다음을 통해 공유

Configuration Manager OS 배포에 대한 보안 및 개인 정보

  • 아티클

적용 대상: Configuration Manager(현재 분기)

이 문서에는 Configuration Manager OS 배포 기능에 대한 보안 및 개인 정보 정보가 포함되어 있습니다.

OS 배포에 대한 보안 모범 사례

Configuration Manager 사용하여 운영 체제를 배포하는 경우 다음 보안 모범 사례를 사용합니다.

부팅 가능한 미디어를 보호하기 위한 액세스 제어 구현

부팅 가능한 미디어를 만들 때는 항상 미디어를 보호하는 데 도움이 되는 암호를 할당합니다. 암호를 사용하더라도 중요한 정보가 포함된 파일만 암호화하고 모든 파일을 덮어쓸 수 있습니다.

공격자가 암호화 공격을 사용하여 클라이언트 인증 인증서를 얻지 못하도록 미디어에 대한 물리적 액세스를 제어합니다.

클라이언트가 변조된 콘텐츠 또는 클라이언트 정책을 설치하지 못하도록 하려면 콘텐츠가 해시되고 원래 정책과 함께 사용해야 합니다. 콘텐츠 해시가 실패하거나 콘텐츠가 정책과 일치하는지 확인하는 경우 클라이언트는 부팅 가능한 미디어를 사용하지 않습니다. 콘텐츠만 해시됩니다. 정책은 해시되지 않지만 암호를 지정할 때 암호화되고 보호됩니다. 이 동작으로 인해 공격자가 정책을 성공적으로 수정하기가 더 어려워집니다.

OS 이미지용 미디어를 만들 때 보안 위치 사용

권한이 없는 사용자가 해당 위치에 액세스할 수 있는 경우 사용자가 만든 파일을 변조할 수 있습니다. 또한 미디어 만들기가 실패할 수 있도록 사용 가능한 모든 디스크 공간을 사용할 수도 있습니다.

인증서 파일 보호

강력한 암호로 인증서 파일(.pfx)을 보호합니다. 네트워크에 저장하는 경우 Configuration Manager 가져올 때 네트워크 채널을 보호합니다.

부팅 가능한 미디어에 사용하는 클라이언트 인증 인증서를 가져오기 위해 암호가 필요한 경우 이 구성은 공격자로부터 인증서를 보호하는 데 도움이 됩니다.

공격자가 인증서 파일을 변조하지 못하도록 네트워크 위치와 사이트 서버 간에 SMB 서명 또는 IPsec을 사용합니다.

손상된 인증서 차단 또는 해지

클라이언트 인증서가 손상된 경우 인증서가 Configuration Manager 차단합니다. PKI 인증서인 경우 해지합니다.

부팅 가능한 미디어 및 PXE 부팅을 사용하여 OS를 배포하려면 프라이빗 키가 있는 클라이언트 인증 인증서가 있어야 합니다. 해당 인증서가 손상된 경우 관리 작업 영역 보안 노드의 인증서 노드에서 인증서를 차단합니다.

사이트 서버와 SMS 공급자 간의 통신 채널 보호

SMS 공급자가 사이트 서버에서 원격인 경우 통신 채널을 보호하여 부팅 이미지를 보호합니다.

부팅 이미지를 수정하고 SMS 공급자가 사이트 서버가 아닌 서버에서 실행되는 경우 부팅 이미지는 공격에 취약합니다. SMB 서명 또는 IPsec을 사용하여 이러한 컴퓨터 간의 네트워크 채널을 보호합니다.

보안 네트워크 세그먼트에서만 PXE 클라이언트 통신에 배포 지점 사용

클라이언트가 PXE 부팅 요청을 보낼 때 요청이 유효한 PXE 사용 배포 지점에서 서비스되는지 확인할 방법이 없습니다. 이 시나리오에는 다음과 같은 보안 위험이 있습니다.

  • PXE 요청에 응답하는 불량 배포 지점은 클라이언트에 변조된 이미지를 제공할 수 있습니다.

  • 공격자는 PXE에서 사용하는 TFTP 프로토콜에 대한 중간자 공격을 시작할 수 있습니다. 이 공격은 OS 파일을 사용하여 악성 코드를 보낼 수 있습니다. 공격자는 배포 지점에 직접 TFTP 요청을 만드는 불량 클라이언트를 만들 수도 있습니다.

  • 공격자는 악의적인 클라이언트를 사용하여 배포 지점에 대한 서비스 거부 공격을 시작할 수 있습니다.

심층 방어를 사용하여 클라이언트가 PXE 지원 배포 지점에 액세스하는 네트워크 세그먼트를 보호합니다.

경고

이러한 보안 위험으로 인해 경계 네트워크와 같이 신뢰할 수 없는 네트워크에 있는 경우 PXE 통신에 배포 지점을 사용하도록 설정하지 마세요.

지정된 네트워크 인터페이스에서만 PXE 요청에 응답하도록 PXE 사용 배포 지점 구성

배포 지점이 모든 네트워크 인터페이스의 PXE 요청에 응답하도록 허용하는 경우 이 구성은 PXE 서비스를 신뢰할 수 없는 네트워크에 노출할 수 있습니다.

PXE 부팅에 대한 암호 필요

PXE 부팅에 대한 암호가 필요한 경우 이 구성은 PXE 부팅 프로세스에 추가 수준의 보안을 추가합니다. 이 구성은 Configuration Manager 계층 구조에 가입하는 불량 클라이언트를 보호하는 데 도움이 됩니다.

PXE 부팅 또는 멀티캐스트에 사용되는 OS 이미지의 콘텐츠 제한

PXE 부팅 또는 멀티캐스트에 사용하는 이미지에 중요한 데이터가 포함된 LOB(기간 업무) 애플리케이션 또는 소프트웨어를 포함하지 마세요.

PXE 부팅 및 멀티캐스트와 관련된 내재된 보안 위험 때문에 불량 컴퓨터가 OS 이미지를 다운로드하는 경우 위험을 줄입니다.

작업 순서 변수에 의해 설치된 콘텐츠 제한

작업 순서 변수를 사용하여 설치하는 애플리케이션 패키지에 중요한 데이터가 포함된 LOB(기간 업무) 애플리케이션 또는 소프트웨어를 포함하지 마세요.

작업 순서 변수를 사용하여 소프트웨어를 배포하는 경우 컴퓨터 및 해당 소프트웨어를 받을 권한이 없는 사용자에게 설치될 수 있습니다.

사용자 상태를 마이그레이션할 때 네트워크 채널 보호

사용자 상태를 마이그레이션하는 경우 SMB 서명 또는 IPsec을 사용하여 클라이언트와 상태 마이그레이션 지점 간의 네트워크 채널을 보호합니다.

HTTP를 통한 초기 연결 후에는 SMB를 사용하여 사용자 상태 마이그레이션 데이터가 전송됩니다. 네트워크 채널을 보호하지 않으면 공격자가 이 데이터를 읽고 수정할 수 있습니다.

최신 버전의 USMT 사용

Configuration Manager 지원하는 최신 버전의 USMT(사용자 상태 마이그레이션 도구)를 사용합니다.

최신 버전의 USMT는 사용자 상태 데이터를 마이그레이션하는 경우에 대한 보안 향상 및 더 큰 제어 기능을 제공합니다.

상태 마이그레이션 지점에서 폴더를 해제할 때 수동으로 폴더 삭제

상태 마이그레이션 지점 속성의 Configuration Manager 콘솔에서 상태 마이그레이션 지점 폴더를 제거하면 사이트에서 실제 폴더를 삭제하지 않습니다. 정보 공개로부터 사용자 상태 마이그레이션 데이터를 보호하려면 네트워크 공유를 수동으로 제거하고 폴더를 삭제합니다.

사용자 상태를 즉시 삭제하도록 삭제 정책을 구성하지 마세요.

삭제로 표시된 데이터를 즉시 제거하도록 상태 마이그레이션 지점에서 삭제 정책을 구성하고 공격자가 유효한 컴퓨터가 실행되기 전에 사용자 상태 데이터를 검색하도록 관리하는 경우 사이트는 즉시 사용자 상태 데이터를 삭제합니다. 사용자 상태 데이터의 성공적인 복원을 확인할 수 있을 만큼 간격 후 삭제 를 충분히 길게 설정합니다.

컴퓨터 연결을 수동으로 삭제

사용자 상태 마이그레이션 데이터 복원이 완료되고 확인되면 컴퓨터 연결을 수동으로 삭제합니다.

Configuration Manager 컴퓨터 연결을 자동으로 제거하지 않습니다. 더 이상 필요하지 않은 컴퓨터 연결을 수동으로 삭제하여 사용자 상태 데이터의 ID를 보호하는 데 도움이 됩니다.

상태 마이그레이션 지점에서 사용자 상태 마이그레이션 데이터를 수동으로 백업

Configuration Manager Backup에는 사이트 백업에 사용자 상태 마이그레이션 데이터가 포함되지 않습니다.

사전 준비된 미디어를 보호하기 위한 액세스 제어 구현

공격자가 암호화 공격을 사용하여 클라이언트 인증 인증서 및 중요한 데이터를 가져오지 못하도록 미디어에 대한 물리적 액세스를 제어합니다.

참조 컴퓨터 이미징 프로세스를 보호하기 위한 액세스 제어 구현

OS 이미지를 캡처하는 데 사용하는 참조 컴퓨터가 안전한 환경에 있는지 확인합니다. 예기치 않은 소프트웨어나 악성 소프트웨어를 설치하고 실수로 캡처된 이미지에 포함할 수 없도록 적절한 액세스 제어를 사용합니다. 이미지를 캡처할 때 대상 네트워크 위치가 안전한지 확인합니다. 이 프로세스는 이미지를 캡처한 후 변조할 수 없도록 하는 데 도움이 됩니다.

항상 참조 컴퓨터에 최신 보안 업데이트 설치

참조 컴퓨터에 현재 보안 업데이트가 있는 경우 새 컴퓨터가 처음 시작될 때 취약성 창을 줄이는 데 도움이 됩니다.

알 수 없는 컴퓨터에 OS를 배포할 때 액세스 제어 구현

알 수 없는 컴퓨터에 OS를 배포해야 하는 경우 권한 없는 컴퓨터가 네트워크에 연결되지 않도록 액세스 제어를 구현합니다.

알 수 없는 컴퓨터를 프로비전하면 요청 시 새 컴퓨터를 배포하는 편리한 방법을 제공합니다. 그러나 공격자가 네트워크에서 신뢰할 수 있는 클라이언트가 되도록 할 수도 있습니다. 네트워크에 대한 물리적 액세스를 제한하고 클라이언트를 모니터링하여 권한이 없는 컴퓨터를 검색합니다.

PXE 시작 OS 배포에 응답하는 컴퓨터는 프로세스 중에 모든 데이터가 제거될 수 있습니다. 이 동작으로 인해 실수로 다시 포맷된 시스템의 가용성이 손실될 수 있습니다.

멀티캐스트 패키지에 암호화 사용

모든 OS 배포 패키지에 대해 멀티캐스트를 사용하여 Configuration Manager 패키지를 전송할 때 암호화를 사용하도록 설정할 수 있습니다. 이 구성은 불량 컴퓨터가 멀티캐스트 세션에 참가하는 것을 방지하는 데 도움이 됩니다. 또한 공격자가 전송을 변조하지 못하도록 방지할 수 있습니다.

권한이 없는 멀티캐스트 사용 배포 지점 모니터링

공격자가 네트워크에 액세스할 수 있는 경우 OS 배포를 스푸핑하도록 불량 멀티캐스트 서버를 구성할 수 있습니다.

작업 순서를 네트워크 위치로 내보낼 때 위치를 보호하고 네트워크 채널을 보호합니다.

네트워크 폴더에 액세스할 수 있는 사용자를 제한합니다.

공격자가 내보낸 작업 순서를 변조하지 못하도록 네트워크 위치와 사이트 서버 간에 SMB 서명 또는 IPsec을 사용합니다.

작업 순서 실행을 계정으로 사용하는 경우 추가 보안 예방 조치를 취합니다.

작업 순서 실행을 계정으로 사용하는 경우 다음 예방 조치를 취합니다.

  • 사용 권한이 가장 적은 계정을 사용합니다.

  • 이 계정에 대한 네트워크 액세스 계정을 사용하지 마세요.

  • 계정을 도메인 관리자로 지정하지 마세요.

  • 이 계정에 대한 로밍 프로필을 구성하지 마세요. 작업 순서가 실행되면 계정에 대한 로밍 프로필을 다운로드합니다. 그러면 프로필이 로컬 컴퓨터에서 액세스하기 취약합니다.

  • 계정 범위를 제한합니다. 예를 들어 각 작업 순서에 대한 계정으로 실행되는 다른 작업 순서를 만듭니다. 하나의 계정이 손상된 경우 해당 계정에 액세스 권한이 있는 클라이언트 컴퓨터만 손상됩니다. 명령줄에 컴퓨터에 대한 관리 액세스 권한이 필요한 경우 작업 순서가 계정으로 실행되도록 로컬 관리자 계정만 만드는 것이 좋습니다. 작업 순서를 실행하는 모든 컴퓨터에서 이 로컬 계정을 만들고 더 이상 필요하지 않은 즉시 계정을 삭제합니다.

OS 배포 관리자 보안 역할이 부여된 관리 사용자 제한 및 모니터링

OS 배포 관리자 보안 역할이 부여된 관리 사용자는 자체 서명된 인증서를 만들 수 있습니다. 그런 다음 이러한 인증서를 사용하여 클라이언트를 가장하고 Configuration Manager 클라이언트 정책을 가져올 수 있습니다.

향상된 HTTP를 사용하여 네트워크 액세스 계정의 필요성 줄이기

버전 1806부터 고급 HTTP를 사용하도록 설정하면 여러 OS 배포 시나리오에서 배포 지점에서 콘텐츠를 다운로드하기 위해 네트워크 액세스 계정이 필요하지 않습니다. 자세한 내용은 작업 순서 및 네트워크 액세스 계정을 참조하세요.

OS 배포에 대한 보안 문제

OS 배포는 네트워크의 컴퓨터에 대해 가장 안전한 운영 체제 및 구성을 배포하는 편리한 방법이 될 수 있지만 다음과 같은 보안 위험이 있습니다.

정보 공개 및 서비스 거부

공격자가 Configuration Manager 인프라를 제어할 수 있는 경우 모든 작업 순서를 실행할 수 있습니다. 이 프로세스에는 모든 클라이언트 컴퓨터의 하드 드라이브 서식 지정이 포함될 수 있습니다. 도메인 및 볼륨 라이선스 키에 가입할 수 있는 권한이 있는 계정과 같은 중요한 정보를 포함하도록 작업 순서를 구성할 수 있습니다.

권한의 가장 및 권한 상승

작업 순서는 컴퓨터를 도메인에 조인할 수 있으며, 인증된 네트워크 액세스 권한이 있는 불량 컴퓨터를 제공할 수 있습니다.

부팅 가능한 작업 순서 미디어 및 PXE 부팅 배포에 사용되는 클라이언트 인증 인증서를 보호합니다. 클라이언트 인증 인증서를 캡처하면 이 프로세스를 통해 공격자는 인증서에서 프라이빗 키를 얻을 수 있습니다. 이 인증서를 사용하면 네트워크에서 유효한 클라이언트를 가장할 수 있습니다. 이 시나리오에서 불량 컴퓨터는 중요한 데이터를 포함할 수 있는 정책을 다운로드할 수 있습니다.

클라이언트가 네트워크 액세스 계정을 사용하여 상태 마이그레이션 지점에 저장된 데이터에 액세스하는 경우 이러한 클라이언트는 동일한 ID를 효과적으로 공유합니다. 네트워크 액세스 계정을 사용하는 다른 클라이언트에서 상태 마이그레이션 데이터에 액세스할 수 있습니다. 데이터는 암호화되므로 원래 클라이언트만 읽을 수 있지만 데이터가 변조되거나 삭제될 수 있습니다.

상태 마이그레이션 지점에 대한 클라이언트 인증은 관리 지점에서 발급한 Configuration Manager 토큰을 사용하여 이루어집니다.

Configuration Manager 상태 마이그레이션 지점에 저장된 데이터의 양을 제한하거나 관리하지 않습니다. 공격자가 사용 가능한 디스크 공간을 채우고 서비스 거부를 일으킬 수 있습니다.

컬렉션 변수를 사용하는 경우 로컬 관리자는 잠재적으로 중요한 정보를 읽을 수 있습니다.

컬렉션 변수는 운영 체제를 배포하는 유연한 방법을 제공하지만 이 기능을 사용하면 정보가 공개될 수 있습니다.

OS 배포에 대한 개인 정보

OS를 하나도 없는 컴퓨터에 배포하는 것 외에도 Configuration Manager 사용하여 사용자의 파일 및 설정을 한 컴퓨터에서 다른 컴퓨터로 마이그레이션할 수 있습니다. 관리자는 개인 데이터 파일, 구성 설정 및 브라우저 쿠키를 포함하여 전송할 정보를 구성합니다.

Configuration Manager 상태 마이그레이션 지점에 정보를 저장하고 전송 및 저장 중에 암호화합니다. 상태 정보와 연결된 새 컴퓨터만 저장된 정보를 검색할 수 있습니다. 새 컴퓨터에서 정보를 검색하는 키가 손실되면 컴퓨터 연결 인스턴스 개체에서 복구 정보 보기 권한이 있는 Configuration Manager 관리자가 정보에 액세스하여 새 컴퓨터와 연결할 수 있습니다. 새 컴퓨터는 상태 정보를 복원한 후 기본적으로 1일 후에 데이터를 삭제합니다. 상태 마이그레이션 지점에서 삭제로 표시된 데이터를 제거하는 경우를 구성할 수 있습니다. Configuration Manager 사이트 데이터베이스에 상태 마이그레이션 정보를 저장하지 않고 Microsoft 전송하지 않습니다.

부팅 미디어를 사용하여 OS 이미지를 배포하는 경우 항상 기본 옵션을 사용하여 부팅 미디어를 암호로 보호합니다. 암호는 작업 순서에 저장된 변수를 암호화하지만 변수에 저장되지 않은 정보는 공개에 취약할 수 있습니다.

OS 배포는 작업 순서를 사용하여 애플리케이션 및 소프트웨어 업데이트 설치를 포함하여 배포 프로세스 중에 다양한 작업을 수행할 수 있습니다. 작업 순서를 구성할 때 소프트웨어 설치의 개인 정보 관련 영향도 알고 있어야 합니다.

Configuration Manager 기본적으로 OS 배포를 구현하지 않습니다. 사용자 상태 정보를 수집하거나 작업 순서 또는 부팅 이미지를 만들기 전에 몇 가지 구성 단계가 필요합니다.

OS 배포를 구성하기 전에 개인 정보 요구 사항을 고려합니다.

참고 항목

진단 및 사용량 현황 데이터

Configuration Manager를 위한 보안 및 개인 정보 보호