Windows 10 Enterprise 2015 LTSC의 새로운 기능

적용 대상:

• Windows 10 Enterprise LTSC 2015

이 문서에서는 LTSB(Windows 10 Enterprise LTSC 2015)용 IT 전문가에게 관심 있는 새로운 기능과 업데이트된 기능을 나열합니다. LTSC 서비스 채널에 대한 간략한 설명은 Windows 10 Enterprise LTSC를 참조하세요.

배포

Windows ICD(이미징 및 구성 디자이너)를 사용하여 디바이스 프로비전

Windows 10에서는 새 이미지를 설치하지 않고도 효율적으로 신속하게 장치를 구성할 수 있는 프로비저닝 패키지를 만들 수 있습니다. Windows 프로비저닝을 사용하는 IT 관리자는 마법사 기반 사용자 인터페이스를 사용하여 디바이스를 관리에 등록하는 데 필요한 구성 및 설정을 쉽게 지정한 다음 몇 분 만에 대상 디바이스에 이 구성을 적용할 수 있습니다. 이는 수십 대에서 수백 대 범위의 컴퓨터에 배포하는 중소규모 기업에 가장 적합합니다.

Windows 10 프로비저닝에 대해 자세히 알아보기

보안

AppLocker

AppLocker는 Windows 8.1 사용할 수 있었고 Windows 10 개선되었습니다. 운영 체제 요구 사항 목록은 AppLocker 사용 요구 사항을 참조하세요.

Windows 10 AppLocker의 향상된 기능은 다음과 같습니다.

• 실행 파일 및 DLL 규칙 컬렉션이 비대화형 프로세스에 적용되는지 여부를 선택할 수 있는 새로운 매개 변수가 New-AppLockerPolicy Windows PowerShell cmdlet에 추가되었습니다. 이 매개 변수를 사용하려면 ServiceEnforcement를 Enabled로 설정합니다.
• MDM 서버를 사용해서 AppLocker 규칙이 사용되도록 설정할 수 있게 하려고 새로운 AppLocker 구성 서비스 공급자가 추가되었습니다.

조직 내에서 AppLocker를 관리하는 방법을 알아보세요.

BitLocker

Windows 10 AppLocker의 향상된 기능은 다음과 같습니다.

• Azure Active Directory를 사용한 암호화 및 디바이스 복구. 자동 디바이스 암호화 는 Microsoft 계정을 사용하는 것 외에, 이제 Azure Active Directory 도메인에 가입된 디바이스를 암호화할 수 있습니다. 장치가 암호화되면 BitLocker 복구 키가 자동으로 Azure Active Directory에 위탁됩니다. 이 에스크로를 사용하면 BitLocker 키를 온라인으로 쉽게 복구할 수 있습니다.
• DMA 포트 보호. DataProtection/AllowDirectMemoryAccess MDM 정책을 사용하여 장치 시작 시 DMA 포트를 차단할 수 있습니다. 또한 장치를 잠그면 사용되지 않는 DMA 포트가 모두 꺼지지만 이미 DMA 포트에 연결되어 있는 장치는 계속 작동합니다. 장치의 잠금이 해제되면 모든 DMA 포트가 다시 켜집니다.
• 사전 부팅 복구를 구성하는 새 그룹 정책. 이제 사전 부팅 복구 메시지를 구성하고 사전 부팅 복구 화면에 표시된 URL을 복구할 수 있습니다. 자세한 내용은 "BitLocker 그룹 정책 설정"의 사전 부팅 복구 메시지 및 URL 구성 섹션을 참조하세요.

조직 내에서 BitLocker를 배포하고 관리하는 방법 알아보기.

인증서 관리

Windows 10 기반 장치의 경우 MDM 서버를 사용하면 엔터프라이즈에서 비즈니스용 Windows Hello를 사용할 수 있도록 하는 인증서를 포함하여 SCEP(단순 인증서 등록 프로토콜)를 사용하여 등록할 뿐만 아니라 PFX(개인 정보 교환)를 사용하여 클라이언트 인증 인증서를 직접 배포할 수 있습니다. MDM을 사용하여 인증서를 등록, 갱신 및 삭제할 수 있습니다.

Microsoft Passport

Windows 10에서 Microsoft Passport는 등록된 디바이스 및 Windows Hello(생체 인식) 또는 PIN으로 구성된 강력한 2단계 인증으로 암호를 바꿉니다.

Microsoft Passport를 통해 사용자는 Microsoft 계정, Active Directory 계정, Microsoft Azure AD(Active Directory) 계정 또는 FIDO(Fast ID Online) 인증을 지원하는 타사 서비스를 인증할 수 있습니다. Microsoft Passport 등록 중 초기 2단계 인증 후 Microsoft Passport가 사용자의 디바이스에 설치되며 사용자는 Windows Hello 또는 PIN이 될 수 있는 제스처를 설정합니다. 사용자가 ID를 확인하는 제스처를 제공하면 Windows는 Microsoft Passport를 사용하여 사용자를 인증하고 사용자가 보호된 리소스 및 서비스에 액세스할 수 있도록 도와줍니다.

보안 감사

Windows 10에서는 보안 감사에 일부 향상된 기능이 추가되었습니다.

• 새 감사 하위 범주
• 기존 감사 이벤트에 추가된 자세한 정보

새 감사 하위 범주

Windows 10에서는 고급 감사 정책 구성에 새로운 두 가지 감사 하위 범주가 추가되어 감사 이벤트를 한층 세분화합니다.

• 그룹 구성원 감사 로그온/로그오프 감사 범주에 있는 그룹 구성원 감사 하위 범주를 사용하면 사용자 로그온 토큰에 있는 그룹 구성원 정보를 감사할 수 있습니다. 로그인 세션이 만들어진 PC에서 그룹 구성원이 열거되거나 쿼리되면 이 하위 범주에서 이벤트가 생성됩니다. 대화형 로그온의 경우 사용자가 로그온한 PC에서 보안 감사 이벤트가 생성됩니다. 네트워크 공유 폴더 액세스와 같은 네트워크 로그온의 경우 리소스를 호스트하는 PC에서 보안 감사 이벤트가 생성됩니다. 이 설정이 구성되면 각각의 성공적인 로그인에 대해 하나 이상의 보안 감사 이벤트가 생성됩니다. 또한 고급 감사 정책 구성\시스템 감사 정책\로그온/로그오프에서 로그온 감사 설정을 사용하도록 설정해야 합니다. 그룹 구성원 정보가 하나의 보안 감사 이벤트에 맞지 않을 경우 여러 이벤트가 생성됩니다.
• PNP 활동 감사 세부 추적 범주에 있는 PNP 활동 감사 하위 범주를 사용하면 플러그 앤 플레이가 외부 디바이스를 검색하는 경우 감사할 수 있습니다. 이 범주에 대한 성공 감사에만 기록됩니다. 이 정책 설정을 구성하지 않는 경우 플러그 앤 플레이가 외부 장치를 검색하더라도 감사 이벤트가 생성되지 않습니다. PnP 감사 이벤트는 시스템 하드웨어의 변경 내용을 추적하는 데 사용할 수 있으며 변경이 일어난 PC에서 기록됩니다. 하드웨어 공급업체 ID 목록이 이벤트에 포함됩니다.

기존 감사 이벤트에 추가된 자세한 정보

Windows 10 버전 1507에서는 더 손쉽게 전체 감사 기록을 수집하고 엔터프라이즈를 보호하는 데 필요한 정보를 확보할 수 있도록 기존 감사 이벤트에 더 많은 정보가 추가되었습니다. 다음 감사 이벤트를 향상했습니다.

• 커널 기본 감사 정책 변경됨
• LSASS.exe에 기본 프로세스 SACL 추가됨
• 로그온 이벤트에 새 필드 추가됨
• 프로세스 생성 이벤트에 새 필드 추가됨
• 새 보안 계정 관리자 이벤트 추가됨
• 새 BCD 이벤트 추가됨
• 새 PNP 이벤트 추가됨

커널 기본 감사 정책 변경됨

이전 릴리스에서 커널은 일부 이벤트의 정보를 검색하기 위해 LSA(로컬 보안 기관)에 의존했습니다. Windows 10에서는 LSA로부터 실제 감사 정책이 수신될 때까지 프로세스 생성 이벤트 감사 정책이 자동으로 사용됩니다. 이 설정을 사용하면 LSA가 시작되기 전에 시작될 수 있는 서비스에 대한 감사가 향상됩니다.

LSASS.exe에 기본 프로세스 SACL 추가됨

Windows 10에서는 LSASS.exe에 액세스하는 프로세스를 기록하기 위해 LSASS.exe에 기본 프로세스 SACL이 추가되었습니다. SACL은 L"S:(AU;SAFA;0x0010;;;WD)"입니다. 고급 감사 정책 구성\개체 액세스\커널 개체 감사에서 이 프로세스를 사용하도록 설정할 수 있습니다. 이 프로세스-사용-프로세스의 메모리에서 자격 증명을 도용 하는 공격을 식별 하는 데 도움이 될 수 있습니다.

로그인 이벤트의 새 필드

로그인 이벤트 ID 4624가 더 자세한 정보를 포함하도록 업데이트되어 더 쉽게 분석할 수 있습니다. 이벤트 4624에 추가된 필드는 다음과 같습니다.

1. MachineLogon 문자열: 예 또는 아니요 PC에 로그인한 계정이 컴퓨터 계정인 경우 이 필드는 예입니다. 그렇지 않으면 이 필드는 아니요입니다.
2. ElevatedToken 문자열: 예 또는 아니요 계정이 "관리 로그인" 메서드를 통해 PC에 로그인한 경우 이 필드는 예입니다. 그렇지 않으면 이 필드는 아니요입니다. 또한 이 필드가 분할 토큰의 일부인 경우 연결된 로그인 ID(LSAP_LOGON_SESSION)도 표시됩니다.
3. TargetOutboundUserName 문자열 TargetOutboundUserDomain 문자열: LogonUser 메서드를 사용하여 아웃바운드 트래픽 용도로 만든 ID의 사용자 이름 및 도메인입니다.
4. VirtualAccount 문자열: 예 또는 아니요. PC에 로그인한 계정이 가상 계정인 경우 이 필드는 예입니다. 그렇지 않으면 이 필드는 아니요입니다.
5. GroupMembership 문자열: 사용자의 토큰에 있는 모든 그룹의 목록입니다.
6. RestrictedAdminMode 문자열: 예 또는 아니요. 사용자가 원격 데스크톱을 통해 제한된 관리 모드로 PC에 로그인한 경우 이 필드는 예입니다. 제한된 관리 모드에 대한 자세한 내용은 RDP의 제한된 관리 모드를 참조하세요.

프로세스 생성 이벤트의 새 필드

로그인 이벤트 ID 4688이 더 자세한 정보를 포함하도록 업데이트되어 더 쉽게 분석할 수 있습니다. 이벤트 4688에 추가된 필드는 다음과 같습니다.

1. TargetUserSid 문자열: 대상 주체의 SID입니다.
2. TargetUserName 문자열: 대상 사용자의 계정 이름입니다.
3. TargetDomainName 문자열 대상 사용자의 도메인입니다.
4. TargetLogonId 문자열: 대상 사용자의 로그인 ID입니다.
5. ParentProcessName 문자열: 생성자 프로세스의 이름입니다.
6. ParentProcessId 문자열: 생성자 프로세스와 다른 경우 실제 상위 프로세스에 대한 포인터입니다.

새 보안 계정 관리자 이벤트

Windows 10에서는 읽기/쿼리 작업을 수행하는 SAM API를 포함하는 새 SAM 이벤트가 추가되었습니다. 이전 버전의 Windows에서는 쓰기 작업만 감사되었습니다. 새 이벤트는 이벤트 ID 4798 및 이벤트 ID 4799입니다. 이제 감사 대상으로 포함되는 API는 다음과 같습니다.

• SamrEnumerateGroupsInDomain
• SamrEnumerateUsersInDomain
• SamrEnumerateAliasesInDomain
• SamrGetAliasMembership
• SamrLookupNamesInDomain
• SamrLookupIdsInDomain
• SamrQueryInformationUser
• SamrQueryInformationGroup
• SamrQueryInformationUserAlias
• SamrGetMembersInGroup
• SamrGetMembersInAlias
• SamrGetUserDomainPasswordInformation

새 BCD 이벤트

BCD(부팅 구성 데이터베이스)에 대한 다음 변경 사항을 추적하는 이벤트 ID 4826이 추가되었습니다.

• DEP/NEX 설정
• 테스트 서명
• PCAT SB 시뮬레이션
• 디버그
• 부팅 디버그
• 무결성 서비스
• Winload 디버깅 메뉴 사용 안 함

새 PNP 이벤트

플러그 앤 플레이를 통해 외부 장치가 검색되는 경우 추적하도록 이벤트 ID 6416가 추가되었습니다. 한 가지 중요한 시나리오는 맬웨어가 포함된 외부 디바이스가 이러한 동작 유형을 예상하지 않는 고가치 컴퓨터(예: 도메인 컨트롤러)에 삽입되는 경우입니다.

organization 내에서 보안 감사 정책을 관리하는 방법을 알아봅니다.

신뢰할 수 있는 플랫폼 모듈

Windows 10 새로운 TPM 기능

다음 섹션에서는 Windows 10의 TPM에서 변경된 기능 및 새 기능을 설명합니다.

• 장치 상태 증명
• Microsoft Passport 지원
• Device Guard 지원
• Credential Guard 지원

장치 상태 증명

디바이스 상태 증명은 엔터프라이즈가 관리되는 장치의 하드웨어 및 소프트웨어 구성 요소를 기반으로 신뢰를 구축할 수 있게 합니다. 장치 상태 증명을 사용하면 관리되는 장치의 보안 리소스 액세스를 허용하거나 거부하는 상태 증명 서비스를 쿼리하도록 MDM 서버를 구성할 수 있습니다. 장치에서 확인할 수 있는 사항은 다음과 같습니다.

• 데이터 실행 방지가 지원되며 사용 중인지 여부
• BitLocker 드라이브 암호화가 지원되며 사용 중인지 여부
• SecureBoot가 지원되며 사용 중인지 여부

참고

장치가 Windows 10을 실행 중이어야 하며 TPM 2.0 이상을 지원해야 합니다.

조직 내에서 TPM을 배포하고 관리하는 방법을 알아보세요.

사용자 계정 컨트롤

UAC(사용자 계정 컨트롤)는 맬웨어가 컴퓨터를 손상하는 것을 방지하며 조직이 보다 효율적으로 관리되는 데스크톱 환경을 배포할 수 있도록 돕습니다.

이러한 설정은 Windows 10 실행하는 디바이스를 지원하지 않으므로 UAC를 해제해서는 안 됩니다. UAC를 비활성화하면 모든 유니버설 Windows 플랫폼 앱이 작동 중지됩니다. 항상 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA 레지스트리 값을 1로 설정해야 합니다. 프로그래밍 방식 액세스 또는 설치에 대한 자동 상승을 제공해야 하는 경우 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin 레지스트리 값을 0으로 설정할 수 있습니다. 이는 UAC 슬라이더 Never Notify 설정과 동일합니다. 이 설정은 Windows 10 실행하는 디바이스에는 권장되지 않습니다.

UAC를 관리하는 방법에 대한 자세한 내용은 UAC 그룹 정책 설정 및 레지스트리 키 설정을 참조하세요.

Windows 10 사용자 계정 컨트롤에 몇 가지 개선 사항이 추가되었습니다.

• AMSI(맬웨어 방지 스캔 인터페이스)와 통합. AMSI 가 모든 UAC 권한 상승 요청에서 맬웨어를 검사합니다. 맬웨어가 감색되면 관리자 권한이 차단됩니다.

조직 내에서 사용자 계정 컨트롤을 관리하는 방법 자세히 알아보기

VPN 프로필 옵션

Windows 10에서는 다음을 포함하여 기업 보안을 강화하고 향상된 사용자 환경을 제공하는 일련의 VPN 기능을 제공합니다.

• 상시 자동 연결 동작
• 앱에서 트리거한 VPN
• VPN 트래픽 필터
• 잠금 VPN
• Microsoft Passport for Work와의 통합

Windows 10의 VPN 옵션에 대해 자세히 알아봅니다.

관리

Windows 10에서는 PC, 노트북, 태블릿 및 휴대폰에 대해 회사 소유 장치 및 개인 장치의 엔터프라이즈 수준 관리를 가능하게 하는 MDM(모바일 장치 관리) 기능을 제공합니다.

MDM 지원

Windows 10의 MDM 정책은 Windows 8.1에서 지원되는 정책과 일치하며 Azure AD(Microsoft Azure Active Directory) 계정이 있는 여러 사용자 관리, Microsoft Store에 대한 완벽한 제어, VPN 구성 등 훨씬 더 많은 엔터프라이즈 시나리오를 해결할 수 있도록 확장되었습니다.

Windows 10의 MDM 지원은 OMA(Open Mobile Alliance) DM(장치 관리) 프로토콜 1.2.1 사양을 기반으로 합니다.

Azure AD를 사용하는 엔터프라이즈의 경우 회사에서 소유하는 디바이스를 자동으로 등록할 수 있습니다. Windows 10의 모바일 장치 관리에 대한 참조

등록 해제

사용자가 조직을 떠나 사용자 계정이나 장치를 관리에서 등록 해제하면 엔터프라이즈 제어 구성 및 앱도 장치에서 제거됩니다. 원격으로 장치를 등록 취소하거나 해당 사용자가 장치에서 계정을 수동으로 제거하여 등록 취소할 수 있습니다.

개인 장치를 등록 해제하면 사용자의 데이터 및 앱은 영향을 받지 않지만 인증서, VPN 프로필 및 엔터프라이즈 앱과 같은 엔터프라이즈 정보는 제거됩니다.

인프라

엔터프라이즈에서는 다음과 같은 ID 및 관리 선택 항목을 제공합니다.

영역	선택 항목
ID	Active Directory, Azure AD
그룹화	도메인 가입, 작업 그룹, Azure AD 가입
장치 관리	그룹 정책; Microsoft Configuration Manager; Microsoft Intune; 기타 MDM 솔루션; Exchange ActiveSync; Windows PowerShell; WMI(Windows Management Instrumentation)

참고

Windows Server 2012 R2가 릴리스되면서 NAP(네트워크 액세스 보호)가 더 이상 사용되지 않으며 Windows 10에서 NAP 클라이언트가 제거되었습니다. 지원 주기에 대한 자세한 내용은 Microsoft 지원 주기를 참조하세요.

장치 잠금

한 가지만 수행할 수 있는 컴퓨터가 필요하세요? 예를 들어 다음과 같은 가치를 제공해야 합니다.

• 고객이 제품 카탈로그를 보는 데 사용할 수 있는 로비의 장치.
• 운전자가 지도에서 경로를 확인하는 데 사용할 수 있는 휴대용 장치.
• 임시직 근로자가 데이터를 입력하는 데 사용하는 디바이스.

키오스크 형식 디바이스를 만들도록 영구 잠금 상태를 구성할 수 있습니다. 잠긴 계정에 로그온하면 선택한 앱만 디바이스에 표시됩니다.

또한 지정된 사용자 계정이 로그온하는 경우 적용되는 잠금 상태를 구성할 수 있습니다. 이 잠금은 지정된 앱으로만 사용자를 제한합니다.

잠금 설정은 시작 화면의 사용자 지정 레이아웃 또는 테마와 같은 디바이스의 모양과 느낌을 위해서도 구성할 수 있습니다.

시작 레이아웃

표준 시작 레이아웃은 여러 사용자에게 공통되는 장치와 특수 목적을 위해 잠긴 장치에 유용할 수 있습니다. Windows 10의 버전 1511부터 관리자는 부분 시작 레이아웃을 구성할 수 있습니다. 이 레이아웃에서는 지정된 타일 그룹이 적용되지만 사용자가 자신만의 타일 그룹을 만들어 사용자 지정할 수도 있습니다. 시작 화면 레이아웃 사용자 지정 및 내보내기 방법에 대해 자세히 알아 보세요.

또한 관리자는 MDM(모바일 디바이스 관리) 또는 그룹 정책을 사용하여 잠금 화면의 Windows 추천을 사용하지 않도록 설정할 수 있습니다.

업데이트

정보 기술 관리자는 비즈니스용 Windows 업데이트를 통해 조직의 Windows 10 기반 장치를 Microsoft의 Windows 업데이트 서비스에 직접 연결하여 최신 보안 방어와 Windows 기능을 사용함으로써 이러한 시스템을 항상 최신 상태로 유지할 수 있습니다.

비즈니스용 Windows 업데이트는 그룹 정책 개체를 사용하여 쉽게 설정 및 구현되는 시스템으로서, 조직 및 관리자는 이를 통해 다음을 허용함으로써 Windows 10 기반 장치가 업데이트되는 방식을 제어할 수 있습니다.

• 배포 및 유효성 검사 그룹: 이를 통해 관리자는 업데이트 프로세스에서 가장 먼저 진행할 장치와 나중에 진행할 장치를 지정하여 품질 기준을 충족할 수 있습니다.

• 피어 투 피어 배달: 이를 통해 관리자는 제한된 대역폭으로 지점 및 원격 사이트에 업데이트를 효율적으로 배달할 수 있습니다.

• Microsoft Intune 및 Enterprise Mobility Suite와 같은 기존 도구와 함께 사용합니다.

이러한 비즈니스용 Windows 업데이트 기능을 통해 장치 관리 비용을 줄이고, 업데이트 배포를 제어하며, 보안 업데이트에 빠르게 액세스할 수 있고 지속적으로 Microsoft에서 제공하는 혁신적인 최신 기능에 액세스할 수 있습니다. 비즈니스용 Windows 업데이트 모든 Windows 10 Pro, Enterprise 및 Education 버전에 대한 무료 서비스이며 WSUS(Windows Server Update Services) 및 Microsoft와 같은 기존 디바이스 관리 솔루션과 독립적이거나 함께 사용할 수 있습니다. Configuration Manager.

비즈니스용 Windows 업데이트에 대해 자세히 알아보세요.

Windows 10 업데이트에 대한 자세한 내용은 업데이트 및 업그레이드에 대한 Windows 10 서비스 옵션을 참조하세요.

Microsoft Edge

새로운 크롬 기반 Microsoft Edge는 Windows 10 LTSC 릴리스에 포함되지 않습니다. 그러나 여기에서 별도로 다운로드하여 설치할 수 있습니다.

참고 항목

Windows 10 Enterprise LTSC: 각 릴리스에 대한 정보에 대한 링크가 있는 LTSC 서비스 채널에 대한 설명입니다.