MED-V 작업의 보안 모범 사례
권한 있는 관리자는 MED-V 작업 영역을 배포하는 동안과 후에 사용자의 정보를 보호하고 조직의 보안을 유지할 책임이 있습니다. 특히 다음과 같은 문제를 고려합니다.
MED-V 작업 영역에서 Internet Explorer 사용자 지정 이전 버전의 Windows 운영 체제 및 Internet Explorer는 현재 버전만큼 안전하지 않습니다. 따라서 MED-V 작업 영역의 Internet Explorer는 검색 및 보안 위험을 초래할 수 있는 기타 활동을 방지하도록 구성됩니다. 또한 MED-V 작업 영역의 Internet Explorer에 대한 인터넷 보안 영역 설정이 최고 수준으로 설정됩니다. 기본적으로 이러한 구성은 MED-V 작업 영역 패키지를 만들 때 MED-V 작업 영역 패키지에서 설정됩니다.
IEAK(Internet Explorer 관리 키트)를 사용하거나 MED-V 작업 영역 패키지의 기본값을 변경하여 MED-V 작업 영역에서 Internet Explorer를 사용자 지정할 수 있습니다. 그러나 MED-V 작업 영역에서 Internet Explorer를 덜 안전하게 만드는 방식으로 사용자 지정하는 경우 이전 버전의 Internet Explorer에 있는 보안 위험에 조직을 노출할 수 있습니다.
보안 관점에서 MED-V 작업 영역에서 Internet Explorer를 관리하는 모범 사례는 다음과 같습니다.
MED-V 작업 영역 패키지를 만들 때 MED-V 작업 영역의 Internet Explorer가 검색 및 보안 위험을 초래할 수 있는 기타 활동을 방지하도록 구성되도록 기본값을 설정해 둡니다.
MED-V 작업 영역 패키지를 만들 때 인터넷 보안 영역에 대한 보안 설정이 가장 높은 수준으로 유지되도록 기본값을 설정한 상태로 둡니다.
회사의 인트라넷 외부에 있는 도메인을 차단하도록 엔터프라이즈 프록시 또는 Internet Explorer 콘텐츠 관리자를 구성합니다.
공유 컴퓨터의 모든 사용자에 대해 MED-V 작업 영역 구성 공유 컴퓨터의 모든 사용자가 액세스할 수 있도록 MED-V 작업 영역을 구성할 때 게스트 VHD(가상 머신)가 해당 시스템의 모든 사용자에게 읽기 및 쓰기 액세스 권한을 제공하는 위치에 배치된다는 것을 알 수 있습니다.
도메인 가입을 위한 프록시 계정 구성 가상 머신을 도메인에 가입하기 위해 프록시 계정을 구성할 때 최종 사용자가 프록시 계정 자격 증명을 얻을 수 있음을 알고 있어야 합니다. 따라서 최종 사용자가 자격 증명을 사용하여 피해를 입히지 않도록 계정 사용자 권한 제한과 같은 필요한 예방 조치를 취해야 합니다.
Sysprep 구성. Sysprep.inf 파일은 기본적으로 암호화되지만 가상 머신에 성공적으로 로그온할 수 있는 최종 사용자가 해당 콘텐츠를 해독하고 읽을 수 있습니다. 이로 인해 Sysprep.inf 파일에 Windows 제품 키 외에 자격 증명이 포함될 수 있으므로 보안 문제가 발생합니다.
도메인에 가상 머신을 조인하기 위한 제한된 계정을 설정하고 Sysprep을 구성할 때 해당 계정에 대한 자격 증명을 지정하여 이 위험을 줄일 수 있습니다. 또는 Sysprep 및 처음 설치를 구성하여 참가 모드에서 실행되도록 하고 최종 사용자가 가상 머신을 도메인에 가입하기 위한 자격 증명을 제공하도록 요구할 수도 있습니다.
MED-V 모범 사례는 최종 사용자에게 RDC(원격 데스크톱 연결) 클라이언트를 통해 게스트에 연결할 수 있는 권한을 부여하는 계정으로 FtsCompletion.exe 실행되도록 지정하는 것입니다.
최종 사용자 인증. 최종 사용자 자격 증명의 캐싱을 사용하도록 설정하면 MED-V의 최상의 사용자 환경을 제공하지만 최종 사용자의 자격 증명에 액세스할 수 있는 가능성을 만듭니다. 이 위험을 줄이는 유일한 방법은 최종 사용자 자격 증명이 저장되지 않도록 MED-V 작업 영역 패키지에 지정하는 것입니다. 최종 사용자의 인증에 대한 자세한 내용은 MED-V 최종 사용자 인증을 참조하세요.
관련 항목
Microsoft Enterprise Desktop Virtualization 2.0