보안 정책 설정 관리
적용 대상:
- Windows 10
이 문서에서는 로컬 장치 또는 중소 규모 조직 전체에서 보안 정책 설정을 관리하는 다양한 방법에 대해 논의합니다.
보안 정책 설정을 전체 보안 구현의 일부로 사용하여 조직의 도메인 컨트롤러, 서버, 클라이언트 장치 및 기타 리소스를 보호해야 합니다.
보안 설정 정책은 장치 또는 네트워크의 리소스를 보호하기 위해 장치 또는 여러 장치에서 구성할 수 있는 규칙입니다. 로컬 설정 편집기 스냅인(Gpedit.msc)의 보안 정책 확장을 통해 GPO(그룹 정책 개체)의 일부로 보안 구성을 정의할 수 있습니다. GPOS는 사이트, 도메인 및 조직 구성 단위와 같은 Active Directory 컨테이너에 연결되어 있으며 관리자가 도메인에 가입된 모든 장치에서 여러 컴퓨터에 대한 보안 설정을 관리할 수 있도록 합니다.
보안 설정은 다음을 제어할 수 있습니다.
- 네트워크 또는 장치에 대한 사용자 인증.
- 사용자가 액세스할 수 있는 리소스입니다.
- 이벤트 로그에 사용자 또는 그룹의 작업을 기록할지 여부입니다.
- 그룹의 구성원 자격.
설명, 기본 설정, 관리 및 보안 고려 사항을 비롯한 각 설정에 대한 자세한 내용은 보안 정책 설정 참조 를 참조하세요.
여러 컴퓨터에 대한 보안 구성을 관리하려면 다음 옵션 중 하나를 사용할 수 있습니다.
- GPO에서 특정 보안 설정을 편집합니다.
- 보안 템플릿 스냅인을 사용하여 적용할 보안 정책이 포함된 보안 템플릿을 만든 다음 그룹 정책 개체로 보안 템플릿을 가져올 수 있습니다. 보안 템플릿은 보안 구성을 나타내는 파일로, GPO로 가져오거나 로컬 장치에 적용하거나 보안을 분석하는 데 사용할 수 있습니다.
설정 관리 방식에서 변경된 변경된 것
시간이 경과하여 새로운 운영 체제 기능 및 새 설정 추가를 포함해 보안 정책 설정을 관리하는 새로운 방법이 도입되었습니다. 다음 표에는 보안 정책 설정을 관리할 수 있는 다른 수단이 나열됩니다.
| 도구 또는 기능 | 설명 및 사용 |
|---|---|
| 보안 정책 스냅인 | Secpol.msc MMC 스냅인은 보안 정책 설정만 관리하도록 디자인됩니다. |
| 보안 편집기 명령줄 도구 | Secedit.exe 현재 구성을 지정된 보안 서식 파일과 비교하여 시스템 보안을 구성하고 분석합니다. |
| 보안 준수 관리자 | 도구 다운로드 클라이언트 및 서버 운영 체제 및 Microsoft 응용 프로그램에 대한 보안 기준을 Windows, 배포, 운영 및 관리하는 데 도움이 되는 솔루션 가속기입니다. |
| 보안 구성 마법사 | Scw.exe SCW는 서버에서만 사용할 수 있는 역할 기반 도구입니다. 이 도구를 사용하여 선택한 서버가 특정 역할을 수행하는 데 필요한 서비스, 방화벽 규칙 및 설정을 사용할 수 있도록 하는 정책을 만들 수 있습니다. |
| 보안 구성 관리자 도구 | 이 도구 집합을 사용하면 로컬 장치, 조직 구성 단위 또는 도메인에 대한 보안을 만들고 적용하고 편집할 수 있습니다. |
| 그룹 정책 | Gpmc.msc 및 Gpedit.msc 그룹 정책 관리 콘솔은 그룹 정책 개체 편집기를 사용하여 로컬 보안 옵션을 노출합니다. 그런 다음 도메인 전체에 배포하기 위해 그룹 정책 개체에 통합할 수 있습니다. 로컬 그룹 정책 편집기는 로컬 장치에서 유사한 기능을 합니다. |
| 소프트웨어 제한 정책 소프트웨어 제한 정책 관리 참조 |
Gpedit.msc SRP(소프트웨어 제한 정책)는 도메인의 컴퓨터에서 실행되는 소프트웨어 프로그램을 식별하는 그룹 정책 기반 기능으로, 해당 프로그램이 실행되는 기능을 제어합니다. |
| AppLocker 관리 AppLocker 관리 참조 |
Gpedit.msc 악성 소프트웨어(맬웨어) 및 지원되지 않는 응용 프로그램이 사용자 환경의 컴퓨터에 영향을 주지 않도록 방지하고 조직의 사용자가 권한이 없는 응용 프로그램을 설치하고 사용하지 못하도록 합니다. |
로컬 보안 정책 스냅인 사용
로컬 보안 정책 스냅인(Secpol.msc)은 로컬 정책 개체의 보기를 다음 정책 및 기능으로 제한합니다.
- 계정 정책
- 로컬 정책
- 고급 보안이 포함된 Windows 방화벽
- 네트워크 목록 관리자 정책
- 공개 키 정책
- 소프트웨어 제한 정책
- 응용 프로그램 제어 정책
- 로컬 컴퓨터의 IP 보안 정책
- 고급 감사 정책 구성
컴퓨터가 도메인에 가입된 경우 로컬로 설정된 정책을 덮어 사용할 수 있습니다.
로컬 보안 정책 스냅인은 보안 구성 관리자 도구 집합의 일부입니다. 이 도구 집합의 다른 도구에 대한 자세한 내용은 이 항목의 보안 구성 관리자 작업을 참조하세요.
secedit 명령줄 도구 사용
secedit 명령줄 도구는 보안 템플릿과 함께 작동하며 다음 6개의 기본 기능을 제공합니다.
- Configure 매개 변수를 사용하면 올바른 보안 템플릿을 오차 서버에 적용하여 장치 간 보안 불일치 문제를 해결할 수 있습니다.
- Analyze 매개 변수는 서버의 보안 구성과 선택한 템플릿을 비교합니다.
- Import 매개 변수를 사용하면 기존 템플릿에서 데이터베이스를 만들 수 있습니다. 보안 구성 및 분석 도구도 이 작업도 수행됩니다.
- Export 매개 변수를 사용하면 데이터베이스의 설정을 보안 설정 템플릿으로 내보낼 수 있습니다.
- Validate 매개 변수를 사용하면 보안 서식 파일에서 만들거나 추가한 텍스트 줄 또는 각 텍스트 줄의 구문의 유효성을 검사할 수 있습니다. 이렇게 하면 템플릿이 구문을 적용하지 못하는 경우 템플릿이 문제가 되지 않습니다.
- Generate Rollback 매개 변수는 서버의 현재 보안 설정을 보안 서식 파일로 저장하여 대부분의 서버 보안 설정을 알려진 상태로 복원하는 데 사용할 수 있습니다. 단, 롤백 템플릿을 적용하면 가장 최근에 적용된 서식 파일에 의해 변경된 파일 또는 레지스트리 항목의 액세스 제어 목록 항목이 변경되지 않습니다.
보안 준수 관리자 사용
보안 준수 관리자는 클라이언트 및 서버 운영 체제 및 Microsoft 응용 프로그램에 대한 보안 기준을 Windows, 배포, 운영 및 관리하는 데 도움이 되는 다운로드 가능한 도구입니다. 이 데이터베이스에는 권장 보안 설정의 전체 데이터베이스, 기준을 사용자 지정하는 방법 및 XLS, GOS, DCM(Desired Configuration Management) 팩 또는 SCAP(Security Content Automation Protocol)를 비롯한 여러 형식으로 이러한 설정을 구현하는 옵션이 포함되어 있습니다. 보안 준수 관리자는 환경으로 기준을 내보내 보안 기준 배포 및 준수 확인 프로세스를 자동화하는 데 사용됩니다.
보안 준수 관리자를 사용하여 보안 정책을 관리하기 위해
- 최신 버전을 다운로드합니다. 자세한 내용은 Microsoft 보안 지침 블로그를 참조하세요.
- 이 도구에 포함된 관련 보안 기준 설명서를 읽어 읽습니다.
- 관련 보안 기준을 다운로드하여 가져올 수 있습니다. 설치 프로세스는 기준 선택 과정을 단계화합니다.
- 도움말을 열고 해당 기준을 배포하기 전에 보안 기준을 사용자 지정, 비교 또는 병합하는 방법을 따릅니다.
보안 구성 마법사 사용
SCW(보안 구성 마법사)는 보안 정책을 만들고, 편집하고, 적용하거나, 롤백하는 프로세스를 안내합니다. SCW를 사용하여 만드는 보안 정책은 서비스, .xml, 특정 레지스트리 값 및 감사 정책을 구성하는 기본 파일입니다. SCW는 역할 기반 도구입니다. 이 도구를 사용하여 선택한 서버가 특정 역할을 수행하는 데 필요한 서비스, 방화벽 규칙 및 설정을 사용할 수 있도록 하는 정책을 만들 수 있습니다. 예를 들어 서버는 파일 서버, 인쇄 서버 또는 도메인 컨트롤러일 수 있습니다.
SCW를 사용할 때 고려할 사항은 다음과 같습니다.
- SCW는 불필요한 서비스를 사용하지 않도록 설정하고 고급 보안이 Windows 방화벽을 제공합니다.
- SCW를 사용하여 만든 보안 정책은 .inf 확장명을 사용하는 파일인 보안 템플릿과 동일하지 않습니다. 보안 템플릿에는 SCW로 설정할 수 있는 설정보다 더 많은 보안 설정이 포함되어 있습니다. 그러나 SCW 보안 정책 파일에 보안 템플릿을 포함할 수 있습니다.
- 그룹 정책을 사용하여 SCW로 만든 보안 정책을 배포할 수 있습니다.
- SCW는 서버가 역할을 수행하는 데 필요한 기능을 설치하거나 제거하지 않습니다. 서버 관리자를 통해 서버 역할별 기능을 설치할 수 있습니다.
- SCW는 서버 역할 종속을 검색합니다. 서버 역할을 선택하면 종속 서버 역할이 자동으로 선택됩니다.
- SCW를 실행할 때 IP 프로토콜 및 포트를 사용하는 모든 앱이 서버에서 실행되고 있어야 합니다.
- 경우에 따라 SCW 도움말의 링크를 사용하려면 인터넷에 연결되어 있어야 합니다.
참고
SCW는 Windows 서버에서만 사용할 수 있으며 서버 설치에만 적용할 수 있습니다.
SCW는 서버 관리자를 통해 액세스하거나 관리자를 통해 액세스할 수 scw.exe. 마법사는 서버 보안 구성을 단계화하여 다음을 수행합니다.
- 네트워크의 모든 서버에 적용할 수 있는 보안 정책을 만들 수 있습니다.
- 기존 보안 정책을 편집합니다.
- 기존 보안 정책을 적용합니다.
- 마지막으로 적용된 보안 정책을 롤백합니다.
보안 정책 마법사는 서버 역할에 따라 서비스 및 네트워크 보안을 구성하고 감사 및 레지스트리 설정을 구성합니다.
절차를 포함하여 SCW에 대한 자세한 내용은 보안 구성 마법사를 참조하세요.
보안 구성 관리자 작업
보안 구성 관리자 도구 집합을 사용하면 로컬 장치, 조직 구성 단위 또는 도메인에 대한 보안을 만들고 적용하고 편집할 수 있습니다.
보안 구성 관리자를 사용하는 방법에 대한 절차는 Security Configuration Manager 를 참조합니다.
다음 표에는 보안 구성 관리자의 기능이 나열되어 있습니다.
| 보안 구성 관리자 도구 | 설명 |
|---|---|
| 보안 구성 및 분석 | 템플릿에서 보안 정책을 정의합니다. 이러한 템플릿은 그룹 정책 또는 로컬 컴퓨터에 적용할 수 있습니다. |
| 보안 서식 파일 | 템플릿에서 보안 정책을 정의합니다. 이러한 템플릿은 그룹 정책 또는 로컬 컴퓨터에 적용할 수 있습니다. |
| 그룹 설정 보안 정책 확장 | 도메인, 사이트 또는 조직 구성 단위의 개별 보안 설정을 편집합니다. |
| 로컬 보안 정책 | 로컬 컴퓨터에서 개별 보안 설정을 편집합니다. |
| Secedit | 명령 프롬프트에서 보안 구성 작업을 자동화합니다. |
보안 구성 및 분석
보안 구성 및 분석은 로컬 시스템 보안을 분석하고 구성하기 위한 MMC 스냅인입니다.
보안 분석
장치의 운영 체제 및 앱 상태는 동적입니다. 예를 들어 관리 또는 네트워크 문제를 즉시 해결할 수 있도록 보안 수준을 일시적으로 변경해야 할 수 있습니다. 그러나 이 변경은 종종 되버러갈 수 있습니다. 즉, 컴퓨터가 더 이상 엔터프라이즈 보안 요구 사항을 충족하지 않을 수 있습니다.
정기 분석을 사용하면 엔터프라이즈 위험 관리 프로그램의 일부로 각 컴퓨터에서 적절한 보안 수준을 추적하고 보장할 수 있습니다. 보안 수준을 조정할 수 있으며, 무엇보다도 시간이 경과하면 시스템에서 발생할 수 있는 보안 결함을 감지할 수 있습니다.
보안 구성 및 분석을 사용하면 보안 분석 결과를 빠르게 검토할 수 있습니다. 현재 시스템 설정과 함께 권장 사항을 표시하고 시각적 플래그 또는 비고를 사용하여 현재 설정이 제안된 보안 수준과 일치하지 않는 영역을 강조합니다. 보안 구성 및 분석은 또한 분석에서 밝히는 불일치 문제를 해결하는 기능도 제공합니다.
보안 구성
보안 구성 및 분석을 사용하여 로컬 시스템 보안을 직접 구성할 수도 있습니다. 개인 데이터베이스를 사용하면 보안 서식 파일을 사용하여 만든 보안 서식 파일을 가져와 로컬 컴퓨터에 적용할 수 있습니다. 그러면 템플릿에 지정된 수준으로 시스템 보안이 즉시 구성됩니다.
보안 서식 파일
Microsoft Management Console용 보안 템플릿 스냅인을 사용하여 장치 또는 네트워크에 대한 보안 정책을 만들 수 있습니다. 전체 시스템 보안을 고려할 수 있는 단일 진입점입니다. 보안 템플릿 스냅인은 새로운 보안 매개 변수를 도입하지는 않을 뿐만 아니라 기존의 모든 보안 특성을 한 장소로 구성하여 보안 관리가 용이해지기만 합니다.
보안 템플릿을 그룹 정책 개체로 가져오면 도메인 또는 조직 구성 단위에 대한 보안을 한 번만 구성하여 도메인을 쉽게 관리합니다.
로컬 장치에 보안 템플릿을 적용하려면 보안 구성 및 분석 또는 보안 명령줄 도구를 사용할 수 있습니다.
보안 템플릿을 사용하여 다음을 정의할 수 있습니다.
- 계정 정책
- 암호 정책
- 계정 잠금 정책
- Kerberos 정책
- 로컬 정책
- 감사 정책
- 사용자 권한 할당
- 보안 옵션
- 이벤트 로그: 응용 프로그램, 시스템 및 보안 이벤트 로그 설정
- 제한된 그룹: 보안에 민감한 그룹의 구성원 자격
- 시스템 서비스: 시스템 서비스에 대한 시작 및 권한
- 레지스트리: 레지스트리 키에 대한 사용 권한
- 파일 시스템: 폴더 및 파일에 대한 사용 권한
각 서식 파일은 텍스트 기반 .inf 파일로 저장됩니다. 이렇게 하면 템플릿 특성의 일부 또는 전체를 복사, 붙여넣기, 가져오기 또는 내보낼 수 있습니다. 인터넷 프로토콜 보안 및 공개 키 정책을 제외하고 모든 보안 특성은 보안 템플릿에 포함될 수 있습니다.
그룹 정책으로 보안 설정 확장
조직 구성 단위, 도메인 및 사이트는 그룹 정책 개체에 연결됩니다. 보안 설정 도구를 사용하면 그룹 정책 개체의 보안 구성을 변경하여 여러 컴퓨터에 영향을 줄 수 있습니다. 보안 설정을 사용하면 도메인에 가입된 디바이스 하나에서만 수정하는 그룹 정책 개체에 따라 여러 장치의 보안 설정을 수정할 수 있습니다.
보안 설정 또는 보안 정책은 장치 또는 네트워크의 리소스를 보호하기 위해 장치 또는 여러 장치에 구성된 규칙입니다. 보안 설정은 다음을 제어할 수 있습니다.
- 사용자가 네트워크 또는 장치에 인증되는 방법
- 사용자가 사용할 수 있는 리소스
- 사용자 또는 그룹의 작업이 이벤트 로그에 기록될지 여부입니다.
- 그룹 구성원 자격.
여러 컴퓨터에서 다음 두 가지 방법으로 보안 구성을 변경할 수 있습니다.
- 보안 템플릿이 있는 보안 템플릿을 사용하여 보안 정책을 만든 다음 보안 설정을 통해 템플릿을 그룹 정책 개체로 가져올 수 있습니다.
- 보안 설정을 사용하여 몇 가지 선택 설정을 변경합니다.
로컬 보안 정책
보안 정책은 장치의 보안에 영향을 주는 보안 설정의 조합입니다. 로컬 보안 정책을 사용하여 로컬 장치에서 계정 정책 및 로컬 정책을 편집할 수 있습니다.
로컬 보안 정책을 사용하여 다음을 제어할 수 있습니다.
- Who 액세스합니다.
- 사용자가 장치에서 사용할 수 있는 권한이 있는 리소스
- 사용자 또는 그룹의 작업이 이벤트 로그에 기록될지 여부입니다.
로컬 장치가 도메인에 가입된 경우 도메인의 정책 또는 사용자가 구성원으로 있는 조직 구성 단위의 정책에서 보안 정책을 얻을 수 있습니다. 두 개 이상의 원본에서 정책을 받고 있는 경우 충돌이 다음 우선 순위대로 해결됩니다.
- 조직 구성 단위 정책
- 도메인 정책
- 사이트 정책
- 로컬 컴퓨터 정책
로컬 보안 정책을 사용하여 로컬 디바이스의 보안 설정을 수정하는 경우 장치의 설정을 직접 수정하게 됩니다. 따라서 설정은 즉시 적용되지만 임시로만 적용될 수 있습니다. 이 설정은 그룹 정책 보안 설정을 다음에 새로 고칠 때까지 로컬 장치에 실제로 적용됩니다. 충돌이 있는 경우 그룹 정책에서 받은 보안 설정이 로컬 설정을 다시 정합니다.
보안 구성 관리자 사용
보안 구성 관리자를 사용하는 방법에 대한 절차는 보안 구성 관리자 방법 을 참조합니다. 이 섹션에는 다음에 대한 정보가 포함되어 있습니다.
보안 설정 적용
보안 설정을 편집하면 그룹 정책 개체에 연결된 조직 구성 단위의 컴퓨터에서 설정이 새로 고쳐지게 됩니다.
- 장치를 다시 시작하면 장치의 설정이 새로 고쳐지게 됩니다.
- 장치가 모든 그룹 정책 설정뿐만 아니라 보안 설정을 강제로 새로 고치게 gpupdate.exe.
컴퓨터에 정책이 두 개 이상 적용될 때의 정책 우선 순위
두 개 이상의 정책에 의해 정의된 보안 설정의 경우 다음 우선 순위가 관찰됩니다.
- 조직 구성 단위 정책
- 도메인 정책
- 사이트 정책
- 로컬 컴퓨터 정책
예를 들어 도메인에 가입된 Workstation은 충돌이 있는 경우 도메인 정책에 의해 해당 로컬 보안 설정을 다시 지정합니다. 마찬가지로, 동일한 workstation이 조직 구성 단위의 구성원인 경우 조직 구성 단위의 정책에서 적용된 설정은 도메인 및 로컬 설정을 모두 다시 지정합니다. Workstation이 두 개 이상의 조직 구성 단위의 구성원인 경우 바로 해당 작업소가 포함된 조직 구성 단위의 우선 순위가 가장 높게 설정됩니다.
참고
이 gpresult.exe 사용하여 장치에 적용되는 정책과 순서를 확인합니다.
도메인 계정의 경우 암호 정책, 계정 잠금 정책 및 Kerberos 정책을 포함하는 계정 정책이 하나만 있을 수 있습니다.
보안 설정의 지속성
원래 설정을 적용한 정책에 설정이 더 이상 정의되지 않은 경우에도 보안 설정이 계속 유지될 수 있습니다.
보안 설정의 지속성은 다음 경우 발생합니다.
- 디바이스에 대해 설정이 이전에 정의되지 않았습니다.
- 이 설정은 레지스트리 개체에 대한 것입니다.
- 이 설정은 파일 시스템 개체에 대한 것입니다.
로컬 정책 또는 그룹 정책 개체를 통해 적용된 모든 설정은 장치의 로컬 데이터베이스에 저장됩니다. 보안 설정을 수정할 때마다 컴퓨터는 보안 설정 값을 로컬 데이터베이스에 저장하여 장치에 적용된 모든 설정의 기록을 보존합니다. 정책에서 먼저 보안 설정을 정의한 다음 해당 설정을 더 이상 정의하지 못하면 이 설정은 데이터베이스의 이전 값에 대해 사용됩니다. 데이터베이스에 이전 값이 없는 경우 설정이 다른 값으로 되락하지 않고 그대로 정의되어 있습니다. 이 동작을 "문신"이라고도 합니다.
레지스트리 및 파일 설정은 해당 설정이 다른 값으로 설정될 때까지 정책을 통해 적용된 값을 유지 관리합니다.
그룹 구성원 자격에 따라 보안 설정 필터링
또한 그룹 정책 적용 또는 해당 그룹 정책 개체에 대한 읽기 권한을 거부하여 로그온한 컴퓨터에 관계없이 그룹 정책 개체를 적용할 사용자 또는 그룹을 결정할 수도 있습니다. 이러한 사용 권한은 모두 그룹 정책을 적용하는 데 필요합니다.
보안 서식 파일 가져오기 및 내보내기
보안 구성 및 분석은 보안 서식 파일을 데이터베이스로 가져오거나 데이터베이스에서 내보낼 수 있는 기능을 제공합니다.
분석 데이터베이스를 변경한 경우 해당 설정을 서식 파일로 내보내서 저장할 수 있습니다. 내보내기 기능을 사용하면 분석 데이터베이스 설정을 새 서식 파일로 저장할 수 있습니다. 그런 다음 이 템플릿 파일을 사용하여 시스템을 분석하거나 구성하거나 그룹 정책 개체로 가져올 수 있습니다.
보안 분석 및 결과 보기
보안 구성 및 분석은 분석 데이터베이스와 시스템 보안의 현재 상태를 비교하여 보안 분석을 수행합니다. 생성하는 동안 분석 데이터베이스는 하나 이상의 보안 서식 파일을 사용합니다. 보안 서식 파일을 두 개 이상 가져오면 데이터베이스에서 다양한 서식 파일을 병합하고 복합 서식 파일을 하나 만듭니다. 가져오기 순서대로 충돌을 해결합니다. 마지막으로 가져온 템플릿이 우선합니다.
보안 구성 및 분석은 보안 영역으로 분석 결과를 표시하며 시각적 플래그를 사용하여 문제를 나타냅니다. 보안 영역의 각 보안 특성에 대한 현재 시스템 및 기본 구성 설정이 표시됩니다. 분석 데이터베이스 설정을 변경하려면 항목을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.
| 시각적 플래그 | 의미 |
|---|---|
| 빨간색 X | 이 항목은 분석 데이터베이스와 시스템에서 정의되지만 보안 설정 값이 일치하지 않습니다. |
| 녹색 확인 표시 | 항목은 분석 데이터베이스와 시스템에서 정의되고 설정 값이 일치합니다. |
| 물음표 | 이 항목은 분석 데이터베이스에 정의되어 있지 아니기 때문에 분석되지 않았습니다. 항목이 분석되지 않은 경우 분석 데이터베이스에 정의되지 않은 항목이나 분석을 실행하는 사용자에게 특정 개체나 영역에 대한 분석을 수행할 수 있는 권한이 부족한 것일 수 있습니다. |
| 느낌표 | 이 항목은 분석 데이터베이스에 정의되지만 실제 시스템에는 없습니다. 예를 들어 분석 데이터베이스에 정의되어 있지만 분석된 시스템에는 실제로 존재하지 않는 제한된 그룹이 있을 수 있습니다. |
| 강조 표시 안 | 항목이 분석 데이터베이스 또는 시스템에 정의되어 있지 않습니다. |
현재 설정을 적용하면 기본 구성의 해당 값이 해당 값과 일치하게 수정됩니다. 시스템 설정을 기본 구성과 일치하도록 변경하면 보안 구성 및 분석을 사용하여 시스템을 구성할 때 변경이 반영됩니다.
조사하고 적절한 것으로 확인한 설정이 계속 확정되지 않도록 기본 구성을 수정하면 됩니다. 서식 파일 복사본이 변경됩니다.
보안 불일치 해소
다음을 통해 분석 데이터베이스와 시스템 설정 간의 불일치 문제를 해결할 수 있습니다.
- 로컬 시스템 보안 수준이 해당 컴퓨터의 컨텍스트(또는 역할)로 인해 유효한지 확인하는 경우 플래그가 지정되거나 구성에 포함되지 않은 값의 일부 또는 전체를 수락 또는 변경합니다. 그런 다음 데이터베이스에서 이러한 특성 값이 업데이트되고 지금 컴퓨터 구성을 클릭하면 시스템에 적용됩니다.
- 시스템이 유효한 보안 수준에 적합하지 않다고 판단되는 경우 시스템을 분석 데이터베이스 값으로 구성합니다.
- 새 기본 구성으로 해당 컴퓨터의 역할에 더 적합한 템플릿을 데이터베이스에 가져와 시스템에 적용합니다.
분석 데이터베이스를 변경하면 보안 서식 파일 대신 데이터베이스의 저장된 서식 파일이 변경됩니다. 보안 서식 파일로 돌아가서 해당 서식 파일을 편집하거나 저장된 구성을 동일한 서식 파일로 내보내는 경우 보안 서식 파일만 수정됩니다.
로컬 파일 및 폴더, 레지스트리 ** 키 및 시스템 서비스에 대한 보안과 같이 그룹 정책 설정의 영향을 받지 않는 보안 영역을 수정하려면 지금 컴퓨터 지금 구성을 사용해야 합니다. 그렇지 않으면 그룹 정책 설정이 적용될 때 계정 정책과 같은 로컬 설정보다 우선합니다.
일반적으로 도메인 기반 **** 클라이언트에 대한 보안을 분석할 때 각 클라이언트를 개별적으로 구성해야 하기 때문에 지금 컴퓨터 구성을 사용하지 않습니다. 이 경우 보안 템플릿으로 돌아가서 템플릿을 수정한 다음 해당 그룹 정책 개체에 다시 적용해야 합니다.
보안 구성 작업 자동화
배치 파일 또는 자동 작업 스케줄러에서 명령 프롬프트에서 secedit.exe 도구를 호출하면 템플릿을 자동으로 만들어 적용하고 시스템 보안을 분석할 수 있습니다. 명령 프롬프트에서 동적으로 실행할 수도 있습니다. Secedit.exe 보안이 분석되거나 구성되어야 하는 디바이스가 여러 개 있는 경우 이러한 작업을 업무 시간 동안 수행해야 하는 경우 유용합니다.
그룹 정책 도구 작업
그룹 정책은 그룹 정책 설정 및 그룹 정책 기본 설정을 통해 사용자 및 컴퓨터에 대해 관리되는 구성을 지정할 수 있는 인프라입니다. 로컬 장치 또는 사용자에만 영향을 주는 그룹 정책 설정의 경우 로컬 그룹 정책 편집기를 사용할 수 있습니다. GPMC(그룹 정책 관리 콘솔)를 통해 AD DS(Active Directory 도메인 서비스) 환경에서 그룹 정책 설정 및 그룹 정책 기본 설정을 관리할 수 있습니다. 그룹 정책 관리 도구는 데스크톱에서 그룹 정책 설정을 관리할 수 있는 방법을 제공하는 원격 서버 관리 도구 팩에도 포함되어 있습니다.
피드백
다음에 대한 사용자 의견 제출 및 보기