다음을 통해 공유


Configuration Manager에서 보안 계획

적용 대상: Configuration Manager(현재 분기)

이 문서에서는 Configuration Manager 구현을 사용하여 보안을 계획할 때 고려해야 할 다음 개념을 설명합니다.

  • 인증서(자체 서명 및 PKI)

  • 신뢰할 수 있는 루트 키

  • 서명 및 암호화

  • 역할 기반 관리

  • Microsoft Entra ID

  • SMS 공급자 인증

시작하기 전에 Configuration Manager의 보안 기본 사항에 대해 잘 알고 있는지 확인합니다.

인증서

Configuration Manager는 자체 서명된 인프라와 PKI(공개 키 인프라) 디지털 인증서의 조합을 사용합니다. 가능하면 PKI 인증서를 사용합니다. 일부 시나리오에는 PKI 인증서가 필요합니다. PKI 인증서를 사용할 수 없는 경우 사이트에서 자체 서명된 인증서를 자동으로 생성합니다. 일부 시나리오에서는 항상 자체 서명된 인증서를 사용합니다.

자세한 내용은 인증서 계획을 참조하세요.

신뢰할 수 있는 루트 키

Configuration Manager 신뢰할 수 있는 루트 키는 Configuration Manager 클라이언트가 사이트 시스템이 해당 계층 구조에 속하는지 확인하는 메커니즘을 제공합니다. 모든 사이트 서버는 다른 사이트와 통신하기 위해 사이트 교환 키를 생성합니다. 계층 구조의 최상위 사이트에서 사이트 교환 키를 신뢰할 수 있는 루트 키라고 합니다.

Configuration Manager에서 신뢰할 수 있는 루트 키의 함수는 공개 키 인프라의 루트 인증서와 유사합니다. 신뢰할 수 있는 루트 키의 프라이빗 키로 서명된 모든 항목은 계층 구조에서 추가로 신뢰할 수 있습니다. 클라이언트는 WMI 네임스페이스에 사이트의 신뢰할 수 있는 루트 키의 복사본을 root\ccm\locationservices 저장합니다.

예를 들어 사이트는 신뢰할 수 있는 루트 키의 프라이빗 키로 서명하는 관리 지점에 인증서를 발급합니다. 사이트는 신뢰할 수 있는 루트 키의 공개 키를 클라이언트와 공유합니다. 그런 다음 클라이언트는 계층 구조에 있는 관리 지점과 계층 구조에 없는 관리 지점을 구분할 수 있습니다.

클라이언트는 다음 두 가지 메커니즘을 사용하여 신뢰할 수 있는 루트 키의 공개 복사본을 자동으로 가져옵니다.

  • Configuration Manager에 대한 Active Directory 스키마를 확장하고 사이트를 Active Directory Domain Services에 게시합니다. 그런 다음 클라이언트는 글로벌 카탈로그 서버에서 이 사이트 정보를 검색합니다. 자세한 내용은 사이트 게시를 위한 Active Directory 준비를 참조하세요.

  • 클라이언트 푸시 설치 방법을 사용하여 클라이언트를 설치하는 경우 자세한 내용은 클라이언트 푸시 설치를 참조하세요.

클라이언트는 이러한 메커니즘 중 하나를 사용하여 신뢰할 수 있는 루트 키를 가져올 수 없는 경우 통신하는 첫 번째 관리 지점에서 제공하는 신뢰할 수 있는 루트 키를 신뢰합니다. 이 시나리오에서는 클라이언트가 불량 관리 지점에서 정책을 수신하는 공격자의 관리 지점으로 잘못 전달될 수 있습니다. 이 작업을 수행하려면 정교한 공격자가 필요합니다. 이 공격은 클라이언트가 유효한 관리 지점에서 신뢰할 수 있는 루트 키를 검색하기 전에 짧은 시간으로 제한됩니다. 공격자가 클라이언트를 잘못된 관리 지점으로 잘못 전송하는 위험을 줄이려면 신뢰할 수 있는 루트 키를 사용하여 클라이언트를 미리 프로비전합니다.

신뢰할 수 있는 루트 키를 관리하는 자세한 내용 및 절차는 보안 구성을 참조하세요.

서명 및 암호화

모든 클라이언트 통신에 PKI 인증서를 사용하는 경우 클라이언트 데이터 통신을 보호하기 위해 서명 및 암호화를 계획할 필요가 없습니다. HTTP 클라이언트 연결을 허용하도록 IIS를 실행하는 사이트 시스템을 설정하는 경우 사이트에 대한 클라이언트 통신을 보호하는 방법을 결정합니다.

중요

Configuration Manager 버전 2103부터 HTTP 클라이언트 통신을 허용하는 사이트는 더 이상 사용되지 않습니다. HTTPS 또는 고급 HTTP에 대한 사이트를 구성합니다. 자세한 내용은 HTTPS 전용 또는 향상된 HTTP에 사이트 사용을 참조하세요.

클라이언트가 관리 지점에 보내는 데이터를 보호하려면 클라이언트가 데이터에 서명하도록 요구할 수 있습니다. 서명에 SHA-256 알고리즘을 요구할 수도 있습니다. 이 구성은 더 안전하지만 모든 클라이언트가 지원하지 않는 한 SHA-256이 필요하지 않습니다. 대부분의 운영 체제는 기본적으로 이 알고리즘을 지원하지만 이전 운영 체제에는 업데이트 또는 핫픽스가 필요할 수 있습니다.

서명은 데이터가 변조되지 않도록 보호하는 데 도움이 되지만 암호화는 정보 공개로부터 데이터를 보호하는 데 도움이 됩니다. 클라이언트가 사이트의 관리 지점으로 보내는 인벤토리 데이터 및 상태 메시지에 대한 암호화를 사용하도록 설정할 수 있습니다. 이 옵션을 지원하기 위해 클라이언트에 업데이트를 설치할 필요가 없습니다. 클라이언트 및 관리 지점에는 암호화 및 암호 해독을 위해 더 많은 CPU 사용량이 필요합니다.

참고

데이터를 암호화하기 위해 클라이언트는 관리 지점 암호화 인증서의 공개 키를 사용합니다. 관리 지점에만 해당 프라이빗 키가 있으므로 데이터 암호만 해독할 수 있습니다.

클라이언트는 이 인증서를 사이트의 신뢰할 수 있는 루트 키로 부트스트랩하는 관리 지점의 서명 인증서로 부트스트랩합니다. 클라이언트에서 신뢰할 수 있는 루트 키를 안전하게 프로비전해야 합니다. 자세한 내용은 신뢰할 수 있는 루트 키를 참조하세요.

서명 및 암호화 설정을 구성하는 방법에 대한 자세한 내용은 서명 및 암호화 구성을 참조하세요.

서명 및 암호화에 사용되는 암호화 알고리즘에 대한 자세한 내용은 암호화 컨트롤 기술 참조를 참조하세요.

역할 기반 관리

Configuration Manager를 사용하면 역할 기반 관리를 사용하여 관리 사용자가 Configuration Manager를 사용하는 데 필요한 액세스를 보호합니다. 또한 컬렉션, 배포 및 사이트와 같이 관리하는 개체에 대한 액세스를 보호합니다.

보안 역할, 보안 범위 및 컬렉션을 조합하여 조직의 요구 사항을 충족하는 관리 할당을 분리합니다. 함께 사용하면 사용자의 관리 범위를 정의합니다. 이 관리 범위는 관리 사용자가 Configuration Manager 콘솔에서 보는 개체를 제어하고 해당 개체에 대한 사용자의 권한을 제어합니다.

자세한 내용은 역할 기반 관리의 기본 사항을 참조하세요.

Microsoft Entra ID

Configuration Manager는 Microsoft Entra ID와 통합되어 사이트 및 클라이언트가 최신 인증을 사용할 수 있도록 합니다.

Microsoft Entra ID에 대한 자세한 내용은 Microsoft Entra 설명서를 참조하세요.

Microsoft Entra ID를 사용하여 사이트를 온보딩하면 다음 Configuration Manager 시나리오가 지원됩니다.

클라이언트 시나리오

서버 시나리오

SMS 공급자 인증

관리자가 Configuration Manager 사이트에 액세스할 수 있도록 최소 인증 수준을 지정할 수 있습니다. 이 기능을 사용하면 관리자가 Configuration Manager에 액세스하기 전에 필요한 수준으로 Windows에 로그인할 수 있습니다. SMS 공급자에 액세스하는 모든 구성 요소에 적용됩니다. 예를 들어 Configuration Manager 콘솔, SDK 메서드 및 Windows PowerShell cmdlet이 있습니다.

Configuration Manager는 다음 인증 수준을 지원합니다.

  • Windows 인증: Active Directory 도메인 자격 증명을 사용하여 인증이 필요합니다. 이 설정은 이전 동작과 현재 기본 설정입니다.

  • 인증서 인증: 신뢰할 수 있는 PKI 인증 기관에서 발급한 유효한 인증서를 사용하여 인증을 요구합니다. Configuration Manager에서는 이 인증서를 구성하지 않습니다. Configuration Manager를 사용하려면 관리자가 PKI를 사용하여 Windows에 로그인해야 합니다.

  • 비즈니스용 Windows Hello 인증: 디바이스에 연결되고 생체 인식 또는 PIN을 사용하는 강력한 2단계 인증으로 인증이 필요합니다. 자세한 내용은 비즈니스용 Windows Hello를 참조하세요.

    중요

    이 설정을 선택하면 SMS 공급자 및 관리 서비스에서 비즈니스용 Windows Hello의 MFA(다단계 인증) 클레임을 포함하도록 사용자의 인증 토큰이 필요합니다. 즉, 콘솔, SDK, PowerShell 또는 관리 서비스의 사용자는 비즈니스용 Windows Hello PIN 또는 생체 인식으로 Windows에 인증해야 합니다. 그렇지 않으면 사이트에서 사용자의 작업을 거부합니다.

    이 동작은 Windows Hello가 아닌 비즈니스용 Windows Hello용입니다.

이 설정을 구성하는 방법에 대한 자세한 내용은 SMS 공급자 인증 구성을 참조하세요.

다음 단계