다음을 통해 공유

Configuration Manager 사이트 관리를 위한 보안 및 개인 정보

  • 아티클

적용 대상: Configuration Manager(현재 분기)

이 문서에는 Configuration Manager 사이트 및 계층 구조에 대한 보안 및 개인 정보 정보가 포함되어 있습니다.

사이트 관리를 위한 보안 지침

다음 지침을 사용하여 Configuration Manager 사이트 및 계층 구조를 보호할 수 있습니다.

신뢰할 수 있는 원본 및 보안 통신에서 설정 실행

누군가가 원본 파일을 변조하지 못하도록 하려면 신뢰할 수 있는 원본에서 Configuration Manager 설정을 실행합니다. 네트워크에 파일을 저장하는 경우 네트워크 위치를 보호합니다.

네트워크 위치에서 설정을 실행하면 공격자가 네트워크를 통해 전송될 때 파일이 변조되지 않도록 하려면 설치 파일의 원본 위치와 사이트 서버 간에 IPsec 또는 SMB 서명을 사용합니다.

설치 다운로더를 사용하여 설치에 필요한 파일을 다운로드하는 경우 이러한 파일이 저장되는 위치를 보호해야 합니다. 또한 설치 프로그램을 실행할 때 이 위치에 대한 통신 채널을 보호합니다.

Active Directory 스키마 확장 및 도메인에 사이트 게시

스키마 확장은 Configuration Manager 실행하는 데 필요하지 않지만 보다 안전한 환경을 만듭니다. 클라이언트 및 사이트 서버는 신뢰할 수 있는 원본에서 정보를 검색할 수 있습니다.

클라이언트가 신뢰할 수 없는 도메인에 있는 경우 클라이언트 도메인에 다음 사이트 시스템 역할을 배포합니다.

  • 관리 포인트

  • 배포 지점

참고

Configuration Manager 신뢰할 수 있는 도메인에는 Kerberos 인증이 필요합니다. 클라이언트가 사이트 서버의 포리스트와 양방향 포리스트 트러스트가 없는 다른 포리스트에 있는 경우 이러한 클라이언트는 신뢰할 수 없는 도메인에 있는 것으로 간주됩니다. 외부 신뢰만으로는 충분하지 않습니다.

IPsec을 사용하여 통신 보호

Configuration Manager 사이트 서버와 SQL Server 실행하는 컴퓨터 간의 통신을 보호하지만 Configuration Manager 사이트 시스템 역할과 SQL Server 간의 통신을 보호하지는 않습니다. 사이트 내 통신을 위해 HTTPS를 사용하여 일부 사이트 시스템만 구성할 수 있습니다.

이러한 서버-서버 채널의 보안을 위해 추가 컨트롤을 사용하지 않는 경우 공격자는 사이트 시스템에 대해 다양한 스푸핑 및 중간 공격을 사용할 수 있습니다. IPsec을 사용할 수 없는 경우 SMB 서명을 사용합니다.

중요

사이트 서버와 패키지 원본 서버 간의 통신 채널을 보호합니다. 이 통신은 SMB를 사용합니다. IPsec을 사용하여 이 통신을 보호할 수 없는 경우 SMB 서명을 사용하여 클라이언트가 다운로드하여 실행하기 전에 파일이 변조되지 않았는지 확인합니다.

기본 보안 그룹을 변경하지 마세요.

사이트 시스템 통신을 위해 Configuration Manager 만들고 관리하는 다음 보안 그룹을 변경하지 마세요.

  • <SMS_SiteSystemToSiteServerConnection_MP_SiteCode>

  • <SMS_SiteSystemToSiteServerConnection_SMSProv_SiteCode>

  • <SMS_SiteSystemToSiteServerConnection_Stat_SiteCode>

Configuration Manager 이러한 보안 그룹을 자동으로 만들고 관리합니다. 이 동작에는 사이트 시스템 역할이 제거될 때 컴퓨터 계정을 제거하는 작업이 포함됩니다.

서비스 연속성 및 최소 권한을 확인하려면 이러한 그룹을 수동으로 편집하지 마세요.

신뢰할 수 있는 루트 키 프로비저닝 프로세스 관리

클라이언트가 글로벌 카탈로그에서 Configuration Manager 정보를 쿼리할 수 없는 경우 신뢰할 수 있는 루트 키를 사용하여 유효한 관리 지점을 인증해야 합니다. 신뢰할 수 있는 루트 키는 클라이언트 레지스트리에 저장됩니다. 그룹 정책 또는 수동 구성을 사용하여 설정할 수 있습니다.

클라이언트가 처음으로 관리 지점에 연결하기 전에 신뢰할 수 있는 루트 키의 복사본이 없는 경우 통신하는 첫 번째 관리 지점을 신뢰합니다. 공격자가 클라이언트를 무단 관리 지점으로 잘못 전송하는 위험을 줄이기 위해 신뢰할 수 있는 루트 키를 사용하여 클라이언트를 미리 프로비전할 수 있습니다. 자세한 내용은 신뢰할 수 있는 루트 키 계획을 참조하세요.

기본이 아닌 포트 번호 사용

기본이 아닌 포트 번호를 사용하면 추가 보안을 제공할 수 있습니다. 공격자가 공격에 대비하여 환경을 탐색하기가 더 어려워집니다. 기본이 아닌 포트를 사용하기로 결정한 경우 Configuration Manager 설치하기 전에 해당 포트를 계획합니다. 계층 구조의 모든 사이트에서 일관되게 사용합니다. 클라이언트 요청 포트 및 Wake On LAN은 기본이 아닌 포트 번호를 사용할 수 있는 예입니다.

사이트 시스템에서 역할 분리 사용

단일 컴퓨터에 모든 사이트 시스템 역할을 설치할 수 있지만 이 방법은 프로덕션 네트워크에서 거의 사용되지 않습니다. 단일 실패 지점을 만듭니다.

공격 프로필 줄이기

다른 서버에서 각 사이트 시스템 역할을 격리하면 한 사이트 시스템의 취약성에 대한 공격을 다른 사이트 시스템에 사용할 가능성이 줄어듭니다. 많은 역할을 수행하려면 사이트 시스템에 IIS(인터넷 정보 서비스)를 설치해야 하므로 공격 노출 영역이 증가합니다. 하드웨어 지출을 줄이기 위해 역할을 결합해야 하는 경우 IIS 역할을 IIS가 필요한 다른 역할과만 결합합니다.

중요

대체 상태 지점 역할은 예외입니다. 이 사이트 시스템 역할은 클라이언트의 인증되지 않은 데이터를 허용하므로 대체 상태 지점 역할을 다른 Configuration Manager 사이트 시스템 역할에 할당하지 마세요.

사이트 시스템에 대한 고정 IP 주소 구성

고정 IP 주소는 이름 확인 공격으로부터 더 쉽게 보호할 수 있습니다.

또한 고정 IP 주소를 사용하면 IPsec을 더 쉽게 구성할 수 있습니다. IPsec을 사용하는 것은 Configuration Manager 사이트 시스템 간의 통신을 보호하기 위한 보안 모범 사례입니다.

사이트 시스템 서버에 다른 애플리케이션 설치 안 함

사이트 시스템 서버에 다른 애플리케이션을 설치하면 Configuration Manager 대한 공격 표면이 늘어나게 됩니다. 또한 비호환성 문제가 발생할 수 있습니다.

사이트 옵션으로 서명 및 암호화 사용 요구

사이트에 대한 서명 및 암호화 옵션을 사용하도록 설정합니다. 모든 클라이언트가 SHA-256 해시 알고리즘을 지원할 수 있는지 확인하고 SHA-256 필요 옵션을 사용하도록 설정합니다.

관리 사용자 제한 및 모니터링

신뢰할 수 있는 사용자에게만 Configuration Manager 대한 관리 액세스 권한을 부여합니다. 그런 다음 기본 제공 보안 역할을 사용하거나 보안 역할을 사용자 지정하여 최소 권한을 부여합니다. 소프트웨어 및 구성을 만들고 수정하고 배포할 수 있는 관리자는 Configuration Manager 계층 구조의 디바이스를 제어할 수 있습니다.

관리 사용자 할당 및 권한 부여 수준을 주기적으로 감사하여 필요한 변경 내용을 확인합니다.

자세한 내용은 역할 기반 관리 구성을 참조하세요.

보안 Configuration Manager 백업

Configuration Manager 백업할 때 이 정보에는 공격자가 가장하는 데 사용할 수 있는 인증서 및 기타 중요한 데이터가 포함됩니다.

네트워크를 통해 이 데이터를 전송하고 백업 위치를 보호할 때 SMB 서명 또는 IPsec을 사용합니다.

내보낸 개체의 보안 위치

Configuration Manager 콘솔에서 네트워크 위치로 개체를 내보내거나 가져올 때마다 위치를 보호하고 네트워크 채널을 보호합니다.

네트워크 폴더에 액세스할 수 있는 사용자를 제한합니다.

공격자가 내보낸 데이터를 변조하지 않도록 하려면 네트워크 위치와 사이트 서버 간에 SMB 서명 또는 IPsec을 사용합니다. 또한 Configuration Manager 콘솔과 사이트 서버를 실행하는 컴퓨터 간의 통신을 보호합니다. 정보 공개를 방지하기 위해 IPsec을 사용하여 네트워크의 데이터를 암호화합니다.

실패한 서버에서 수동으로 인증서 제거

사이트 시스템이 제대로 제거되지 않거나 작동이 중지되고 복원할 수 없는 경우 다른 Configuration Manager 서버에서 이 서버에 대한 Configuration Manager 인증서를 수동으로 제거합니다.

원래 사이트 시스템 및 사이트 시스템 역할로 설정된 피어 트러스트를 제거하려면 다른 사이트 시스템 서버의 신뢰할 수 있는 사람 인증서 저장소에서 실패한 서버에 대한 Configuration Manager 인증서를 수동으로 제거합니다. 이 작업은 서버를 다시 포맷하지 않고 다시 사용하는 경우에 중요합니다.

자세한 내용은 서버 통신에 대한 암호화 컨트롤을 참조하세요.

경계 네트워크를 연결하도록 인터넷 기반 사이트 시스템을 구성하지 마세요.

사이트 시스템 서버가 경계 네트워크 및 인트라넷에 연결되도록 다중 홈으로 구성하지 마세요. 이 구성을 사용하면 인터넷 기반 사이트 시스템에서 인터넷 및 인트라넷의 클라이언트 연결을 허용할 수 있지만 경계 네트워크와 인트라넷 간의 보안 경계가 제거됩니다.

경계 네트워크에 대한 연결을 시작하도록 사이트 서버 구성

사이트 시스템이 경계 네트워크와 같은 신뢰할 수 없는 네트워크에 있는 경우 사이트 시스템에 대한 연결을 시작하도록 사이트 서버를 구성합니다.

기본적으로 사이트 시스템은 데이터를 전송하기 위해 사이트 서버에 대한 연결을 시작합니다. 이 구성은 신뢰할 수 없는 네트워크에서 신뢰할 수 있는 네트워크로 연결이 시작될 때 보안 위험이 될 수 있습니다. 사이트 시스템에서 인터넷 연결을 허용하거나 신뢰할 수 없는 포리스트에 있는 경우 사이트 시스템 옵션을 사이트 서버에서 이 사이트 시스템에 대한 연결을 시작하도록 요구로 구성합니다. 사이트 시스템 및 역할을 설치한 후 모든 연결은 신뢰할 수 있는 네트워크의 사이트 서버에 의해 시작됩니다.

인증을 사용하여 SSL 브리징 및 종료 사용

인터넷 기반 클라이언트 관리에 웹 프록시 서버를 사용하는 경우 인증과 함께 종료를 사용하여 SSL에 대한 SSL 브리징을 사용합니다.

프록시 웹 서버에서 SSL 종료를 구성하는 경우 인터넷의 패킷은 내부 네트워크로 전달되기 전에 검사를 받게 됩니다. 프록시 웹 서버는 클라이언트에서 연결을 인증하고 종료한 다음 인터넷 기반 사이트 시스템에 대한 인증된 새 연결을 엽니다.

Configuration Manager 클라이언트 컴퓨터가 프록시 웹 서버를 사용하여 인터넷 기반 사이트 시스템에 연결하는 경우 클라이언트 ID(GUID)는 패킷 페이로드 내에 안전하게 포함됩니다. 그러면 관리 지점에서 프록시 웹 서버를 클라이언트로 간주하지 않습니다.

프록시 웹 서버가 SSL 브리징에 대한 요구 사항을 지원할 수 없는 경우 SSL 터널링도 지원됩니다. 이 옵션은 보안이 떨어집니다. 인터넷의 SSL 패킷은 종료 없이 사이트 시스템으로 전달됩니다. 그런 다음 악성 콘텐츠를 검사할 수 없습니다.

경고

Configuration Manager 등록된 모바일 디바이스는 SSL 브리징을 사용할 수 없습니다. SSL 터널링만 사용해야 합니다.

소프트웨어를 설치하도록 컴퓨터를 절전 모드에서 해제하도록 사이트를 구성하는 경우 사용할 구성

  • 기존 절전 모드 해제 패킷을 사용하는 경우 서브넷 기반 브로드캐스트 대신 유니캐스트를 사용합니다.

  • 서브넷 지향 브로드캐스트를 사용해야 하는 경우 사이트 서버에서만 기본이 아닌 포트 번호에서만 IP 지향 브로드캐스트를 허용하도록 라우터를 구성합니다.

다양한 Wake On LAN 기술에 대한 자세한 내용은 클라이언트를 절 해제하는 방법 계획을 참조하세요.

전자 메일 알림을 사용하는 경우 SMTP 메일 서버에 대한 인증된 액세스를 구성합니다.

가능하면 인증된 액세스를 지원하는 메일 서버를 사용합니다. 인증을 위해 사이트 서버의 컴퓨터 계정을 사용합니다. 인증을 위해 사용자 계정을 지정해야 하는 경우 최소 권한이 있는 계정을 사용합니다.

LDAP 채널 바인딩 및 LDAP 서명 적용

서명을 요청하지 않는 SASL(단순 인증 및 보안 계층) LDAP 바인딩을 거부하거나 일반 텍스트 연결에서 수행되는 LDAP 단순 바인딩을 거부하도록 서버를 구성하여 Active Directory 도메인 컨트롤러의 보안을 개선할 수 있습니다. 버전 1910부터 Configuration Manager LDAP 채널 바인딩 및 LDAP 서명 적용을 지원합니다. 자세한 내용은 Windows용 2020 LDAP 채널 바인딩 및 LDAP 서명 요구 사항을 참조하세요.

사이트 서버에 대한 보안 지침

다음 지침을 사용하여 Configuration Manager 사이트 서버를 보호합니다.

경고

네트워크 액세스 계정 - SQL Server에서 이 계정에 대한 대화형 로그인 권한을 부여하지 마세요. 이 계정에 컴퓨터를 도메인에 가입할 수 있는 권한을 부여하지 마세요. 작업 순서 중에 컴퓨터를 도메인에 조인해야 하는 경우 작업 순서 도메인 가입 계정을 사용합니다.

도메인 컨트롤러 대신 멤버 서버에 Configuration Manager 설치

Configuration Manager 사이트 서버 및 사이트 시스템은 도메인 컨트롤러에 설치할 필요가 없습니다. 도메인 컨트롤러에는 도메인 데이터베이스 이외의 로컬 SAM(보안 계정 관리) 데이터베이스가 없습니다. 멤버 서버에 Configuration Manager 설치할 때 도메인 데이터베이스가 아닌 로컬 SAM 데이터베이스에서 Configuration Manager 계정을 유지할 수 있습니다.

이 방법은 도메인 컨트롤러의 공격 표면도 낮춥니다.

네트워크를 통해 파일을 복사하지 않고 보조 사이트 설치

설치 프로그램을 실행하고 보조 사이트를 만들 때 부모 사이트에서 보조 사이트로 파일을 복사하는 옵션을 선택하지 마세요. 네트워크 원본 위치도 사용하지 마세요. 네트워크를 통해 파일을 복사할 때 숙련된 공격자가 보조 사이트 설치 패키지를 하이재킹하고 파일을 설치하기 전에 변조할 수 있습니다. 이 공격의 타이밍은 어려울 것입니다. 이 공격은 파일을 전송할 때 IPsec 또는 SMB를 사용하여 완화할 수 있습니다.

네트워크를 통해 파일을 복사하는 대신 보조 사이트 서버에서 미디어 폴더의 원본 파일을 로컬 폴더로 복사합니다. 그런 다음 설치 프로그램을 실행하여 보조 사이트를 만들 때 설치 원본 파일 페이지에서 보조 사이트 컴퓨터(가장 안전한)의 다음 위치에 있는 원본 파일 사용을 선택하고 이 폴더를 지정합니다.

자세한 내용은 보조 사이트 설치를 참조하세요.

사이트 역할 설치는 드라이브 루트에서 권한을 상속합니다.

서버에 첫 번째 사이트 시스템 역할을 설치하기 전에 시스템 드라이브 권한을 올바르게 구성해야 합니다. 예를 들어 는 C:\SMS_CCM 에서 C:\사용 권한을 상속합니다. 드라이브의 루트가 제대로 보호되지 않으면 권한이 낮은 사용자가 Configuration Manager 폴더의 콘텐츠에 액세스하거나 수정할 수 있습니다.

SQL Server 대한 보안 지침

Configuration Manager SQL Server 백 엔드 데이터베이스로 사용합니다. 데이터베이스가 손상된 경우 공격자는 Configuration Manager 우회할 수 있습니다. SQL Server 직접 액세스하는 경우 Configuration Manager 통해 공격을 시작할 수 있습니다. SQL Server 대한 공격이 위험 수준이 높고 적절하게 완화되도록 고려합니다.

다음 보안 지침을 사용하여 Configuration Manager SQL Server 보호할 수 있습니다.

Configuration Manager 사이트 데이터베이스 서버를 사용하여 다른 SQL Server 애플리케이션을 실행하지 마세요.

Configuration Manager 사이트 데이터베이스 서버에 대한 액세스 권한을 늘리면 Configuration Manager 데이터에 대한 위험이 증가합니다. Configuration Manager 사이트 데이터베이스가 손상된 경우 동일한 SQL Server 컴퓨터의 다른 애플리케이션도 위험에 처하게 됩니다.

Windows 인증 사용하도록 SQL Server 구성

Configuration Manager Windows 계정 및 Windows 인증 사용하여 사이트 데이터베이스에 액세스하지만 SQL Server 혼합 모드를 사용하도록 SQL Server 구성할 수 있습니다. SQL Server 혼합 모드를 사용하면 추가 SQL Server 로그인이 데이터베이스에 액세스할 수 있습니다. 이 구성은 필요하지 않으며 공격 표면을 증가합니다.

보조 사이트에서 SQL Server Express 업데이트

기본 사이트를 설치할 때 Configuration Manager Microsoft 다운로드 센터에서 SQL Server Express 다운로드합니다. 그런 다음 기본 사이트 서버에 파일을 복사합니다. 보조 사이트를 설치하고 SQL Server Express 설치하는 옵션을 선택하면 Configuration Manager 이전에 다운로드한 버전을 설치합니다. 새 버전을 사용할 수 있는지 여부는 검사 않습니다. 보조 사이트에 최신 버전이 있는지 확인하려면 다음 작업 중 하나를 수행합니다.

  • 보조 사이트를 설치한 후 보조 사이트 서버에서 Windows 업데이트 실행합니다.

  • 보조 사이트를 설치하기 전에 보조 사이트 서버에 SQL Server Express 수동으로 설치합니다. 최신 버전 및 소프트웨어 업데이트를 설치해야 합니다. 그런 다음 보조 사이트를 설치하고 기존 SQL Server instance 사용하는 옵션을 선택합니다.

설치된 모든 버전의 SQL Server 대해 주기적으로 Windows 업데이트 실행합니다. 이 방법은 최신 소프트웨어 업데이트가 있는지 확인합니다.

SQL Server 대한 일반적인 지침을 따르세요.

SQL Server 버전에 대한 일반적인 지침을 식별하고 따릅니다. 그러나 Configuration Manager 대한 다음 요구 사항을 고려합니다.

  • 사이트 서버의 컴퓨터 계정은 SQL Server 실행되는 컴퓨터에서 Administrators 그룹의 구성원이어야 합니다. "관리자 보안 주체를 명시적으로 프로비전"의 SQL Server 권장 사항을 따르는 경우 사이트 서버에서 설치 프로그램을 실행하는 데 사용하는 계정은 SQL Server 사용자 그룹의 구성원이어야 합니다.

  • 도메인 사용자 계정을 사용하여 SQL Server 설치하는 경우 사이트 서버 컴퓨터 계정이 Active Directory Domain Services 게시된 SPN(서비스 사용자 이름)에 대해 구성되어 있는지 확인합니다. SPN이 없으면 Kerberos 인증이 실패하고 Configuration Manager 설정이 실패합니다.

IIS를 실행하는 사이트 시스템에 대한 보안 지침

Configuration Manager 여러 사이트 시스템 역할에는 IIS가 필요합니다. IIS 보안 프로세스를 통해 Configuration Manager 올바르게 작동하고 보안 공격의 위험을 줄일 수 있습니다. 실용적인 경우 IIS가 필요한 서버 수를 최소화합니다. 예를 들어 인터넷 기반 클라이언트 관리를 위한 고가용성 및 네트워크 격리를 고려하여 클라이언트 기반을 지원하는 데 필요한 관리 지점 수만 실행합니다.

다음 지침을 사용하여 IIS를 실행하는 사이트 시스템을 보호할 수 있습니다.

필요하지 않은 IIS 함수 사용 안 함

설치하는 사이트 시스템 역할에 대한 최소 IIS 기능만 설치합니다. 자세한 내용은 사이트 및 사이트 시스템 필수 구성 요소를 참조하세요.

HTTPS를 요구하도록 사이트 시스템 역할 구성

클라이언트는 HTTPS를 사용하는 대신 HTTP를 사용하여 사이트 시스템에 연결할 때 Windows 인증 사용합니다. 이 동작은 Kerberos 인증이 아닌 NTLM 인증 사용으로 대체될 수 있습니다. NTLM 인증을 사용하는 경우 클라이언트는 불량 서버에 연결할 수 있습니다.

이 지침의 예외는 배포 지점일 수 있습니다. 배포 지점이 HTTPS에 대해 구성된 경우 패키지 액세스 계정이 작동하지 않습니다. 패키지 액세스 계정은 콘텐츠에 대한 권한 부여를 제공하므로 콘텐츠에 액세스할 수 있는 사용자를 제한할 수 있습니다. 자세한 내용은 콘텐츠 관리에 대한 보안 지침을 참조하세요.

중요

Configuration Manager 버전 2103부터 HTTP 클라이언트 통신을 허용하는 사이트는 더 이상 사용되지 않습니다. HTTPS 또는 고급 HTTP에 대한 사이트를 구성합니다. 자세한 내용은 HTTPS 전용 또는 향상된 HTTP에 사이트 사용을 참조하세요.

사이트 시스템 역할에 대한 IIS에서 CTL(인증서 신뢰 목록) 구성

사이트 시스템 역할:

  • HTTPS에 대해 구성하는 배포 지점

  • HTTPS에 대해 구성하고 모바일 디바이스를 지원하도록 설정하는 관리 지점

CTL은 신뢰할 수 있는 CA(루트 인증 기관)의 정의된 목록입니다. 그룹 정책 및 PKI(공개 키 인프라) 배포와 함께 CTL을 사용하는 경우 CTL을 사용하면 네트워크에서 구성된 기존 신뢰할 수 있는 루트 CA를 보완할 수 있습니다. 예를 들어 Microsoft Windows와 함께 자동으로 설치되거나 Windows 엔터프라이즈 루트 CA를 통해 추가되는 CA입니다. CTL이 IIS에서 구성되면 신뢰할 수 있는 루트 CA의 하위 집합을 정의합니다.

이 하위 집합은 보안을 보다 자세히 제어할 수 있습니다. CTL은 허용되는 클라이언트 인증서를 CTL의 CA 목록에서 발급된 인증서로만 제한합니다. 예를 들어 Windows에는 잘 알려진 여러 타사 CA 인증서가 함께 제공됩니다.

기본적으로 IIS를 실행하는 컴퓨터는 이러한 잘 알려진 CA에 연결하는 인증서를 신뢰합니다. 나열된 사이트 시스템 역할에 대해 CTL을 사용하여 IIS를 구성하지 않으면 사이트는 이러한 CA에서 발급된 인증서가 있는 모든 디바이스를 유효한 클라이언트로 허용합니다. 이러한 CA를 포함하지 않은 CTL을 사용하여 IIS를 구성하는 경우 인증서가 이러한 CA에 연결된 경우 사이트에서 클라이언트 연결을 거부합니다. 나열된 사이트 시스템 역할에 대해 Configuration Manager 클라이언트를 허용하려면 Configuration Manager 클라이언트에서 사용하는 CA를 지정하는 CTL을 사용하여 IIS를 구성해야 합니다.

참고

나열된 사이트 시스템 역할만 IIS에서 CTL을 구성해야 합니다. Configuration Manager 관리 지점에 사용하는 인증서 발급자 목록은 클라이언트 컴퓨터가 HTTPS 관리 지점에 연결할 때 동일한 기능을 제공합니다.

IIS에서 신뢰할 수 있는 CA 목록을 구성하는 방법에 대한 자세한 내용은 IIS 설명서를 참조하세요.

IIS가 있는 컴퓨터에 사이트 서버를 배치하지 마세요.

역할 분리는 공격 프로필을 줄이고 복구 가능성을 개선하는 데 도움이 됩니다. 사이트 서버의 컴퓨터 계정에는 일반적으로 모든 사이트 시스템 역할에 대한 관리 권한이 있습니다. 클라이언트 강제 설치를 사용하는 경우 Configuration Manager 클라이언트에서도 이러한 권한이 있을 수 있습니다.

Configuration Manager 전용 IIS 서버 사용

Configuration Manager 사용하는 IIS 서버에서 여러 웹 기반 애플리케이션을 호스트할 수 있지만, 이 방법은 공격 표면을 크게 증가시킬 수 있습니다. 제대로 구성되지 않은 애플리케이션을 사용하면 공격자가 Configuration Manager 사이트 시스템을 제어할 수 있습니다. 이 위반으로 인해 공격자가 계층 구조를 제어할 수 있습니다.

Configuration Manager 사이트 시스템에서 다른 웹 기반 애플리케이션을 실행해야 하는 경우 Configuration Manager 사이트 시스템에 대한 사용자 지정 웹 사이트를 만듭니다.

사용자 지정 웹 사이트 사용

IIS를 실행하는 사이트 시스템의 경우 기본 웹 사이트 대신 사용자 지정 웹 사이트를 사용하도록 Configuration Manager 구성합니다. 사이트 시스템에서 다른 웹 애플리케이션을 실행해야 하는 경우 사용자 지정 웹 사이트를 사용해야 합니다. 이 설정은 특정 사이트 시스템에 대한 설정이 아닌 사이트 전체 설정입니다.

사용자 지정 웹 사이트를 사용하는 경우 기본 가상 디렉터리를 제거합니다.

기본 웹 사이트 사용에서 사용자 지정 웹 사이트 사용으로 변경하면 Configuration Manager 이전 가상 디렉터리를 제거하지 않습니다. Configuration Manager 원래 기본 웹 사이트에서 만든 가상 디렉터리를 제거합니다.

예를 들어 배포 지점에 대해 다음 가상 디렉터리를 제거합니다.

  • SMS_DP_SMSPKG$

  • SMS_DP_SMSSIG$

  • NOCERT_SMS_DP_SMSPKG$

  • NOCERT_SMS_DP_SMSSIG$

IIS 서버 보안 지침 따르기

IIS 서버 버전에 대한 일반적인 지침을 식별하고 따릅니다. 특정 사이트 시스템 역할에 대해 Configuration Manager 요구 사항을 고려합니다. 자세한 내용은 사이트 및 사이트 시스템 필수 구성 요소를 참조하세요.

IIS 사용자 지정 헤더 구성

MIME 스니핑을 사용하지 않도록 다음 사용자 지정 헤더를 구성합니다.

x-content-type-options: nosniff

자세한 내용은 사용자 지정 헤더를 참조하세요.

다른 서비스에서 동일한 IIS instance 사용하는 경우 이러한 사용자 지정 헤더가 호환되는지 확인합니다.

관리 지점에 대한 보안 지침

관리 지점은 디바이스와 Configuration Manager 간의 기본 인터페이스입니다. 관리 지점 및 실행되는 서버에 대한 공격을 고위험으로 간주하고 적절하게 완화합니다. 모든 적절한 보안 지침을 적용하고 비정상적인 활동을 모니터링합니다.

다음 지침을 사용하여 Configuration Manager 관리 지점을 보호합니다.

관리 지점의 클라이언트를 동일한 사이트에 할당

관리 지점에 있는 Configuration Manager 클라이언트를 관리 지점의 사이트가 아닌 사이트에 할당하는 시나리오를 방지합니다.

이전 버전에서 Configuration Manager 현재 분기로 마이그레이션하는 경우 관리 지점의 클라이언트를 가능한 한 빨리 새 사이트로 마이그레이션합니다.

대체 상태 지점에 대한 보안 지침

Configuration Manager 대체 상태 지점을 설치하는 경우 다음 보안 지침을 사용합니다.

대체 상태 지점을 설치할 때의 보안 고려 사항에 대한 자세한 내용은 대체 상태 지점이 필요한지 여부를 확인합니다.

동일한 사이트 시스템에서 다른 역할을 실행하지 마세요.

대체 상태 지점은 모든 컴퓨터에서 인증되지 않은 통신을 허용하도록 설계되었습니다. 다른 역할 또는 도메인 컨트롤러를 사용하여 이 사이트 시스템 역할을 실행하는 경우 해당 서버에 대한 위험이 크게 증가합니다.

PKI 인증서를 사용하여 클라이언트를 설치하기 전에 대체 상태 지점 설치

Configuration Manager 사이트 시스템에서 HTTP 클라이언트 통신을 허용하지 않는 경우 PKI 관련 인증서 문제로 인해 클라이언트가 관리되지 않는다는 것을 알 수 없습니다. 대체 상태 지점에 클라이언트를 할당하는 경우 대체 상태 지점을 통해 이러한 인증서 문제를 보고합니다.

보안상의 이유로 대체 상태 지점이 설치된 후 클라이언트에 할당할 수 없습니다. 클라이언트 설치 중에만 이 역할을 할당할 수 있습니다.

경계 네트워크에서 대체 상태 지점 사용 방지

기본적으로 대체 상태 지점은 모든 클라이언트의 데이터를 허용합니다. 경계 네트워크의 대체 상태 지점은 인터넷 기반 클라이언트 문제를 해결하는 데 도움이 될 수 있지만 공개적으로 액세스할 수 있는 네트워크에서 인증되지 않은 데이터를 허용하는 사이트 시스템의 위험과 문제 해결 혜택의 균형을 유지합니다.

경계 네트워크 또는 신뢰할 수 없는 네트워크에 대체 상태 지점을 설치하는 경우 데이터 전송을 시작하도록 사이트 서버를 구성합니다. 대체 상태 지점이 사이트 서버에 대한 연결을 시작할 수 있도록 하는 기본 설정을 사용하지 마세요.

사이트 관리에 대한 보안 문제

Configuration Manager 다음 보안 문제를 검토합니다.

  • Configuration Manager Configuration Manager 사용하여 네트워크를 공격하는 권한 있는 관리 사용자에 대한 방어가 없습니다. 권한이 없는 관리 사용자는 높은 보안 위험입니다. 다음과 같은 전략을 포함하는 많은 공격을 시작할 수 있습니다.

    • 소프트웨어 배포를 사용하여 organization 모든 Configuration Manager 클라이언트 컴퓨터에 악성 소프트웨어를 자동으로 설치하고 실행합니다.

    • 클라이언트 권한 없이 Configuration Manager 클라이언트를 원격으로 제어합니다.

    • 신속한 폴링 간격과 방대한 양의 인벤토리를 구성합니다. 이 작업은 클라이언트 및 서버에 대한 서비스 거부 공격을 만듭니다.

    • 계층 구조의 한 사이트를 사용하여 다른 사이트의 Active Directory 데이터에 데이터를 씁니다.

    사이트 계층 구조는 보안 경계입니다. 사이트를 관리 경계로만 간주합니다.

    모든 관리 사용자 활동을 감사하고 감사 로그를 정기적으로 검토합니다. 모든 Configuration Manager 관리자가 채용되기 전에 백그라운드 검사 받아야 합니다. 고용 조건으로 주기적인 재검사가 필요합니다.

  • 등록 지점이 손상된 경우 공격자는 인증을 위한 인증서를 가져올 수 있습니다. 모바일 디바이스를 등록하는 사용자의 자격 증명을 도용할 수 있습니다.

    등록 지점은 CA와 통신합니다. Active Directory 개체를 만들고 수정하고 삭제할 수 있습니다. 경계 네트워크에 등록 지점을 설치하지 마세요. 항상 비정상적인 활동을 모니터링합니다.

  • 인터넷 기반 클라이언트 관리에 대한 사용자 정책을 허용하는 경우 공격 프로필을 늘입니다.

    클라이언트-서버 연결에 PKI 인증서를 사용하는 것 외에도 이러한 구성에는 Windows 인증 필요합니다. Kerberos가 아닌 NTLM 인증을 사용하는 것으로 대체될 수 있습니다. NTLM 인증은 가장 및 재생 공격에 취약합니다. 인터넷에서 사용자를 성공적으로 인증하려면 인터넷 기반 사이트 시스템에서 도메인 컨트롤러로의 연결을 허용해야 합니다.

  • 관리$ 공유는 사이트 시스템 서버에 필요합니다.

    Configuration Manager 사이트 서버는 관리$ 공유를 사용하여 사이트 시스템에 연결하고 서비스 작업을 수행합니다. 이 공유를 사용하지 않도록 설정하거나 제거하지 마세요.

  • Configuration Manager 이름 확인 서비스를 사용하여 다른 컴퓨터에 연결합니다. 이러한 서비스는 다음과 같은 보안 공격에 대해 보호하기 어렵습니다.

    • 스푸핑
    • 변조
    • 거부
    • 정보 공개
    • 서비스 거부
    • 권한 상승

    이름 확인에 사용하는 DNS 버전에 대한 보안 지침을 식별하고 따릅니다.

검색을 위한 개인 정보

검색은 네트워크 리소스에 대한 레코드를 만들고 Configuration Manager 데이터베이스에 저장합니다. 검색 데이터 레코드에는 IP 주소, OS 버전 및 컴퓨터 이름과 같은 컴퓨터 정보가 포함됩니다. organization Active Directory Domain Services 저장하는 모든 정보를 반환하도록 Active Directory 검색 메서드를 구성할 수도 있습니다.

Configuration Manager 기본적으로 사용하도록 설정하는 유일한 검색 방법은 하트비트 검색입니다. 이 메서드는 Configuration Manager 클라이언트 소프트웨어가 이미 설치된 컴퓨터만 검색합니다.

검색 정보는 Microsoft로 직접 전송되지 않습니다. Configuration Manager 데이터베이스에 저장됩니다. Configuration Manager 데이터를 삭제할 때까지 데이터베이스에 정보를 유지합니다. 이 프로세스는 사이트 유지 관리 작업 오래된 검색 데이터 삭제에 의해 90일마다 발생합니다.