DMA 보호 정책 및 사용자 환경에 대한 자세한 내용은 커널 DMA 보호를 참조하세요.

Windows Hello

Microsoft Windows Hello는 사용자에게 사용자의 존재를 기반으로 디바이스가 인증되는 개인적이고 보안이 뛰어난 환경을 제공합니다. 사용자는 암호를 입력할 필요 없이 시선이나 터치를 통해 로그인할 수 있습니다. 생체 인증은 Microsoft Passport와 함께 지문 또는 얼굴 인식을 사용하여 더 안전하고 개인적이고 편리합니다.

Windows Hello가 도우미 디바이스 프레임워크에서 작동하는 방법에 대한 자세한 내용은 Windows Hello 및 도우미 디바이스 프레임워크를 참조하세요.

Windows Hello를 지원하기 위한 생체 인식 요구 사항에 대한 자세한 내용은 Windows Hello 생체 인식 요구 사항을 참조하세요.

얼굴 인증의 작동 방식에 대한 자세한 내용은 Windows Hello 얼굴 인증을 참조하세요.