다음을 통해 공유

Configuration Manager 소프트웨어 업데이트에 대한 보안 및 개인 정보

  • 아티클

적용 대상: Configuration Manager(현재 분기)

이 항목에는 Configuration Manager 소프트웨어 업데이트에 대한 보안 및 개인 정보 정보가 포함되어 있습니다.

소프트웨어 업데이트에 대한 보안 모범 사례

클라이언트에 소프트웨어 업데이트를 배포할 때 다음 보안 모범 사례를 사용합니다.

  • 소프트웨어 업데이트 패키지에 대한 기본 권한을 변경하지 마세요.

    기본적으로 소프트웨어 업데이트 패키지는 관리자가 모든 권한을 부여하고 사용자가 읽기 권한을 가질 수 있도록 설정됩니다. 이러한 권한을 변경하면 공격자가 소프트웨어 업데이트를 추가, 제거 또는 삭제할 수 있습니다.

  • 소프트웨어 업데이트의 다운로드 위치에 대한 액세스를 제어합니다.

    SMS 공급자, 사이트 서버 및 실제로 소프트웨어 업데이트를 다운로드 위치에 다운로드할 관리자의 컴퓨터 계정에는 다운로드 위치에 대한 쓰기 액세스 권한이 필요합니다. 다운로드 위치에 대한 액세스를 제한하여 공격자가 다운로드 위치에서 소프트웨어 업데이트 원본 파일을 변조할 위험을 줄입니다.

    또한 다운로드 위치에 UNC 공유를 사용하는 경우 IPsec 또는 SMB 서명을 사용하여 네트워크를 통해 전송될 때 소프트웨어 업데이트 원본 파일의 변조를 방지하여 네트워크 채널을 보호합니다.

  • 배포 시간을 평가하기 위해 UTC를 사용합니다.

    UTC 대신 현지 시간을 사용하는 경우 사용자는 컴퓨터의 표준 시간대를 변경하여 소프트웨어 업데이트 설치를 지연시킬 수 있습니다.

  • WSUS에서 SSL을 사용하도록 설정하고 WSUS(Windows Server Update Services)를 보호하기 위한 모범 사례를 따릅니다.

    Configuration Manager 사용하는 WSUS 버전에 대한 보안 모범 사례를 식별하고 따릅니다.

    SSL을 사용하도록 설정하는 방법에 대한 자세한 내용은 PKI 인증서와 함께 TLS/SSL을 사용하도록 소프트웨어 업데이트 지점 구성 자습서를 참조하세요.

    중요

    WSUS 서버에 대해 SSL 통신을 사용하도록 소프트웨어 업데이트 지점을 구성하는 경우 WSUS 서버에서 SSL에 대한 가상 루트를 구성해야 합니다.

  • CRL 검사를 사용하도록 설정합니다.

    기본적으로 Configuration Manager 컴퓨터에 배포되기 전에 소프트웨어 업데이트에 대한 서명을 확인하기 위해 CRL(인증서 해지 목록)을 검사 않습니다. 인증서를 사용할 때마다 CRL을 확인하면 해지된 인증서 사용에 대한 보안이 강화되지만 연결 지연이 발생하고 CRL 검사 수행하는 컴퓨터에서 추가 처리가 발생합니다.

    소프트웨어 업데이트에 대해 CRL 검사를 사용하도록 설정하는 방법에 대한 자세한 내용은 소프트웨어 업데이트에 대한 CRL 검사를 사용하도록 설정하는 방법을 참조하세요.

  • 사용자 지정 웹 사이트를 사용하도록 WSUS를 구성합니다.

    소프트웨어 업데이트 지점에 WSUS를 설치하는 경우 기존 IIS 기본 웹 사이트를 사용하거나 사용자 지정 WSUS 웹 사이트를 만들 수 있습니다. IIS가 다른 Configuration Manager 사이트 시스템 또는 다른 애플리케이션에서 사용하는 동일한 웹 사이트를 공유하는 대신 전용 가상 웹 사이트에서 WSUS 서비스를 호스트할 수 있도록 WSUS용 사용자 지정 웹 사이트를 만듭니다.

    자세한 내용은 사용자 지정 웹 사이트를 사용하도록 WSUS 구성을 참조하세요.

소프트웨어 업데이트에 대한 개인 정보

소프트웨어 업데이트는 클라이언트 컴퓨터를 검사하여 필요한 소프트웨어 업데이트를 확인한 다음 해당 정보를 사이트 데이터베이스로 다시 보냅니다. 소프트웨어 업데이트 프로세스 중에 Configuration Manager 컴퓨터와 로그온 계정을 식별하는 클라이언트와 서버 간에 정보를 전송할 수 있습니다.

Configuration Manager 소프트웨어 배포 프로세스에 대한 상태 정보를 유지 관리합니다. 상태 정보는 전송 또는 스토리지 중에 암호화되지 않습니다. 상태 정보는 Configuration Manager 데이터베이스에 저장되며 데이터베이스 유지 관리 작업에 의해 삭제됩니다. 상태 정보가 Microsoft로 전송되지 않습니다.

Configuration Manager 소프트웨어 업데이트를 사용하여 클라이언트 컴퓨터에 소프트웨어 업데이트를 설치하는 경우 해당 업데이트에 대한 소프트웨어 사용 약관이 적용될 수 있으며, 이는 Configuration Manager 소프트웨어 사용 조건과는 별개입니다. Configuration Manager 사용하여 소프트웨어 업데이트를 설치하기 전에 항상 소프트웨어 라이선스 조건을 검토하고 동의합니다.

Configuration Manager 기본적으로 소프트웨어 업데이트를 구현하지 않으며 정보를 수집하기 전에 몇 가지 구성 단계가 필요합니다.

소프트웨어 업데이트를 구성하기 전에 개인 정보 요구 사항을 고려합니다.