다음을 통해 공유

UE-V 1.0 보안 고려 사항

  • 아티클

업데이트 날짜: 2013년 4월

적용 대상: User Experience Virtualization 1.0

이 항목에서는 Microsoft User Experience Virtualization (UE-V)에 대한 계정 및 그룹, 로그 파일, 기타 보안 관련 고려 사항을 간략하게 설명합니다. 더 자세한 내용은 여기에 제공되는 링크를 참조하십시오.

UE-V 구성에 대한 보안 고려 사항

설정 저장소 공유를 만드는 경우 액세스가 필요한 사용자로만 공유 액세스를 제한해야 합니다.

설정 패키지에는 개인 정보가 포함될 수 있기 때문에 가급적 해당 정보를 보호하는 데 주의를 기울여야 합니다. 일반적으로 다음과 같이 해야 합니다.

  • 액세스해야 하는 사용자로만 공유를 제한합니다. 특정 공유의 폴더를 리디렉션하는 사용자 보안 그룹을 만들고 해당 사용자로만 액세스를 제한합니다.

  • 공유를 만드는 경우 공유 이름 다음에 $를 입력하여 공유를 숨깁니다. 그러면 공유가 일반 브라우저에서 숨겨지고 내 네트워크 환경에 표시되지 않습니다.

  • 사용자에게 필요한 최소한의 사용 권한만 부여합니다. 필요한 사용 권한은 아래 표에 정리되어 있습니다.

    1. 설정 저장소 위치 폴더에 다음 공유 수준(SMB)의 사용 권한을 설정합니다.

      사용자 계정 권장 사용 권한

      Everyone

      사용 권한 없음

      UE-V의 보안 그룹

      모든 권한

    2. 설정 저장소 위치 폴더에 다음 NTFS 사용 권한을 설정합니다.

      사용자 계정 권장 사용 권한 폴더

      Creator/Owner

      사용 권한 없음

      사용 권한 없음

      Domain Admins

      모든 권한

      이 폴더, 하위 폴더 및 파일

      UE-V 사용자의 보안 그룹

      폴더 보기/데이터 읽기, 폴더 만들기/데이터 추가

      이 폴더만

      Everyone

      모든 사용 권한 제거

      사용 권한 없음

    3. 설정 템플릿 카탈로그 폴더에 다음 공유 수준(SMB)의 사용 권한을 설정합니다.

      사용자 계정 권장 사용 권한

      Everyone

      사용 권한 없음

      Domain Computers

      읽기 권한 수준

      Administrators

      읽기/쓰기 권한 수준

    4. 설정 템플릿 카탈로그 폴더에 다음 NTFS 사용 권한을 설정합니다.

      사용자 계정 권장 사용 권한 적용 대상

      Creator/Owner

      모든 권한

      이 폴더, 하위 폴더 및 파일

      Domain Computers

      폴더 내용 보기 및 읽기

      이 폴더, 하위 폴더 및 파일

      Everyone

      사용 권한 없음

      사용 권한 없음

      Administrators

      모든 권한

      이 폴더, 하위 폴더 및 파일

Windows Server 2003 이상의 서버를 사용하여 리디렉션된 파일 공유 호스팅

사용자 설정 패키지 파일에 포함된 개인 정보는 설정 패키지를 저장하는 서버와 클라이언트 컴퓨터 간에 전송될 수 있습니다. 이러한 이유로 데이터가 네트워크를 통해 이동하는 동안 보호되어야 합니다.

사용자 설정 데이터는 다양한 위협에 취약합니다. 예를 들어 네트워크를 통해 전송되는 데이터 가로채기, 네트워크를 통해 전송되는 데이터 변조, 데이터를 호스팅하는 서버 스푸핑 등의 위협에 취약합니다.

Windows Server 2003 이상에서 제공하는 다음 기능은 사용자 데이터를 보호하는 데 유용합니다.

  • Kerberos - Kerberos는 모든 버전의 Windows 2000 및 Windows Server 2003 이상에서의 표준 데이터 보호 방식입니다. Kerberos를 사용하면 네트워크 리소스에 대해 높은 수준의 보안을 적용할 수 있습니다. NTLM은 클라이언트만 인증하지만 Kerberos는 서버와 클라이언트를 인증합니다. NTLM이 사용되는 경우 클라이언트는 서버가 유효한지 여부를 인식할 수 없습니다. 이는 로밍 프로필을 사용하는 경우처럼 클라이언트가 서버와 개인 파일을 교환하는 경우에 특히 중요합니다. Kerberos는 NTLM보다 더 나은 보안을 제공합니다. Kerberos는 Windows NT 버전 4.0 이하의 운영 체제에서는 지원되지 않습니다.

  • IPsec - IPsec(인터넷 프로토콜 보안)은 네트워크 수준의 인증, 데이터 무결성, 암호화 등을 제공합니다. IPsec을 사용하면 다음이 보장됩니다.

    • 이동 중인 로밍 데이터가 수정되지 않도록 안전하게 보호됩니다.

    • 가로채기, 보기, 복사 등이 수행되지 않도록 로밍 데이터가 안전하게 보호됩니다.

    • 로밍 데이터가 무단 사용자로부터 액세스되지 않도록 안전하게 보호됩니다.

  • SMB 서명 - SMB(서버 메시지 블록) 인증 프로토콜은 활성 메시지 및 "man-in-the-middle" 공격을 방지하는 메시지 인증을 지원합니다. SMB 서명은 각 SMB에 디지털 서명을 제공하여 이러한 인증을 구현합니다. 그런 다음 디지털 서명은 클라이언트와 서버 모두에서 확인됩니다. SMB 서명을 사용하려면 먼저 SMB 서명을 사용하도록 설정하거나 SMB 클라이언트 및 SMB 서버 모두에 설치해야 합니다. SMB 서명을 사용하는 경우 성능이 저하될 수 있습니다. SMB 서명은 네트워크 대역폭을 추가로 소모하지는 않지만 클라이언트 및 서버 측의 CPU 리소스를 더 사용합니다.

사용자 데이터가 저장된 볼륨에는 항상 NTFS 파일 시스템을 사용해야 함

가장 안전한 구성을 위해 UE-V 설정 파일을 호스팅하는 서버에서 NTFS 파일 시스템이 사용되도록 구성해야 합니다. FAT와 달리, NTFS는 DACL(임의 액세스 제어 목록)과 SACL(시스템 액세스 제어 목록)을 지원합니다. DACL 및 SACL은 파일에 대해 작업을 수행할 수 있는 사용자를 제어하고 파일에 대해 이벤트 로깅 작업을 트리거하는 이벤트를 제어할 수 있습니다.

네트워크를 통해 전송하는 사용자 파일의 암호화를 위해 EFS에만 의존해서는 안 됨

EFS(파일 시스템 암호화)를 사용하여 원격 서버의 파일을 암호화하는 경우 암호화된 데이터는 네트워크를 통해 전송되는 동안 암호화되지 않습니다. 디스크에 저장되어 있는 경우에만 암호화됩니다.

시스템에 IPsec(인터넷 프로토콜 보안) 또는 WebDAV(웹 분산 제작 및 버전 관리)가 포함되는 경우는 예외입니다. IPsec는 TCP/IP 네트워크를 통해 전송되는 동안 데이터를 암호화합니다. 서버의 WebDAV 폴더로 복사 또는 이동하기 전에 파일이 암호화되면 전송 중인 동안 그리고 서버에 저장되어 있는 동안 암호화된 상태를 유지합니다.

오프라인 파일 캐시 암호화

기본적으로, 오프라인 파일 캐시는 ACL을 통해 NTFS 파티션에서 보호되지만 캐시 암호화를 통해 로컬 컴퓨터에서 보안을 한층 더 강화합니다. 기본적으로, 로컬 컴퓨터의 캐시는 암호화되지 않으므로 네트워크에서 캐시된 암호화된 파일은 로컬 컴퓨터에서 암호화되지 않습니다. 따라서 일부 환경에서는 보안 위험에 노출될 수 있습니다.

암호화를 사용하도록 설정한 경우 오프라인 파일 캐시의 모든 파일이 암호화됩니다. 기존 파일뿐 아니라 나중에 추가되는 파일도 암호화됩니다. 로컬 컴퓨터에서 캐시된 복사본은 적용을 받지만 관련 네트워크 복사본은 적용받지 않습니다.

캐시는 다음 두 방법 중 하나로 암호화될 수 있습니다.

  1. 그룹 정책을 통해 - "컴퓨터 구성\관리 템플릿\네트워크\오프라인 파일"에 위치한 오프라인 파일 캐시를 암호화 설정을 그룹 정책 편집기에서 사용하도록 설정합니다.

  2. 수동 - Windows 탐색기의 명령 메뉴에서 "도구 > 폴더 옵션"을 선택합니다. 오프라인 파일 탭을 선택한 다음 데이터 보호를 위해 오프라인 파일을 암호화 확인란을 선택합니다.

UE-V Agent가 각 사용자용 폴더를 자동으로 만들도록 구성

UE-V가 최적으로 작동하려면 서버에 루트 공유만 만들고 UE-V Agent가 각 사용자용 폴더를 만들도록 해야 합니다. UE-V는 적합한 보안 설정으로 이러한 사용자 폴더를 만듭니다.

이러한 사용 권한 구성을 통해 사용자는 설정 저장소에 대한 폴더를 만들 수 있습니다. UE-V Agent는 로그온한 사용자 환경이 실행되는 동안 settingspackage 폴더를 만들어 보안을 적용합니다. 사용자는 해당 settingspackage 폴더에 대해 모든 권한을 부여받지만 다른 사용자는 이 폴더의 액세스 권한을 상속하지 않습니다. 개별 사용자 디렉터리를 만들어 보안을 적용할 필요가 없습니다. 이러한 작업은 로그온한 사용자를 기반으로 Agent에 의해 자동으로 수행됩니다.

참고

Windows Server를 설정 저장소 공유에 사용하는 경우 추가 보안을 구성할 수 있습니다. UE-V를 구성하여 설정 패키지가 저장된 폴더의 소유자가 로컬 관리자 그룹 또는 현재 사용자인지 확인하도록 할 수 있습니다. 추가 보안을 사용하려면 다음 명령을 사용합니다.

  1. "RepositoryOwnerCheckEnabled"라는 이름의 REG_DWORD 레지스트리 키를 HKEY_LOCAL_MACHINE\Software\Microsoft\UEV\Agent\Configuration에 추가합니다.

  2. 레지스트리 키 값을 1로 설정합니다.

이 구성 설정이 완료되면 UE-V Agent는 settingspackage 폴더의 소유자가 로컬 관리자 그룹 또는 현재 사용자인지 확인합니다. 아닌 경우 UE-V Agent는 폴더에 대한 액세스를 허용하지 않습니다.

사용자용 폴더를 만들어야 하는 경우 올바른 사용 권한 집합을 적용해야 합니다.

가장 좋은 방법은 폴더를 미리 만들지 말고 UE-V Agent가 사용자용 폴더를 자동으로 만들도록 허용하는 것입니다.

사용자 홈 디렉터리에 UE-V 설정을 저장하는 경우 올바른 사용 권한이 설정되었는지 확인해야 함

UE-V 설정을 사용자 홈 디렉터리에 리디렉션하는 경우 사용자 홈 디렉터리의 사용 권한이 조직에 적합하게 설정되었는지 확인해야 합니다.

참고 항목

기타 리소스

UE-V 1.0에 대 한 개인 정보 및 보안

-----
TechNet Library에서 MDOP에 대해 자세히 알아보거나, TechNet Wiki에서 문제 해결 방법을 검색하거나, Facebook 또는 Twitter에서 팔로우할 수 있습니다.
-----