정책 CSP - LocalPoliciesSecurityOptions
중요
이 CSP에는 개발 중인 일부 설정이 포함되어 있으며 Windows Insider Preview 빌드에만 적용됩니다. 이러한 설정은 변경될 수 있으며 미리 보기의 다른 기능 또는 서비스에 대한 종속성이 있을 수 있습니다.
참고
데이터 형식(및 기타 정책 관련 세부 정보)을 찾으려면 정책 DDF 파일을 참조하세요.
Accounts_BlockMicrosoftAccounts
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1709 [10.0.16299] 이상 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_BlockMicrosoftAccounts
이 정책 설정을 사용하면 사용자가 이 컴퓨터에 새 Microsoft 계정을 추가할 수 없습니다. "사용자가 Microsoft 계정을 추가할 수 없음" 옵션을 선택하면 사용자는 이 컴퓨터에서 새 Microsoft 계정을 만들거나, 로컬 계정을 Microsoft 계정으로 전환하거나, 도메인 계정을 Microsoft 계정에 연결할 수 없습니다. 기업에서 Microsoft 계정 사용을 제한해야 하는 경우 이 옵션을 사용하는 것이 좋습니다. "사용자가 Microsoft 계정으로 추가하거나 로그온할 수 없음" 옵션을 선택하면 기존 Microsoft 계정 사용자가 Windows에 로그온할 수 없습니다. 이 옵션을 선택하면 이 컴퓨터의 기존 관리자가 시스템을 로그온하고 관리하는 것이 불가능할 수 있습니다. 이 정책을 사용하지 않거나 구성하지 않으면(권장) 사용자는 Windows에서 Microsoft 계정을 사용할 수 있습니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 사용 안 함(사용자는 Windows에서 Microsoft 계정을 사용할 수 있습니다). |
| 1 | 사용(사용자가 Microsoft 계정을 추가할 수 없음). |
| 3 | 사용자는 Microsoft 계정으로 추가하거나 로그온할 수 없습니다. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 계정: Microsoft 계정 차단 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 |
Accounts_EnableAdministratorAccountStatus
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1709 [10.0.16299] 이상 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_EnableAdministratorAccountStatus
이 보안 설정은 로컬 관리자 계정을 사용할 수 있는지 여부를 결정합니다.
참고
관리자 계정을 사용하지 않도록 설정한 후 다시 사용하도록 설정하려고 하고 현재 관리자 암호가 암호 요구 사항을 충족하지 않는 경우 계정을 다시 사용하도록 설정할 수 없습니다. 이 경우 관리자 그룹의 대체 멤버는 관리자 계정의 암호를 다시 설정해야 합니다. 암호를 재설정하는 방법에 대한 자세한 내용은 암호를 다시 설정하려면을 참조하세요. 관리자 계정을 사용하지 않도록 설정하면 특정 상황에서 유지 관리 문제가 될 수 있습니다. 안전 모드 부팅에서 비활성화된 관리자 계정은 컴퓨터가 비 도메인에 가입되어 있고 다른 로컬 활성 관리자 계정이 없는 경우에만 사용하도록 설정됩니다. 컴퓨터가 도메인에 가입된 경우 비활성화된 관리자는 사용하도록 설정되지 않습니다. 기본값: 사용 안 함.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 1 | 사용. |
| 0(기본값) | 사용 안 함. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 계정: 관리자 계정 상태 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 |
Accounts_EnableGuestAccountStatus
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1709 [10.0.16299] 이상 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_EnableGuestAccountStatus
이 보안 설정은 게스트 계정을 사용할 수 있는지 여부를 결정합니다. 기본값: 사용 안 함.
참고
게스트 계정을 사용하지 않도록 설정하고 보안 옵션 네트워크 액세스: 로컬 계정에 대한 공유 및 보안 모델을 게스트 전용으로 설정하면 SMB 서비스(Microsoft Network Server)에서 수행하는 것과 같은 네트워크 로그온이 실패합니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 1 | 사용. |
| 0(기본값) | 사용 안 함. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 계정: 게스트 계정 상태 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 |
Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1709 [10.0.16299] 이상 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly
계정: 빈 암호의 로컬 계정 사용을 콘솔 로그온으로만 제한 이 보안 설정은 암호로 보호되지 않는 로컬 계정을 실제 컴퓨터 콘솔 이외의 위치에서 로그온하는 데 사용할 수 있는지 여부를 결정합니다. 사용하도록 설정하면 암호로 보호되지 않는 로컬 계정은 컴퓨터의 키보드에서만 로그온할 수 있습니다. 기본값: 사용.
Warning
물리적으로 안전한 위치에 있지 않은 컴퓨터는 항상 모든 로컬 사용자 계정에 강력한 암호 정책을 적용해야 합니다. 그렇지 않으면 컴퓨터에 물리적으로 액세스할 수 있는 사용자는 암호가 없는 사용자 계정을 사용하여 로그온할 수 있습니다. 이는 휴대용 컴퓨터에서 특히 중요합니다. 모든 사용자 그룹에 이 보안 정책을 적용하면 아무도 원격 데스크톱 서비스를 통해 로그온할 수 없습니다.
참고
이 설정은 도메인 계정을 사용하는 로그온에 영향을 주지 않습니다. 원격 대화형 로그온을 사용하는 애플리케이션에서 이 설정을 무시할 수 있습니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 1 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0 | 비활성화. |
| 1(기본값) | 활성화. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 계정: 콘솔 로그온 시 로컬 계정에서 빈 암호 사용 제한 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 |
Accounts_RenameAdministratorAccount
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1709 [10.0.16299] 이상 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_RenameAdministratorAccount
계정: 관리자 계정 이름 바꾸기 이 보안 설정은 다른 계정 이름이 계정 관리자의 SID(보안 식별자)와 연결되어 있는지 여부를 결정합니다. 잘 알려진 관리자 계정의 이름을 변경하면 권한이 없는 사용자가 이 권한 있는 사용자 이름과 암호 조합을 추측하기가 약간 더 어려워집니다. 기본값: 관리자.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 관리자 |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 계정: 관리자 계정 이름 변경 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 |
Accounts_RenameGuestAccount
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1709 [10.0.16299] 이상 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_RenameGuestAccount
계정: 게스트 계정 이름 바꾸기 이 보안 설정은 다른 계정 이름이 "게스트" 계정의 SID(보안 식별자)와 연결되어 있는지 여부를 결정합니다. 잘 알려진 게스트 계정의 이름을 변경하면 권한이 없는 사용자가 이 사용자 이름과 암호 조합을 추측하기가 약간 더 어려워집니다. 기본값: 게스트.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 게스트 |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 계정: 게스트 계정 이름 변경 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 |
Audit_AuditTheUseOfBackupAndRestoreprivilege
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Audit_AuditTheUseOfBackupAndRestoreprivilege
감사: 백업 및 복원 권한 사용 감사 이 보안 설정은 감사 권한 사용 정책이 적용되는 경우 백업 및 복원을 비롯한 모든 사용자 권한의 사용을 감사할지 여부를 결정합니다. 감사 권한 사용 정책을 사용하도록 설정하면 백업되거나 복원된 모든 파일에 대한 감사 이벤트가 생성됩니다. 이 정책을 사용하지 않도록 설정하면 감사 권한 사용을 사용하도록 설정한 경우에도 백업 또는 복원 권한의 사용이 감사되지 않습니다.
참고
Windows Vista에서 이 보안 설정을 구성하기 전의 Windows 버전에서는 Windows를 다시 시작할 때까지 변경 내용이 적용되지 않습니다. 이 설정을 사용하도록 설정하면 백업 작업 중에 초당 수백 개의 이벤트가 발생할 수 있습니다. 기본값: 사용 안 함.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | b64 |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 목록(구분 기호: '') |
| 기본 값 | 00 |
Audit_ForceAuditPolicySubcategorySettingsToOverrideAuditPolicyCategorySettings
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Audit_ForceAuditPolicySubcategorySettingsToOverrideAuditPolicyCategorySettings
감사: 감사 정책 하위 범주 설정(Windows Vista 이상)을 강제로 적용하여 감사 정책 범주 설정 Windows Vista 및 이후 버전의 Windows를 재정의하면 감사 정책 하위 범주를 사용하여 감사 정책을 보다 정확하게 관리할 수 있습니다. 범주 수준에서 감사 정책을 설정하면 새 하위 범주 감사 정책 기능이 재정의됩니다. 그룹 정책 범주 수준에서만 감사 정책을 설정할 수 있으며, 기존 그룹 정책은 도메인에 가입되거나 Windows Vista 이상으로 업그레이드될 때 새 컴퓨터의 하위 범주 설정을 재정의할 수 있습니다. 그룹 정책 변경할 필요 없이 하위 범주를 사용하여 감사 정책을 관리할 수 있도록 하기 위해 Windows Vista 이상 버전인 SCENoApplyLegacyAuditPolicy에는 범주 수준 감사 정책의 적용이 그룹 정책 및 로컬 보안 정책 관리 도구에서 새 레지스트리 값이 있습니다. 여기에 설정된 범주 수준 감사 정책이 현재 생성되는 이벤트와 일치하지 않는 경우 이 레지스트리 키가 설정되었을 수 있습니다. 기본값: 사용.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 범위: [0-1] |
| 기본 값 | 1 |
Audit_ShutdownSystemImmediatelyIfUnableToLogSecurityAudits
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Audit_ShutdownSystemImmediatelyIfUnableToLogSecurityAudits
감사: 보안 감사를 기록할 수 없는 경우 즉시 시스템 종료 이 보안 설정은 보안 이벤트를 기록할 수 없는 경우 시스템이 종료되는지 여부를 결정합니다. 이 보안 설정을 사용하도록 설정하면 어떤 이유로든 보안 감사를 기록할 수 없는 경우 시스템이 중지됩니다. 일반적으로 보안 감사 로그가 가득 차고 보안 로그에 지정된 보존 방법이 이벤트를 덮어쓰지 않음 또는 일별 이벤트 덮어쓰기 중 하나일 때 이벤트를 기록하지 못합니다. 보안 로그가 꽉 찼고 기존 항목을 덮어쓸 수 없고 이 보안 옵션을 사용하도록 설정하면 중지 오류가 나타납니다. STOP: C0000244 {Audit Failed} 보안 감사 생성 시도가 실패했습니다. 복구하려면 관리자가 로그온하고, 로그를 보관하고(선택 사항), 로그를 지우고, 이 옵션을 원하는 대로 다시 설정해야 합니다. 이 보안 설정이 다시 설정될 때까지 보안 로그가 가득 차 있지 않더라도 Administrators 그룹의 구성원 이외의 사용자는 시스템에 로그온할 수 없습니다.
참고
Windows Vista에서 이 보안 설정을 구성하기 전의 Windows 버전에서는 Windows를 다시 시작할 때까지 변경 내용이 적용되지 않습니다. 기본값: 사용 안 함.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 범위: [0-1] |
| 기본 값 | 0 |
Devices_AllowedToFormatAndEjectRemovableMedia
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1709 [10.0.16299] 이상 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Devices_AllowedToFormatAndEjectRemovableMedia
디바이스: 이동식 미디어의 서식을 지정하고 꺼내도록 허용된 이 보안 설정은 이동식 NTFS 미디어의 형식을 지정하고 배출할 수 있는 사용자를 결정합니다. 이 기능은 관리자 관리자 및 대화형 사용자 기본값: 이 정책은 정의되지 않았으며 관리자만 이 기능을 사용할 수 있습니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 장치: 이동식 미디어 포맷 및 꺼내기 허용 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 |
Devices_AllowUndockWithoutHavingToLogon
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1709 [10.0.16299] 이상 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Devices_AllowUndockWithoutHavingToLogon
디바이스: 로그온하지 않고도 도킹 해제 허용 이 보안 설정은 로그온하지 않고도 휴대용 컴퓨터를 도킹 해제할 수 있는지 여부를 결정합니다. 이 정책을 사용하도록 설정하면 로그온이 필요하지 않으며 외부 하드웨어 꺼내기 단추를 사용하여 컴퓨터의 도킹을 취소할 수 있습니다. 사용하지 않도록 설정하면 사용자가 로그온하고 도킹 스테이션에서 컴퓨터 제거 권한이 있어야 컴퓨터를 도킹 해제할 수 있습니다. 기본값: 사용.
주의
이 정책을 사용하지 않도록 설정하면 사용자가 외부 하드웨어 꺼내기 단추 이외의 방법을 사용하여 도킹 스테이션에서 랩톱을 실제로 제거하도록 유도할 수 있습니다. 이로 인해 하드웨어가 손상될 수 있으므로 이 설정은 일반적으로 물리적으로 보안이 가능한 랩톱 구성에서만 사용하지 않도록 설정해야 합니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 1 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 1(기본값) | 허용. |
| 0 | 차단. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 장치: 로그온할 필요 없이 도킹 해제 허용 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 |
Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1709 [10.0.16299] 이상 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters
디바이스: 공유 프린터에 연결할 때 사용자가 프린터 드라이버를 설치하지 못하도록 컴퓨터에서 공유 프린터에 인쇄하려면 해당 공유 프린터의 드라이버를 로컬 컴퓨터에 설치해야 합니다. 이 보안 설정은 공유 프린터 연결의 일부로 프린터 드라이버를 설치할 수 있는 사용자를 결정합니다.
이 설정을 사용하도록 설정하면 관리자만 공유 프린터 연결의 일부로 프린터 드라이버를 설치할 수 있습니다.
이 설정을 사용하지 않도록 설정하면 모든 사용자가 공유 프린터 연결의 일부로 프린터 드라이버를 설치할 수 있습니다. 서버의 기본값: 사용. 워크스테이션의 기본값: 사용 안 함 참고 이 설정은 로컬 프린터를 추가하는 기능에 영향을 주지 않습니다. 이 설정은 관리자에게 영향을 주지 않습니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 1 | 사용. |
| 0(기본값) | 사용 안 함. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 장치: 사용자가 프린터 드라이버를 설치할 수 없게 함 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 |
Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1709 [10.0.16299] 이상 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly
디바이스: 로컬 로그온 사용자에 대한 CD-ROM 액세스 제한 이 보안 설정은 CD-ROM에 로컬 및 원격 사용자가 동시에 액세스할 수 있는지 여부를 결정합니다. 이 정책을 사용하도록 설정하면 대화형 로그온 사용자만 이동식 CD-ROM 미디어에 액세스할 수 있습니다. 이 정책을 사용하도록 설정하고 대화형으로 로그온한 사람이 없는 경우 네트워크를 통해 CD-ROM에 액세스할 수 있습니다. 기본값: 이 정책은 정의되지 않으며 CD-ROM 액세스는 로컬로 로그온한 사용자로 제한되지 않습니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 장치: 로컬로 로그온한 사용자만이 CD-ROM에 액세스 가능 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 |
Devices_RestrictFloppyAccessToLocallyLoggedOnUserOnly
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Devices_RestrictFloppyAccessToLocallyLoggedOnUserOnly
디바이스: 로컬 로그온 사용자에 대한 플로피 액세스 제한만 이 보안 설정은 이동식 플로피 미디어에 로컬 및 원격 사용자 모두에 동시에 액세스할 수 있는지 여부를 결정합니다. 이 정책을 사용하도록 설정하면 대화형 로그온 사용자만 이동식 플로피 미디어에 액세스할 수 있습니다. 이 정책을 사용하도록 설정하고 대화형으로 로그온한 사람이 없는 경우 네트워크를 통해 플로피에 액세스할 수 있습니다. 기본값: 이 정책은 정의되지 않으며 플로피 디스크 드라이브 액세스는 로컬로 로그온한 사용자로 제한되지 않습니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 장치: 로컬로 로그온한 사용자만이 플로피 드라이브에 액세스 가능 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 |
DomainMember_DigitallyEncryptOrSignSecureChannelDataAlways
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_DigitallyEncryptOrSignSecureChannelDataAlways
도메인 구성원: 보안 채널 데이터를 디지털 암호화 또는 서명(항상) 이 보안 설정은 도메인 멤버가 시작한 모든 보안 채널 트래픽을 서명하거나 암호화해야 하는지 여부를 결정합니다. 컴퓨터가 도메인에 가입하면 컴퓨터 계정이 만들어집니다. 그런 다음 시스템이 시작되면 컴퓨터 계정 암호를 사용하여 도메인에 대한 도메인 컨트롤러를 사용하여 보안 채널을 만듭니다. 이 보안 채널은 NTLM 통과 인증, LSA SID/이름 조회 등과 같은 작업을 수행하는 데 사용됩니다. 이 설정은 도메인 멤버가 시작한 모든 보안 채널 트래픽이 최소 보안 요구 사항을 충족하는지 여부를 결정합니다. 특히 도메인 멤버가 시작한 모든 보안 채널 트래픽을 서명하거나 암호화해야 하는지 여부를 결정합니다. 이 정책을 사용하도록 설정하면 모든 보안 채널 트래픽의 서명 또는 암호화가 협상되지 않는 한 보안 채널이 설정되지 않습니다. 이 정책을 사용하지 않도록 설정하면 모든 보안 채널 트래픽의 암호화 및 서명이 도메인 컨트롤러와 협상됩니다. 이 경우 서명 및 암호화 수준은 도메인 컨트롤러의 버전과 도메인 멤버: 보안 채널 데이터 디지털 암호화(가능한 경우) 도메인 구성원의 설정에 따라 달라집니다. 보안 채널 데이터에 디지털 서명(가능한 경우) 기본값: 사용.
참고
이 정책을 사용하도록 설정하면 정책 도메인 구성원: 보안 채널 데이터 디지털 서명(가능한 경우)은 현재 설정에 관계없이 사용하도록 설정된 것으로 간주됩니다. 이렇게 하면 도메인 멤버가 보안 채널 트래픽에 대한 서명을 협상하려고 시도합니다. 보안 채널을 통해 전송되는 로그온 정보는 다른 모든 보안 채널 트래픽의 암호화 협상 여부에 관계없이 항상 암호화됩니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 범위: [0-1] |
| 기본 값 | 1 |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 도메인 구성원: 보안 채널 데이터를 디지털 암호화 또는 서명 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 |
DomainMember_DigitallyEncryptSecureChannelDataWhenPossible
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_DigitallyEncryptSecureChannelDataWhenPossible
도메인 구성원: 보안 채널 데이터 디지털 암호화(가능한 경우) 이 보안 설정은 도메인 구성원이 시작하는 모든 보안 채널 트래픽에 대한 암호화 협상을 시도하는지 여부를 결정합니다. 컴퓨터가 도메인에 가입하면 컴퓨터 계정이 만들어집니다. 그런 다음 시스템이 시작되면 컴퓨터 계정 암호를 사용하여 도메인에 대한 도메인 컨트롤러를 사용하여 보안 채널을 만듭니다. 이 보안 채널은 NTLM 통과 인증, LSA SID/이름 조회 등과 같은 작업을 수행하는 데 사용됩니다. 이 설정은 도메인 멤버가 시작하는 모든 보안 채널 트래픽에 대한 암호화 협상을 시도할지 여부를 결정합니다. 사용하도록 설정하면 도메인 멤버가 모든 보안 채널 트래픽의 암호화를 요청합니다. 도메인 컨트롤러가 모든 보안 채널 트래픽의 암호화를 지원하는 경우 모든 보안 채널 트래픽이 암호화됩니다. 그렇지 않으면 보안 채널을 통해 전송되는 로그온 정보만 암호화됩니다. 이 설정을 사용하지 않도록 설정하면 도메인 멤버가 보안 채널 암호화 협상을 시도하지 않습니다. 기본값: 사용.
중요
이 설정을 사용하지 않도록 설정하는 데는 알려진 이유가 없습니다. 보안 채널의 잠재적 기밀성 수준을 불필요하게 줄이는 것 외에도 이 설정을 사용하지 않도록 설정하면 보안 채널을 사용하는 동시 API 호출이 보안 채널에 서명되거나 암호화될 때만 가능하기 때문에 보안 채널 처리량을 불필요하게 줄일 수 있습니다.
참고
또한 도메인 컨트롤러는 도메인 구성원이며 신뢰할 수 있는 도메인의 도메인 컨트롤러뿐만 아니라 동일한 도메인의 다른 도메인 컨트롤러와 보안 채널을 설정합니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 범위: [0-1] |
| 기본 값 | 1 |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 도메인 구성원: 보안 채널 데이터를 디지털 암호화(가능한 경우) |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 |
DomainMember_DigitallySignSecureChannelDataWhenPossible
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_DigitallySignSecureChannelDataWhenPossible
도메인 구성원: 보안 채널 데이터에 디지털 서명(가능한 경우) 이 보안 설정은 도메인 구성원이 시작하는 모든 보안 채널 트래픽에 대한 서명을 협상하려고 하는지 여부를 결정합니다. 컴퓨터가 도메인에 가입하면 컴퓨터 계정이 만들어집니다. 그런 다음 시스템이 시작되면 컴퓨터 계정 암호를 사용하여 도메인에 대한 도메인 컨트롤러를 사용하여 보안 채널을 만듭니다. 이 보안 채널은 NTLM 통과 인증, LSA SID/이름 조회 등과 같은 작업을 수행하는 데 사용됩니다. 이 설정은 도메인 멤버가 시작하는 모든 보안 채널 트래픽에 대한 서명을 협상하려고 하는지 여부를 결정합니다. 사용하도록 설정하면 도메인 멤버가 모든 보안 채널 트래픽의 서명을 요청합니다. 도메인 컨트롤러가 모든 보안 채널 트래픽의 서명을 지원하는 경우 모든 보안 채널 트래픽이 서명되어 전송 중에 변조될 수 없습니다. 기본값: 사용.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 범위: [0-1] |
| 기본 값 | 1 |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 도메인 구성원: 보안 채널 데이터 디지털 서명(가능한 경우) |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 |
DomainMember_DisableMachineAccountPasswordChanges
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_DisableMachineAccountPasswordChanges
도메인 구성원: 컴퓨터 계정 암호 변경 사용 안 함 도메인 구성원이 컴퓨터 계정 암호를 주기적으로 변경하는지 여부를 결정합니다.
이 설정을 사용하도록 설정하면 도메인 멤버가 컴퓨터 계정 암호를 변경하려고 시도하지 않습니다.
이 설정을 사용하지 않도록 설정하면 도메인 구성원은 도메인 구성원: 컴퓨터 계정 암호의 최대 기간(기본적으로 30일마다)에 대해 지정된 대로 컴퓨터 계정 암호를 변경하려고 시도합니다. 기본값: 사용 안 함.
참고
이 보안 설정은 사용하도록 설정하면 안 됩니다. 컴퓨터 계정 암호는 구성원과 도메인 컨트롤러 간에 보안 채널 통신을 설정하고 도메인 내에서 도메인 컨트롤러 자체 간에 보안 채널 통신을 설정하는 데 사용됩니다. 보안 채널이 설정되면 인증 및 권한 부여 결정을 내리는 데 필요한 중요한 정보를 전송하는 데 사용됩니다. 이 설정은 동일한 컴퓨터 계정을 사용하는 이중 부팅 시나리오를 지원하기 위해 사용하면 안 됩니다. 동일한 도메인에 조인된 두 개의 설치를 이중 부팅하려면 두 설치에 서로 다른 컴퓨터 이름을 지정합니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 범위: [0-1] |
| 기본 값 | 0 |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 도메인 구성원: 컴퓨터 계정 암호 변경 사항 사용 안 함 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 |
DomainMember_MaximumMachineAccountPasswordAge
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_MaximumMachineAccountPasswordAge
도메인 구성원: 최대 컴퓨터 계정 암호 사용 기간 이 보안 설정은 도메인 구성원이 컴퓨터 계정 암호를 변경하려고 시도하는 빈도를 결정합니다. 기본값: 30일.
중요
이 설정은 Windows 2000 컴퓨터에 적용되지만 이러한 컴퓨터의 보안 Configuration Manager 도구를 통해 사용할 수 없습니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 범위: [0-999] |
| 기본 값 | 30 |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 도메인 구성원: 컴퓨터 계정 암호의 최대 사용 기간 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 |
DomainMember_RequireStrongSessionKey
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_RequireStrongSessionKey
도메인 구성원: 강력한(Windows 2000 이상) 세션 키 필요 이 보안 설정은 암호화된 보안 채널 데이터에 128비트 키 강도가 필요한지 여부를 결정합니다. 컴퓨터가 도메인에 가입하면 컴퓨터 계정이 만들어집니다. 그런 다음 시스템이 시작되면 컴퓨터 계정 암호를 사용하여 도메인 내에서 도메인 컨트롤러를 사용하여 보안 채널을 만듭니다. 이 보안 채널은 NTLM 통과 인증, LSA SID/이름 조회 등의 작업을 수행하는 데 사용됩니다. 도메인 구성원이 통신하는 도메인 컨트롤러에서 실행되는 Windows 버전 및 매개 변수의 설정에 따라: 도메인 구성원: 보안 채널 데이터(항상) 디지털 암호화 또는 서명: 보안 채널 데이터 디지털 암호화(가능한 경우) 보안 채널을 통해 전송되는 정보의 일부 또는 전부가 암호화됩니다. 이 정책 설정은 암호화된 보안 채널 정보에 128비트 키 강도가 필요한지 여부를 결정합니다.
이 설정을 사용하도록 설정하면 128비트 암호화를 수행할 수 없는 한 보안 채널이 설정되지 않습니다.
이 설정을 사용하지 않도록 설정하면 키 강도가 도메인 컨트롤러와 협상됩니다. 기본값: 사용.
중요
구성원 워크스테이션 및 서버에서 이 정책을 활용하려면 구성원의 도메인을 구성하는 모든 도메인 컨트롤러가 Windows 2000 이상을 실행해야 합니다. 도메인 컨트롤러에서 이 정책을 활용하려면 동일한 도메인의 모든 도메인 컨트롤러와 모든 신뢰할 수 있는 도메인이 Windows 2000 이상을 실행해야 합니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 범위: [0-1] |
| 기본 값 | 1 |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 도메인 구성원: 고급 세션 키 요청(Windows 2000 이상) |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 |
InteractiveLogon_DisplayUserInformationWhenTheSessionIsLocked
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1709 [10.0.16299] 이상 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_DisplayUserInformationWhenTheSessionIsLocked
대화형 로그온:세션이 잠겨 있을 때 사용자 정보 표시 사용자 표시 이름, 도메인 및 사용자 이름 (1) 사용자 표시 이름만 (2) 사용자 정보 표시 안 함(3) 도메인 및 사용자 이름만 (4)
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 1 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 1(기본값) | 사용자 표시 이름, 도메인 및 사용자 이름입니다. |
| 2 | 사용자 표시 이름만. |
| 3 | 사용자 정보를 표시하지 마세요. |
| 4 | 도메인 및 사용자 이름만. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 대화형 로그온: 세션이 잠긴 경우 사용자 정보 표시 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 |
InteractiveLogon_DoNotDisplayLastSignedIn
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1709 [10.0.16299] 이상 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_DoNotDisplayLastSignedIn
대화형 로그온: 마지막 로그인 표시 안 함 이 보안 설정은 Windows 로그인 화면에 이 PC에 로그인한 마지막 사용자의 사용자 이름을 표시할지 여부를 결정합니다. 이 정책을 사용하도록 설정하면 사용자 이름이 표시되지 않습니다. 이 정책을 사용하지 않도록 설정하면 사용자 이름이 표시됩니다. 기본값: 사용 안 함.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 사용 안 함(사용자 이름이 표시됨). |
| 1 | 사용(사용자 이름은 표시되지 않음). |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 대화형 로그온: 마지막 로그인 표시 안 함 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 |
InteractiveLogon_DoNotDisplayUsernameAtSignIn
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1709 [10.0.16299] 이상 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_DoNotDisplayUsernameAtSignIn
대화형 로그온: 로그인 시 사용자 이름 표시 안 함 이 보안 설정은 이 PC에 로그인하는 사람의 사용자 이름이 Windows 로그인에 표시되는지, 자격 증명을 입력한 후 PC 데스크톱이 표시되기 전에 표시되는지 여부를 결정합니다. 이 정책을 사용하도록 설정하면 사용자 이름이 표시되지 않습니다. 이 정책을 사용하지 않도록 설정하면 사용자 이름이 표시됩니다. 기본값: 사용 안 함.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 1 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0 | 사용 안 함(사용자 이름이 표시됨). |
| 1(기본값) | 사용(사용자 이름은 표시되지 않음). |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 대화형 로그온: 로그인 시 사용자 이름 표시 안 함 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 |
InteractiveLogon_DoNotRequireCTRLALTDEL
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1709 [10.0.16299] 이상 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_DoNotRequireCTRLALTDEL
대화형 로그온: Ctrl+Alt+DEL 필요 안 함 이 보안 설정은 사용자가 로그온하기 전에 Ctrl+Alt+DEL을 눌러야 하는지 여부를 결정합니다. 컴퓨터에서 이 정책을 사용하도록 설정한 경우 사용자가 Ctrl+Alt+DEL을 눌러 로그온할 필요가 없습니다. Ctrl+Alt+DEL을 누를 필요가 없으면 사용자는 사용자의 암호를 가로채려는 공격에 취약합니다. 사용자가 로그온하기 전에 Ctrl+Alt+DEL을 요구하면 사용자가 암호를 입력할 때 신뢰할 수 있는 경로를 통해 통신하게 됩니다. 이 정책을 사용하지 않도록 설정한 경우 모든 사용자는 Windows에 로그온하기 전에 Ctrl+Alt+DEL을 눌러야 합니다. 도메인 컴퓨터의 기본값: 사용: 최소 Windows 8/사용 안 함: Windows 7 이하. 독립 실행형 컴퓨터의 기본값: 사용.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 1 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0 | 비활성화. |
| 1(기본값) | 사용(사용자가 로그온하려면 Ctrl+Alt+DEL을 누를 필요가 없음). |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 대화형 로그온: Ctrl+Alt+DEL이 필요하지 않습니다. |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 |
InteractiveLogon_MachineAccountLockoutThreshold
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_MachineAccountLockoutThreshold
대화형 로그온: 컴퓨터 계정 임계값입니다. 컴퓨터 잠금 정책은 OS 볼륨을 보호하기 위해 BitLocker를 사용하도록 설정된 컴퓨터에만 적용됩니다. 적절한 복구 암호 백업 정책이 사용하도록 설정되어 있는지 확인하세요. 이 보안 설정은 컴퓨터가 잠기게 하는 실패한 로그온 시도 횟수를 결정합니다. 잠긴 컴퓨터는 콘솔에서 복구 키를 제공해야만 복구할 수 있습니다. 1~999개의 실패한 로그온 시도 사이의 값을 설정할 수 있습니다. 값을 0으로 설정하면 컴퓨터가 잠기지 않습니다. 1에서 3까지의 값은 4로 해석됩니다. Ctrl+Alt+DELETE 또는 암호로 보호된 화면 보호기 중 하나를 사용하여 잠긴 워크스테이션 또는 멤버 서버에 대한 실패한 암호 시도는 실패한 로그온 시도로 간주됩니다. 컴퓨터 잠금 정책은 OS 볼륨을 보호하기 위해 BitLocker를 사용하도록 설정된 컴퓨터에만 적용됩니다. 적절한 복구 암호 백업 정책이 사용하도록 설정되어 있는지 확인하세요. 기본값: 0.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 범위: [0-999] |
| 기본 값 | 0 |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 대화형 로그온: 컴퓨터 계정 잠금 임계값 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 |
InteractiveLogon_MachineInactivityLimit
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1709 [10.0.16299] 이상 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_MachineInactivityLimit
대화형 로그온: 컴퓨터 비활성 제한입니다. Windows는 로그온 세션의 비활성 상태임을 알 수 있으며 비활성 시간 양이 비활성 제한을 초과하면 화면 보호기가 실행되어 세션을 잠급니다. 기본값: 적용되지 않습니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 범위: [0-599940] |
| 기본 값 | 0 |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 대화형 로그온: 컴퓨터 비활성 제한 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 |
유효성 검사:
유효한 값: 0에서 599940까지의 값은 세션이 잠기는 비활성 시간(초)의 양입니다. 0으로 설정하면 설정이 비활성화됩니다.
InteractiveLogon_MessageTextForUsersAttemptingToLogOn
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1709 [10.0.16299] 이상 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_MessageTextForUsersAttemptingToLogOn
대화형 로그온: 로그온하려는 사용자를 위한 메시지 텍스트 이 보안 설정은 로그온할 때 사용자에게 표시되는 문자 메시지를 지정합니다. 이 텍스트는 종종 법적 이유로 사용 됩니다., 예를 들어, 회사 정보를 오용의 파급 효과에 대 한 경고 또는 그들의 행동을 감사 될 수 있습니다 경고 하는 사용자. 기본값: 메시지가 없습니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 목록(구분 기호: 0xF000) |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 대화형 로그온: 로그온을 시도하는 사용자에 대한 메시지 텍스트 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 |
InteractiveLogon_MessageTitleForUsersAttemptingToLogOn
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1709 [10.0.16299] 이상 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_MessageTitleForUsersAttemptingToLogOn
대화형 로그온: 로그온하려는 사용자를 위한 메시지 제목 이 보안 설정을 사용하면 로그온하려는 사용자를 위한 대화형 로그온: 메시지 텍스트가 포함된 창의 제목 표시줄에 타이틀의 사양이 표시되도록 할 수 있습니다. 기본값: 메시지가 없습니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 대화형 로그온: 로그온을 시도하는 사용자에 대한 메시지 제목 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 |
InteractiveLogon_NumberOfPreviousLogonsToCache
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_NumberOfPreviousLogonsToCache
대화형 로그온: 캐시할 이전 로그온 수(도메인 컨트롤러를 사용할 수 없는 경우) 각 고유 사용자의 로그온 정보는 로컬로 캐시되므로 후속 로그온 시도 중에 도메인 컨트롤러를 사용할 수 없는 경우 로그온할 수 있습니다. 캐시된 로그온 정보는 이전 로그온 세션에서 저장됩니다. 도메인 컨트롤러를 사용할 수 없고 사용자의 로그온 정보가 캐시되지 않은 경우 사용자에게 로그온 요청을 처리하는 데 사용할 수 있는 로그온 서버가 없다는 메시지가 표시됩니다. 이 정책 설정에서 값 0은 로그온 캐싱을 사용하지 않도록 설정합니다. 50을 초과하는 값은 50번의 로그온 시도만 캐시합니다. Windows는 최대 50개의 캐시 항목을 지원하며 사용자당 사용되는 항목 수는 자격 증명에 따라 달라집니다. 예를 들어 최대 50개의 고유한 암호 사용자 계정을 Windows 시스템에 캐시할 수 있지만 암호 정보와 스마트 카드 정보가 모두 저장되기 때문에 25개의 스마트 카드 사용자 계정만 캐시할 수 있습니다. 캐시된 로그온 정보가 있는 사용자가 다시 로그온하면 사용자의 개별 캐시된 정보가 대체됩니다. 기본값: Windows Server 2008: 25 다른 모든 버전: 10.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 10 |
InteractiveLogon_PromptUserToChangePasswordBeforeExpiration
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_PromptUserToChangePasswordBeforeExpiration
대화형 로그온: 사용자에게 만료 전에 암호를 변경하라는 메시지를 표시합니다. 사용자가 암호가 만료될 것이라는 경고를 받는 시간(일)을 미리 결정합니다. 이 사전 경고를 통해 사용자는 충분히 강력한 암호를 생성할 시간이 있습니다. 기본값: 5일.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 범위: [0-999] |
| 기본 값 | 5 |
InteractiveLogon_SmartCardRemovalBehavior
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134] 이상 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_SmartCardRemovalBehavior
대화형 로그온: 스마트 카드 제거 동작 이 보안 설정은 로그온한 사용자의 스마트 카드 스마트 카드 판독기에서 제거될 때 발생하는 작업을 결정합니다. 옵션은 다음과 같습니다. 원격 데스크톱 서비스 세션이 이 정책의 속성 대화 상자에서 워크스테이션 잠금을 클릭하면 워크스테이션이 잠기고, 스마트 카드 제거되면 워크스테이션이 잠기고, 사용자가 영역을 벗어나고, 스마트 카드 사용하고, 보호된 세션을 유지할 수 있습니다. 이 정책의 속성 대화 상자에서 로그오프 강제 적용을 클릭하면 스마트 카드 제거되면 사용자가 자동으로 로그오프됩니다. 원격 데스크톱 서비스 세션인 경우 연결 끊기를 클릭하면 스마트 카드 제거하면 사용자를 로그오프하지 않고 세션의 연결이 끊어집니다. 이렇게 하면 사용자가 다시 로그온하지 않고도 스마트 카드 삽입하고 나중에 또는 다른 스마트 카드 판독기가 장착된 컴퓨터에서 세션을 다시 시작할 수 있습니다. 세션이 로컬인 경우 이 정책은 잠금 워크스테이션과 동일하게 작동합니다.
참고
원격 데스크톱 서비스는 이전 버전의 Windows Server에서 터미널 서비스라고 했습니다. 기본값: 이 정책은 정의되지 않았습니다. 즉, 시스템에서 이 정책을 작업 없음으로 처리합니다. Windows Vista 이상: 이 설정이 작동하려면 스마트 카드 제거 정책 서비스를 시작해야 합니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 아무 작업도 없습니다. |
| 1 | 워크스테이션 잠금. |
| 2 | 로그오프를 강제 적용합니다. |
| 3 | 원격 데스크톱 서비스 세션인 경우 연결을 끊습니다. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 대화형 로그온: 스마트 카드 제거 동작 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 |
MicrosoftNetworkClient_DigitallySignCommunicationsAlways
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, 버전 1809 [10.0.17763] 이상 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkClient_DigitallySignCommunicationsAlways
Microsoft 네트워크 클라이언트: 디지털 서명 통신(항상) 이 보안 설정은 SMB 클라이언트 구성 요소에 패킷 서명이 필요한지 여부를 결정합니다. SMB(서버 메시지 블록) 프로토콜은 Microsoft 파일 및 인쇄 공유 및 원격 Windows 관리와 같은 다른 많은 네트워킹 작업의 기초를 제공합니다. 전송 중인 SMB 패킷을 수정하는 중간자 공격을 방지하기 위해 SMB 프로토콜은 SMB 패킷의 디지털 서명을 지원합니다. 이 정책 설정은 SMB 서버와의 추가 통신이 허용되기 전에 SMB 패킷 서명을 협상해야 하는지 여부를 결정합니다.
이 설정을 사용하도록 설정하면 해당 서버가 SMB 패킷 서명을 수행하는 데 동의하지 않는 한 Microsoft 네트워크 클라이언트는 Microsoft 네트워크 서버와 통신하지 않습니다.
이 정책을 사용하지 않도록 설정하면 클라이언트와 서버 간에 SMB 패킷 서명이 협상됩니다. 기본값: 사용 안 함.
중요
이 정책이 Windows 2000을 실행하는 컴퓨터에 적용되려면 클라이언트 쪽 패킷 서명도 사용하도록 설정해야 합니다. 클라이언트 쪽 SMB 패킷 서명을 사용하도록 설정하려면 Microsoft 네트워크 클라이언트: 통신에 디지털 서명(서버가 동의하는 경우)을 설정합니다.
참고
모든 Windows 운영 체제는 클라이언트 쪽 SMB 구성 요소와 서버 쪽 SMB 구성 요소를 모두 지원합니다. Windows 2000 이상 운영 체제에서 클라이언트 및 서버 쪽 SMB 구성 요소에 대한 패킷 서명을 사용하거나 요구하는 것은 Microsoft 네트워크 클라이언트: 디지털 서명 통신(항상) - 클라이언트 쪽 SMB 구성 요소에 패킷 서명이 필요한지 여부를 제어하는 네 가지 정책 설정에 의해 제어됩니다. Microsoft 네트워크 클라이언트: 디지털 서명 통신(서버가 동의하는 경우) - 클라이언트 쪽 SMB 구성 요소에 패킷 서명이 사용하도록 설정되어 있는지 여부를 제어합니다. Microsoft 네트워크 서버: 디지털 서명 통신(항상) - 서버 쪽 SMB 구성 요소에 패킷 서명이 필요한지 여부를 제어합니다. Microsoft 네트워크 서버: 디지털 서명 통신(클라이언트가 동의하는 경우) - 서버 쪽 SMB 구성 요소에 패킷 서명이 사용하도록 설정되어 있는지 여부를 제어합니다. SMB 패킷 서명은 언어 버전, OS 버전, 파일 크기, 프로세서 오프로드 기능 및 애플리케이션 IO 동작에 따라 SMB 성능을 크게 저하시킬 수 있습니다. 자세한 내용은 참조:를 참조하세요<https://go.microsoft.com/fwlink/?LinkID=787136>.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 1 | 사용. |
| 0(기본값) | 사용 안 함. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | Microsoft 네트워크 클라이언트: 디지털 서명 통신(항상) |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 |
MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134] 이상 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees
Microsoft 네트워크 클라이언트: 디지털 서명 통신(서버가 동의하는 경우) 이 보안 설정은 SMB 클라이언트가 SMB 패킷 서명을 협상하려고 하는지 여부를 결정합니다. SMB(서버 메시지 블록) 프로토콜은 Microsoft 파일 및 인쇄 공유 및 원격 Windows 관리와 같은 다른 많은 네트워킹 작업의 기초를 제공합니다. 전송 중인 SMB 패킷을 수정하는 중간자 공격을 방지하기 위해 SMB 프로토콜은 SMB 패킷의 디지털 서명을 지원합니다. 이 정책 설정은 SMB 클라이언트 구성 요소가 SMB 서버에 연결할 때 SMB 패킷 서명을 협상하려고 하는지 여부를 결정합니다.
이 설정을 사용하도록 설정하면 Microsoft 네트워크 클라이언트가 세션 설정 시 SMB 패킷 서명을 수행하도록 서버에 요청합니다. 서버에서 패킷 서명을 사용하도록 설정한 경우 패킷 서명이 협상됩니다.
이 정책을 사용하지 않도록 설정하면 SMB 클라이언트는 SMB 패킷 서명을 협상하지 않습니다. 기본값: 사용.
참고
모든 Windows 운영 체제는 클라이언트 쪽 SMB 구성 요소와 서버 쪽 SMB 구성 요소를 모두 지원합니다. Windows 2000 이상에서는 클라이언트 및 서버 쪽 SMB 구성 요소에 대해 패킷 서명을 사용하거나 요구하는 경우 Microsoft 네트워크 클라이언트: 디지털 서명 통신(항상) - 클라이언트 쪽 SMB 구성 요소에 패킷 서명이 필요한지 여부를 제어하는 네 가지 정책 설정에 의해 제어됩니다. Microsoft 네트워크 클라이언트: 디지털 서명 통신(서버가 동의하는 경우) - 클라이언트 쪽 SMB 구성 요소에 패킷 서명이 사용하도록 설정되어 있는지 여부를 제어합니다. Microsoft 네트워크 서버: 디지털 서명 통신(항상) - 서버 쪽 SMB 구성 요소에 패킷 서명이 필요한지 여부를 제어합니다. Microsoft 네트워크 서버: 디지털 서명 통신(클라이언트가 동의하는 경우) - 서버 쪽 SMB 구성 요소에 패킷 서명이 사용하도록 설정되어 있는지 여부를 제어합니다. 클라이언트 쪽 및 서버 쪽 SMB 서명을 모두 사용하도록 설정하고 클라이언트가 서버에 대한 SMB 1.0 연결을 설정하는 경우 SMB 서명이 시도됩니다. SMB 패킷 서명은 언어 버전, OS 버전, 파일 크기, 프로세서 오프로드 기능 및 애플리케이션 IO 동작에 따라 SMB 성능을 크게 저하시킬 수 있습니다. 이 설정은 SMB 1.0 연결에만 적용됩니다. 자세한 내용은 참조:를 참조하세요<https://go.microsoft.com/fwlink/?LinkID=787136>.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 1 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 1(기본값) | 사용. |
| 0 | 사용 안 함. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | Microsoft 네트워크 클라이언트: 디지털 서명 통신(서버에서 동의한 경우) |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 |
MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134] 이상 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers
Microsoft 네트워크 클라이언트: 암호화되지 않은 암호를 보내 타사 SMB 서버에 연결합니다. 이 보안 설정을 사용하도록 설정하면 SMB(서버 메시지 블록) 리디렉터에서 인증 중에 암호 암호화를 지원하지 않는 타사 SMB 서버에 일반 텍스트 암호를 보낼 수 있습니다. 암호화되지 않은 암호를 보내는 것은 보안 위험입니다. 기본값: 사용 안 함.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 1 | 사용. |
| 0(기본값) | 사용 안 함. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | Microsoft 네트워크 클라이언트: 타사 SMB 서버에 암호화되지 않은 암호 보내기 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 |
MicrosoftNetworkServer_AmountOfIdleTimeRequiredBeforeSuspendingSession
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkServer_AmountOfIdleTimeRequiredBeforeSuspendingSession
Microsoft 네트워크 서버: 세션을 일시 중단하기 전에 필요한 유휴 시간 양 이 보안 설정은 비활성으로 인해 세션이 일시 중단되기 전에 SMB(서버 메시지 블록) 세션을 통과해야 하는 연속 유휴 시간의 양을 결정합니다. 관리자는 이 정책을 사용하여 컴퓨터가 비활성 SMB 세션을 일시 중단하는 시기를 제어할 수 있습니다. 클라이언트 활동이 다시 시작되면 세션이 자동으로 다시 설정됩니다. 이 정책 설정의 경우 값이 0이면 가능한 한 빨리 유휴 세션의 연결을 끊을 수 있습니다. 최대값은 208일인 99999입니다. 실제로 이 값은 정책을 사용하지 않도록 설정합니다. 기본값: 이 정책은 정의되지 않았습니다. 즉, 시스템에서 서버의 경우 15분으로 처리하고 워크스테이션에 대해 정의되지 않음을 의미합니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 범위: [0-99999] |
| 기본 값 | 99999 |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | Microsoft 네트워크 서버: 세션을 중단하기 전에 필요한 유휴 시간 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 |
MicrosoftNetworkServer_DigitallySignCommunicationsAlways
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134] 이상 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkServer_DigitallySignCommunicationsAlways
Microsoft 네트워크 서버: 디지털 서명 통신(항상) 이 보안 설정은 SMB 서버 구성 요소에 패킷 서명이 필요한지 여부를 결정합니다. SMB(서버 메시지 블록) 프로토콜은 Microsoft 파일 및 인쇄 공유 및 원격 Windows 관리와 같은 다른 많은 네트워킹 작업의 기초를 제공합니다. 전송 중인 SMB 패킷을 수정하는 중간자 공격을 방지하기 위해 SMB 프로토콜은 SMB 패킷의 디지털 서명을 지원합니다. 이 정책 설정은 SMB 클라이언트와의 추가 통신이 허용되기 전에 SMB 패킷 서명을 협상해야 하는지 여부를 결정합니다.
이 설정을 사용하도록 설정하면 클라이언트가 SMB 패킷 서명을 수행하는 데 동의하지 않는 한 Microsoft 네트워크 서버는 Microsoft 네트워크 클라이언트와 통신하지 않습니다.
이 설정을 사용하지 않도록 설정하면 클라이언트와 서버 간에 SMB 패킷 서명이 협상됩니다. 기본값: 멤버 서버에서 사용할 수 없습니다. 도메인 컨트롤러에 대해 사용하도록 설정됩니다.
참고
모든 Windows 운영 체제는 클라이언트 쪽 SMB 구성 요소와 서버 쪽 SMB 구성 요소를 모두 지원합니다. Windows 2000 이상에서는 클라이언트 및 서버 쪽 SMB 구성 요소에 대해 패킷 서명을 사용하거나 요구하는 경우 Microsoft 네트워크 클라이언트: 디지털 서명 통신(항상) - 클라이언트 쪽 SMB 구성 요소에 패킷 서명이 필요한지 여부를 제어하는 네 가지 정책 설정에 의해 제어됩니다. Microsoft 네트워크 클라이언트: 디지털 서명 통신(서버가 동의하는 경우) - 클라이언트 쪽 SMB 구성 요소에 패킷 서명이 사용하도록 설정되어 있는지 여부를 제어합니다. Microsoft 네트워크 서버: 디지털 서명 통신(항상) - 서버 쪽 SMB 구성 요소에 패킷 서명이 필요한지 여부를 제어합니다. Microsoft 네트워크 서버: 디지털 서명 통신(클라이언트가 동의하는 경우) - 서버 쪽 SMB 구성 요소에 패킷 서명이 사용하도록 설정되어 있는지 여부를 제어합니다. 마찬가지로 클라이언트 쪽 SMB 서명이 필요한 경우 해당 클라이언트는 패킷 서명을 사용하도록 설정하지 않은 서버로 세션을 설정할 수 없습니다. 기본적으로 서버 쪽 SMB 서명은 도메인 컨트롤러에서만 사용하도록 설정됩니다. 서버 쪽 SMB 서명을 사용하도록 설정하면 클라이언트 쪽 SMB 서명이 사용하도록 설정된 클라이언트와 SMB 패킷 서명이 협상됩니다. SMB 패킷 서명은 언어 버전, OS 버전, 파일 크기, 프로세서 오프로드 기능 및 애플리케이션 IO 동작에 따라 SMB 성능을 크게 저하시킬 수 있습니다.
중요
이 정책이 Windows 2000을 실행하는 컴퓨터에 적용되려면 서버 쪽 패킷 서명도 사용하도록 설정해야 합니다. 서버 쪽 SMB 패킷 서명을 사용하도록 설정하려면 다음 정책 설정: Microsoft 네트워크 서버: 디지털 서명 통신(서버가 동의하는 경우) Windows 2000 서버가 Windows NT 4.0 클라이언트와 서명을 협상하려면 Windows 2000 서버에서 다음 레지스트리 값을 1로 설정해야 합니다. HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature 자세한 내용은 참조:<https://go.microsoft.com/fwlink/?LinkID=787136>.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 1 | 사용. |
| 0(기본값) | 사용 안 함. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | Microsoft 네트워크 서버: 디지털 서명 통신(항상) |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 |
MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134] 이상 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees
Microsoft 네트워크 서버: 디지털 서명 통신(클라이언트가 동의하는 경우) 이 보안 설정은 SMB 서버가 SMB 패킷 서명을 요청하는 클라이언트와 협상할지 여부를 결정합니다. SMB(서버 메시지 블록) 프로토콜은 Microsoft 파일 및 인쇄 공유 및 원격 Windows 관리와 같은 다른 많은 네트워킹 작업의 기초를 제공합니다. 전송 중인 SMB 패킷을 수정하는 중간자 공격을 방지하기 위해 SMB 프로토콜은 SMB 패킷의 디지털 서명을 지원합니다. 이 정책 설정은 SMB 클라이언트가 요청할 때 SMB 서버가 SMB 패킷 서명을 협상할지 여부를 결정합니다.
이 설정을 사용하도록 설정하면 Microsoft 네트워크 서버는 클라이언트에서 요청한 대로 SMB 패킷 서명을 협상합니다. 즉, 클라이언트에서 패킷 서명을 사용하도록 설정한 경우 패킷 서명이 협상됩니다.
이 정책을 사용하지 않도록 설정하면 SMB 클라이언트는 SMB 패킷 서명을 협상하지 않습니다. 기본값: 도메인 컨트롤러에서만 사용하도록 설정됩니다.
중요
Windows 2000 서버가 Windows NT 4.0 클라이언트와 서명을 협상하려면 Windows 2000을 실행하는 서버에서 다음 레지스트리 값을 1로 설정해야 합니다. HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature 모든 Windows 운영 체제는 클라이언트 쪽 SMB 구성 요소와 서버 쪽 SMB 구성 요소를 모두 지원합니다. Windows 2000 이상의 경우 클라이언트 및 서버 쪽 SMB 구성 요소에 대한 패킷 서명을 사용하거나 요구하는 것은 Microsoft 네트워크 클라이언트: 디지털 서명 통신(항상) - 클라이언트 쪽 SMB 구성 요소에 패킷 서명이 필요한지 여부를 제어하는 네 가지 정책 설정에 의해 제어됩니다. Microsoft 네트워크 클라이언트: 디지털 서명 통신(서버가 동의하는 경우) - 클라이언트 쪽 SMB 구성 요소에 패킷 서명이 사용하도록 설정되어 있는지 여부를 제어합니다. Microsoft 네트워크 서버: 디지털 서명 통신(항상) - 서버 쪽 SMB 구성 요소에 패킷 서명이 필요한지 여부를 제어합니다. Microsoft 네트워크 서버: 디지털 서명 통신(클라이언트가 동의하는 경우) - 서버 쪽 SMB 구성 요소에 패킷 서명이 사용하도록 설정되어 있는지 여부를 제어합니다. 클라이언트 쪽 및 서버 쪽 SMB 서명을 모두 사용하도록 설정하고 클라이언트가 서버에 대한 SMB 1.0 연결을 설정하는 경우 SMB 서명이 시도됩니다. SMB 패킷 서명은 언어 버전, OS 버전, 파일 크기, 프로세서 오프로드 기능 및 애플리케이션 IO 동작에 따라 SMB 성능을 크게 저하시킬 수 있습니다. 이 설정은 SMB 1.0 연결에만 적용됩니다. 자세한 내용은 참조:를 참조하세요<https://go.microsoft.com/fwlink/?LinkID=787136>.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 1 | 사용. |
| 0(기본값) | 사용 안 함. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | Microsoft 네트워크 서버: 디지털 서명 통신(클라이언트에서 동의한 경우) |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 |
MicrosoftNetworkServer_DisconnectClientsWhenLogonHoursExpire
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkServer_DisconnectClientsWhenLogonHoursExpire
Microsoft 네트워크 서버: 로그온 시간이 만료되면 클라이언트 연결 끊기 이 보안 설정은 사용자 계정의 유효한 로그온 시간 외에 로컬 컴퓨터에 연결된 사용자의 연결을 끊을지 여부를 결정합니다. 이 설정은 SMB(서버 메시지 블록) 구성 요소에 영향을 줍니다. 이 정책을 사용하도록 설정하면 클라이언트의 로그온 시간이 만료될 때 SMB 서비스를 사용하는 클라이언트 세션의 연결이 강제로 끊어집니다. 이 정책을 사용하지 않도록 설정하면 클라이언트의 로그온 시간이 만료된 후 설정된 클라이언트 세션을 유지 관리할 수 있습니다. Windows Vista 이상에서 기본값: 사용. Windows XP의 기본값: 사용 안 함.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 범위: [0-1] |
| 기본 값 | 1 |
MicrosoftNetworkServer_ServerSPNTargetNameValidationLevel
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkServer_ServerSPNTargetNameValidationLevel
Microsoft 네트워크 서버: 서버 SPN 대상 이름 유효성 검사 수준 이 정책 설정은 공유 폴더 또는 프린터(서버)가 있는 컴퓨터가 SMB(서버 메시지 블록) 프로토콜을 사용하여 세션을 설정할 때 클라이언트 컴퓨터에서 제공하는 SPN(서비스 사용자 이름)에서 수행하는 유효성 검사 수준을 제어합니다. SMB(서버 메시지 블록) 프로토콜은 파일 및 인쇄 공유 및 원격 Windows 관리와 같은 기타 네트워킹 작업의 기초를 제공합니다. SMB 프로토콜은 SMB 릴레이 공격이라고 하는 SMB 서버에 대한 공격 클래스를 방지하기 위해 SMB 클라이언트에서 제공하는 인증 Blob 내에서 SMB SPN(서버 서비스 주체 이름)의 유효성을 검사하도록 지원합니다. 이 설정은 SMB1과 SMB2 모두에 영향을 미칩니다. 이 보안 설정은 SMB 서버에 대한 세션을 설정하려고 할 때 SMB 클라이언트가 제공하는 SPN(서비스 사용자 이름)에서 SMB 서버가 수행하는 유효성 검사 수준을 결정합니다. 옵션은 끄기 - SMB 클라이언트에서 SMB 서버에서 SPN이 필요하거나 유효성을 검사하지 않습니다. 클라이언트에서 제공하는 경우 수락 - SMB 서버는 SMB 클라이언트에서 제공하는 SPN을 수락하고 유효성을 검사하며 SMB 서버의 SPN 목록 자체와 일치하는 경우 세션을 설정할 수 있도록 허용합니다. SPN이 일치하지 않으면 해당 SMB 클라이언트에 대한 세션 요청이 거부됩니다. 클라이언트에서 필요 - SMB 클라이언트는 세션 설정에서 SPN 이름을 보내야 하며, 제공된 SPN 이름은 연결을 설정하도록 요청되는 SMB 서버와 일치해야 합니다. 클라이언트에서 SPN을 제공하지 않거나 제공된 SPN이 일치하지 않으면 세션이 거부됩니다. 기본값: 모든 Windows 운영 체제 해제는 클라이언트 쪽 SMB 구성 요소와 서버 쪽 SMB 구성 요소를 모두 지원합니다. 이 설정은 서버 SMB 동작에 영향을 줍니다. 파일 및 인쇄 서비스 기능의 중단을 방지하기 위해 해당 구현을 신중하게 평가하고 테스트해야 합니다. 이를 구현하고 이를 사용하여 SMB 서버를 보호하는 방법에 대한 추가 정보는 Microsoft 웹 사이트(https://go.microsoft.com/fwlink/?LinkId=144505)에서 확인할 수 있습니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 범위: [0-2] |
| 기본 값 | 0 |
NetworkAccess_AllowAnonymousSIDOrNameTranslation
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_AllowAnonymousSIDOrNameTranslation
네트워크 액세스: 익명 SID/이름 변환 허용 이 정책 설정은 익명 사용자가 다른 사용자에 대한 SID(보안 식별자) 특성을 요청할 수 있는지 여부를 결정합니다.
이 정책을 사용하도록 설정하면 익명 사용자가 다른 사용자에 대해 SID 특성을 요청할 수 있습니다. 관리자의 SID에 대한 지식이 있는 익명 사용자는 이 정책을 사용하도록 설정된 컴퓨터에 연결하고 SID를 사용하여 관리자의 이름을 가져올 수 있습니다. 이 설정은 SID-이름 변환과 이름-SID 변환 모두에 영향을 줍니다.
이 정책 설정을 사용하지 않도록 설정하면 익명 사용자가 다른 사용자에 대해 SID 특성을 요청할 수 없습니다. 워크스테이션 및 멤버 서버의 기본값: 사용 안 함 Windows Server 2008 이상을 실행하는 도메인 컨트롤러의 기본값: 사용 안 함. Windows Server 2003 R2 이하를 실행하는 도메인 컨트롤러의 기본값: 사용.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 1 | 사용. |
| 0(기본값) | 사용 안 함. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 네트워크 액세스: 익명 SID/이름 변환 허용 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 |
NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134] 이상 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts
네트워크 액세스: SAM 계정의 익명 열거를 허용하지 않음 이 보안 설정은 컴퓨터에 대한 익명 연결에 대해 부여할 추가 권한을 결정합니다. Windows를 사용하면 익명 사용자가 도메인 계정 및 네트워크 공유의 이름을 열거하는 등의 특정 활동을 수행할 수 있습니다. 예를 들어 관리자가 상호 신뢰를 유지하지 않는 신뢰할 수 있는 도메인의 사용자에게 액세스 권한을 부여하려는 경우 편리합니다. 이 보안 옵션을 사용하면 다음과 같이 익명 연결에 추가 제한을 적용할 수 있습니다. 사용: SAM 계정 열거를 허용하지 않습니다. 이 옵션은 리소스에 대한 보안 권한에서 모든 사용자를 인증된 사용자로 바꿉니다. 사용 안 함: 추가 제한이 없습니다. 기본 권한에 의존합니다. 워크스테이션의 기본값: 사용. server:Enabled의 기본값입니다.
중요
이 정책은 도메인 컨트롤러에 영향을 주지 않습니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 1 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 1(기본값) | 활성화. |
| 0 | 비활성화. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 네트워크 액세스: SAM 계정의 익명 열거를 허용하지 않음 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 |
NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134] 이상 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares
네트워크 액세스: SAM 계정 및 공유의 익명 열거를 허용하지 않습니다. 이 보안 설정은 SAM 계정 및 공유의 익명 열거가 허용되는지 여부를 결정합니다. Windows를 사용하면 익명 사용자가 도메인 계정 및 네트워크 공유의 이름을 열거하는 등의 특정 활동을 수행할 수 있습니다. 예를 들어 관리자가 상호 신뢰를 유지하지 않는 신뢰할 수 있는 도메인의 사용자에게 액세스 권한을 부여하려는 경우 편리합니다. SAM 계정 및 공유의 익명 열거를 허용하지 않으려면 이 정책을 사용하도록 설정합니다. 기본값: 사용 안 함.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 1 | 활성화. |
| 0(기본값) | 사용하지 않도록 설정됩니다. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 네트워크 액세스: SAM 계정 및 공유의 익명 열거를 허용하지 않음 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 |
NetworkAccess_DoNotAllowStorageOfPasswordsAndCredentialsForNetworkAuthentication
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_DoNotAllowStorageOfPasswordsAndCredentialsForNetworkAuthentication
네트워크 액세스: 네트워크 인증을 위한 암호 및 자격 증명 저장을 허용하지 않습니다. 이 보안 설정은 자격 증명 관리자가 도메인 인증을 획득할 때 나중에 사용할 수 있도록 암호 및 자격 증명을 저장할지 여부를 결정합니다.
이 설정을 사용하도록 설정하면 자격 증명 관리자가 컴퓨터에 암호와 자격 증명을 저장하지 않습니다.
이 정책 설정을 사용하지 않거나 구성하지 않으면 자격 증명 관리자는 나중에 도메인 인증에 사용할 수 있는 암호와 자격 증명을 이 컴퓨터에 저장합니다.
참고
이 보안 설정을 구성할 때 Windows를 다시 시작할 때까지 변경 내용이 적용되지 않습니다. 기본값: 사용 안 함.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 범위: [0-1] |
| 기본 값 | 0 |
NetworkAccess_LetEveryonePermissionsApplyToAnonymousUsers
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_LetEveryonePermissionsApplyToAnonymousUsers
네트워크 액세스: 모든 사용자가 익명 사용자에게 권한을 적용하도록 허용 이 보안 설정은 컴퓨터에 대한 익명 연결에 대해 부여된 추가 권한을 결정합니다. Windows를 사용하면 익명 사용자가 도메인 계정 및 네트워크 공유의 이름을 열거하는 등의 특정 활동을 수행할 수 있습니다. 예를 들어 관리자가 상호 신뢰를 유지하지 않는 신뢰할 수 있는 도메인의 사용자에게 액세스 권한을 부여하려는 경우 편리합니다. 기본적으로 익명 연결을 위해 만든 토큰에서 SID(모든 사용자 보안 식별자)가 제거됩니다. 따라서 모든 사용자 그룹에 부여된 권한은 익명 사용자에게 적용되지 않습니다. 이 옵션을 설정한 경우 익명 사용자는 익명 사용자에게 명시적으로 권한이 부여된 리소스에만 액세스할 수 있습니다. 이 정책을 사용하도록 설정하면 익명 연결을 위해 만들어진 토큰에 모든 사용자 SID가 추가됩니다. 이 경우 익명 사용자는 모든 사용자 그룹에 권한이 부여된 모든 리소스에 액세스할 수 있습니다. 기본값: 사용 안 함.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 범위: [0-1] |
| 기본 값 | 0 |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 네트워크 액세스: Everyone 사용 권한을 익명 사용자에게 적용 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 |
NetworkAccess_NamedPipesThatCanBeAccessedAnonymously
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_NamedPipesThatCanBeAccessedAnonymously
네트워크 액세스: 익명으로 액세스할 수 있는 명명된 파이프 이 보안 설정은 익명 액세스를 허용하는 특성 및 사용 권한이 있는 통신 세션(파이프)을 결정합니다. 기본값: 없음.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 목록(구분 기호: ,) |
NetworkAccess_RemotelyAccessibleRegistryPaths
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_RemotelyAccessibleRegistryPaths
네트워크 액세스: 원격으로 액세스할 수 있는 레지스트리 경로 이 보안 설정은 winreg 레지스트리 키의 ACL(액세스 제어 목록)에 나열된 사용자 또는 그룹에 관계없이 네트워크를 통해 액세스할 수 있는 레지스트리 키를 결정합니다. 기본값: System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server Applications Software\Microsoft\Windows NT\CurrentVersion 주의 레지스트리를 잘못 편집하면 시스템에 심각한 손상을 줄 수 있습니다. 레지스트리를 변경하기 전에 컴퓨터에서 모든 값 있는 데이터를 백업해야 합니다.
참고
이 보안 설정은 이전 버전의 Windows에서 사용할 수 없습니다. Windows XP를 실행하는 컴퓨터에 표시되는 보안 설정인 "네트워크 액세스: 원격으로 액세스할 수 있는 레지스트리 경로"는 Windows Server 2003 제품군의 구성원에 대한 "네트워크 액세스: 원격으로 액세스할 수 있는 레지스트리 경로 및 하위 경로" 보안 옵션에 해당합니다. 자세한 내용은 네트워크 액세스: 원격으로 액세스할 수 있는 레지스트리 경로 및 하위 경로를 참조하세요.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 목록(구분 기호: ,) |
NetworkAccess_RemotelyAccessibleRegistryPathsAndSubpaths
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_RemotelyAccessibleRegistryPathsAndSubpaths
네트워크 액세스: 원격으로 액세스할 수 있는 레지스트리 경로 및 하위 경로 이 보안 설정은 winreg 레지스트리 키의 ACL(액세스 제어 목록)에 나열된 사용자 또는 그룹에 관계없이 네트워크를 통해 액세스할 수 있는 레지스트리 경로 및 하위 경로를 결정합니다. 기본값: System\CurrentControlSet\Control\Print\Printers System\CurrentControlSet\Services\Eventlog Software\Microsoft\OLAP Server Software\Microsoft\Windows NT\CurrentVersion\Print Software\Microsoft\Windows NT\CurrentVersion\Windows System\CurrentControlSet\Control\ContentIndex System\CurrentControlSet\Control\Terminal Server System\CurrentControlSet\Control\Terminal Server\ UserConfig System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration Software\Microsoft\Windows NT\CurrentVersion\Perflib System\CurrentControlSet\Services\SysmonLog System\CurrentControlSet\Services\CertSvc System\CurrentControlSet\Services\Wins 레지스트리를 잘못 편집하면 시스템에 심각한 손상을 줄 수 있습니다. 레지스트리를 변경하기 전에 컴퓨터에서 모든 값 있는 데이터를 백업해야 합니다.
참고
Windows XP에서 이 보안 설정을 "네트워크 액세스: 원격으로 액세스할 수 있는 레지스트리 경로"라고 했습니다. 도메인에 가입된 Windows Server 2003 제품군의 구성원에서 이 설정을 구성하는 경우 이 설정은 Windows XP를 실행하는 컴퓨터에서 상속되지만 "네트워크 액세스: 원격으로 액세스할 수 있는 레지스트리 경로" 보안 옵션으로 표시됩니다. 자세한 내용은 네트워크 액세스: 원격으로 액세스할 수 있는 레지스트리 경로 및 하위 경로를 참조하세요.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 목록(구분 기호: ,) |
NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134] 이상 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares
네트워크 액세스: 명명된 파이프 및 공유에 대한 익명 액세스 제한 이 보안 설정은 공유 및 파이프에 대한 익명 액세스를 네트워크 액세스: 익명으로 액세스할 수 있는 명명된 파이프: 익명으로 액세스할 수 있는 공유 기본값: 사용 설정으로 제한합니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 1 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 1(기본값) | 사용. |
| 0 | 사용 안 함. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 네트워크 액세스: 명명된 파이프와 공유에 대한 익명 액세스 제한 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 |
NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1709 [10.0.16299] 이상 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM
네트워크 액세스: SAM에 대한 원격 호출을 수행할 수 있는 클라이언트 제한 이 정책 설정을 사용하면 SAM에 대한 원격 rpc 연결을 제한할 수 있습니다. 선택하지 않으면 기본 보안 설명자가 사용됩니다. 이 정책은 Windows Server 2016 이상에서 지원됩니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 네트워크 액세스: SAM에 대한 원격 호출이 허용된 클라이언트 제한 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 |
NetworkAccess_SharesThatCanBeAccessedAnonymously
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_SharesThatCanBeAccessedAnonymously
네트워크 액세스: 익명으로 액세스할 수 있는 공유 이 보안 설정은 익명 사용자가 액세스할 수 있는 네트워크 공유를 결정합니다. 기본값: 없음을 지정합니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 목록(구분 기호: ,) |
NetworkAccess_SharingAndSecurityModelForLocalAccounts
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_SharingAndSecurityModelForLocalAccounts
네트워크 액세스: 로컬 계정에 대한 공유 및 보안 모델 이 보안 설정은 로컬 계정을 사용하는 네트워크 로그온을 인증하는 방법을 결정합니다. 이 설정이 클래식으로 설정된 경우 로컬 계정 자격 증명을 사용하는 네트워크 로그온은 해당 자격 증명을 사용하여 인증합니다. 클래식 모델을 사용하면 리소스에 대한 액세스를 세밀하게 제어할 수 있습니다. 클래식 모델을 사용하면 동일한 리소스에 대해 다른 사용자에게 다양한 유형의 액세스 권한을 부여할 수 있습니다. 이 설정이 게스트 전용으로 설정된 경우 로컬 계정을 사용하는 네트워크 로그온이 게스트 계정에 자동으로 매핑됩니다. 게스트 모델을 사용하면 모든 사용자가 동일하게 처리될 수 있습니다. 모든 사용자는 게스트로 인증되며, 모든 사용자는 읽기 전용 또는 수정일 수 있는 지정된 리소스에 대해 동일한 수준의 액세스를 받습니다. 도메인 컴퓨터의 기본값: 클래식. 독립 실행형 컴퓨터의 기본값: 게스트 전용 중요 게스트 전용 모델에서는 네트워크를 통해 컴퓨터에 액세스할 수 있는 모든 사용자(익명 인터넷 사용자 포함)가 공유 리소스에 액세스할 수 있습니다. Windows 방화벽 또는 다른 유사한 디바이스를 사용하여 컴퓨터를 무단 액세스로부터 보호해야 합니다. 마찬가지로 클래식 모델을 사용하면 로컬 계정이 암호로 보호되어야 합니다. 그렇지 않으면 모든 사용자가 이러한 사용자 계정을 사용하여 공유 시스템 리소스에 액세스할 수 있습니다.
참고
이 설정은 텔넷 또는 원격 데스크톱 서비스와 같은 서비스를 사용하여 원격으로 수행되는 대화형 로그온에 영향을 주지 않습니다. 원격 데스크톱 서비스는 이전 버전의 Windows Server에서 터미널 서비스라고 했습니다. 이 정책은 Windows 2000을 실행하는 컴퓨터에 영향을 주지 않습니다. 컴퓨터가 도메인에 가입되지 않은 경우 이 설정은 사용 중인 공유 및 보안 모델에 맞게 파일 탐색기 공유 및 보안 탭도 수정합니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 범위: [0-1] |
| 기본 값 | 0 |
NetworkSecurity_AllowLocalSystemNULLSessionFallback
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_AllowLocalSystemNULLSessionFallback
네트워크 보안: LocalSystem NULL 세션 대체 허용 LocalSystem과 함께 사용할 때 NTLM이 NULL 세션으로 대체되도록 허용합니다. 기본값은 Windows Vista까지 TRUE이고 Windows 7에서는 FALSE입니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 범위: [0-1] |
| 기본 값 | 1 |
NetworkSecurity_AllowLocalSystemToUseComputerIdentityForNTLM
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, 버전 1809 [10.0.17763] 이상 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_AllowLocalSystemToUseComputerIdentityForNTLM
네트워크 보안: 로컬 시스템이 NTLM에 컴퓨터 ID를 사용하도록 허용 이 정책 설정을 사용하면 Negotiate를 사용하는 로컬 시스템 서비스에서 NTLM 인증으로 되돌릴 때 컴퓨터 ID를 사용할 수 있습니다.
이 정책 설정을 사용하도록 설정하면 Negotiate를 사용하는 로컬 시스템으로 실행되는 서비스가 컴퓨터 ID를 사용합니다. 이로 인해 Windows 운영 체제 간의 일부 인증 요청이 실패하고 오류를 기록할 수 있습니다.
이 정책 설정을 사용하지 않도록 설정하면 NTLM 인증으로 되돌릴 때 Negotiate를 사용하는 로컬 시스템으로 실행되는 서비스가 익명으로 인증됩니다. 기본적으로 이 정책은 Windows 7 이상에서 사용하도록 설정됩니다. 기본적으로 이 정책은 Windows Vista에서 사용하지 않도록 설정됩니다. 이 정책은 적어도 Windows Vista 또는 Windows Server 2008에서 지원됩니다.
참고
Windows Vista 또는 Windows Server 2008은 그룹 정책 이 설정을 노출하지 않습니다.
- 서비스가 디바이스 ID와 연결되면 데이터 보호를 제공하기 위해 서명 및 암호화가 지원됩니다.
- 서비스가 익명으로 연결되면 시스템 생성 세션 키가 생성되어 보호를 제공하지 않지만 애플리케이션이 오류 없이 데이터에 서명하고 암호화할 수 있습니다. 익명 인증은 사용자 인증이 수행되지 않는 서버가 있는 세션인 NULL 세션을 사용합니다. 따라서 익명 액세스가 허용됩니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 1 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 1(기본값) | 허용. |
| 0 | 차단. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 네트워크 보안: 로컬 시스템이 NTLM에 컴퓨터 ID를 사용하도록 허용 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 |
NetworkSecurity_AllowPKU2UAuthenticationRequests
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1709 [10.0.16299] 이상 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_AllowPKU2UAuthenticationRequests
네트워크 보안: 이 컴퓨터에 대한 PKU2U 인증 요청이 온라인 ID를 사용하도록 허용합니다. 이 정책은 도메인에 가입된 컴퓨터에서 기본적으로 꺼집니다. 이렇게 하면 온라인 ID가 도메인에 가입된 컴퓨터에 인증되지 않습니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 1 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0 | 차단. |
| 1(기본값) | 허용. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 네트워크 보안: 이 컴퓨터에 대한 PKU2U 인증 요청이 온라인 ID를 사용하도록 허용합니다. |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 |
NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange
참고
이 정책은 더 이상 사용되지 않으며 향후 릴리스에서 제거될 수 있습니다.
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134] 이상 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange
네트워크 보안: 다음 암호 변경 시 LAN 관리자 해시 값을 저장하지 마세요. 이 보안 설정은 다음 암호 변경 시 새 암호에 대한 LAN 관리자(LM) 해시 값이 저장되는지 여부를 결정합니다. LM 해시는 암호화적으로 더 강력한 Windows NT 해시에 비해 상대적으로 약하고 공격하기 쉽습니다. LM 해시는 보안 데이터베이스의 로컬 컴퓨터에 저장되므로 보안 데이터베이스가 공격을 받으면 암호가 손상될 수 있습니다. Windows Vista 이상에서 기본값: Windows XP에서 기본값 사용: 사용 안 함
중요
Windows 2000 SP2(서비스 팩 2) 이상은 Microsoft Windows NT 4.0과 같은 이전 버전의 Windows에 대한 인증과의 호환성을 제공합니다. 이 설정은 Windows 2000 Server, Windows 2000 Professional, Windows XP 및 Windows Server 2003 제품군을 실행하는 컴퓨터가 Windows 95 및 Windows 98을 실행하는 컴퓨터와 통신하는 기능에 영향을 줄 수 있습니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 1 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 1(기본값) | 사용. |
| 0 | 사용 안 함. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 네트워크 보안: 다음 암호 변경 시 LAN 관리자 해시 값을 저장하지 마세요. |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 |
NetworkSecurity_ForceLogoffWhenLogonHoursExpire
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_ForceLogoffWhenLogonHoursExpire
네트워크 보안: 로그온 시간이 만료되면 강제 로그오프 이 보안 설정은 사용자 계정의 유효한 로그온 시간 외에 로컬 컴퓨터에 연결된 사용자의 연결을 끊을지 여부를 결정합니다. 이 설정은 SMB(서버 메시지 블록) 구성 요소에 영향을 줍니다. 이 정책을 사용하도록 설정하면 클라이언트의 로그온 시간이 만료될 때 SMB 서버가 있는 클라이언트 세션의 연결이 강제로 끊어집니다. 이 정책을 사용하지 않도록 설정하면 클라이언트의 로그온 시간이 만료된 후 설정된 클라이언트 세션을 유지 관리할 수 있습니다. 기본값: 사용.
참고
이 보안 설정은 계정 정책으로 작동합니다. 도메인 계정의 경우 계정 정책이 하나만 있을 수 있습니다. 계정 정책은 기본 도메인 정책에 정의되어야 하며 도메인을 구성하는 도메인 컨트롤러에 의해 적용됩니다. 도메인 컨트롤러는 도메인 컨트롤러를 포함하는 조직 구성 단위에 적용된 다른 계정 정책이 있더라도 항상 GPO(기본 도메인 정책 그룹 정책 개체)에서 계정 정책을 가져옵니다. 기본적으로 도메인에 가입된 워크스테이션 및 서버(예: 멤버 컴퓨터)도 로컬 계정에 대해 동일한 계정 정책을 받습니다. 그러나 구성원 컴퓨터에 대한 로컬 계정 정책은 구성원 컴퓨터를 포함하는 조직 구성 단위에 대한 계정 정책을 정의하여 도메인 계정 정책과 다를 수 있습니다. Kerberos 설정은 멤버 컴퓨터에 적용되지 않습니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 1 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 1(기본값) | 사용. |
| 0 | 사용 안 함. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 네트워크 보안: 로그온 시간이 만료되면 강제로 로그오프됨 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 |
NetworkSecurity_LANManagerAuthenticationLevel
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134] 이상 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_LANManagerAuthenticationLevel
네트워크 보안 LAN 관리자 인증 수준 이 보안 설정은 네트워크 로그온에 사용되는 챌린지/응답 인증 프로토콜을 결정합니다. 이 선택은 클라이언트에서 사용하는 인증 프로토콜 수준, 협상된 세션 보안 수준 및 서버에서 허용하는 인증 수준에 영향을 줍니다. LM 및 NTLM 응답 보내기: 클라이언트는 LM 및 NTLM 인증을 사용하고 NTLMv2 세션 보안을 사용하지 않습니다. 도메인 컨트롤러는 LM, NTLM 및 NTLMv2 인증을 수락합니다. LM 및 NTLM 보내기 - 협상된 경우 NTLMv2 세션 보안 사용: 클라이언트는 LM 및 NTLM 인증을 사용하고 서버가 지원하는 경우 NTLMv2 세션 보안을 사용합니다. 도메인 컨트롤러는 LM, NTLM 및 NTLMv2 인증을 수락합니다. NTLM 응답만 보내기: 클라이언트는 NTLM 인증만 사용하고 서버에서 지원하는 경우 NTLMv2 세션 보안을 사용합니다. 도메인 컨트롤러는 LM, NTLM 및 NTLMv2 인증을 수락합니다. NTLMv2 응답만 보내기: 클라이언트는 NTLMv2 인증만 사용하고 서버에서 지원하는 경우 NTLMv2 세션 보안을 사용합니다. 도메인 컨트롤러는 LM, NTLM 및 NTLMv2 인증을 수락합니다. NTLMv2 응답만 보내기\거부 LM: 클라이언트는 NTLMv2 인증만 사용하고 서버에서 지원하는 경우 NTLMv2 세션 보안을 사용합니다. 도메인 컨트롤러는 LM을 거부합니다(NTLM 및 NTLMv2 인증만 허용). NTLMv2 응답만 보내기\LM 및 NTLM 거부: 클라이언트는 NTLMv2 인증만 사용하고 서버에서 지원하는 경우 NTLMv2 세션 보안을 사용합니다. 도메인 컨트롤러는 LM 및 NTLM을 거부합니다(NTLMv2 인증만 허용).
중요
이 설정은 Windows 2000 Server, Windows 2000 Professional, Windows XP Professional 및 Windows Server 2003 제품군을 실행하는 컴퓨터가 네트워크를 통해 Windows NT 4.0 이하를 실행하는 컴퓨터와 통신하는 기능에 영향을 줄 수 있습니다. 예를 들어 이 작성 당시 Windows NT 4.0 SP4 이하를 실행하는 컴퓨터는 NTLMv2를 지원하지 않았습니다. Windows 95 및 Windows 98을 실행하는 컴퓨터는 NTLM을 지원하지 않았습니다. 기본값: Windows 2000 및 windows XP: LM 및 NTLM 응답 보내기 Windows Server 2003: Windows Vista, Windows Server 2008, Windows 7 및 Windows Server 2008 R2만 NTLM 응답 보내기: NTLMv2 응답만 보냅니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 3 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0 | LM 및 NTLM 응답을 보냅니다. |
| 1 | 협상된 경우 LM 및 NTLM 사용 NTLMv2 세션 보안을 보냅니다. |
| 2 | LM 및 NTLM 응답만 보냅니다. |
| 3(기본값) | LM 및 NTLMv2 응답만 보냅니다. |
| 4 | LM 및 NTLMv2 응답만 보냅니다. LM을 거부합니다. |
| 5 | LM 및 NTLMv2 응답만 보냅니다. LM 및 NTLM을 거부합니다. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 네트워크 보안: LAN Manager 인증 수준 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 |
NetworkSecurity_LDAPClientSigningRequirements
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_LDAPClientSigningRequirements
네트워크 보안: LDAP 클라이언트 서명 요구 사항 이 보안 설정은 LDAP BIND 요청을 발급하는 클라이언트를 대신하여 요청되는 데이터 서명 수준을 결정합니다. 없음: LDAP BIND 요청은 호출자가 지정한 옵션과 함께 발급됩니다. 서명 협상: TLS\SSL(전송 계층 보안/보안 소켓 계층)이 시작되지 않은 경우 호출자가 지정한 옵션 외에 LDAP BIND 요청이 설정된 LDAP 데이터 서명 옵션으로 시작됩니다. TLS\SSL이 시작된 경우 호출자가 지정한 옵션으로 LDAP BIND 요청이 시작됩니다. 서명 필요: 협상 서명과 동일합니다. 그러나 LDAP 서버의 중간 saslBindInProgress 응답이 LDAP 트래픽 서명이 필요하다는 것을 나타내지 않는 경우 호출자는 LDAP BIND 명령 요청이 실패했음을 알 수 있습니다.
주의
서버를 서명 필요로 설정한 경우 클라이언트도 설정해야 합니다. 클라이언트를 설정하지 않을 경우 서버와의 연결이 손실됩니다.
참고
이 설정은 ldap_simple_bind 또는 ldap_simple_bind_s 영향을 주지 않습니다. Windows XP Professional과 함께 제공되는 Microsoft LDAP 클라이언트는 ldap_simple_bind 또는 ldap_simple_bind_s 사용하여 도메인 컨트롤러와 통신하지 않습니다. 기본값: 서명 협상.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 범위: [0-2] |
| 기본 값 | 1 |
NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, 버전 1809 [10.0.17763] 이상 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients
네트워크 보안: NTLM SSP 기반(보안 RPC 포함) 클라이언트에 대한 최소 세션 보안 이 보안 설정을 사용하면 클라이언트가 128비트 암호화 및/또는 NTLMv2 세션 보안 협상을 요구할 수 있습니다. 이러한 값은 LAN 관리자 인증 수준 보안 설정 값에 따라 달라집니다. 옵션은 NTLMv2 세션 보안 필요: NTLMv2 프로토콜이 협상되지 않으면 연결이 실패합니다. 128비트 암호화 필요: 강력한 암호화(128비트)가 협상되지 않으면 연결이 실패합니다. 기본값: Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003 및 Windows Server 2008: 요구 사항이 없습니다. Windows 7 및 Windows Server 2008 R2: 128비트 암호화가 필요합니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 536870912 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0 | 없음. |
| 524288 | NTLMv2 세션 보안이 필요합니다. |
| 536870912(기본값) | 128비트 암호화가 필요합니다. |
| 537395200 | NTLM 및 128비트 암호화가 필요합니다. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 네트워크 보안: NTLM SSP 기반(보안 RPC 포함) 클라이언트에 대한 최소 세션 보안 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 |
NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134] 이상 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers
네트워크 보안: NTLM SSP 기반(보안 RPC 포함) 서버에 대한 최소 세션 보안 이 보안 설정을 사용하면 서버에서 128비트 암호화 및/또는 NTLMv2 세션 보안 협상을 요구할 수 있습니다. 이러한 값은 LAN 관리자 인증 수준 보안 설정 값에 따라 달라집니다. 옵션은 NTLMv2 세션 보안 필요: 메시지 무결성이 협상되지 않으면 연결이 실패합니다. 128비트 암호화가 필요합니다. 강력한 암호화(128비트)가 협상되지 않으면 연결이 실패합니다. 기본값: Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003 및 Windows Server 2008: 요구 사항이 없습니다. Windows 7 및 Windows Server 2008 R2: 128비트 암호화가 필요합니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 536870912 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0 | 없음. |
| 524288 | NTLMv2 세션 보안이 필요합니다. |
| 536870912(기본값) | 128비트 암호화가 필요합니다. |
| 537395200 | NTLM 및 128비트 암호화가 필요합니다. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 네트워크 보안: NTLM SSP 기반(보안 RPC 포함) 서버에 대한 최소 세션 보안 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 |
NetworkSecurity_RestrictNTLM_AddRemoteServerExceptionsForNTLMAuthentication
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134] 이상 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_AddRemoteServerExceptionsForNTLMAuthentication
네트워크 보안: NTLM 제한: NTLM 인증에 대한 원격 서버 예외 추가 이 정책 설정을 사용하면 "네트워크 보안: NTLM 제한: 원격 서버로 나가는 NTLM 트래픽" 정책 설정이 구성된 경우 클라이언트가 NTLM 인증을 사용할 수 있는 원격 서버의 예외 목록을 만들 수 있습니다.
이 정책 설정을 구성하는 경우 클라이언트에서 NTLM 인증을 사용할 수 있는 원격 서버 목록을 정의할 수 있습니다.
이 정책 설정을 구성하지 않으면 예외가 적용되지 않습니다. 이 예외 목록의 서버에 대한 명명 형식은 애플리케이션에서 사용하는 FQDN(정규화된 도메인 이름) 또는 NetBIOS 서버 이름이며 한 줄당 하나씩 나열됩니다. 예외를 확인하려면 모든 애플리케이션에서 사용하는 이름이 목록에 있어야 하고 예외가 정확한지 확인하려면 서버 이름이 두 명명 형식으로 모두 나열되어야 합니다. 문자열의 모든 위치에서 단일 별표(*)를 와일드카드 문자로 사용할 수 있습니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 목록(구분 기호: 0xF000) |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 네트워크 보안: NTLM 제한: NTLM 인증에 대한 원격 서버 예외 추가 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 |
NetworkSecurity_RestrictNTLM_AuditIncomingNTLMTraffic
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134] 이상 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_AuditIncomingNTLMTraffic
네트워크 보안: NTLM 제한: 들어오는 NTLM 트래픽 감사 이 정책 설정을 사용하면 들어오는 NTLM 트래픽을 감사할 수 있습니다. "사용 안 함"을 선택하거나 이 정책 설정을 구성하지 않으면 서버는 들어오는 NTLM 트래픽에 대한 이벤트를 기록하지 않습니다. "도메인 계정에 대한 감사 사용"을 선택하면 "네트워크 보안: NTLM 제한: 들어오는 NTLM 트래픽" 정책 설정이 "모든 도메인 계정 거부" 옵션으로 설정될 때 차단되는 NTLM 통과 인증 요청에 대한 이벤트를 기록합니다. "모든 계정에 대해 감사 사용"을 선택하면 "네트워크 보안: NTLM 제한: 들어오는 NTLM 트래픽" 정책 설정이 "모든 계정 거부" 옵션으로 설정될 때 차단되는 모든 NTLM 인증 요청에 대한 이벤트를 기록합니다. 이 정책은 Windows 7 또는 Windows Server 2008 R2 이상에서 지원됩니다.
참고
감사 이벤트는 애플리케이션 및 서비스 로그/Microsoft/Windows/NTLM 아래에 있는 "운영" 로그에 이 컴퓨터에 기록됩니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 사용 안 함. |
| 1 | 도메인 계정에 대한 감사를 사용하도록 설정합니다. |
| 2 | 모든 계정에 대해 감사를 사용하도록 설정합니다. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 네트워크 보안: NTLM 제한: 들어오는 NTLM 트래픽 감사 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 |
NetworkSecurity_RestrictNTLM_IncomingNTLMTraffic
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134] 이상 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_IncomingNTLMTraffic
네트워크 보안: NTLM 제한: 들어오는 NTLM 트래픽 이 정책 설정을 사용하면 들어오는 NTLM 트래픽을 거부하거나 허용할 수 있습니다. "모두 허용"을 선택하거나 이 정책 설정을 구성하지 않으면 서버에서 모든 NTLM 인증 요청을 허용합니다. "모든 도메인 계정 거부"를 선택하면 서버는 도메인 로그온에 대한 NTLM 인증 요청을 거부하고 NTLM 차단 오류를 표시하지만 로컬 계정 로그온을 허용합니다. "모든 계정 거부"를 선택하면 서버는 들어오는 트래픽에서 NTLM 인증 요청을 거부하고 NTLM 차단 오류를 표시합니다. 이 정책은 Windows 7 또는 Windows Server 2008 R2 이상에서 지원됩니다.
참고
차단 이벤트는 애플리케이션 및 서비스 로그/Microsoft/Windows/NTLM 아래에 있는 "운영" 로그에 이 컴퓨터에 기록됩니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 모두 허용합니다. |
| 1 | 모든 도메인 계정을 거부합니다. |
| 2 | 모든 계정을 거부합니다. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 네트워크 보안: NTLM 제한: 들어오는 NTLM 트래픽 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 |
NetworkSecurity_RestrictNTLM_OutgoingNTLMTrafficToRemoteServers
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134] 이상 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_OutgoingNTLMTrafficToRemoteServers
네트워크 보안: NTLM 제한: 원격 서버로 나가는 NTLM 트래픽 이 정책 설정을 사용하면 이 Windows 7 또는 이 Windows Server 2008 R2 컴퓨터에서 Windows 원격 서버로 나가는 NTLM 트래픽을 거부하거나 감사할 수 있습니다. "모두 허용"을 선택하거나 이 정책 설정을 구성하지 않으면 클라이언트 컴퓨터는 NTLM 인증을 사용하여 원격 서버에 대한 ID를 인증할 수 있습니다. "모두 감사"를 선택하면 클라이언트 컴퓨터가 각 NTLM 인증 요청에 대한 이벤트를 원격 서버에 기록합니다. 이렇게 하면 클라이언트 컴퓨터에서 NTLM 인증 요청을 수신하는 서버를 식별할 수 있습니다. "모두 거부"를 선택하면 클라이언트 컴퓨터가 NTLM 인증을 사용하여 원격 서버에 ID를 인증할 수 없습니다. "네트워크 보안: NTLM 제한: NTLM 인증에 대한 원격 서버 예외 추가" 정책 설정을 사용하여 클라이언트가 NTLM 인증을 사용할 수 있는 원격 서버 목록을 정의할 수 있습니다. 이 정책은 Windows 7 또는 Windows Server 2008 R2 이상에서 지원됩니다.
참고
감사 및 차단 이벤트는 애플리케이션 및 서비스 로그/Microsoft/Windows/NTLM 아래에 있는 "운영" 로그에 이 컴퓨터에 기록됩니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 모두 허용합니다. |
| 1 | 모든 도메인 계정을 거부합니다. |
| 2 | 모든 계정을 거부합니다. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 네트워크 보안: NTLM 제한: 원격 서버로 나가는 NTLM 트래픽 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 |
RecoveryConsole_AllowAutomaticAdministrativeLogon
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/RecoveryConsole_AllowAutomaticAdministrativeLogon
복구 콘솔: 자동 관리 로그온 허용 이 보안 설정은 시스템에 대한 액세스 권한이 부여되기 전에 관리자 계정에 대한 암호를 제공해야 하는지 여부를 결정합니다. 이 옵션을 사용하도록 설정하면 복구 콘솔에서 암호를 제공할 필요가 없으며 시스템에 자동으로 로그온됩니다. 기본값: 이 정책은 정의되지 않으며 자동 관리 로그온은 허용되지 않습니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 범위: [0-1] |
| 기본 값 | 0 |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 복구 콘솔: 자동 관리 로그온 허용 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 |
RecoveryConsole_AllowFloppyCopyAndAccessToAllDrivesAndAllFolders
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/RecoveryConsole_AllowFloppyCopyAndAccessToAllDrivesAndAllFolders
복구 콘솔: 플로피 복사 및 모든 드라이브 및 모든 폴더에 대한 액세스 허용 이 보안 옵션을 사용하도록 설정하면 복구 콘솔 SET 명령을 사용할 수 있으므로 다음 복구 콘솔 환경 변수를 설정할 수 있습니다. AllowWildCards: 일부 명령에 대해 와일드카드 지원 사용(예: DEL 명령). AllowAllPaths: 컴퓨터의 모든 파일 및 폴더에 대한 액세스를 허용합니다. AllowRemovableMedia: 플로피 디스크와 같은 이동식 미디어에 파일을 복사할 수 있도록 허용합니다. NoCopyPrompt: 기존 파일을 덮어쓸 때 메시지를 표시하지 않습니다. 기본값: 이 정책은 정의되지 않았으며 콘솔 SET 복구 명령을 사용할 수 없습니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 범위: [0-1] |
| 기본 값 | 0 |
Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1709 [10.0.16299] 이상 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn
종료: 이 보안 설정은 Windows에 로그온하지 않고도 컴퓨터를 종료할 수 있는지 여부를 결정합니다. 이 정책을 사용하도록 설정하면 Windows 로그온 화면에서 종료 명령을 사용할 수 있습니다. 이 정책을 사용하지 않도록 설정하면 컴퓨터를 종료하는 옵션이 Windows 로그온 화면에 표시되지 않습니다. 이 경우 사용자는 컴퓨터에 성공적으로 로그온할 수 있어야 하며 시스템 종료를 수행하기 전에 시스템 사용자를 종료해야 합니다. 워크스테이션의 기본값: 사용. 서버의 기본값: 사용 안 함.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 1 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0 | 비활성화. |
| 1(기본값) | 사용(로그온하지 않고도 시스템을 종료할 수 있도록 허용). |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 시스템 종료: 로그온하지 않고 시스템 종료 허용 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 |
Shutdown_ClearVirtualMemoryPageFile
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1709 [10.0.16299] 이상 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Shutdown_ClearVirtualMemoryPageFile
종료: 가상 메모리 페이지 파일 지우기 이 보안 설정은 시스템이 종료될 때 가상 메모리 페이지 파일이 지워지는지 여부를 결정합니다. 가상 메모리 지원은 시스템 페이지 파일을 사용하여 사용되지 않을 때 메모리 페이지를 디스크로 교환합니다. 실행 중인 시스템에서 이 페이지 파일은 운영 체제에서만 열리며 잘 보호됩니다. 그러나 다른 운영 체제로 부팅할 수 있도록 구성된 시스템은 이 시스템이 종료될 때 클린 시스템 페이지 파일이 초기화되었는지 확인해야 할 수 있습니다. 이렇게 하면 페이지 파일로 들어갈 수 있는 프로세스 메모리의 중요한 정보를 페이지 파일에 직접 액세스하도록 관리하는 권한이 없는 사용자가 사용할 수 없습니다. 이 정책을 사용하도록 설정하면 클린 종료 시 시스템 페이지 파일이 지워집니다. 이 보안 옵션을 사용하도록 설정하면 최대 절전 모드를 사용하지 않도록 설정하면 최대 절전 모드 파일(hiberfil.sys)도 해제됩니다. 기본값: 사용 안 함.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 1 | 사용. |
| 0(기본값) | 사용 안 함. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 시스템 종료: 가상 메모리 페이지 파일 지움 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 |
SystemCryptography_ForceStrongKeyProtection
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/SystemCryptography_ForceStrongKeyProtection
시스템 암호화: 컴퓨터에 저장된 사용자 키에 대한 강력한 키 보호 강제 이 보안 설정은 사용자의 개인 키에 암호를 사용해야 하는지 여부를 결정합니다. 옵션은 다음과 같습니다. 새 키가 저장되고 사용되는 경우 사용자 입력이 필요하지 않습니다. 키를 처음 사용할 때 사용자에게 메시지가 표시되면 사용자는 키를 사용할 때마다 암호를 입력해야 합니다. 자세한 내용은 공개 키 인프라를 참조하세요. 기본값: 이 정책은 정의되지 않았습니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 범위: [0-2] |
| 기본 값 | 0 |
SystemObjects_RequireCaseInsensitivityForNonWindowsSubsystems
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/SystemObjects_RequireCaseInsensitivityForNonWindowsSubsystems
시스템 개체: 비 Windows 하위 시스템에 대/소문자 구분 필요 이 보안 설정은 모든 하위 시스템에 대/소문자 구분이 적용되는지 여부를 결정합니다. Win32 하위 시스템은 대/소문자를 구분하지 않습니다. 그러나 커널은 POSIX와 같은 다른 하위 시스템에 대한 대/소문자 구분을 지원합니다. 이 설정을 사용하도록 설정하면 파일 개체를 포함한 모든 디렉터리 개체, 기호 링크 및 IO 개체에 대/소문자 구분이 적용됩니다. 이 설정을 사용하지 않도록 설정해도 Win32 하위 시스템이 대/소문자를 구분할 수 없습니다. 기본값: 사용.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 범위: [0-1] |
| 기본 값 | 1 |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 시스템 개체: 비 Windows 하위 시스템에 대한 대/소문자 구분 사용 안 함 필요 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 |
SystemObjects_StrengthenDefaultPermissionsOfInternalSystemObjects
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/SystemObjects_StrengthenDefaultPermissionsOfInternalSystemObjects
시스템 개체: 내부 시스템 개체의 기본 권한 강화(예: 기호 링크) 이 보안 설정은 개체에 대한 기본 DACL(임의 액세스 제어 목록)의 강도를 결정합니다. Active Directory는 DOS 디바이스 이름, 뮤텍스 및 세마포와 같은 공유 시스템 리소스의 전역 목록을 유지 관리합니다. 이러한 방식으로 개체를 배치하고 프로세스 간에 공유할 수 있습니다. 개체의 각 형식은 개체에 액세스할 수 있는 사용자와 부여된 권한을 지정하는 기본 DACL을 사용하여 만들어집니다. 이 정책을 사용하도록 설정하면 기본 DACL이 더 강해지므로 관리자가 아닌 사용자는 공유 개체를 읽을 수 있지만 이러한 사용자가 만들지 않은 공유 개체를 수정할 수 없습니다. 기본값: 사용.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 범위: [0-1] |
| 기본 값 | 1 |
UserAccountControl_AllowUIAccessApplicationsToPromptForElevation
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1709 [10.0.16299] 이상 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_AllowUIAccessApplicationsToPromptForElevation
사용자 계정 컨트롤: UIAccess 애플리케이션이 보안 데스크톱을 사용하지 않고 권한 상승을 요청하도록 허용합니다. 이 정책 설정은 사용자 인터페이스 접근성(UIAccess 또는 UIA) 프로그램이 표준 사용자가 사용하는 권한 상승 프롬프트에 대해 보안 데스크톱을 자동으로 사용하지 않도록 설정할 수 있는지 여부를 제어합니다. - 사용: Windows 원격 지원을 포함한 UIA 프로그램은 권한 상승 프롬프트에 대해 보안 데스크톱을 자동으로 사용하지 않도록 설정합니다. "사용자 계정 컨트롤: 권한 상승을 요청하는 메시지가 표시되면 보안 데스크톱으로 전환" 정책 설정을 사용하지 않도록 설정하지 않으면 보안 데스크톱 대신 대화형 사용자의 데스크톱에 프롬프트가 표시됩니다. - 사용 안 함: (기본값) 보안 데스크톱은 대화형 데스크톱의 사용자만 사용하지 않도록 설정하거나 "사용자 계정 컨트롤: 권한 상승을 요청하는 경우 보안 데스크톱으로 전환" 정책 설정을 사용하지 않도록 설정하여 비활성화할 수 있습니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 사용하지 않도록 설정됩니다. |
| 1 | 사용(UIAccess 애플리케이션이 보안 데스크톱을 사용하지 않고 권한 상승을 요청하도록 허용). |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 사용자 계정 컨트롤: UIAccess 응용 프로그램이 보안된 데스크톱을 사용하지 않고 권한 상승 메시지를 표시하도록 허용 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 |
UserAccountControl_BehaviorOfTheElevationPromptForAdministrators
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1709 [10.0.16299] 이상 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_BehaviorOfTheElevationPromptForAdministrators
사용자 계정 컨트롤: 관리 승인 모드의 관리자 권한 상승 프롬프트 동작 이 정책 설정은 관리자에 대한 권한 상승 프롬프트의 동작을 제어합니다. 옵션은 다음과 같습니다. - 메시지를 표시하지 않고 권한 상승: 권한 있는 계정이 동의 또는 자격 증명 없이 권한 상승이 필요한 작업을 수행할 수 있습니다.
참고
가장 제한된 환경에서만 이 옵션을 사용합니다. - 보안 데스크톱에서 자격 증명 확인: 작업에 권한 상승이 필요한 경우 보안 데스크톱에서 권한 있는 사용자 이름과 암호를 입력하라는 메시지가 사용자에게 표시됩니다. 사용자가 유효한 자격 증명을 입력하는 경우 작업은 사용자의 사용 가능한 가장 높은 권한으로 계속됩니다. - 보안 데스크톱에서 동의 요청: 작업에 권한 상승이 필요한 경우 보안 데스크톱에서 허용 또는 거부를 선택하라는 메시지가 사용자에게 표시됩니다. 사용자가 허용을 선택하는 경우 작업은 사용자의 사용 가능한 가장 높은 권한으로 계속됩니다. - 자격 증명 프롬프트: 작업에 권한 상승이 필요한 경우 사용자에게 관리 사용자 이름 및 암호를 입력하라는 메시지가 표시됩니다. 사용자가 유효한 자격 증명을 입력하면 해당 권한으로 작업이 계속됩니다. - 동의 요청: 작업에 권한 상승이 필요한 경우 사용자에게 허용 또는 거부를 선택하라는 메시지가 표시됩니다. 사용자가 허용을 선택하는 경우 작업은 사용자의 사용 가능한 가장 높은 권한으로 계속됩니다. - 비 Windows 이진 파일에 대한 동의 확인: (기본값) 타사 애플리케이션에 대한 작업에 권한 상승이 필요한 경우 보안 데스크톱에서 허용 또는 거부를 선택하라는 메시지가 표시됩니다. 사용자가 허용을 선택하는 경우 작업은 사용자의 사용 가능한 가장 높은 권한으로 계속됩니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 5 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0 | 메시지를 표시하지 않고 상승합니다. |
| 1 | 보안 데스크톱에서 자격 증명을 묻는 메시지를 표시합니다. |
| 2 | 보안 데스크톱에 동의하라는 메시지를 표시합니다. |
| 3 | 자격 증명을 묻는 메시지를 표시합니다. |
| 4 | 동의하라는 메시지를 표시합니다. |
| 5(기본값) | 비 Windows 이진 파일에 대한 동의를 묻는 메시지를 표시합니다. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 사용자 계정 컨트롤: 관리자 승인 모드에서 관리자에 대한 권한 상승 확인 방법 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 |
UserAccountControl_BehaviorOfTheElevationPromptForEnhancedAdministrators
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_BehaviorOfTheElevationPromptForEnhancedAdministrators
사용자 계정 컨트롤: 향상된 권한 보호를 사용하여 실행 중인 관리자에 대한 권한 상승 프롬프트의 동작입니다. 이 정책 설정은 관리자에 대한 권한 상승 프롬프트의 동작을 제어합니다. 옵션은 다음과 같습니다. - 보안 데스크톱에서 자격 증명 확인: 작업에 권한 상승이 필요한 경우 사용자에게 권한 있는 사용자 이름과 암호를 입력하라는 메시지가 보안 데스크톱에 표시됩니다. 사용자가 유효한 자격 증명을 입력하는 경우 작업은 사용자의 사용 가능한 가장 높은 권한으로 계속됩니다. - 보안 데스크톱에서 동의 요청: 작업에 권한 상승이 필요한 경우 보안 데스크톱에서 허용 또는 거부를 선택하라는 메시지가 사용자에게 표시됩니다. 사용자가 허용을 선택하는 경우 작업은 사용자의 사용 가능한 가장 높은 권한으로 계속됩니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 2 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 1 | 보안 데스크톱에서 자격 증명을 묻는 메시지를 표시합니다. |
| 2(기본값) | 보안 데스크톱에 동의하라는 메시지를 표시합니다. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 사용자 계정 컨트롤: 향상된 권한 보호로 실행 중인 관리자에 대한 권한 상승 프롬프트의 동작 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 |
UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1709 [10.0.16299] 이상 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers
사용자 계정 컨트롤: 표준 사용자에 대한 권한 상승 프롬프트의 동작 이 정책 설정은 표준 사용자에 대한 권한 상승 프롬프트의 동작을 제어합니다. 옵션은 - 자격 증명 프롬프트: (기본값) 작업에 권한 상승이 필요한 경우 사용자에게 관리 사용자 이름 및 암호를 입력하라는 메시지가 표시됩니다. 사용자가 유효한 자격 증명을 입력하면 해당 권한으로 작업이 계속됩니다. - 권한 상승 요청 자동 거부: 작업에 권한 상승이 필요한 경우 구성 가능한 액세스 거부 오류 메시지가 표시됩니다. 표준 사용자로 데스크톱을 실행하는 기업은 지원 센터 통화를 줄이기 위해 이 설정을 선택할 수 있습니다. - 보안 데스크톱에서 자격 증명 확인: 작업에 권한 상승이 필요한 경우 보안 데스크톱에서 다른 사용자 이름과 암호를 입력하라는 메시지가 사용자에게 표시됩니다. 사용자가 유효한 자격 증명을 입력하면 해당 권한으로 작업이 계속됩니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 3 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0 | 권한 상승 요청을 자동으로 거부합니다. |
| 1 | 보안 데스크톱에서 자격 증명을 묻는 메시지를 표시합니다. |
| 3(기본값) | 자격 증명을 묻는 메시지를 표시합니다. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 사용자 계정 컨트롤: 표준 사용자에 대한 권한 상승 확인 방법 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 |
UserAccountControl_DetectApplicationInstallationsAndPromptForElevation
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1709 [10.0.16299] 이상 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_DetectApplicationInstallationsAndPromptForElevation
사용자 계정 컨트롤: 애플리케이션 설치 검색 및 권한 상승 요청 이 정책 설정은 컴퓨터에 대한 애플리케이션 설치 검색의 동작을 제어합니다. 옵션은 사용: (기본값) 권한 상승이 필요한 애플리케이션 설치 패키지가 검색되면 사용자에게 관리 사용자 이름 및 암호를 입력하라는 메시지가 표시됩니다. 사용자가 유효한 자격 증명을 입력하면 해당 권한으로 작업이 계속됩니다. 사용 안 함: 애플리케이션 설치 패키지가 검색되지 않고 상승하라는 메시지가 표시됩니다. 표준 사용자 데스크톱을 실행하고 그룹 정책 소프트웨어 설치 또는 SMS(시스템 관리 서버)와 같은 위임된 설치 기술을 사용하는 기업은 이 정책 설정을 사용하지 않도록 설정해야 합니다. 이 경우 설치 관리자 검색이 필요하지 않습니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 1 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 1(기본값) | 사용. |
| 0 | 사용 안 함. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 사용자 계정 컨트롤: 응용 프로그램 설치 검색 및 권한 상승 확인 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 |
UserAccountControl_OnlyElevateExecutableFilesThatAreSignedAndValidated
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1709 [10.0.16299] 이상 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_OnlyElevateExecutableFilesThatAreSignedAndValidated
사용자 계정 컨트롤: 서명되고 유효성이 검사된 실행 파일만 상승 이 정책 설정은 권한 상승을 요청하는 대화형 애플리케이션에 대해 PKI(공개 키 인프라) 서명 검사를 적용합니다. 엔터프라이즈 관리자는 로컬 컴퓨터의 신뢰할 수 있는 게시자 인증서 저장소에 인증서를 추가하여 실행할 수 있는 애플리케이션을 제어할 수 있습니다. 옵션은 - 사용: 실행이 허용되기 전에 지정된 실행 파일에 대해 PKI 인증 경로 유효성 검사를 적용합니다. - 사용 안 함: (기본값) 지정된 실행 파일의 실행이 허용되기 전에 PKI 인증 경로 유효성 검사를 적용하지 않습니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 사용 안 함: 유효성 검사를 적용하지 않습니다. |
| 1 | 사용: 유효성 검사를 적용합니다. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 사용자 계정 컨트롤: 유효성 검사를 통과한 서명된 실행 파일만 권한 상승 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 |
UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1709 [10.0.16299] 이상 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations
사용자 계정 컨트롤: 보안 위치에 설치된 UIAccess 애플리케이션만 상승 이 정책 설정은 UIAccess(사용자 인터페이스 접근성) 무결성 수준으로 실행하도록 요청하는 애플리케이션이 파일 시스템의 안전한 위치에 있어야 하는지 여부를 제어합니다. 보안 위치는 다음으로 제한됩니다. - .. \하위 폴더를 포함한 프로그램 파일 - .. \Windows\system32\ - .. \64비트 버전의 Windows 참고용 하위 폴더를 포함한 프로그램 파일(x86): Windows는 이 보안 설정의 상태에 관계없이 UIAccess 무결성 수준으로 실행을 요청하는 모든 대화형 애플리케이션에 PKI(공개 키 인프라) 서명 검사 적용합니다. 옵션은 - 사용: (기본값) 애플리케이션이 파일 시스템의 안전한 위치에 있는 경우 UIAccess 무결성으로만 실행됩니다. - 사용 안 함: 애플리케이션이 파일 시스템의 안전한 위치에 있지 않더라도 UIAccess 무결성으로 실행됩니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 1 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0 | 사용 안 함: 애플리케이션이 안전한 위치에 있지 않더라도 UIAccess 무결성을 사용하여 실행됩니다. |
| 1(기본값) | 사용: 애플리케이션은 안전한 위치에 있는 경우에만 UIAccess 무결성으로 실행됩니다. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 사용자 계정 컨트롤: 보안 위치에 설치된 UIAccess 응용 프로그램만 권한 상승 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 |
UserAccountControl_RunAllAdministratorsInAdminApprovalMode
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1709 [10.0.16299] 이상 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_RunAllAdministratorsInAdminApprovalMode
사용자 계정 컨트롤: 관리 승인 모드 켜기 이 정책 설정은 컴퓨터에 대한 모든 UAC(사용자 계정 컨트롤) 정책 설정의 동작을 제어합니다. 이 정책 설정을 변경하는 경우 컴퓨터를 다시 시작해야 합니다. 옵션은 - 사용: (기본값) 관리 승인 모드가 사용하도록 설정되어 있습니다. 이 정책을 사용하도록 설정해야 하며, 기본 제공 관리자 계정 및 Administrators 그룹의 구성원인 다른 모든 사용자가 관리 승인 모드에서 실행할 수 있도록 관련 UAC 정책 설정도 적절하게 설정해야 합니다. - 사용 안 함: 관리 승인 모드 및 모든 관련 UAC 정책 설정이 비활성화됩니다.
참고
이 정책 설정을 사용하지 않도록 설정하면 Security Center에서 운영 체제의 전반적인 보안이 축소되었음을 알 수 있습니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 1 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0 | 비활성화. |
| 1(기본값) | 활성화. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 사용자 계정 컨트롤: 관리자 승인 모드에서 모든 관리자 실행 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 |
UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1709 [10.0.16299] 이상 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation
사용자 계정 컨트롤: 권한 상승을 요청하는 메시지가 표시되면 보안 데스크톱으로 전환 이 정책 설정은 권한 상승 요청 프롬프트가 대화형 사용자의 데스크톱에 표시되는지 또는 보안 데스크톱에 표시되는지 여부를 제어합니다. 옵션은 - 사용: (기본값) 관리자 및 표준 사용자에 대한 프롬프트 동작 정책 설정에 관계없이 모든 권한 상승 요청이 보안 데스크톱으로 이동합니다. - 사용 안 함: 모든 권한 상승 요청은 대화형 사용자의 데스크톱으로 이동합니다. 관리자 및 표준 사용자에 대한 프롬프트 동작 정책 설정이 사용됩니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 1 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0 | 비활성화. |
| 1(기본값) | 활성화. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 사용자 계정 컨트롤: 권한 상승 요청 시 보안된 데스크톱으로 전환 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 |
UserAccountControl_TypeOfAdminApprovalMode
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_TypeOfAdminApprovalMode
사용자 계정 컨트롤: 관리 승인 모드 유형을 구성합니다. 이 정책 설정은 관리자 승인 모드 권한 상승에 향상된 권한 보호가 적용되는지 여부를 제어합니다. 이 정책 설정을 변경하는 경우 컴퓨터를 다시 시작해야 합니다. 이 정책은 서버가 아닌 Windows 데스크톱에서만 지원됩니다. 옵션은 다음과 같습니다. - 관리 승인 모드가 레거시 모드(기본값)에서 실행되고 있습니다. - 관리 권한 보호 기능을 사용하여 승인 모드가 실행되고 있습니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 1 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 1(기본값) | 레거시 관리 승인 모드입니다. |
| 2 | 향상된 권한 보호를 사용하여 승인 모드를 관리. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 사용자 계정 컨트롤: 관리 승인 모드 유형 구성 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 |
UserAccountControl_UseAdminApprovalMode
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1709 [10.0.16299] 이상 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_UseAdminApprovalMode
사용자 계정 컨트롤: 기본 제공 관리자 계정에 관리 승인 모드 사용 이 정책 설정은 기본 제공 관리자 계정에 대한 관리 승인 모드의 동작을 제어합니다. 옵션은 - 사용: 기본 제공 관리자 계정은 관리 승인 모드를 사용합니다. 기본적으로 권한 상승이 필요한 작업은 사용자에게 작업을 승인하라는 메시지를 표시합니다. - 사용 안 함: (기본값) 기본 제공 관리자 계정은 전체 관리 권한으로 모든 애플리케이션을 실행합니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 1 | 사용. |
| 0(기본값) | 사용 안 함. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 사용자 계정 컨트롤: 기본 제공 관리자 계정에 대한 관리자 승인 모드 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 |
UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1709 [10.0.16299] 이상 |
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations
사용자 계정 컨트롤: 사용자별 위치에 대한 파일 및 레지스트리 쓰기 실패 가상화 이 정책 설정은 애플리케이션 쓰기 실패가 정의된 레지스트리 및 파일 시스템 위치로 리디렉션되는지 여부를 제어합니다. 이 정책 설정은 관리자 권한으로 실행되고 런타임 애플리케이션 데이터를 %ProgramFiles%, %Windir%, %Windir%\system32 또는 HKLM\Software에 쓰는 애플리케이션을 완화합니다. 옵션은 - 사용: (기본값) 애플리케이션 쓰기 실패는 런타임에 파일 시스템과 레지스트리 모두에 대해 정의된 사용자 위치로 리디렉션됩니다. - 사용 안 함: 보호된 위치에 데이터를 쓰는 애플리케이션이 실패합니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 1 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0 | 비활성화. |
| 1(기본값) | 활성화. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 사용자 계정 컨트롤: 사용자별 위치로 파일 및 레지스트리 쓰기 오류 가상화 |
| 경로 | Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 |
관련 문서
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기