이 장에서는 관리 템플릿을 사용하여 추가 보안 설정을 구성하고 Microsoft® Windows® XP Professional SP2(서비스 팩 2)에 적용하는 방법을 자세히 설명합니다. 관리 템플릿(.adm) 파일은 여러 서비스, 응용 프로그램 및 운영 체제 구성 요소의 동작을 제어하는 Windows XP 레지스트리 설정을 구성하는 데 사용됩니다.
Windows XP SP2와 함께 제공되는 다섯 개의 관리 템플릿에는 Windows XP Professional 보안 향상을 위해 사용할 수 있는 수백 가지의 추가 설정이 포함되어 있습니다. Microsoft Windows Server™ 2003 관리 템플릿에는 Windows XP에서 작동하지 않는 여러 가지 설정이 있습니다. Windows XP에서 사용할 수 있는 모든 관리 템플릿 설정의 전체 목록을 보려면 이 장 끝에 나오는 "추가 정보"에 나열되어 있는 Microsoft Excel® 통합 문서인 "정책 설정"을 참조하십시오.
다음 표는 .adm 파일과 해당 파일의 영향을 받는 응용 프로그램 및 서비스를 보여 줍니다.
표 4.1 관리 템플릿 파일
파일 이름
운영 체제
Description
System.adm
Windows XP Professional
사용자의 운영 환경을 사용자 지정하기 위한 여러 가지 설정이 포함되어 있습니다.
Inetres.adm
Windows XP Professional
Internet Explorer 6.0의 설정이 포함되어 있습니다.
Conf.adm
Windows XP Professional
Microsoft NetMeeting® 구성을 위한 설정이 포함되어 있습니다.
Wmplayer.adm
Windows XP Professional
Windows Media Player 구성을 위한 설정이 포함되어 있습니다.
Wuau.adm
Windows XP Professional
Windows Update를 구성하는 설정이 포함되어 있습니다.
**참고**: GPO(그룹 정책 개체)의 관리 템플릿 설정을 수동으로 구성하여 사용자 환경의 컴퓨터와 사용자에게 적용해야 합니다.
관리 템플릿의 설정은 다음의 두 주요 그룹으로 구분됩니다.
- **HKEY\_Local\_Machine** 레지스트리 하이브에 저장되는 컴퓨터 구성 설정
- **HKEY\_Current\_User** 레지스트리 하이브에 저장되는 사용자 구성 설정
3장 "Windows XP 클라이언트용 보안 설정"에 나온 것처럼 이 장에 정의된 EC(엔터프라이즈 클라이언트) 및 SSLF(특수 보안 - 기능 제한) 환경에 대한 설정 지침이 제공됩니다.
**참고**: 사용자 설정은 연결된 GPO를 통해 사용자를 포함하는 OU(조직 구성 단위)에 적용됩니다. 이 OU에 대한 자세한 내용은 2장 "Active Directory 도메인 인프라 구성"을 참조하십시오.
일부 설정은 그룹 정책 개체 편집기의 컴퓨터 구성과 사용자 구성에서 모두 사용할 수 있습니다. 그룹 정책을 통해 동일한 컴퓨터 설정이 적용된 컴퓨터에 로그온하는 사용자에게 적용되는 설정인 경우 컴퓨터 구성 설정은 사용자 구성 설정보다 우선합니다.
이 가이드의 이전 버전에는 Office XP에 대한 설정 정보가 포함되어 있습니다. 그러나 Office 2003에서는 이러한 설정이 업데이트되었으며 업데이트된 설정은 Microsoft 웹 사이트에서 다운로드할 수 있습니다. 이 정보에 대한 링크는 이 장 끝에 나오는 "추가 정보" 섹션을 참조하십시오.
이 장에서 Microsoft에서 제공하는 관리 템플릿에서 사용할 수 있는 가능한 설정을 모두 다 설명하고 있지는 않으며 많은 설정은 보안 이외의 영역에도 적용되는 UI(사용자 인터페이스) 설정입니다. 이 가이드에 지정된 설정 구성 중에서 어떠한 구성을 조직에 적용할지 결정할 때는 조직의 보안 목표를 고려해야 합니다.
Windows XP Professional에서 그룹 정책을 통해 적용하려는 추가 설정이 있는 경우 사용자 지정 템플릿을 개발할 수 있습니다. 자체의 관리 템플릿을 개발하는 방법에 대한 자세한 내용은 이 장 끝에 나오는 "추가 정보" 섹션에 포함되어 있는 백서를 참조하십시오.
[](#mainsection)[페이지 위쪽](#mainsection)
### 컴퓨터 구성 설정
다음 섹션에서는 그룹 정책 개체 편집기의 컴퓨터 구성에 지정된 설정에 대해 설명합니다. 이 설정은 다음 위치에서 구성합니다.
**컴퓨터 구성\\관리 템플릿**
이 위치는 다음 그림의 컨텍스트에 표시되어 있습니다.
[.gif)](https://technet.microsoft.com/ko-kr/cc163076.sgfg0401_big_1(ko-kr,technet.10).gif)
**그림 4.1 컴퓨터 구성에 대한 그룹 정책 구조**
이 장의 구조는 그룹 정책의 컨테이너 구조를 기반으로 합니다. 다음 섹션의 표에서는 다양한 컴퓨터 구성 옵션에 대한 설정 권장 사항을 요약해서 보여 줍니다. 이러한 권장 사항은 두 가지 유형의 보안 환경인 EC(엔터프라이즈 클라이언트) 환경과 SSLF(특수 보안 - 기능 제한) 환경의 데스크톱 및 랩톱 클라이언트 컴퓨터에 대한 내용입니다. 각 설정에 대한 자세한 내용은 각 표 다음에 나오는 하위 섹션에 제공됩니다.
사용자 환경에서 컴퓨터 계정을 포함하는 OU에 연결된 GPO를 통해 이 설정을 적용합니다. 랩톱 OU에 연결된 GPO에 랩톱 설정을 포함하고 데스크톱 OU에 연결된 GPO에 데스크톱 설정을 포함합니다.
#### Windows 구성 요소
다음 그림에서는 이 섹션의 설정 변경으로 인해 영향을 받게 될 그룹 정책의 섹션을 보여 줍니다.
[.gif)](https://technet.microsoft.com/ko-kr/cc163076.sgfg0402_big(ko-kr,technet.10).gif)
**그림 4.2 컴퓨터 구성 Windows 구성 요소에 대한 그룹 정책 구조**
##### NetMeeting
Microsoft NetMeeting을 사용하여 조직의 네트워크에서 가상 모임을 열 수 있습니다. 그룹 정책 개체 편집기의 다음 위치에서 지정된 다음 컴퓨터 설정을 구성할 수 있습니다.
**컴퓨터 구성\\관리 템플릿\\Windows 구성 요소\\**
**NetMeeting**
**표 4.2 NetMeeting 권장 설정**
설정
EC 데스크톱
EC 랩톱
SSLF 데스크톱
SSLF 랩톱
바탕 화면 원격 공유 사용 안함
구성되지 않음
구성되지 않음
사용
사용
###### 바탕 화면 원격 공유 사용 안함
이 정책 설정은 NetMeeting의 바탕 화면 원격 공유 기능을 비활성화합니다. 이 정책 설정을 활성화하면 로컬 바탕 화면의 원격 제어를 허용하도록 NetMeeting을 구성할 수 없습니다.
EC 환경에서는 **바탕 화면 원격 공유 사용 안 함** 설정이 **구성되지 않음**이지만 SSLF 환경에서는 NetMeeting을 통해 원격으로 바탕 화면을 공유할 수 없도록 하기 위해 이 설정이 **사용**으로 구성됩니다.
##### Internet Explorer
Microsoft Internet Explorer 그룹 정책을 통해 Windows XP 워크스테이션의 보안 요구 사항을 적용하고 원치 않는 콘텐츠가 Internet Explorer를 통해 교환되지 않도록 할 수 있습니다. 다음 기준을 사용하여 사용자 환경의 워크스테이션에서 Internet Explorer의 보안을 설정합니다.
- 인터넷 요청이 사용자 동작에 대한 직접 응답으로만 발생하도록 합니다.
- 다른 대상으로 정보를 전송하는 특정 사용자 동작이 허용되지 않은 경우 특정 웹 사이트로 보낸 정보가 해당 사이트에만 도달하도록 합니다.
- 각 채널의 서버/사이트 소유자와 함께, 서버/사이트로의 신뢰할 수 있는 채널이 명확하게 식별되도록 합니다.
- Internet Explorer로 실행하는 스크립트나 프로그램이 제한된 환경에서 실행되도록 합니다. 신뢰할 수 있는 채널을 통해 배달된 프로그램은 제한된 환경 외부에서 작동하도록 설정할 수 있습니다.
그룹 정책 개체 편집기의 다음 위치에서 Internet Explorer에 대해 지정된 다음 컴퓨터 설정을 구성할 수 있습니다.
**컴퓨터 구성\\관리 템플릿\\Windows 구성 요소\\Internet Explorer**
다음 표는 다양한 Internet Explorer 설정 권장 사항을 요약해서 보여 줍니다. 표 다음에 나오는 하위 섹션에 각 설정에 대한 추가 정보가 포함되어 있습니다.
**표 4.3 Internet Explorer 권장 설정**
설정
EC 데스크톱
EC 랩톱
SSLF 데스크톱
SSLF 랩톱
Internet Explorer 구성 요소 자동 설치 사용 안 함
사용
사용
사용
사용
Internet Explorer 소프트웨어 업데이트를 정기적으로 확인 안 함
사용
사용
사용
사용
프로그램 시작 시 소프트웨어 업데이트 셸 알림 사용 안 함
사용
사용
사용
사용
사용자가 추가 기능을 사용 또는 사용하지 않도록 허용 안 함
사용
사용
사용
사용
사용자 단위보다는 컴퓨터 단위로 프록시 설정 만들기
사용
사용 안 함
사용
사용 안 함
보안 영역: 사용자가 사이트를 추가/삭제할 수 없음
사용
사용
사용
사용
보안 영역: 사용자가 정책을 변경할 수 없음
사용
사용
사용
사용
보안 영역: 시스템 설정만 사용
사용
사용
사용
사용
크래시 감지 사용 안 함
사용
사용
사용
사용
###### Internet Explorer 구성 요소 자동 설치 사용 안 함
이 정책 설정을 활성화하면 사용자가 구성 요소의 완전한 기능을 필요로 하는 웹 사이트를 탐색할 때 Internet Explorer에서 구성 요소를 다운로드할 수 없습니다. 이 정책 설정을 비활성화하거나 구성하지 않으면 사용자가 해당 구성 요소를 사용하는 웹 사이트를 방문할 때마다 구성 요소를 다운로드하여 설치할지 묻는 메시지가 표시됩니다.
**Internet Explorer 구성 요소 자동 설치 사용 안 함** 설정은 이 장에 나오는 두 환경에서 **사용**으로 구성됩니다.
**참고**: 이 정책 설정을 활성화하기 전에 Microsoft Update 또는 비슷한 서비스를 통해 Internet Explorer를 업데이트하는 대체 전략을 세우는 것이 좋습니다.
###### Internet Explorer 소프트웨어 업데이트를 정기적으로 확인 안 함
이 정책 설정을 활성화하면 Internet Explorer는 최신 브라우저 버전을 사용할 수 있는지를 확인한 후 사용 가능한 경우 그 사실을 사용자에게 알릴 수 없습니다. 이 정책 설정을 비활성화하거나 구성하지 않으면 Internet Explorer는 30일(기본 설정)일마다 업데이트가 있는지 확인한 후 새 버전을 사용할 수 있을 때 사용자에게 알립니다.
**Internet Explorer 소프트웨어 업데이트를 정기적으로 확인 안 함** 설정은 이 장에 나오는 두 환경에서 **사용**으로 구성됩니다.
**참고**: 이 정책 설정을 활성화하기 전에 조직의 관리자가 작업 환경의 클라이언트 컴퓨터에서 최신 Internet Explorer 업데이트를 주기적으로 수락하도록 대체 전략을 세우는 것이 좋습니다.
###### 프로그램 시작 시 소프트웨어 업데이트 셸 알림 사용 안 함
이 정책 설정은 Microsoft 소프트웨어 배포 채널을 사용하는 프로그램이 새 구성 요소를 설치할 때 사용자에게 알리지 않도록 지정합니다. 소프트웨어 배포 채널은 사용자 컴퓨터에서 소프트웨어를 동적으로 업데이트하는 데 사용됩니다. 이 기능은 개방형 소프트웨어 배포(.osd) 기술을 기반으로 합니다.
**프로그램 시작 시 소프트웨어 업데이트 셸 알림 사용 안 함** 설정은 이 장에 나오는 두 환경에서 **사용**으로 구성됩니다.
###### 사용자가 추가 기능을 사용 또는 사용하지 않도록 허용 안 함
이 정책 설정을 사용하면 사용자가 추가 기능 관리자로 추가 기능 사용을 허용하거나 거부할 수 있는지 관리할 수 있습니다. 이 정책 설정을 **사용**으로 구성하면 사용자가 추가 기능 관리자로 추가 기능을 사용 또는 사용할 수 없도록 설정할 수 없게 됩니다. 사용자가 추가 기능을 관리할 수 있도록 추가 기능이 **추가 기능 목록** 정책 설정에 지정되었으면 예외로 처리됩니다. 이런 경우에는 사용자가 추가 기능 관리자로 추가 기능을 관리할 수 있습니다. 이 정책 설정을 **사용 안 함**으로 구성하면 사용자는 추가 기능을 사용 또는 사용할 수 없도록 설정할 수 있습니다.
**참고**: Windows XP SP2에서 Internet Explorer 추가 기능을 관리하는 방법에 대한 자세한 내용은 KB 문서 883256, "[Windows XP 서비스 팩 2에서 Internet Explorer 추가 기능을 관리하는 방법](https://support.microsoft.com/?kbid=883256)"(https://support.microsoft.com/?kbid=883256)을 참조하십시오.
조직의 보안 정책에서 허용하지 않는 추가 기능을 설치하도록 선택하는 경우가 있습니다. 이러한 추가 기능을 설치하면 네트워크에서 심각한 보안 위험이 초래되고 개인 정보가 노출될 수 있습니다. 따라서 이 정책 설정은 이 가이드에 나오는 두 환경에서 **사용**으로 구성됩니다.
**참고**: Internet Explorer\\보안 기능\\추가 기능 관리의 GPO 설정을 검토하여 허가된 추가 기능 일부는 작업 환경에서 계속 실행될 수 있도록 해야 합니다. 예를 들어 Microsoft 기술 자료 문서 “[그룹 정책을 통해XP 서비스 팩 2 추가 기능 차단이 활성화될 경우 Outlook Web Access 및 Small Business Server 원격 웹 작업 공간이 작동하지 않음](https://support.microsoft.com/default.aspx?kbid=555235)”(https://support.microsoft.com/default.aspx?kbid=555235)을 참조하십시오.
###### 사용자 단위보다는 컴퓨터 단위로 프록시 설정 만들기
이 정책 설정을 활성화하면 사용자는 사용자별 프록시 설정을 변경할 수 없습니다. 따라서 액세스하는 컴퓨터의 모든 사용자가 사용할 수 있도록 만든 영역을 사용해야 합니다.
**사용자 단위보다는 컴퓨터 단위로 프록시 설정 만들기** 설정은 이 장에 나오는 두 환경의 데스크톱 클라이언트 컴퓨터에서 **사용**으로 구성되지만 랩톱 클라이언트 컴퓨터에서는 모바일 사용자가 이동 중에 프록시 설정을 변경해야 할 수 있으므로 **사용 안 함**으로 구성됩니다.
###### 보안 영역: 사용자가 사이트를 추가/삭제할 수 없음
보안 영역에 대한 사이트 관리 설정을 비활성화하려면 이 정책 설정을 사용합니다. 보안 영역에 대한 사이트 관리 설정을 보려면 Internet Explorer를 열고 **도구**를 선택한 후 **인터넷 옵션**에서 **보안** 탭을 클릭하고 **사이트**를 클릭합니다. 이 정책 설정을 비활성화하거나 구성하지 않으면 사용자는 **신뢰할 수 있는 사이트** 및 **제한된 사이트** 영역에서 웹 사이트를 추가 또는 제거할 수 있으며 **로컬 인트라넷** 영역에서 설정을 변경할 수 있습니다.
**보안 영역: 사용자가 사이트를 추가/삭제할 수 있음** 설정은 이 장에 나오는 두 환경에서 **사용**으로 구성됩니다.
**참고**: \\사용자 구성\\
관리 템플릿\\Windows 구성 요소\\Internet Explorer\\인터넷 제어판에 있는 **보안 페이지 사용 안 함**을 활성화하면 인터페이스에서 **보안** 탭이 제거되며 **사용 안 함** 설정이 **보안 영역:** 설정보다 우선적으로 적용됩니다.
###### 보안 영역: 사용자가 정책을 변경할 수 없음
이 정책 설정을 활성화하면 **인터넷 옵션**의 **보안** 탭에 있는 **사용자 지정 수준** 단추와 **이 영역에 적용할 보안 수준** 슬라이더를 사용할 수 없게 됩니다. 이 정책 설정을 비활성화하거나 구성하지 않으면 사용자는 보안 영역에 대한 설정을 변경할 수 있습니다. 이 설정은 관리자가 설정한 보안 영역 정책 설정을 사용자가 변경할 수 없게 합니다.
**보안 영역: 사용자가 정책을 변경할 수 없음** 설정은 이 장에 나오는 두 환경에서 **사용**으로 구성됩니다.
**참고**: \\사용자 구성\\
관리 템플릿\\Windows 구성 요소\\Internet Explorer\\인터넷 제어판에 있는 **보안 페이지 사용 안 함**을 활성화하면 Internet Explorer의 인터넷 옵션에서 **보안** 탭이 제거되며 **사용 안 함** 설정이 **보안 영역:** 설정보다 우선적으로 적용됩니다.
###### 보안 영역: 시스템 설정만 사용
이 정책 설정은 보안 영역 변경 내용이 다른 사용자에게 적용되는 방식에 영향을 주며 같은 컴퓨터에서 보안 영역 설정이 동일하게 적용되어 사용자마다 달라지지 않도록 합니다. 이 정책 설정을 활성화하면 한 사용자가 보안 영역에서 변경한 내용이 해당 컴퓨터의 모든 사용자에게 적용됩니다. 이 정책 설정을 비활성화하거나 구성하지 않으면 같은 컴퓨터를 사용하는 사용자들이 자체 보안 영역 설정을 지정할 수 있습니다.
**보안 영역: 시스템 설정만 사용** 설정은 이 장에 나오는 두 환경에서 **사용**으로 구성됩니다.
###### 크래시 감지 사용 안 함
이 정책 설정을 사용하면 Internet Explorer에서 추가 기능 관리의 크래시 감지 기능을 관리할 수 있습니다. 이 정책 설정을 활성화하면 Internet Explorer가 크래시된 경우 Windows XP Professional SP1(서비스 팩 1) 또는 이전 버전에서와 같이 Windows 오류 보고가 시작됩니다. 이 정책 설정을 비활성화하면 추가 기능 관리의 크래시 감지 기능을 사용할 수 있게 됩니다.
Internet Explorer 크래시 보고 정보에는 컴퓨터 메모리에서 가져온 중요한 정보가 포함될 수 있으므로 이 장에 나오는 두 환경에서는 **크래시 감지 사용 안 함** 설정이 **사용**으로 구성됩니다. 크래시가 자주 반복해서 발생하며 추후 문제 해결을 위해 보고해야 할 경우 일시적으로 이 정책 설정을 **사용 안 함**으로 구성할 수 있습니다.
##### Internet Explorer\\인터넷 제어판\\보안 페이지
그룹 정책 개체 편집기의 다음 위치에서 이러한 컴퓨터 설정을 구성할 수 있습니다.
**컴퓨터 구성\\관리 템플릿\\Windows 구성 요소\\Internet Explorer\\인터넷 제어판\\보안 페이지**
SP2에서는 작업 환경에서 Internet Explorer 영역 구성의 보안을 유지하기 위해 몇 가지 새로운 정책 설정을 제공합니다. 이러한 설정을 기본값으로 지정하면 이전 버전의 Windows와 비교해서 보다 향상된 보안이 유지됩니다. 그러나 사용 편리성 또는 응용 프로그램 호환성을 위해서는 이러한 설정을 검토하여 이러한 보안 설정이 필요한지 또는 완화시킬지를 결정할 수 있습니다.
예를 들어 SP2에서는 기본적으로 모든 인터넷 영역에 대한 팝업을 차단하도록 Internet Explorer를 구성합니다. 팝업 창을 제거하고 주로 인터넷 웹 사이트에서 생성되는 악의적인 소프트웨어 및 스파이웨어가 설치될 가능성을 줄이기 위해 작업 환경의 모든 컴퓨터에서 이 정책 설정을 적용할 수 있습니다. 반대로 작업 환경에 설치된 특정 응용 프로그램이 실행되기 위해 팝업 창을 사용해야 하는 경우도 있습니다. 이 경우 인트라넷 내의 웹 사이트에 대해 팝업을 허용하도록 이 정책을 구성할 수 있습니다.
##### Internet Explorer\\인터넷 제어판\\고급 페이지
그룹 정책 개체 편집기의 다음 위치에서 지정된 다음 컴퓨터 설정을 구성할 수 있습니다.
**컴퓨터 구성\\관리 템플릿\\Windows 구성 요소\\Internet Explorer\\인터넷 제어판\\고급 페이지**
**표 4.4 소프트웨어 실행 허용에 대한 권장 설정**
설정
EC 데스크톱
EC 랩톱
SSLF 데스크톱
SSLF 랩톱
소프트웨어의 서명이 올바르지 않더라도 실행 또는 설치하도록 허용
사용 안 함
사용 안 함
사용 안 함
사용 안 함
###### 소프트웨어의 서명이 올바르지 않더라도 실행 또는 설치하도록 허용
Microsoft ActiveX® 컨트롤 및 파일 다운로드에는 파일의 무결성과 소프트웨어 서명자(작성자)의 신원을 보장하는 디지털 서명이 첨부되어 있는 경우가 많습니다. 이러한 서명은 수정되지 않은 원본 소프트웨어가 다운로드된 것임을 보장하며 서명자를 확인하여 해당 소프트웨어를 실행할 만큼 충분히 신뢰하는 사람인지 결정할 수 있습니다.
**소프트웨어의 서명이 올바르지 않더라도 실행 또는 설치하도록 허용** 설정은 서명이 유효하지 않더라도 다운로드한 소프트웨어를 사용자가 설치 또는 실행할 수 있는지 여부를 관리할 수 있습니다. 서명이 유효하지 않으면 누군가가 파일을 무단으로 변경한 것일 수 있습니다. 이 정책 설정을 활성화하면 잘못된 서명을 포함하는 파일을 설치 또는 실행하려고 함을 알려주는 메시지가 표시됩니다. 이 정책 설정을 비활성화하면 잘못된 서명이 포함하는 파일을 실행하거나 설치할 수 없습니다.
서명되지 않은 소프트웨어는 보안 취약점을 야기하므로 이 장에 나오는 두 환경에서 이 정책 설정은 **사용 안 함**으로 구성됩니다.
**참고**: 일부 합법적인 소프트웨어 및 컨트롤에 잘못된 서명이 있을 수 있지만 큰 문제는 아닙니다. 이러한 소프트웨어를 조직의 네트워크에서 사용하도록 허용하려면 먼저 별도의 테스트를 거쳐야 합니다.
##### Internet Explorer\\보안 기능\\MK 프로토콜 보안 제한
그룹 정책 개체 편집기의 다음 위치에서 지정된 다음 컴퓨터 설정을 구성할 수 있습니다.
**컴퓨터 구성\\관리 템플릿\\Windows 구성 요소\\Internet Explorer\\보안 기능\\MK 프로토콜 보안 제한**
**표 4.5 MK 프로토콜 권장 설정**
설정
EC 데스크톱
EC 랩톱
SSLF 데스크톱
SSLF 랩톱
Internet Explorer 프로세스(MK 프로토콜)
사용
사용
사용
사용
###### Internet Explorer 프로세스(MK 프로토콜)
이 정책 설정은 거의 사용되지 않는 MK 프로토콜을 차단하므로 공격 받을 수 있는 취약점을 줄여줍니다. 오래된 일부 웹 응용 프로그램에서는 MK 프로토콜을 사용하여 압축된 파일에서 정보를 가져옵니다. 이 정책 설정을 **사용**으로 구성하면 Windows 탐색기 및 Internet Explorer에서 MK 프로토콜이 차단되므로 MK 프로토콜을 사용하는 리소스에 오류가 발생합니다. 이 정책 설정을 비활성화하면 다른 응용 프로그램은 MK 프로토콜 API를 사용할 수 있습니다.
MK 프로토콜이 그리 폭넓게 사용되지는 않으므로 필요하지 않은 경우에는 차단해야 합니다. 이 장에 나오는 두 환경에서 이 정책 설정은 **사용**으로 구성됩니다. 작업 환경에서 특별히 필요하지 않는 한 MK 프로토콜은 차단하는 것이 좋습니다.
**참고**: 이 정책 설정을 배포할 때 MK 프로토콜을 사용하는 리소스에 오류가 발생하므로 어떤 응용 프로그램에서도 MK 프로토콜이 사용되지 않도록 해야 합니다.
##### Internet Explorer\\보안 기능\\일관성 있는 MIME 핸들링
그룹 정책 개체 편집기의 다음 위치에서 지정된 다음 컴퓨터 설정을 구성할 수 있습니다.
**컴퓨터 구성\\관리 템플릿\\Windows 구성 요소\\Internet Explorer\\보안 기능\\일관성 있는 MIME 핸들링**
**표 4.6 일관성 있는 MIME 핸들링 권장 설정**
설정
EC 데스크톱
EC 랩톱
SSLF 데스크톱
SSLF 랩톱
Internet Explorer 프로세스(일관성 있는 MIME 핸들링)
사용
사용
사용
사용
###### Internet Explorer 프로세스(일관성 있는 MIME 핸들링)
Internet Explorer는 MIME(Multipurpose Internet Mail Extensions) 데이터를 사용하여 웹 서버를 통해 받은 파일의 처리 절차를 결정합니다. **일관성 있는 MIME 핸들링** 설정은 Internet Explorer가 웹 서버에서 제공한 모든 파일 형식 정보가 일관되도록 요구할지를 결정합니다. 예를 들어 파일의 MIME 형식은 일반 텍스트이지만 MIME 데이터가 해당 파일을 실제로 실행 파일로 지정할 경우 Internet Explorer는 이 실행 파일 상태를 반영하도록 확장명을 변경합니다. 이 기능은 실행 코드가 신뢰할 수 있는 다른 형식의 데이터인 것처럼 가장할 수 없도록 합니다.
이 정책 설정을 활성화하면 Internet Explorer에서 수신된 모든 파일을 검토한 후 일관된 MIME 데이터를 적용하고 이 정책 설정을 비활성화하거나 구성하지 않으면 Internet Explorer에서 수신된 모든 파일에 대해 일관된 MIME 데이터를 요구하지 않으며 해당 파일이 제공한 MIME 데이터를 사용합니다.
MIME 파일 형식 스푸핑은 조직에 위협이 될 수 있습니다. 네트워크에 침투할 수 있는 악의적인 파일 다운로드를 방지하기 위해 이러한 파일이 일관되는지 확인하고 적절히 레이블이 지정되도록 해야 합니다. 이 장에 나오는 두 환경에서 이 정책 설정은 **사용**으로 구성됩니다.
**참고**: 이 정책 설정은 **MIME 검색 안전 기능** 설정과 함께 사용되지만 이 설정을 대신하지는 않습니다.
##### Internet Explorer\\보안 기능\\MIME 검색 안전 기능
그룹 정책 개체 편집기의 다음 위치에서 지정된 다음 컴퓨터 설정을 구성할 수 있습니다.
**컴퓨터 구성\\관리 템플릿\\Windows 구성 요소\\Internet Explorer\\보안 기능\\MIME 검색 안전 기능**
**표 4.7 MIME 검색 안전 기능 권장 설정**
설정
EC 데스크톱
EC 랩톱
SSLF 데스크톱
SSLF 랩톱
Internet Explorer 프로세스(MIME 검색)
사용
사용
사용
사용
###### Internet Explorer 프로세스(MIME 검색)
MIME 검색은 MIME 파일이 데이터 파일인지, 실행 파일인지 또는 다른 형식의 파일인지에 상관없이 파일의 내용을 검토하여 해당 컨텍스트를 결정하는 프로세스입니다. 이 정책 설정은 Internet Explorer MIME 검색으로 한 형식의 파일을 더 위험한 파일 형식으로 수준을 올리는 것을 금지할 것인지 결정합니다. 이 정책 설정을 **사용**으로 설정하면MIME 검색으로 인해 한 형식의 파일이 좀 더 위험한 다른 파일 형식으로 수준이 올라갈 수 없습니다. 이 정책 설정을 비활성화하면 MIME 검색 기능은 한 형식의 파일을 좀 더 위험한 다른 파일 형식으로 수준을 올리도록 Internet Explorer 프로세스를 구성합니다. 예를 들어 텍스트 파일이 실행 파일로 수준이 올라갈 수 있습니다. 이 경우 지정된 텍스트 파일의 코드가 실행되므로 위험할 수 있습니다.
MIME 파일 형식 스푸핑은 조직에 위협이 될 수 있습니다. 이러한 파일은 네트워크에 침입할 수 있는 악의적인 파일 다운로드를 방지하는 데 도움을 주기 위해 일관된 방식으로 처리되는 것이 좋습니다.
**Internet Explorer 프로세스(MIME 검색)** 설정은 이 장에 나오는 두 환경에서 **사용**으로 구성됩니다.
**참고**: 이 정책 설정은 **일관성 있는 MIME 핸들링** 설정과 함께 사용되지만 이 설정을 대신하지는 않습니다.
##### Internet Explorer\\보안 기능\\Window 스크립트 보안 제한
그룹 정책 개체 편집기의 다음 위치에서 지정된 다음 컴퓨터 설정을 구성할 수 있습니다.
**컴퓨터 구성\\관리 템플릿\\Windows 구성 요소\\Internet Explorer\\보안 기능\\Windows 스크립트 보안 제한**
**그림 4.8 Window 스크립트 보안 제한 권장 설정**
설정
EC 데스크톱
EC 랩톱
SSLF 데스크톱
SSLF 랩톱
Internet Explorer 프로세스(Window 스크립트 보안 제한)
사용
사용
사용
사용
###### Internet Explorer 프로세스(Window 스크립트 보안 제한)
Internet Explorer에서는 스크립트가 다양한 유형의 창을 프로그래밍 방식으로 열고 크기를 조정하고 위치를 바꿀 수 있도록 허용합니다. 주로 평판이 좋지 않은 웹 사이트에서 다른 창을 가리거나 악의적인 코드가 들어 있는 창과 강제로 상호 작용이 이루어지도록 창의 크기를 조정합니다.
**Internet Explorer 프로세스(Window 스크립트 보안 제한)** 설정은 팝업 창을 제한하고 제목 스크립트가 및 상태 표시줄을 표시하지 않거나 다른 창의 제목 및 상태 표시줄을 숨기는 창을 표시하도록 허용하지 않습니다. 이 정책 설정을 활성화하면 Windows 탐색기 및 Internet Explorer 프로세스에 팝업 창이 표시되지 않습니다. 이 정책 설정을 비활성화하거나 구성하지 않으면 스크립트는 팝업 창 및 다른 창을 숨기는 창을 계속 만들 수 있습니다.
**Internet Explorer 프로세스(Windows 스크립트 보안 제한)** 설정은 이 장에 나오는 두 환경에서 **사용**으로 구성됩니다. 이 정책 설정을 활성화하면 악의적인 웹 사이트가 사용자의 Internet Explorer 창을 제어하거나 부주의한 사용자가 잘못된 창을 클릭하는 경우를 방지할 수 있습니다.
##### Internet Explorer\\보안 기능\\영역 수준에 따른 보호
그룹 정책 개체 편집기의 다음 위치에서 지정된 다음 컴퓨터 설정을 구성할 수 있습니다.
**컴퓨터 구성\\관리 템플릿\\Windows 구성 요소\\Internet Explorer\\보안 기능\\영역 수준에 따른 보호**
**표 4.9 영역 수준에 따른 보호 권장 설정**
설정
EC 데스크톱
EC 랩톱
SSLF 데스크톱
SSLF 랩톱
Internet Explorer 프로세스(영역 수준에 따른 보호)
사용
사용
사용
사용
###### Internet Explorer 프로세스(영역 수준에 따른 보호)
Internet Explorer는 열리는 웹 페이지에는 제한 사항이 적용됩니다. 이러한 제한은 웹 페이지의 위치(예: 인터넷 영역, 인트라넷 영역 또는 로컬 컴퓨터 영역)에 따라 다릅니다. 로컬 컴퓨터에 있는 웹 페이지는 로컬 컴퓨터 영역에 있고 최소 보안 제한 사항에 해당하므로 로컬 컴퓨터 보안 영역은 악의적인 공격자의 주된 공격 대상이 됩니다.
**Internet Explorer 프로세스(영역 수준에 따른 보호)** 설정을 활성화하면 모든 Internet Explorer 프로세스에서 영역의 수준을 올리지 못하도록 보호할 수 있습니다. 이 정책 설정을 사용하면 한 영역에서 실행되는 콘텐츠가 다른 영역의 수준 높은 권한을 얻지 못합니다. 이 정책 설정을 비활성화하면 어떤 영역도 Internet Explorer 프로세스에 대해 이러한 보호를 받지 못합니다.
영역 수준 공격이 심각하고 상대적으로 빈도도 높으므로 이 장에 나오는 두 환경에서 **Internet Explorer 프로세스(영역 수준에 따른 보호)** 설정은 **사용**으로 구성됩니다.
##### Internet Explorer\\보안 기능\\ActiveX 설치 제한
그룹 정책 개체 편집기의 다음 위치에서 지정된 다음 컴퓨터 설정을 구성할 수 있습니다.
**컴퓨터 구성\\관리 템플릿\\Windows 구성 요소\\Internet Explorer\\보안 기능\\ActiveX 설치 제한**
**표 4.10 ActiveX 설치 제한 권장 설정**
설정
EC 데스크톱
EC 랩톱
SSLF 데스크톱
SSLF 랩톱
Internet Explorer 프로세스(ActiveX 설치 제한)
사용
사용
사용
사용
###### Internet Explorer 프로세스(ActiveX 설치 제한)
이 정책 설정을 사용하면 Internet Explorer 프로세스에 대한 ActiveX 컨트롤 설치 확인 메시지를 차단할 수 있습니다. 이 정책 설정을 활성화하면 Internet Explorer 프로세스에 대해 ActiveX 컨트롤 설치에 대한 확인 메시지가 차단됩니다. 이 정책 설정을 비활성화하면 ActiveX 컨트롤 설치에 대한 확인 메시지가 차단되지 않고 표시됩니다.
사용자들은 ActiveX 컨트롤과 같이 조직의 보안 정책에서 허용하지 않는 컨트롤을 설치하도록 선택할 수 있습니다. 이러한 소프트웨어는 네트워크에 심각한 보안 위험을 초래하고 개인 정보를 노출시킬 수 있습니다. 따라서 **Internet Explorer 프로세스(ActiveX 설치 제한)** 설정은 이 장에 나오는 두 환경에서 **사용**으로 구성됩니다.
**참고**: 또한 이 정책 설정은 Windows Update와 같은 중요한 시스템 구성 요소를 방해하는 허가된 ActiveX 컨트롤의 설치도 차단합니다. 이 설정을 활성화할 경우 WSUS(Windows Server Update Services)와 같은 보안 업데이트를 배포하는 대체 방법을 구현해야 합니다.
WSUS에 대한 자세한 내용은 [Windows Server Update Services 제품 개요](https://www.microsoft.com/windowsserversystem/updateservices/evaluation/overview.mspx) 페이지(www.microsoft.com/windowsserversystem/updateservices/evaluation/overview.mspx)를 참조하십시오.
Windows Update에 대한 자세한 내용은 [Windows Update](https://windowsupdate.microsoft.com/) 페이지(https://windowsupdate.microsoft.com)를 참조하십시오.
##### Internet Explorer\\보안 기능\\파일 다운로드 제한
그룹 정책 개체 편집기의 다음 위치에서 지정된 다음 컴퓨터 설정을 구성할 수 있습니다.
**컴퓨터 구성\\관리 템플릿\\Windows 구성 요소\\Internet Explorer\\보안 기능\\파일 다운로드 제한**
**표 4.11 파일 다운로드 제한 권장 설정**
설정
EC 데스크톱
EC 랩톱
SSLF 데스크톱
SSLF 랩톱
Internet Explorer 프로세스(파일 다운로드 제한)
사용
사용
사용
사용
###### Internet Explorer 프로세스(파일 다운로드 제한)
특정 상황에서 웹 사이트에서는 사용자의 상호 작용 없이 파일 다운로드를 확인하는 메시지가 표시될 수 있습니다. 이 기술을 사용하면 사용자가 잘못된 단추를 클릭하여 다운로드를 수락할 경우 사용자의 하드 드라이브에 허가되지 않은 파일이 저장될 수 있도록 합니다.
**Internet Explorer 프로세스(파일 다운로드 제한)** 설정을 **사용**으로 설정하면 Internet Explorer 프로세스에 대해 사용자가 시작하지 않은 파일 다운로드 여부를 묻는 메시지가 표시되지 않습니다. 이 정책 설정을 **사용 안 함**으로 구성하면 Internet Explorer 프로세스에 대해 사용자가 시작하지 않은 파일 다운로드 여부를 묻는 메시지가 표시됩니다.
이 장에 나오는 두 환경에서는 공격자가 임의의 코드를 사용자 컴퓨터에 저장하지 못하도록 **Internet Explorer 프로세스(파일 다운로드 제한)** 설정이 **사용**으로 구성됩니다.
##### Internet Explorer\\보안 기능\\추가 기능 관리
그룹 정책 개체 편집기의 다음 위치에서 지정된 다음 컴퓨터 설정을 구성할 수 있습니다.
**컴퓨터 구성\\관리 템플릿\\Windows 구성 요소\\Internet Explorer\\보안 기능\\추가 기능 관리**
**표 4.12 추가 기능 관리 설정**
설정
EC 데스크톱
EC 랩톱
SSLF 데스크톱
SSLF 랩톱
추가 기능 목록에 지정되지 않은 모든 추가 기능 거부
권장
권장
권장
권장
추가 기능 목록
권장
권장
권장
권장
###### 추가 기능 목록에 지정되지 않은 모든 추가 기능 거부
이 정책 설정을 **추가 기능 목록** 설정과 함께 사용하면 사용자가 Internet Explorer 추가 기능을 제어할 수 있습니다. 기본적으로 **추가 기능 목록** 설정은 그룹 정책을 통해 허용 또는 거부될 추가 기능 목록을 정의합니다. **추가 기능 목록에 지정되지 않은 모든 추가 기능 거부** 설정은 **추가 기능 목록** 설정에 구체적으로 나열되지 않은 모든 추가 기능은 거부되는 것으로 간주합니다.
이 정책 설정을 활성화하면 Internet Explorer는 **추가 기능 목록**을 통해 구체적으로 나열(허용)된 추가 기능만 허용합니다. 이 정책 설정을 비활성화하면 사용자는 추가 기능 관리자를 사용하여 추가 기능을 허용하거나 거부할 수 있습니다.
작업 환경에 사용될 수 있는 추가 기능을 제어하기 위해서는 **추가 기능 목록에 지정되지 않은 모든 추가 기능 거부** 설정과 **추가 기능 목록** 설정을 모두 사용하는 것이 좋습니다. 이렇게 하면 허가된 추가 기능만 사용될 수 있습니다.
###### 추가 기능 목록
이 정책 설정을 **추가 기능 목록에 지정되지 않은 모든 추가 기능 거부** 설정과 함께 사용하면 Internet Explorer 추가 기능을 제어할 수 있습니다. 기본적으로 **추가 기능 목록** 설정은 그룹 정책을 통해 허용 또는 거부될 추가 기능 목록을 정의합니다. **추가 기능 목록에 지정되지 않은 모든 추가 기능 거부** 설정은 **추가 기능 목록** 설정에 구체적으로 나열되지 않은 모든 추가 기능은 거부되는 것으로 간주합니다.
**추가 기능 목록** 설정을 활성화할 경우 Internet Explorer에서 허용 또는 거부될 추가 기능을 나열해야 합니다. 이 목록에 포함시켜야 하는 특정 추가 기능 목록은 조직마다 다르므로 이 가이드에서는 자세한 목록을 제공하지 않습니다. 목록에 추가해야 하는 각 항목에 대해 다음 정보를 제공해야 합니다.
- **값 이름**. 목록에 추가하려는 추가 기능의 CLSID(클래스 식별자)입니다. CLSID는 {000000000-0000-0000-0000-0000000000000}과 같이 중괄호로 묶어야 합니다. 추가 기능의 CLSID는 추가 기능이 참조된 웹 페이지에서 OBJECT 태그를 읽어 알 수 있습니다.
- **값**: Internet Explorer가 로드될 추가 기능을 거부할지 또는 허용할지 나타내는 숫자입니다. 다음 값을 사용할 수 있습니다.
- **0** 추가 기능 거부
- **1** 추가 기능 허용
- **2** 추가 기능을 허용하고 시용자가 추가 기능 관리를 통해 관리하도록 허용
**추가 기능 목록** 설정을 비활성화하면 목록이 삭제됩니다. 작업 환경에 사용될 수 있는 추가 기능을 제어하기 위해서는 **추가 기능 목록에 지정되지 않은 모든 추가 기능 거부** 설정과 **추가 기능 목록** 설정을 모두 사용하는 것이 좋습니다. 이렇게 하면 허가된 추가 기능만 사용될 수 있습니다.
##### 터미널 서비스\\클라이언트/서버 데이터 리디렉션
터미널 서비스 설정은 터미널 서비스를 통해 액세스되는 서버로 클라이언트 컴퓨터 리소스를 리디렉션하기 위한 옵션을 제공합니다. 다음 설정은 터미널 서비스에만 해당됩니다.
그룹 정책 개체 편집기의 다음 위치에서 지정된 다음 컴퓨터 설정을 구성할 수 있습니다.
**컴퓨터 구성\\관리 템플릿\\Windows 구성 요소\\터미널 서비스\\클라이언트/서버 데이터 리디렉션**
**표 4.13 드라이브의 리디렉션을 허용하지 않음 권장 설정**
설정
EC 데스크톱
EC 랩톱
SSLF 데스크톱
SSLF 랩톱
드라이브의 리디렉션을 허용하지 않음
구성되지 않음
구성되지 않음
사용
사용
###### 드라이브의 리디렉션을 허용하지 않음
이 정책 설정은 다른 클라이언트 컴퓨터의 로컬 드라이브를 사용자가 액세스하는 터미널 서버와 공유할 수 없도록 합니다. 매핑된 드라이브는 Windows 탐색기 또는 내 컴퓨터의 세션 폴더 트리에 다음 형식으로 표시됩니다.
\\\\TSClient\\*<driveletter>$*
로컬 드라이브가 공유되면 해당 드라이브에 저장되어 있는 데이터를 이용하려는 침입자의 공격을 받기 쉽습니다.
따라서 SSLF 환경에서는 **드라이브의 리디렉션을 허용하지 않음** 설정이 **사용**으로 구성되지만 EC 환경에서는 **구성되지 않음**입니다.
##### 터미널 서비스\\암호화 및 보안
그룹 정책 개체 편집기의 다음 위치에서 지정된 다음 설정을 구성할 수 있습니다.
**컴퓨터 구성\\관리 템플릿\\Windows 구성 요소\\터미널 서비스\\암호화 및 보안**
**표 4.14 터미널 서비스 암호화 및 보안 권장 설정**
설정
EC 데스크톱
EC 랩톱
SSLF 데스크톱
SSLF 랩톱
연결 시 클라이언트에서 항상 암호 확인
구성되지 않음
구성되지 않음
사용
사용
클라이언트 연결 암호화 수준 설정
높은 수준
높은 수준
높은 수준
높은 수준
###### 연결 시 클라이언트에서 항상 암호 확인
이 정책 설정은 터미널 서비스가 연결 시 클라이언트 컴퓨터에서 항상 암호를 확인할지를 지정합니다. 이 정책 설정을 사용하면 원격 데스크톱 연결 클라이언트에서 이미 암호를 제공했더라도 터미널 서비스에 로그온하는 사용자에게 암호를 다시 확인하도록 지정할 수 있습니다. 기본적으로 터미널 서비스는 사용자가 원격 데스크톱 연결 클라이언트에 암호를 입력할 경우 자동으로 로그온하는 것을 허용합니다.
**연결 시 클라이언트에서 항상 암호 확인** 설정은 SSLF 환경에서는 **사용**으로 구성되지만 EC 환경에서는 **구성되지 않음**입니다.
**참고**: 이 정책 설정을 구성하지 않을 경우 로컬 컴퓨터 관리자는 터미널 서비스 구성 도구를 사용하여 암호가 자동으로 보내지도록 허용하거나 금지할 수 있습니다.
###### 클라이언트 연결 암호화 수준 설정
이 정책 설정은 원격 연결을 호스팅하려는 컴퓨터가 자신과 원격 세션의 클라이언트 컴퓨터 간에 전송되는 모든 데이터에 대해 암호화 수준을 적용하도록 지정합니다.
이 장에 나오는 두 환경에서는 128비트 암호화를 적용하기 위해 암호화 수준이 **높은 수준**으로 설정됩니다.
##### 터미널 서비스\\클라이언트
그룹 정책 개체 편집기의 다음 위치에서 지정된 다음 컴퓨터 설정을 구성할 수 있습니다.
**관리 템플릿\\Windows 구성 요소\\터미널 서비스\\클라이언트**
**표 4.15 암호를 저장 안 함 권장 설정**
설정
EC 데스크톱
EC 랩톱
SSLF 데스크톱
SSLF 랩톱
암호를 저장 안 함
사용
사용
사용
사용
###### 암호를 저장 안 함
이 정책 설정은 암호가 터미널 서비스 클라이언트에 의해 컴퓨터에 저장되지 않도록 합니다. 이 정책 설정을 활성화하면 터미널 서비스 클라이언트의 암호 저장 확인란이 비활성화되고 사용자는 암호를 저장할 수 없게 됩니다.
암호가 저장되면 외부로 누출될 수 있으므로 이 장에 나오는 두 환경에서 **암호를 저장 안 함** 설정은 **사용**으로 구성됩니다.
**참고**: 이 정책 설정이 이전에 **사용 안 함** 또는 **구성되지 않음**으로 구성되면 터미널 서비스 클라이언트와 서버 간의 연결이 처음 끊어질 때 이전에 저장한 암호가 삭제됩니다.
##### Windows Messenger
Windows Messenger를 사용하여 컴퓨터 네트워크의 다른 사용자에게 인스턴트 메시지를 보낼 수 있습니다. 메시지에 파일 및 기타 첨부 파일을 포함할 수 있습니다.
그룹 정책 개체 편집기의 다음 위치에서 지정된 다음 컴퓨터 설정을 구성할 수 있습니다.
**컴퓨터 구성\\관리 템플릿\\Windows 구성 요소\\Windows Messenger**
**표 4.16 Windows Messenger 권장 설정**
설정
EC 데스크톱
EC 랩톱
SSLF 데스크톱
SSLF 랩톱
Windows Messenger를 실행하지 않음
사용
사용
사용
사용
###### Windows Messenger를 실행하지 않음
**Windows Messenger를 실행하지 않음** 설정을 활성화하여 Windows Messenger를 비활성화하고 실행되지 않게 할 수 있습니다. 이 응용 프로그램은 스팸, 악의적인 소프트웨어의 배포 및 중요한 데이터의 노출과 같은 악의적인 용도로 사용되었으므로 EC 및 SSLF 환경에서 **Windows Messenger를 실행하지 않음** 설정을 **사용**으로 구성하는 것이 좋습니다.
**참고**: 이 정책 설정을 **사용**으로 구성하면 원격 지원을 위해 Windows Messenger를 사용할 수 없으며 사용자는 MSN® Messenger를 사용할 수 없습니다.
##### Windows Update
관리자는 Windows Update 설정을 사용하여 패치 및 핫픽스를 Windows XP 워크스테이션에 적용하는 방법을 관리합니다. Microsoft Windows Update 웹 사이트에서 업데이트를 구할 수 있습니다. 또는 추가 관리 기능과 유사한 방법으로 패치 및 핫픽스를 배포하도록 인트라넷 웹 사이트를 설정할 수 있습니다. Windows Update 관리 템플릿(WUAU.adm)은 Windows XP SP1(서비스 팩 1)에 처음 추가되었습니다.
WSUS(Windows Server Update Services)는 Microsoft Windows Update 및 SUS(Software Update Services) 기술의 성공적인 구현을 바탕으로 하는 인프라 서비스입니다. WSUS에서는 Microsoft Windows 운영 체제의 알려진 보안 취약점 및 기타 안정성 문제를 해결하는 중요한 Windows 패치를 관리하고 배포합니다.
또한 WSUS가 있으면 인트라넷 서버를 통해 Windows 클라이언트 컴퓨터에서 사용할 수 있는 중요한 업데이트에 대한 동적 알림 시스템이 실행되므로 수동 업데이트 단계가 필요하지 않습니다. 이 서비스를 사용하기 위해 클라이언트 컴퓨터에서 인터넷에 액세스할 필요가 없습니다. 또한 이 기술은 Windows 워크스테이션 및 서버로 업데이트를 자동 배포하는 간편한 방법도 제공합니다.
WSUS에서는 다음 기능을 제공합니다.
- **관리자가 인트라넷에서 콘텐츠 동기화 제어**. 이 동기화 서비스는 Windows Update에서 중요한 최신 업데이트를 검색하는 서버 쪽 구성 요소입니다. Windows Update에 새 업데이트가 추가되면 WSUS를 실행하는 서버에서 관리자가 정의한 일정을 기반으로 새 업데이트를 자동으로 다운로드하여 저장합니다.
- **인트라넷에서 호스팅되는 Windows Update 서버**. 이 사용하기 쉬운 서버는 클라이언트 컴퓨터의 가상 Windows Update 서버로 작동됩니다. 여기에는 업데이트 관리를 위한 동기화 서비스 및 관리 도구가 포함됩니다. 이 서버는 HTTP 프로토콜을 통해 연결되어 있는 클라이언트 컴퓨터로부터의 승인된 업데이트에 대한 요청을 처리합니다. 또한 이 서버는 동기화 서비스에서 다운로드된 중요 업데이트를 호스팅하고 클라이언트 컴퓨터에서 이 업데이트를 참조하도록 할 수 있습니다.
- **관리자가 업데이트 제어**. 관리자는 조직의 인트라넷에 배포하기 전에 공용 Windows Update 사이트에서 업데이트를 테스트하고 승인할 수 있습니다. 배포는 관리자가 작성한 일정에 따라 이루어집니다. 여러 서버에서 WSUS를 실행하는 경우 관리자는 이 서비스를 실행하는 특정 서버에 액세스하는 컴퓨터를 제어합니다. 관리자는 Active Directory® 디렉터리 서비스 환경에서 그룹 정책을 사용하거나 레지스트리 키를 통해 이 제어 수준을 설정할 수 있습니다.
- **워크스테이션 또는 서버 컴퓨터의 자동 업데이트**. 자동 업데이트는 Windows Update에 게시된 업데이트를 자동으로 확인하도록 설정할 수 있는 Windows 기능입니다. WSUS에서는 이 Windows 기능을 사용하여 관리자가 승인한 업데이트를 인트라넷에 게시합니다.
**참고**: Microsoft Systems Management Server 등과 같은 방법으로 패치를 배포하도록 선택한 경우 **자동 업데이트 구성** 설정을 비활성화하는 것이 좋습니다.
Windows Update 설정에는 몇 가지가 있습니다. Windows Update가 제대로 작동되려면 최소한 **자동 업데이트 구성**, **예약된 자동 업데이트 설치를 자동으로 실행하지 않음** 및 **자동 업데이트 예약 설치 일정 변경**의 세 가지 설정은 반드시 필요합니다. 네 번째 설정인 **인트라넷 Microsoft 업데이트 서비스 위치 지정**은 선택적이며 조직의 요구에 따라 달라집니다.
그룹 정책 개체 편집기의 다음 위치에서 지정된 다음 컴퓨터 설정을 구성할 수 있습니다.
**컴퓨터 구성\\관리 템플릿\\Windows 구성 요소\\Windows Update**
이 섹션에 설명된 설정은 특정 보안 위험과 개별적으로 관련되어 있지 않으며 관리자 기본 설정과 더 많이 관련되어 있습니다. 그러나 Windows Update는 Microsoft에서 보안 패치가 나오면 즉시 사용자 환경의 클라이언트 컴퓨터에서 이 보안 패치를 받을 수 있기 때문에 사용자 환경의 보안을 유지하려면 반드시 Windows Update를 구성해야 합니다.
**참고**: Windows Update는 원격 레지스트리 서비스 및 백그라운드 인텔리전스(Background Intelligence) 전송 서비스를 비롯한 여러 서비스에 의존합니다. 3장 "Windows XP 클라이언트용 보안 설정"에서는 SSLF 환경에서 이 서비스가 비활성화됩니다. 따라서 이러한 서비스를 비활성화하면 Windows Update는 작동하지 않으며 다음의 네 가지 설정 지정은 SSLF 환경에서만 무시될 수 있습니다.
다음 표는 Windows Update의 권장 설정을 요약해서 보여 줍니다. 표 다음에 나오는 하위 섹션에 각 설정에 대한 추가 정보가 포함되어 있습니다.
**표 4.17 Windows Update 권장 설정**
설정
EC 데스크톱
EC 랩톱
SSLF 데스크톱
SSLF 랩톱
시스템 종료 대화 상자에 '업데이트 설치 및 시스템 종료' 옵션을 표시하지 않음
사용 안 함
사용 안 함
사용 안 함
사용 안 함
Windows 종료 대화 상자의 '업데이트 설치 및 시스템 종료' 기본 옵션을 변경하지 않음
사용 안 함
사용 안 함
사용 안 함
사용 안 함
자동 업데이트 구성
사용
사용
사용
사용
예약된 자동 업데이트 설치에 자동 다시 시작 사용 안 함
사용 안 함
사용 안 함
사용 안 함
사용 안 함
예약된 자동 업데이트 설치 일정 변경
사용
사용
사용
사용
인트라넷 Microsoft 업데이트 서비스 위치 지정
사용
사용
사용
사용
###### 시스템 종료 대화 상자에 '업데이트 설치 및 시스템 종료' 옵션을 표시하지 않음
이 정책 설정을 사용하면 **업데이트 설치 및 시스템 종료** 옵션이 **시스템 종료** 대화 상자에 표시될지 여부를 관리할 수 있습니다. 이 정책 설정을 비활성화하면 사용자가 **시작** 메뉴에서 **시스템 종료** 옵션을 선택하거나 Ctrl+Alt+Delete를 누른 후 **시스템 종료**를 클릭할 때 사용 가능한 업데이트가 있는 경우에만 **시스템 종료** 대화 상자에 **업데이트 설치 및 시스템 종료** 옵션이 표시됩니다.
모든 시스템의 전반적인 보안을 위해서는 업데이트가 중요하므로 이 장에 나오는 두 환경에서 **시스템 종료 대화 상자에 '업데이트 설치 및 시스템 종료' 옵션을 표시하지 않음** 설정은 **사용 안 함**으로 구성됩니다. 이 정책 설정은 다음에 나오는 **Windows 종료 대화 상자의 '업데이트 설치 및 시스템 종료' 기본 옵션을 변경하지 않음** 설정과 함께 사용됩니다.
###### Windows 종료 대화 상자의 '업데이트 설치 및 시스템 종료' 기본 옵션을 변경하지 않음
이 정책 설정을 사용하면 **업데이트 설치 및 시스템 종료** 옵션을 **시스템 종료** 대화 상자에 기본 옵션으로 표시할지 여부를 관리할 수 있습니다. 이 정책 설정을 비활성화하면 사용자가 **시작** 메뉴에서 **시스템 종료**를 선택할 때 설치할 수 있는 업데이트가 있는 경우 **업데이트 설치 및 시스템 종료** 옵션이 **시스템 종료** 대화 상자의 기본 옵션이 됩니다.
모든 시스템의 전반적인 보안을 위해서는 업데이트가 중요하므로 이 장에 나오는 두 환경에서 **Windows 종료 대화 상자의 '업데이트 설치 및 시스템 종료' 기본 옵션을 변경하지 않음** 설정은 **사용 안 함**으로 구성됩니다.
**참고**: **컴퓨터 구성\\관리 템플릿\\Windows 구성 요소\\Windows Update\\시스템 종료 대화 상자에 '업데이트 설치 및 시스템 종료'옵션을 표시하지 않음**' 설정이 **사용**일 경우 이 정책 설정은 아무 효과도 없습니다.
###### 자동 업데이트 구성
이 정책 설정은 작업 환경의 컴퓨터에 Windows Update 또는 WSUS의 보안 업데이트가 수신될지를 지정합니다. 이 정책 설정을 **사용**으로 구성하면 운영 체제에서 네트워크 연결이 가능한 시기를 인식하고 이 네트워크 연결을 사용하여 Windows Update 웹 사이트 또는 지정된 인트라넷 사이트를 검색하여 적용되는 업데이트를 찾을 수 있습니다.
이 정책 설정을 **사용**으로 구성한 후 **자동 업데이트 속성 구성** 대화 상자에서 다음 세 옵션 중 하나를 선택하여 서비스 작동 방식을 지정합니다.
1. **업데이트를 다운로드하기 전에 알리고 설치하기 전에 다시 알립니다.**
2. **자동으로 업데이트를 다운로드하고 설치할 준비가 되면 알립니다. (기본 설정)**
3. **자동으로 업데이트를 다운로드하고 아래에 지정한 일정에 업데이트를 설치합니다.**
이 정책 설정을 비활성화할 경우 [Windows Update](https://windowsupdate.microsoft.com/) 웹 사이트(https://windowsupdate.microsoft.com)에서 사용 가능한 업데이트를 다운로드한 후 수동으로 설치해야 합니다.
**자동 업데이트 구성** 설정은 이 장에 나오는 두 환경에서 **사용**으로 구성됩니다.
###### 예약된 자동 업데이트 설치에 자동 다시 시작 사용 안 함
이 정책 설정을 활성화하면 컴퓨터는 예약된 설치를 완료하기 위해 로그온한 사용자가 컴퓨터를 다시 시작할 때까지 기다립니다. 그렇지 않으면 컴퓨터는 자동으로 다시 시작되지 않습니다. 또한 이 정책 설정을 활성화하면 예약된 설치를 실행하는 동안 자동 업데이트에서 컴퓨터를 자동으로 다시 시작하지 않습니다. 자동 업데이트에서 업데이트 설치를 완료하기 위해 컴퓨터를 다시 시작해야 하는데 사용자가 컴퓨터에 로그온한 경우에는 사용자에게 이를 알리고 나중에 다시 시작할 수 있는 옵션을 제공합니다. 컴퓨터를 다시 시작해야 자동 업데이트에서 이후의 업데이트를 검색합니다.
**예약된 자동 업데이트 설치를 자동으로 실행하지 않음** 설정을 **사용 안 함** 또는 **구성되지 않음**으로 구성하면 자동 업데이트 기능은 컴퓨터가 5분 후에 자동으로 다시 시작되어 설치를 완료할 것임을 알려줍니다. 자동 다시 시작이 염려되는 경우 **예약된 자동 업데이트 설치를 자동으로 실행하지 않음** 설정을 **사용**으로 구성할 수 있습니다. 이 정책 설정을 사용할 경우 정상 근무 시간 이후에 클라이언트 컴퓨터가 다시 시작되도록 예약하여 설치를 완료합니다.
**예약된 자동 업데이트 설치를 자동으로 실행하지 않음** 설정은 이 장에 나오는 두 환경에서 **사용 안 함**으로 구성됩니다.
**참고**: 이 정책 설정은 예약된 업데이트 설치를 수행하도록 자동 업데이트를 구성한 경우에만 작동됩니다. **자동 업데이트 구성** 설정을 **사용 안 함**으로 구성한 경우에는 작동되지 않습니다. 일반적으로 업데이트 설치를 완료하려면 컴퓨터를 다시 시작해야 합니다.
###### 예약된 자동 업데이트 설치 일정 변경
이 정책 설정은 시스템을 다시 시작한 후에 이전에 예약한 자동 업데이트 설치가 계속되기 전까지 경과해야 하는 시간을 결정합니다. 이 정책 설정을 **사용**으로 구성하면 지정된 시간(분)이 경과된 후에 다음에 시스템을 다시 시작할 때 이전에 예약한 설치가 시작됩니다. 이 정책 설정을 **사용 안 함** 또는 **구성되지 않음**으로 설정하면 정기적으로 예약된 다음 설치 시간 중에 이전에 예약된 설치가 발생합니다.
**자동 업데이트 예약 설치 일정 변경** 설정은 이 장에 나오는 두 환경에서 **사용**으로 구성됩니다. 이 정책 설정을 활성화한 후에 기본 대기 시간을 작업 환경에 알맞게 변경할 수 있습니다.
**참고**: 이 정책 설정은 예약된 업데이트 설치를 수행하도록 자동 업데이트를 구성한 경우에만 작동됩니다. **자동 업데이트 구성** 설정이 **사용 안 함**인 경우에는 **자동 업데이트 예약 설치 일정 변경** 설정이 적용되지 않습니다. 컴퓨터를 다시 시작할 때마다 이전에 미처 수행하지 못한 설치가 수행될 수 있도록 맨 마지막에 나오는 두 설정을 활성화할 수 있습니다.
###### 인트라넷 Microsoft 업데이트 서비스 위치 지정
이 정책 설정은 Microsoft Update 웹 사이트에서 사용할 수 있는 업데이트를 호스팅할 인트라넷 서버를 지정합니다. 그런 다음 이 업데이트 서비스를 사용하여 네트워크의 컴퓨터를 자동으로 업데이트할 수 있습니다. 이 정책 설정을 사용하면 내부 업데이트 서비스로 사용할 네트워크의 WSUS 서버를 지정할 수 있습니다. 자동 업데이트 클라이언트는 WSUS 서버와 함께 작동하여 서비스에서 네트워크의 컴퓨터에 적용되는 업데이트를 검색합니다.
**인트라넷 Microsoft 업데이트 서비스 위치 지정** 설정은 이 장에 나오는 두 환경에서 **사용**으로 구성됩니다.
**참고**: **자동 업데이트 구성** 설정을 비활성화하면 **인트라넷 Microsoft 업데이트 서비스 위치 지정** 설정을 구성해도 효과가 없습니다.
#### 시스템
그룹 정책 개체 편집기의 다음 위치에서 지정된 다음 컴퓨터 설정을 구성할 수 있습니다.
**컴퓨터 구성\\관리 템플릿\\시스템**
다음 그림에서는 이 섹션의 설정 변경으로 인해 영향을 받게 될 그룹 정책의 섹션을 보여 줍니다.
[.gif)](https://technet.microsoft.com/ko-kr/cc163076.sgfg0403_big(ko-kr,technet.10).gif)
**그림 4.3 컴퓨터 구성 시스템에 대한 그룹 정책 구조**
다음 표는 권장되는 시스템 설정을 요약해서 보여 줍니다. 표 다음에 나오는 하위 섹션에 각 설정에 대한 추가 정보가 포함되어 있습니다.
**표 4.18 권장되는 시스템 설정**
설정
EC 데스크톱
EC 랩톱
SSLF 데스크톱
SSLF 랩톱
자동 실행 사용 안 함
구성되지 않음
구성되지 않음
사용 –
모든 드라이브
사용 –
모든 드라이브
Windows Update 장치 드라이버 검색을 묻지 않음
사용 안 함
사용 안 함
사용
사용
##### 자동 실행 사용 안 함
자동 실행을 지정하면 드라이브에 미디어를 넣자마자 드라이브의 데이터가 읽히므로 프로그램이나 오디오 미디어에 대한 설치 파일이 바로 시작됩니다. 공격자는 이 기능을 이용하여 컴퓨터 또는 컴퓨터의 데이터에 손상을 줄 수 있는 프로그램을 시작할 수 있습니다. **자동 실행 사용 안 함** 설정을 활성화하여 자동 실행 기능을 비활성화할 수 있습니다. 자동 실행은 플로피 디스크 및 네트워크 드라이브와 같은 일부 이동식 드라이브 유형에서는 기본적으로 비활성화되지만 CD-ROM 드라이브에서는 활성화됩니다.
**자동 실행 사용 안 함** 설정은 SSLF 환경에서만 **사용 – 모든 드라이브**로 구성되고 EC 환경에서는 **구성되지 않음**입니다.
**참고**: 플로피 디스크 및 네트워크 드라이브 같이 기본적으로 자동 실행 기능이 비활성화되어 있는 컴퓨터 드라이브의 경우에는 이 정책 설정을 사용하여 해당 기능을 활성화할 수 없습니다.
##### Windows Update 장치 드라이버 검색을 묻지 않음
이 정책 설정은 인터넷을 통해 Windows Update에서 장치 드라이버를 검색할지 묻는 메시지의 표시 여부를 제어합니다. 이 정책 설정이 **사용**이면 Windows Update를 검색할지 묻는 메시지가 표시되지 않습니다. 이 두 정책 설정과 **Windows Update 장치 드라이버 검색을 묻지 않음**이 **사용 안 함** 또는 **구성되지 않음**이면 Windows Update에서 장치 드라이버를 검색하기 전에 동의할지 묻는 메시지가 표시됩니다.
인터넷에서 장치 드라이버를 다운로드하면 위험할 수 있으므로 **Windows Update 장치 드라이버 검색을 묻지 않음** 설정은 SSLF 환경에서는 **사용**으로, EC 환경에서는 **사용 안 함**으로 구성됩니다. 드라이버 다운로드를 이용할 수 있는 공격의 유형은 엔터프라이즈 리소스를 적절히 관리하면 완화시킬 수 있으므로 이러한 권장 사항을 잘 따르도록 합니다.
**참고**: 이 정책 설정은 **관리 템플릿/시스템/인터넷 통신 관리/인터넷 통신 설정**의 **Windows Update 장치 드라이버 검색을 묻지 않음** 설정이 **사용 안 함** 또는 **구성되지 않음**일 때만 적용됩니다.
##### 로그온
그룹 정책 개체 편집기의 다음 위치에서 지정된 다음 컴퓨터 설정을 구성할 수 있습니다.
**컴퓨터 구성\\관리 템플릿\\시스템\\로그온**
다음 표는 권장되는 로그온 설정을 요약해서 보여 줍니다. 표 다음에 나오는 하위 섹션에 각 설정에 대한 추가 정보가 포함되어 있습니다.
**표 4.19 권장되는 로그온 설정**
설정
EC 데스크톱
EC 랩톱
SSLF 데스크톱
SSLF 랩톱
레거시 실행 목록 처리 안 함
구성되지 않음
구성되지 않음
사용
사용
한 번만 실행 목록 처리 안 함
구성되지 않음
구성되지 않음
사용
사용
###### 레거시 실행 목록 처리 안 함
이 정책 설정은 Windows XP가 시작될 때 자동으로 실행하는 프로그램 목록인 실행 목록이 무시되도록 합니다. Windows XP용 사용자 지정된 실행 목록은 레지스트리의 다음 위치에 저장됩니다.
- **HKEY\_LOCAL\_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run**
- **HKEY\_CURRENT\_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run**
**레거시 실행 목록 처리 안 함**을 설정하면 악의적인 사용자가 컴퓨터의 데이터에 손상을 주거나 기타 문제를 일으킬 수 있는 프로그램을 Windows XP가 시작될 때마다 실행하지 못합니다. 이 정책 설정을 활성화하면 바이러스 백신, 소프트웨어 배포 및 모니터링 소프트웨어와 같은 특정 시스템 프로그램이 실행되지 못합니다. 조직에서 이 정책 설정을 사용할지를 결정하기 전에 먼저 작업 환경에서 나타나는 위협 수준을 평가하는 것이 좋습니다.
**레거시 실행 목록 처리 안 함** 설정은 EC 환경에서는 **구성되지 않음**이고 SSLF 환경에서는 **사용**입니다.
###### 한 번만 실행 목록 처리 안 함
이 정책 설정은 Windows XP가 시작될 때 자동으로 실행하는 프로그램 목록인 한 번만 실행 목록이 무시되도록 합니다. 이 정책 설정은 이 목록의 프로그램이 클라이언트 컴퓨터가 다시 시작되는 다음 번에 한 번 실행된다는 점에서 **레거시 실행 목록 처리 안 함** 설정과 다릅니다. 경우에 따라 설치 및 설정 프로그램은 클라이언트 컴퓨터가 다시 시작된 후에 설치를 완료하기 위해 이 목록에 추가됩니다. 이 정책 설정을 활성화하면 공격자는 과거에 공격 방법으로 주로 이용되었던 것처럼 한 번만 실행 목록을 사용하여 악의적인 응용 프로그램을 시작할 수 없습니다. 악의적인 사용자는 한 번 실행 목록을 이용하여 Windows XP 클라이언트 컴퓨터의 보안을 침해할 수 있는 프로그램을 설치할 수 있습니다.
**참고**: 사용자 지정된 한 번 실행 목록은 레지스트리의 다음 위치에 저장됩니다. **HKEY\_LOCAL\_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce**.
**한 번만 실행 목록 처리 안 함** 설정을 사용하면 작업 환경의 사용자들은 최소한의 기능 저하만 경험하게 되며, 특히 그룹 정책을 통해 이 정책 설정을 적용하기 전에 조직의 모든 표준 소프트웨어로 클라이언트 컴퓨터를 구성한 경우 이와 같은 최소한의 기능 저하만 나타납니다.
**한 번 만 실행 목록 처리 안 함** 설정은 EC 환경에서는 **구성되지 않음**으로, SSLF 환경에서는 **사용**으로 구성됩니다.
##### 그룹 정책
그룹 정책 개체 편집기의 다음 위치에서 지정된 다음 컴퓨터 설정을 구성할 수 있습니다.
**컴퓨터 구성\\관리 템플릿\\시스템\\그룹 정책**
**표 4.20 그룹 정책 권장 설정**
설정
EC 데스크톱
EC 랩톱
SSLF 데스크톱
SSLF 랩톱
레지스트리 정책 처리 중
사용
사용
사용
사용
###### 레지스트리 정책 처리 중
이 정책 설정은 레지스트리 정책이 업데이트될 때를 확인합니다. 또한 관리 템플릿 폴더의 모든 정책과 레지스트리에 값이 저장된 다른 정책에 영향을 줍니다. 이 정책 설정을 활성화하면 다음 옵션을 사용할 수 있습니다.
- **정기적인 백그라운드 작업을 처리하는 동안 적용 안 함**
- **변경되지 않은 경우에도 그룹 정책 개체 처리**
관리 템플릿을 통해 구성되는 일부 설정은 사용자가 액세스할 수 있는 레지스트리 영역에서 지정됩니다. 이 정책 설정을 활성화하면 이 설정에 대한 사용자 변경 내용이 덮어쓰여지지 않습니다.
**레지스트리 정책 설정 중** 설정은 이 장에 나오는 두 환경에서 **사용**으로 구성됩니다.
##### 원격 지원
그룹 정책 개체 편집기의 다음 위치에서 지정된 다음 컴퓨터 설정을 구성할 수 있습니다.
**컴퓨터 구성\\관리 템플릿\\시스템\\원격 지원**
다음 표는 원격 지원 권장 설정을 요약해서 보여 줍니다. 표 다음에 나오는 하위 섹션에 각 설정에 대한 추가 정보가 포함되어 있습니다.
**표 4.21 원격 지원 권장 설정**
설정
EC 데스크톱
EC 랩톱
SSLF 데스크톱
SSLF 랩톱
원격 지원 제공
구성되지 않음
구성되지 않음
사용 안 함
사용 안 함
원격 지원 요청
구성되지 않음
구성되지 않음
사용 안 함
사용 안 함
###### 원격 지원 제공
이 정책 설정은 사용자가 채널, 전자 메일 또는 메신저를 통해 명시적으로 도움을 요청하지 않아도 지원 담당자 또는 IT "전문" 관리자가 사용자 환경의 컴퓨터에 원격 지원을 제공할 수 있는지를 결정합니다.
**참고**: 전문가는 사용자에게 알리지 않고는 컴퓨터에 연결할 수 없으며 또한 사용자의 승인 없이 컴퓨터를 제어할 수도 없습니다. 전문가가 사용자의 컴퓨터로 연결을 시도할 때 사용자는 연결 시도를 허용하거나 거부할 수 있으며, 읽기 전용 권한을 전문가에게 줄 수 있습니다. 사용자는 **원격 지원 제공** 설정을 **사용**으로 구성한 후에 전문가가 워크스테이션을 원격에서 제어할 수 있도록 **예** 단추를 명시적으로 클릭해야 합니다.
이 정책 설정을 활성화하면 다음 옵션을 사용할 수 있습니다.
- **이 컴퓨터에 대한 읽기 전용 권한만 허용**
- **이 컴퓨터를 원격으로 제어할 수 있도록 허용**
이 정책 설정을 구성하면 원격 지원을 제공할 수 있는 "도우미"라고 하는 사용자 또는 사용자 그룹의 목록을 지정할 수 있습니다.
**도우미 목록을 구성하려면**
1. **원격 지원 제공** 설정 구성 창에서 **표시**를 클릭합니다. 도우미 이름을 입력할 수 있는 새 창이 열립니다.
2. 다음 형식 중 하나로 **도우미** 목록에 각 사용자나 그룹을 추가합니다.
- *<도메인 이름>*\\*<사용자 이름>*
- *<도메인 이름>*\\*<그룹 이름>*
이 정책 설정을 비활성화하거나 구성하지 않으면 사용자 및 그룹은 작업 환경의 컴퓨터에 요청되지 않은 원격 지원을 제공할 수 없습니다.
**원격 지원 제공** 설정은 EC 환경에서는 **구성되지 않음**이지만 SSLF 환경에서는 네트워크에서 Windows XP 클라이언트 컴퓨터에 액세스하지 못하도록 **사용 안 함**으로 구성됩니다.
###### 원격 지원 요청
이 정책 설정은 작업 환경의 Windows XP 컴퓨터에서 원격 지원을 요청할 수 있는지를 결정합니다. 사용자들이 IT "전문" 관리의 원격 지원을 요청할 수 있게 하려면 이 정책 설정을 활성화합니다.
**참고**: 전문가는 사용자에게 알리지 않고는 사용자 컴퓨터에 연결할 수 없으며 또한 사용자의 승인 없이 컴퓨터를 제어할 수도 없습니다. 전문가가 사용자의 컴퓨터로 연결을 시도할 때 사용자는 연결 시도를 허용하거나 거부할 수 있으며, 읽기 전용 권한을 전문가에게 줄 수 있습니다. 사용자는 전문가가 워크스테이션을 원격에서 제어할 수 있도록 **예** 단추를 명시적으로 클릭해야 합니다.
**요청된 원격 지원** 설정을 활성화하면 다음 옵션을 사용할 수 있습니다.
- **이 컴퓨터를 원격으로 제어할 수 있도록 허용**
- **이 컴퓨터에 대한 읽기 전용 권한만 허용**
또한 다음 옵션을 사용하여 사용자의 지원 요청이 유효 상태로 유지되는 시간을 구성할 수 있습니다.
- **최대 티켓 시간(값):**
- **최대 티켓 시간(단위): 시, 분 또는 일**
티켓(도움 요청)이 만료되면 사용자는 전문가가 컴퓨터에 연결할 수 있도록 다른 요청을 보내야 합니다. **요청된 원격 지원** 설정을 해제하면 사용자는 지원 요청을 보낼 수 없으며 전문가는 사용자 컴퓨터에 연결할 수 없습니다.
**요청된 원격 지원** 설정이 구성되지 않으면 사용자는 제어판을 통해 요청된 원격 지원을 구성할 수 있습니다. 제어판에는 기본적으로 **요청된 원격 지원**, **친구 지원** 및 **원격 제어** 설정이 활성화되어 있습니다. **최대 티켓** 시간 값은 **30일**로 설정됩니다. 이 정책 설정을 비활성화하면 어느 누구도 네트워크에서 Windows XP 클라이언트 컴퓨터에 액세스할 수 없습니다.
**요청된 원격 지원** 설정은 EC 환경에서는 **구성되지 않음**으로, SSLF 환경에서는 **사용 안 함**으로 구성됩니다.
##### 오류 보고
이러한 설정은 운영 체제 및 응용 프로그램 오류가 보고되는 방식을 제어합니다. 기본 구성에서 오류가 발생하면 Microsoft로 오류 보고서를 보낼지 묻는 팝업 대화 상자가 표시됩니다. Microsoft는 이러한 보고서를 통해 수신된 데이터를 보호하기 위해 엄격한 정책을 적용하고 있습니다. 그러나 이런 데이터는 일반 텍스트로 전송되므로 보안 위험에 노출될 수 있습니다.
Microsoft에서는 조직에서 인터넷을 통해 Microsoft로 보고서를 보내지 않고 로컬로 보고서를 수집할 수 있도록 회사 오류 보고 도구를 제공합니다. SSLF 환경에서는 회사 오류 보고 도구를 사용하여 중요한 정보가 인터넷을 통해 노출되지 않도록 하는 것이 좋습니다. 이 도구에 대한 추가 정보는 이 장 끝에 있는 "추가 정보" 섹션에서 찾을 수 있습니다.
그룹 정책 개체 편집기의 다음 위치에서 지정된 다음 컴퓨터 설정을 구성할 수 있습니다.
**컴퓨터 구성\\관리 템플릿\\시스템\\오류 보고**
다음 표는 오류 보고 권장 설정을 요약해서 보여 줍니다. 표 다음에 나오는 하위 섹션에 각 설정에 대한 추가 정보가 포함되어 있습니다.
**표 4.22 오류 보고 권장 설정**
설정
EC 데스크톱
EC 랩톱
SSLF 데스크톱
SSLF 랩톱
오류 알림 표시
사용
사용
사용
사용
오류 보고 구성
사용
사용
사용
사용
###### 오류 알림 표시
이 정책 설정은 사용자의 컴퓨터 화면에 오류 메시지가 표시될지를 제어합니다. 이 정책 설정을 활성화하면 오류가 발생할 때 오류 메시지 알림이 전송되고 사용자는 오류에 대한 세부 정보에 액세스할 수 있습니다. 이 정책 설정을 비활성화하면 사용자는 오류 알림을 볼 수 없습니다.
오류가 발생하는 경우 사용자는 이 사실을 알아야 합니다. **오류 알림 표시** 설정을 비활성화하면 사용자는 오류 사실을 알지 못합니다. 따라서 이 장에 나오는 두 환경에서 **오류 알림 표시** 설정은 **사용**으로 구성됩니다.
###### 오류 보고 구성
이 정책 설정은 오류의 보고 여부를 제어합니다. 이 정책 설정을 활성화하면 사용자는 오류 발생 시 오류를 보고할지를 선택할 수 있습니다. 오류는 인터넷을 통해 Microsoft로 보고되거나 로컬 파일 공유 위치에 보고됩니다. 이 정책 설정을 활성화하면 다음 옵션을 사용할 수 있습니다.
- **Microsoft에서 제공한 "자세한 정보" 웹 사이트로의 링크를 표시하지 않습니다.**
- **추가 파일을 수집하지 않음**
- **추가적인 컴퓨터 데이터를 수집하지 않음**
- **응용 프로그램 오류에 대해 대기열 모드 강제 설정**
- **회사 업로드 파일 경로**
- **“Microsoft”를 대신할 단어**
**오류 보고 구성** 설정을 비활성화하면 사용자는 오류를 보고할 수 없습니다. **오류 알림 표시** 설정이 활성화되면 오류 알림이 수신되지만 오류를 보고할 수는 없습니다. **오류 보고 구성** 설정을 사용하여 조직에 대한 오류 보고 전략을 사용자 지정하고 로컬 분석을 위해 보고를 수집할 수 있습니다.
**오류 보고 구성** 설정은 이 장에 나오는 두 환경에서 **사용**으로 구성됩니다. 또한 SSLF 환경의 경우 다음 옵션이 선택되었습니다.
- **추가 파일을 수집하지 않음**
- **추가적인 컴퓨터 데이터를 수집하지 않음**
- **응용 프로그램 오류에 대해 대기열 모드 강제 설정**
또한 **회사 업로드 파일 경로** 옵션을 선택하고 회사 오류 보고 도구를 설치한 서버의 경로를 포함시킬 수 있습니다. 사용할 옵션을 결정하려면 조직의 요구를 평가해야 합니다.
##### Remote Procedure Call
그룹 정책 개체 편집기의 다음 위치에서 지정된 다음 컴퓨터 설정을 구성할 수 있습니다.
**관리 템플릿\\시스템\\원격 프로시저 호출**
다음 표는 원격 프로시저 호출 권장 설정을 요약해서 보여 줍니다. 표 다음에 나오는 하위 섹션에 각 설정에 대한 추가 정보가 포함되어 있습니다.
**표 4.23 원격 프로시저 호출 권장 설정**
설정
EC 데스크톱
EC 랩톱
SSLF 데스크톱
SSLF 랩톱
인증되지 않은 RPC 클라이언트 제한
사용– 인증됨
사용– 인증됨
사용– 인증됨
사용– 인증됨
RPC 종점 매퍼 클라이언트 인증
사용 안 함
사용 안 함
사용
사용
###### 인증되지 않은 RPC 클라이언트 제한
이 정책 설정은 RPC 서버의 RPC 런타임이 인증되지 않은 RPC 클라이언트의 RPC 서버 연결을 제한하도록 구성합니다. 명명된 파이프를 사용하여 서버와 통신하거나 RPC 보안을 사용하는 클라이언트는 인증된 클라이언트로 간주됩니다. 인증되지 않은 클라이언트에서 액세스하도록 특수하게 요청된 RPC 인터페이스는 이 정책의 선택된 값에 따라 이러한 제한에서 제외될 수 있습니다. 이 정책 설정을 활성화하면 다음 값을 사용할 수 있습니다.
- **없음**: RPC 클라이언트가 정책이 적용되는 컴퓨터에서 실행되는 RPC 서버에 연결을 허용합니다.
- **인증됨**. 인증된 RPC 클라이언트만 정책이 적용되는 컴퓨터에서 실행되는 RPC 서버에 연결을 허용합니다. 이 제한에서 제외되도록 요청된 인터페이스에는 예외 권한이 부여됩니다.
- **예외 없이 인증됨**. 인증된 RPC 클라이언트만 정책이 적용되는 컴퓨터에서 실행되는 RPC 서버에 연결을 허용합니다. 예외는 허용되지 않습니다.
인증되지 않은 RPC 통신이 이루어지면 보안이 취약해질 수 있으므로 이 장에 나오는 두 환경에서 **인증되지 않은 RPC 클라이언트 제한** 설정은 **사용**으로 구성되고 **인증되지 않은 RPC 런타임 클라이언트 제한 적용** 값은 **인증됨**으로 설정됩니다.
**참고**: 이 구성이 적용되면 요청되지 않은 인바운드 연결 요청을 인증하지 않는 RPC 클라이언트는 제대로 작동하지 않을 수 있습니다. 전체 작업 환경에 이 정책 설정을 배포하기 전에 응용 프로그램을 테스트해야 합니다. 이 정책 설정을 인증됨으로 구성한다고 해도 보안이 완전하게 유지되는 것은 아니지만 작업 환경에서 응용 프로그램 호환성을 제공하는 데 도움이 될 수 있습니다.
###### RPC 종점 매퍼 클라이언트 인증
이 정책 설정을 활성화하면 이 컴퓨터와 통신하는 클라이언트 컴퓨터는 RPC 통신이 설정되기 전에 인증을 제공해야만 합니다. 기본적으로 RPC 클라이언트는 서버의 종점을 요청할 때 인증을 사용하여 RPC 서버 종점 매퍼 서비스와 통신하지 않습니다. 그러나 SSLF 환경에서는 RPC 통신이 허용되기 전에 클라이언트 컴퓨터가 인증을 받도록 이 기본값이 변경되었습니다.
##### 인터넷 통신 관리\\인터넷 통신 설정
인터넷 통신 설정 그룹에는 몇 가지 구성 설정이 포함되어 있습니다. 이 가이드에서는 컴퓨터 시스템에 있는 데이터의 기밀성을 향상시키기 위해 이러한 설정 대부분을 제한하도록 권장합니다. 이런 설정이 제한되지 않으면 공격자가 정보를 가로채 사용할 수 있습니다. 오늘날 이러한 유형의 공격이 실제로 발생하는 경우는 드물지만 이러한 설정을 적절히 구성하면 앞으로의 공격으로부터 환경을 보호하는 데 도움이 됩니다.
그룹 정책 개체 편집기의 다음 위치에서 지정된 다음 컴퓨터 설정을 구성할 수 있습니다.
**관리 템플릿\\시스템\\인터넷 통신 관리\\인터넷 통신 설정**
다음 표는 인터넷 통신 권장 설정을 요약해서 보여 줍니다. 표 다음에 나오는 하위 섹션에 각 설정에 대한 추가 정보가 포함되어 있습니다.
**표 4.24 인터넷 통신 권장 설정**
설정
EC 데스크톱
EC 랩톱
SSLF 데스크톱
SSLF 랩톱
파일 및 폴더 작업에서 웹에 게시 항목을 사용할 수 없음
사용
사용
사용
사용
웹 게시 및 온라인 주문 마법사의 인터넷 다운로드를 사용할 수 없음
사용
사용
사용
사용
Windows Messenger 고객 만족 프로그램 사용 안 함
사용
사용
사용
사용
검색 도우미의 콘텐츠 파일을 업데이트하지 않음
사용
사용
사용
사용
HTTP 인쇄 사용 안 함
사용
사용
사용
사용
HTTP로 인쇄 드라이버 다운로드 안 함
사용
사용
사용
사용
Windows Update 장치 드라이버 검색 안 함
사용 안 함
사용 안 함
사용
사용
###### 파일 및 폴더 작업에서 웹에 게시 항목을 사용할 수 없음
이 정책 설정은 Windows 폴더의 파일 및 폴더 작업에서 **파일을 웹에 게시**, **폴더를 웹에 게시** 및 **항목을 웹에 게시** 작업을 사용할 수 있는지 여부를 지정합니다. 웹 게시 마법사는 공급자 목록을 다운로드하고 사용자가 콘텐츠를 웹에 게시하도록 도와줍니다.
**파일 및 폴더 작업에서 웹에 게시 항목을 사용할 수 없음** 설정을 **사용**으로 구성하면 Windows 폴더의 파일 및 폴더 작업에서 이러한 옵션이 제거됩니다. 기본적으로 웹에 게시하는 옵션은 사용할 수 있습니다. 이 기능을 사용하면 인증되지 않은 웹 클라이언트 컴퓨터에 보안 콘텐츠가 노출될 수 있으므로 이 정책 설정은 EC 및 SSLF 환경에서 **사용**으로 구성됩니다.
###### 웹 게시 및 온라인 주문 마법사의 인터넷 다운로드를 사용할 수 없음
이 정책 설정은 Windows에서 웹 게시 및 온라인 주문 마법사의 공급자 목록을 다운로드할지를 제어합니다. 이 정책 설정을 활성화하면 Windows에서는 공급자를 다운로드할 수 없으며 로컬 레지스트리에 캐시된 서비스 공급자만 표시됩니다.
**파일 또는 폴더 작업에서 웹에게시 항목을 사용할 수 없음** 설정은 EC 및 SSLF 환경 둘 다에서 활성화되었으므로(이전 설정 참조) 이 옵션이 필요하지 않습니다. 그러나 **웹 게시 및 온라인 주문 마법사의 인터넷 다운로드를 사용할 수 없음** 설정은 클라이언트 컴퓨터의 공격 노출 범위를 최소화하고 이러한 기능이 다른 방식으로 이용될 수 없도록 **사용**으로 구성됩니다.
###### Windows Messenger 고객 만족 프로그램 사용 안 함
이 정책 설정은 Windows Messenger가 Windows Messenger 소프트웨어 및 서비스 사용 방식에 대한 익명 정보를 수집할 수 있는지를 지정합니다. 이 정책 설정을 활성화하면 Windows Messenger가 사용 정보를 수집하지 않고 사용 정보의 수집을 활성화하는 사용자 설정이 표시되지 않습니다.
대기업 환경에서는 관리되는 클라이언트 컴퓨터에서 정보를 수집하지 않으려고 할 수 있습니다. 이 장에 나오는 두 환경에서는 정보가 수집되지 않도록 하기 위해 **Windows Messenger 고객 만족 프로그램 사용 안 함** 설정이 **사용**으로 구성됩니다.
###### 검색 도우미의 콘텐츠 파일을 업데이트하지 않음
이 정책 설정은 로컬 및 인터넷 검색 중에 검색 도우미가 콘텐츠 업데이트를 자동으로 다운로드할지를 지정합니다. 이 정책 설정을 **사용**으로 구성하면 검색 도우미는 검색 중에 콘텐츠 업데이트를 다운로드할 수 없습니다.
EC 및 SSLF 환경에서는 관리되는 각 클라이언트 컴퓨터와 불필요한 네트워크 통신이 이루어지지 않도록 **검색 도우미의 콘텐츠 파일을 업데이트하지 않음** 설정이 **사용**으로 구성됩니다.
**참고**: 인터넷 검색을 수행할 경우 검색 텍스트 및 검색에 관한 정보가 Microsoft와 검색 서비스 공급자에게 전송됩니다. 이전 버전 검색 기능을 선택하면 검색 도우미 기능을 사용할 수 없습니다. **시작**, **검색**, **기본 설정 변경** 및 **인터넷 검색 동작 변경**을 차례로 클릭하여 이전 버전 검색을 선택할 수 있습니다.
###### HTTP 인쇄 사용 안 함
이 정책 설정을 사용하면 HTTP를 통해 인터넷 및 인트라넷의 프린터로 인쇄할 수 있는 클라이언트 컴퓨터의 기능을 비활성화할 수 있습니다. 이 정책 설정을 활성화하면 클라이언트 컴퓨터는 HTTP를 통해 인터넷 프린터로 인쇄할 수 없습니다.
이 기능을 사용하여 HTTP를 통해 전송되는 정보는 보호되지 않으므로 악의적인 사용자가 가로챌 수 있습니다. 따라서 이 정책 설정은 엔터프라이즈 환경에서는 별로 사용되지 않습니다. 보안되지 않은 인쇄 작업으로 인해 보안이 침해되지 않도록 하기 위해 EC 및 SSLF 환경에서는 **HTTP 인쇄 사용 안 함** 설정이 **사용**으로 구성됩니다.
**참고**: 이 정책 설정은 인터넷 인쇄의 클라이언트쪽에만 영향을 줍니다. 이 설정을 어떻게 구성했는지에 관계없이 특정 컴퓨터를 인터넷 인쇄 서버로 지정하고 해당 컴퓨터의 공유되는 프린터를 HTTP를 통해 사용하도록 할 수 있습니다.
###### HTTP로 인쇄 드라이버 다운로드 안 함
이 정책 설정은 컴퓨터가 HTTP를 통해 인쇄 드라이버 패키지를 다운로드할 수 있는지를 제어합니다. HTTP 인쇄를 설정하려면 표준 운영 체제 설치에서 사용할 수 없는 프린터 드라이버를 HTTP를 통해 다운로드해야 할 수 있습니다.
HTTP를 통해 인쇄 드라이버가 다운로드되지 않도록 하기 위해 **HTTP로 인쇄 드라이버 다운로드 안 함** 설정은 **사용**으로 구성됩니다.
**참고**: 이 정책 설정을 사용한다고 해서 클라이언트 컴퓨터가 HTTP를 통해 인트라넷이나 인터넷의 프린터로 인쇄하지 못하는 것은 아니며 아직 로컬로 설치되어 있지 않은 드라이버가 다운로드되지 않을 뿐입니다.
###### Windows Update 장치 드라이버 검색 안 함
이 정책 설정은 장치에 대한 로컬 드라이버가 없을 때 Windows가 Windows Update에서 장치 드라이버를 검색할지를 지정합니다.
인터넷에서 장치 드라이버를 다운로드하면 위험할 수 있으므로 **Windows Update 장치 드라이버 검색을 묻지 않음** 설정은 SSLF 환경에서는 **사용**으로, EC 환경에서는 **사용 안 함**으로 구성됩니다. 드라이버 다운로드를 이용할 수 있는 공격의 유형은 엔터프라이즈 리소스 및 구성을 적절히 관리하면 완화시킬 수 있으므로 이러한 구성이 권장됩니다.
**참고**: **관리 템플릿/시스템**의 **Windows Update 장치 드라이버 검색을 묻지 않음** 설정을 참조하십시오. 이 정책 설정은 장치 드라이버를 로컬로 찾을 수 없을 때 Windows Update에서 검색할지 묻는 확인 메시지를 표시할지를 제어합니다.
#### 네트워크
그룹 정책의 네트워크 컨테이너에는 보안과 관련된 특별한 구성이 없습니다. 그러나 다음 섹션에 설명되는 것처럼 **네트워크 연결\\Windows 방화벽** 컨테이너에는 중요한 많은 설정이 포함되어 있습니다.
다음 그림에서는 이 섹션의 설정 변경으로 인해 영향을 받게 될 그룹 정책의 섹션을 보여 줍니다.
[.gif)](https://technet.microsoft.com/ko-kr/cc163076.sgfg0404_big(ko-kr,technet.10).gif)
**그림 4.4 컴퓨터 구성 네트워크 연결에 대한 그룹 정책 구조**
#### 네트워크 연결\\Windows 방화벽
Windows 방화벽 설정은 도메인 프로필과 표준 프로필의 두 프로필로 구성됩니다. 도메인 환경이 감지되면 도메인 프로필이 사용되고 도메인 환경을 사용할 수 없으면 표준 프로필이 사용됩니다.
다음 두 표 중 하나에서 Windows 방화벽 설정이 **권장**이면 조직마다 사용할 수 있는 값이 다릅니다. 예를 들어 각 조직에서는 Windows 방화벽에 대해 정의된 예외를 요구하는 고유한 응용 프로그램 목록을 보유할 수 있습니다. 따라서 이 가이드에서 유용하게 사용될 수 있는 목록을 정의하는 것은 쉽지 않습니다.
예외를 필요로 할 수 있는 응용 프로그램이나 포트를 결정해야 하는 경우에는 Windows 방화벽 로깅, Windows 방화벽 감사 및 네트워크 추적을 사용하는 것이 도움이 됩니다. 자세한 내용은 “[Windows 방화벽 문제 해결을 위해 컴퓨터 구성](https://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/operations/bfdeda55-46fc-4b53-b4cd-c71838ef4b41.mspx)”(www.microsoft.com/technet/prodtechnol/windowsserver2003/
library/Operations/bfdeda55-46fc-4b53-b4cd-c71838ef4b41.mspx) 문서를 참조하십시오.
Windows XP에서 NLA(Network Location Awareness)를 사용하여 연결된 네트워크 종류를 확인하는 방법에 대한 자세한 내용은 "[네트워크 관련 그룹 정책 설정에 대한 네트워크 결정 동작](https://www.microsoft.com/technet/community/columns/cableguy/cg0504.mspx)"(www.microsoft.com/technet/community/columns/cableguy/cg0504.mspx)을 참조하십시오.
일반적으로 도메인 환경이 추가적인 보호 계층을 제공하므로 도메인 프로필은 표준 프로필보다 덜 제한적으로 구성됩니다.
정책 설정 이름은 두 프로필에서 동일합니다. 다음 두 표에서는 두 프로필의 정책 설정을 요약해서 보여 줍니다. 자세한 설명은 표 다음에 나오는 하위 섹션에 제공됩니다.
##### 네트워크 연결\\Windows 방화벽\\도메인 프로필
이 섹션의 설정은 Windows 방화벽 도메인 프로필을 구성합니다.
그룹 정책 개체 편집기의 다음 위치에서 지정된 다음 컴퓨터 설정을 구성할 수 있습니다.
**관리 템플릿\\네트워크\\네트워크 연결\\Windows 방화벽\\도메인 프로필**
**표 4.25 Windows 방화벽 도메인 프로필 권장 설정**
설정
EC 데스크톱
EC 랩톱
SSLF 데스크톱
SSLF 랩톱
모든 네트워크 연결을 보호
사용
사용
사용
사용
예외 허용 안 함
권장되지 않음
권장되지 않음
권장되지 않음
권장되지 않음
예외 프로그램 정의
권장
권장
권장
권장
예외 로컬 프로그램 허용
권장되지 않음
권장되지 않음
사용 안 함
사용 안 함
원격 관리 허용
권장
권장
사용 안 함
사용 안 함
파일 및 프린터 공유 허용
사용 안 함
사용 안 함
사용 안 함
사용 안 함
ICMP 허용
권장되지 않음
권장되지 않음
권장되지 않음
권장되지 않음
원격 데스크톱 허용
권장
권장
사용 안 함
사용 안 함
UPnP 프레임워크 허용
권장되지 않음
권장되지 않음
권장되지 않음
권장되지 않음
알림 금지
권장되지 않음
권장되지 않음
권장되지 않음
권장되지 않음
멀티캐스트 또는 브로드캐스트 요청에 대한 유니캐스트 응답을 금지
사용
사용
사용
사용
예외 포트 정의
권장되지 않음
권장되지 않음
권장되지 않음
권장되지 않음
예외 로컬 포트 허용
사용 안 함
사용 안 함
사용 안 함
사용 안 함
**참고**: 이 표에서 Windows 방화벽 설정이 **권장**이면 조직마다 사용할 수 있는 값이 다릅니다. 예를 들어 각 조직에서는 Windows 방화벽에 대해 정의된 예외를 요구하는 고유한 응용 프로그램 목록을 보유할 수 있습니다. 따라서 이 가이드에서 유용하게 사용될 수 있는 목록을 정의하는 것은 쉽지 않습니다.
##### 네트워크 연결\\Windows 방화벽\\표준 프로필
이 섹션의 설정은 Windows 방화벽 표준 프로필을 구성합니다. 도메인 환경이 기본 수준의 보안을 제공한다고 가정할 경우 일반적으로 이 프로필이 도메인 프로필보다 좀 더 제한적입니다. 표준 프로필은 컴퓨터가 호텔 네트워크나 공용 무선 액세스 지점과 같은 신뢰할 수 없는 네트워크에 연결되어 있을 때 주로 사용됩니다. 이러한 환경에서는 알 수 없는 보안 위협이 발생할 수 있으므로 추가적인 보안 조치가 필요합니다.
그룹 정책 개체 편집기의 다음 위치에서 지정된 다음 컴퓨터 설정을 구성할 수 있습니다.
**관리 템플릿\\네트워크\\네트워크 연결\\Windows 방화벽\\표준 프로필**
**표 4.26 Windows 방화벽 표준 프로필 권장 설정**
설정
EC 데스크톱
EC 랩톱
SSLF 데스크톱
SSLF 랩톱
모든 네트워크 연결을 보호
사용
사용
사용
사용
예외 허용 안 함
권장
권장
권장
권장
예외 프로그램 정의
권장
권장
권장
권장
예외 로컬 프로그램 허용
권장되지 않음
권장되지 않음
사용 안 함
사용 안 함
원격 관리 허용
사용 안 함
사용 안 함
사용 안 함
사용 안 함
파일 및 프린터 공유 허용
사용 안 함
사용 안 함
사용 안 함
사용 안 함
ICMP 허용
사용 안 함
사용 안 함
사용 안 함
사용 안 함
원격 데스크톱 허용
사용
사용
사용 안 함
사용 안 함
UPnP 프레임워크 허용
사용 안 함
사용 안 함
사용 안 함
사용 안 함
알림 금지
권장되지 않음
권장되지 않음
권장되지 않음
권장되지 않음
멀티캐스트 또는 브로드캐스트 요청에 대한 유니캐스트 응답을 금지
사용
사용
사용
사용
예외 포트 정의
권장되지 않음
권장되지 않음
권장되지 않음
권장되지 않음
예외 로컬 포트 허용
사용 안 함
사용 안 함
사용 안 함
사용 안 함
**참고**: 이 표에서 Windows 방화벽 설정이 **권장**이면 조직마다 사용할 수 있는 값이 다릅니다. 예를 들어 각 조직에서는 Windows 방화벽에 대해 정의된 예외를 요구하는 고유한 응용 프로그램 목록을 보유할 수 있습니다. 따라서 이 가이드에서 유용하게 사용될 수 있는 목록을 정의하는 것은 쉽지 않습니다.
###### Windows 방화벽: 모든 네트워크 연결을 보호
이 정책 설정을 사용하면 Windows XP SP2가 실행되는 모든 컴퓨터에서 인터넷 연결 방화벽 대신 사용되는 Windows 방화벽을 사용할 수 있습니다. 이 가이드에서는 이 가이드에 나오는 모든 환경의 컴퓨터에서 모든 네트워크 연결을 보호하도록 이 정책 설정을 **사용**으로 구성할 것을 권장합니다.
**Windows 방화벽: 모든 네트워크 연결을 보호** 설정을 **사용 안 함**으로 구성하면 Windows 방화벽이 해제되고 Windows 방화벽에 대한 설정은 모두 무시됩니다.
**참고**: 이 정책 설정을 활성화하면 Windows 방화벽이 실행되며 **컴퓨터 구성\\관리 템플릿\\네트워크\\네트워크 연결\\사용자의 DNS 도메인 네트워크에서 인터넷 연결 방화벽의 사용을 금지** 설정은 무시됩니다.
###### Windows 방화벽: 예외 허용 안 함
이 정책 설정은 Windows 방화벽이 요청되지 않은 들어오는 모든 메시지를 차단하도록 합니다. 이 설정은 이러한 메시지를 허용하는 다른 모든 Windows 방화벽 설정보다 우선적으로 적용됩니다. 제어판의 Windows 방화벽 구성 요소에서 이 정책 설정을 활성화하면 **예외 허용 안 함** 확인란이 선택되며 관리자는 선택을 취소할 수 없습니다.
많은 작업 환경에는 정상적인 작동 중에 요청되지 않은 인바운드 통신의 수신을 허용해야 하는 응용 프로그램 및 서비스가 포함되어 있습니다. 이러한 환경에서는 해당 응용 프로그램 및 서비스가 제대로 실행될 수 있도록 **Windows 방화벽: 예외 허용 안 함** 설정을 **사용 안 함**으로 구성해야 할 수 있습니다. 그러나 이러한 정책 설정을 구성하기 전에 작업 환경을 테스트하여 정확히 어떤 통신을 허용해야 하는지 결정해야 합니다.
**참고**: 이 정책 설정은 외부 공격자를 막는 강력한 방어 장치를 제공하므로 새로운 발생한 네트워크 웜과 같은 외부 공격으로부터 완전히 보호해야 하는 경우에는 이 정책을 **사용**으로 설정해야 합니다. 이 정책 설정을 **사용 안 함**으로 설정하면 Windows 방화벽은 요청되지 않은 들어오는 메시지를 허용하는 다른 정책 설정을 적용할 수 있습니다.
###### Windows 방화벽: 예외 프로그램 정의
일부 응용 프로그램에서는 Windows 방화벽이 일반적으로 허용하지 않는 네트워크 포트를 열어 사용해야 할 수 있습니다. **Windows 방화벽: 예외 프로그램 정의** 설정은 그룹 정책에 정의된 예외 프로그램 목록을 보고 변경할 수 있도록 합니다.
이 정책 설정이 **사용**이면 예외 프로그램 목록을 보고 변경할 수 있습니다. 이 목록에 프로그램을 추가하고 해당 상태를 **사용**으로 설정하면 해당 프로그램은 Windows 방화벽에 열도록 요청한 어떠한 포트에서도 요청되지 않은 들어오는 메시지를 수신할 수 있습니다. 해당 포트가 다른 설정에 의해 차단되었는지 여부는 관계가 없습니다. 이 정책 설정을 **사용 안 함**으로 구성하면 그룹 정책에 정의된 예외 프로그램 목록이 삭제됩니다.
**참고**: 잘못된 정의 문자열을 입력해도 Windows 방화벽은 오류를 검사하지 않고 목록에 그냥 추가합니다. 이와 같이 항목이 검사되지 않으므로 아직 설치되지 않은 프로그램을 추가할 수 있습니다. 또한 서로 충돌하는 범위 또는 상태 값을 지정하여 동일한 프로그램에 대해 여러 예외를 만들 수도 있습니다.
###### Windows 방화벽: 예외 로컬 프로그램 허용
이 정책 설정은 관리자가 제어판의 Windows 방화벽 구성 요소를 사용하여 예외 로컬 프로그램 목록을 정의할 수 있는지를 제어합니다. 이 정책 설정을 비활성화하면 관리자는 예외 로컬 프로그램 목록을 정의할 수 없습니다. 또한 이 구성을 사용하면 그룹 정책에서 가져온 예외 프로그램을 그대로 사용해야 합니다. 이 정책 설정을 활성화하면 로컬 관리자는 제어판을 사용하여 예외 프로그램을 로컬로 정의할 수 있습니다.
엔터프라이즈 클라이언트 컴퓨터에서는 로컬 예외 프로그램을 한정하는 조건이 있을 수 있습니다. 이러한 조건에는 조직의 방화벽 정책이 생성될 때 분석되지 않은 응용 프로그램이나 비표준 포트 구성을 필요로 하는 새로운 응용 프로그램 등이 포함될 수 있습니다. 이러한 환경에서 **Windows 방화벽: 예외 로컬 프로그램 허용** 설정을 활성화하도록 선택한 경우 영향 받은 컴퓨터의 공격 노출 범위가 증가할 수 있습니다.
###### Windows 방화벽: 원격 관리 허용
많은 조직에서는 일상적인 작업에서 원격 컴퓨터 관리를 활용합니다. 그러나 원격 관리 프로그램에 주로 사용되는 포트가 공격에 이용될 수 있으므로 Windows 방화벽은 이러한 포트를 차단할 수 있습니다.
보다 유연한 원격 관리를 위해 **Windows 방화벽: 원격 관리 허용** 설정을 사용할 수 있습니다. 이 정책 설정을 활성화하면 컴퓨터는 TCP 포트 135 및 445에서 원격 관리와 연관된 요청되지 않은 들어오는 메시지를 수신할 수 있습니다. 또한 이 정책 설정을 사용하면 Svchost.exe 및 Lsass.exe에서 요청되지 않은 들어오는 메시지를 수신할 수 있고 호스팅된 서비스가 동적으로 할당된 추가 포트를 열 수 있습니다. 이 포트의 범위는 일반적으로 1024부터 1034까지이지만 1024부터 65535까지의 어떤 번호도 될 수 있습니다. 이 정책 설정을 활성화할 경우 이러한 들어오는 메시지가 허용되는 IP 주소 또는 서브넷을 지정해야 합니다.
**Windows 방화벽: 원격 관리 허용** 설정을 **사용 안 함**으로 구성하면 Windows 방화벽은 설명된 어떠한 예외도 만들지 않습니다. 이 정책 설정을 **사용 안 함**으로 구성하면 많은 원격 관리 도구 및 보안 취약성을 검사하는 도구가 제대로 작동되지 않으므로 대부분의 조직에서 권장되지 않습니다. 따라서 보안이 아주 중요한 조직에서만 이 정책 설정을 활성화하는 것이 좋습니다.
도메인 프로필의 경우 **Windows 방화벽: 원격 관리 허용** 설정을 EC 환경의 컴퓨터에서는 **사용**으로(가능한 경우), SSLF 환경의 컴퓨터에서는 **사용 안 함**으로 구성하는 것이 좋습니다. 작업 환경의 컴퓨터는 최대한 적은 수의 컴퓨터로부터 원격 관리 요청을 수락해야 합니다. Windows 방화벽에 의한 보호를 최대화하려면 원격 관리에 사용되는 컴퓨터의 필요한 IP 주소 및 서브넷만 지정하도록 합니다.
이러한 유형의 공격을 방지하려면 **Windows 방화벽: 원격 관리 허용** 설정을 **사용 안 함**으로 구성하는 것이 좋습니다.
**참고**: 만일 어떠한 정책 설정이 TCP 포트 445를 열면 **Windows 방화벽: ICMP 허용** 정책 설정이 수신 ICMP 에코 요청 메시지(예: PING 유틸리티가 전송하는 메시지)를 차단하려고 해도 Windows 방화벽은 해당 메시지를 허용합니다. TCP 포트 445를 열 수 있는 정책 설정에는 **Windows 방화벽: 파일 및 프린터 공유 허용**, **Windows 방화벽: 원격 관리 허용** 및 **Windows 방화벽: 예외 포트 정의**가 포함됩니다.
###### Windows 방화벽: 파일 및 프린터 공유 허용
이 정책 설정은 파일 및 프린터 공유를 허용하는 예외를 만듭니다. 또한 UDP 포트 137 및 138과 TCP 포트 139 및 445를 열도록 Windows 방화벽을 구성합니다. 이 정책 설정을 활성화하면 Windows 방화벽에서 이러한 포트를 열고 컴퓨터가 인쇄 작업 및 공유 파일 액세스 요청을 받을 수 있습니다. 이러한 메시지를 허용하는 IP 주소 또는 서브넷을 지정해야 합니다.
**Windows 방화벽: 파일 및 프린터 공유 허용** 설정을 비활성화하면 Windows 방화벽은 이러한 포트를 차단하고 컴퓨터가 파일 및 프린터를 공유할 수 없도록 합니다.
작업 환경에서 Windows XP가 실행되는 컴퓨터는 일반적으로 파일 및 프린터를 공유하지 않으므로 이 장에 나오는 두 환경에서 **Windows 방화벽: 파일 및 프린터 공유 허용** 설정을 **사용 안 함**으로 구성하는 것이 좋습니다.
**참고**: 만일 어떠한 정책 설정이 TCP 포트 445를 열면 **Windows 방화벽: ICMP 허용** 정책 설정이 수신 ICMP 에코 요청 메시지(예: PING 유틸리티가 전송하는 메시지)를 차단하려고 해도 Windows 방화벽은 해당 메시지를 허용합니다. TCP 포트 445를 열 수 있는 정책 설정에는 **Windows 방화벽: 파일 및 프린터 공유 허용**, **Windows 방화벽: 원격 관리 허용** 및 **Windows 방화벽: 예외 포트 정의**가 포함됩니다.
###### Windows 방화벽: ICMP 허용
이 정책 설정은 Windows 방화벽이 허용하는 ICMP(Internet Control Message Protocol) 메시지 유형 모음을 정의합니다. 유틸리티에서는 ICMP 메시지를 사용하여 다른 컴퓨터의 상태를 확인할 수 있습니다. 예를 들어 PING은 에코 요청 메시지를 사용합니다.
**Windows 방화벽: ICMP 허용** 설정을 **사용**으로 구성하면 Windows 방화벽은 해당 컴퓨터가 주고받을 수 있는 ICMP 메시지 유형을 지정해야 합니다. 이 정책 설정을 **사용 안 함**으로 구성하면 Windows 방화벽은 요청되지 않은 모든 인바운드 ICMP 메시지 유형과 나열된 아웃바운드 ICMP 메시지 유형을 차단합니다. 따라서 ICMP에 의존하는 유틸리티는 작동되지 않을 수 있습니다.
많은 공격자 도구는 ICMP 메시지 유형을 받아들이는 컴퓨터를 이용하며 이러한 메시지를 사용하여 다양한 공격을 수행합니다. 그러나 일부 응용 프로그램은 제대로 작동하기 위해 특정 ICMP 메시지를 요구합니다. 또한 ICMP 메시지는 그룹 정책을 다운로드하여 처리할 때 네트워크 성능을 측정하는 데 사용됩니다. 따라서 ICMP 메시지가 차단되면 영향 받는 시스템에 그룹 정책을 적용할 수 없습니다. 따라서 가능한 경우 **Windows 방화벽: ICMP 허용** 설정을 **사용 안 함**으로 구성하는 것이 좋습니다. 작업 중에 일부 ICMP 메시지가 Windows 방화벽을 통과해야 할 경우 적절한 메시지 유형을 지정하여 이 정책 설정을 구성해야 합니다.
이렇게 하면 컴퓨터가 신뢰할 수 없는 네트워크에 연결될 때마다 **Windows 방화벽: ICMP 허용** 설정이 **사용 안 함**으로 구성됩니다.
**참고**: 만일 어떠한 정책 설정이 TCP 포트 445를 열면 **Windows 방화벽: ICMP 허용** 정책 설정이 수신 ICMP 에코 요청 메시지(예: PING 유틸리티가 전송하는 메시지)를 차단하려고 해도 Windows 방화벽은 해당 메시지를 허용합니다. TCP 포트 445를 열 수 있는 정책 설정에는 **Windows 방화벽: 파일 및 프린터 공유 허용**, **Windows 방화벽: 원격 관리 허용** 및 **Windows 방화벽: 예외 포트 정의**가 포함됩니다.
###### Windows 방화벽: 원격 데스크톱 허용
많은 조직에서는 정상적인 문제 해결 절차나 작업에서 원격 데스크톱 연결을 사용합니다. 그러나 원격 데스크톱에서 주로 사용되는 포트가 공격이 이용될 수 있습니다.
보다 유연한 원격 관리를 위해 **Windows 방화벽: 원격 데스크톱 허용** 예외 설정을 사용할 수 있습니다. 이 정책 설정을 활성화하면 Windows 방화벽은 인바운드 연결을 위해 TCP 포트 3389를 엽니다. 또한 이러한 인바운드 메시지를 허용하는 IP 주소 또는 서브넷을 지정해야 합니다.
이 정책 설정을 비활성화하면 Windows 방화벽은 해당 포트를 차단하고 컴퓨터가 원격 데스크톱 요청을 받아들일 수 없도록 합니다. 관리자가 해당 포트를 열기 위해 예외 로컬 포트 목록에 추가하면 Windows 방화벽은 포트를 열지 않습니다.
일부 공격에서는 열린 포트 3389가 이용될 수 있으므로 SSLF 환경에서는 **Windows 방화벽: 원격 데스크톱 허용** 설정을 **사용 안 함**으로 구성하는 것이 좋습니다. EC 환경에서는 원격 데스크톱이 제공하는 고급 관리 기능을 유지하기 위해 이 정책 설정을 **사용**으로 구성해야 합니다. 원격 관리에 사용되는 컴퓨터의 IP 주소 및 서브넷을 지정해야 합니다. 작업 환경의 컴퓨터에서는 최대한 작은 수의 컴퓨터로부터 원격 데스크톱 요청을 수락해야 합니다.
###### Windows 방화벽: UPnP 프레임워크 허용
이 정책 설정을 사용하면 컴퓨터가 기본 제공 방화벽이 있는 라우터 등의 네트워크 장치에서 전송하는 요청하지 않은 플러그 앤 플레이 메시지를 수신할 수 있습니다. 이러한 메시지를 수신하기 위해 Windows 방화벽은 TCP 포트 2869 및 UDP 포트 1900을 엽니다.
**Windows 방화벽: UPnP 프레임워크 허용** 설정을 활성화하면 Windows 방화벽은 해당 포트를 열어 컴퓨터가 플러그 앤 플레이 메시지를 수신할 수 있습니다. 이러한 인바운드 메시지를 허용하는 IP 주소 또는 서브넷을 지정해야 합니다. 이 정책 설정을 비활성화하면 Windows 방화벽은 해당 포트를 닫아 컴퓨터가 플러그 앤 플레이 메시지를 수신하지 못하도록 합니다.
UPnP 네트워크 트래픽을 효과적으로 차단하면 작업 환경의 컴퓨터가 공격에 노출될 가능성이 줄어듭니다. 신뢰할 수 있는 네트워크에서는 UPnP 장치를 사용하지 않을 경우 **Windows 방화벽: UPnP 프레임워크 허용** 설정을 **사용 안 함**으로 구성하는 것이 좋습니다. 신뢰할 수 없는 환경에서는 이 정책 설정이 항상 **사용 안 함**이어야 합니다.
###### Windows 방화벽: 알림 금지
Windows 방화벽은 특정 프로그램이 예외 프로그램 목록에 프로그램을 추가하도록 요청할 때 알림을 표시할 수 있습니다. 프로그램이 포트를 열려고 하지만 현재의 Windows 방화벽 규칙 때문에 열 수 없을 때 이러한 상황이 발생합니다.
**Windows 방화벽: 알림 금지** 설정은 이러한 설정이 사용자에게 표시될지를 결정합니다. 이 정책 설정을 **사용**으로 구성하면 Windows 방화벽은 이러한 알림이 표시되지 않도록 하고 **사용 안 함**으로 구성하면 Windows 방화벽은 이러한 알림이 표시되도록 허용합니다.
일반적으로 EC 또는 SSLF 환경에서 사용자들은 이러한 메시지에 응답하여 응용 프로그램 및 포트를 추가할 수 없습니다. 이러한 경우 해당 메시지는 사용자가 제어할 수 없는 기능을 사용하려고 한다는 사실을 알려 주며, **Windows 방화벽: 알림 금지** 설정을 **사용**으로 구성해야 합니다. 일부 사용자에 대해 예외가 허용되는 다른 환경에서는 이 정책 설정을 **사용 안 함**으로 구성해야 합니다.
###### Windows 방화벽: 멀티캐스트 또는 브로드캐스트 요청에 대한 유니캐스트 응답을 금지
이 정책 설정은 컴퓨터가 나가는 멀티캐스트 또는 브로드캐스트 메시지에 대한 유니캐스트 응답을 수신하는 것을 방지합니다. 이 정책을 활성화한 상태에서 컴퓨터가 멀티캐스트 또는 브로드캐스트 메시지를 다른 컴퓨터로 전송하면 Windows 방화벽은 다른 컴퓨터에서 보낸 유니캐스트 응답을 차단합니다. 이 정책을 비활성화한 상태에서 이 컴퓨터가 멀티캐스트 또는 브로드캐스트 메시지를 다른 컴퓨터로 전송하면 Windows 방화벽은 최대 3초까지 다른 컴퓨터의 유니캐스트 응답을 기다렸다가 그 이후의 모든 응답을 차단합니다.
일반적으로는 멀티캐스트 또는 브로드캐스트 메시지에 대한 유니캐스트 응답을 수신하지 않으려 할 수 있습니다. 이러한 응답은 DoS(서비스 거부) 공격이나 알려진 컴퓨터를 검색하려는 시도일 수 있습니다. 이러한 유형의 공격을 방지하려면 **Windows 방화벽: 멀티캐스트 또는 브로드캐스트 요청에 대한 유니캐스트 응답을 금지** 설정을 **사용**으로 구성하는 것이 좋습니다.
**참고**: 유니캐스트 메시지가 이 컴퓨터에서 보낸 DHCP 브로드캐스트 메시지에 대한 응답일 경우 이 정책 설정은 적용되지 않습니다. Windows 방화벽은 항상 해당 DHCP 유니캐스트 응답을 허용합니다. 그러나 이 정책 설정은 이름 충돌을 감지하는 NetBIOS 메시지를 방해할 수 있습니다.
###### Windows 방화벽: 예외 포트 정의
Windows 방화벽 예외 포트 목록은 그룹 정책을 통해 정의되며 사용자가 중앙에서 예외 포트를 관리 및 배포할 수 있고 로컬 관리자가 보안이 약한 설정을 만들 수 없습니다.
**Windows 방화벽: 예외 포트 정의** 설정을 활성화하면 그룹 정책에 정의된 예외 포트 목록을 보고 변경할 수 있습니다. 예외 포트 목록을 보고 수정하려면 해당 설정을 **사용**으로 설정한 후 **표시** 단추를 클릭합니다. 잘못된 정의 문자열을 입력해도 Windows 방화벽은 오류를 검사하지 않고 목록에 그냥 추가합니다. 따라서 서로 충돌하는 범위 또는 상태 값을 지정하여 동일한 포트에 대해 여러 항목을 만들 수도 있습니다.
**Windows 방화벽: 예외 포트 정의** 설정을 비활성화하면 그룹 정책에 정의된 예외 포트 목록이 삭제되지만 다른 설정으로 포트를 계속 열거나 차단할 수 있습니다. 또한 예외 로컬 포트 목록이 있어도 **Windows 방화벽: 예외 로컬 포트 허용** 설정을 활성화하지 않으면 무시됩니다.
특정 포트를 열도록 요구하는 비표준 응용 프로그램이 설치된 환경에서는 예외 포트 대신 예외 프로그램을 고려해야 합니다. 이러한 유형의 공격을 방지하려면 **Windows 방화벽: 예외 포트 정의** 설정을 **사용**으로 구성하고 예외 프로그램을 정의할 수 없을 때만 예외 포트 목록을 지정하는 것이 좋습니다. 예외 프로그램은 지정된 프로그램이 실행되는 동안에만 Windows 방화벽이 요청되지 않은 네트워크 트래픽을 수락할 수 있으며 예외 포트는 지정된 포트를 항상 열어 둡니다.
**참고**: 만일 어떠한 정책 설정이 TCP 포트 445를 열면 **Windows 방화벽: ICMP 허용** 정책 설정이 수신 ICMP 에코 요청 메시지(예: PING 유틸리티가 전송하는 메시지)를 차단하려고 해도 Windows 방화벽은 해당 메시지를 허용합니다. TCP 포트 445를 열 수 있는 정책 설정에는 **Windows 방화벽: 파일 및 프린터 공유 허용**, **Windows 방화벽: 원격 관리 허용** 및 **Windows 방화벽: 예외 포트 정의**가 포함됩니다.
###### Windows 방화벽: 예외 로컬 포트 허용
이 정책 설정을 사용하면 관리자가 제어판의 Windows 방화벽 구성 요소를 사용하여 예외 로컬 포트 목록을 정의할 수 있습니다. Windows 방화벽에서는 두 개의 예외 포트 목록을 사용할 수 있습니다. 나머지 한 목록은 **Windows 방화벽: 예외 포트 정의** 설정을 통해 정의됩니다.
**Windows 방화벽: 예외 로컬 포트 허용** 설정을 활성화하면 관리자는 제어판의 Windows 방화벽 구성 요소에서 예외 로컬 포트 목록을 정의할 수 있습니다. 이 정책 설정을 비활성화하면 제어판의 Windows 방화벽 구성 요소에서 이러한 목록을 정의할 수 없습니다.
일반적으로 EC 또는 SSLF 보안 환경에서 로컬 관리자는 조직 정책을 재정의하고 자체의 예외 포트 목록을 설정할 수 있는 권한이 없습니다. 따라서 **Windows 방화벽: 예외 로컬 포트 허용** 설정이 **사용 안 함**으로 구성됩니다.
[](#mainsection)[페이지 위쪽](#mainsection)
### 사용자 구성 설정
이 장의 나머지 섹션에서는 사용자 구성 권장 설정에 대해 설명합니다. 이러한 설정은 컴퓨터가 아닌 사용자에게만 적용하면 됩니다. 또한 이러한 설정은 구성하려는 사용자가 포함되어 있는 OU에 연결된 그룹 정책에서 구현합니다. 메모리를 새로 고치려는 경우 2장의 그림 2.3 “Windows XP 기반 데스크톱 및 랩톱 컴퓨터를 수용할 수 있는 확장된 OU 구조”를 참조할 수 있습니다. 이러한 설정은 그룹 정책 개체 편집기의 다음 위치에서 구성됩니다.
**사용자 구성\\관리 템플릿**
이 위치는 다음 그림의 컨텍스트에 표시되어 있습니다.
[.gif)](https://technet.microsoft.com/ko-kr/cc163076.sgfg0405_big(ko-kr,technet.10).gif)
**그림 4.5 사용자 구성에 대한 그룹 정책 구조**
이러한 설정은 사용자 계정이 포함된 OU에 연결되어 있는 GPO를 통해 적용할 수 있습니다.
**참고**: 사용자 구성 설정은 사용자가 로그온하는 Active Directory 도메인의 모든 Windows XP 기반 컴퓨터에 적용됩니다. 그러나 컴퓨터 구성 설정은 컴퓨터에 로그온한 사용자에 관계없이 Active Directory의 GPO를 통해 제어되는 모든 클라이언트 컴퓨터에 적용됩니다. 따라서 이 섹션의 표에는 이 장에 나오는 EC 및 SSLF 환경에서 권장되는 설정만 포함됩니다. 이러한 설정에 대해 랩톱 또는 데스크톱에 적용되는 규정은 없습니다.
#### Windows 구성 요소
다음 그림에서는 Windows 구성 요소 섹션의 설정 변경으로 인해 영향을 받게 될 그룹 정책의 섹션을 보여 줍니다.
[.gif)](https://technet.microsoft.com/ko-kr/cc163076.sgfg0406_big(ko-kr,technet.10).gif)
**그림 4.6 사용자 구성 Windows 구성 요소에 대한 그룹 정책 구조**
##### Internet Explorer
그룹 정책 개체 편집기의 다음 위치에서 지정된 다음 사용자 설정을 구성할 수 있습니다.
**사용자 구성\\관리 템플릿\\Windows 구성 요소**\\
**Internet Explorer**
다음 표는 Internet Explorer 사용자 구성 권장 설정을 요약해서 보여 줍니다. 표 다음에 나오는 하위 섹션에 각 설정에 대한 추가 정보가 포함되어 있습니다.
**표 4.27 Internet Explorer 사용자 구성 권장 설정**
설정
EC 컴퓨터
SSLF 컴퓨터
브라우저 메뉴\이 프로그램을 디스크에 저장 옵션 사용 안 함
구성되지 않음
사용
인터넷 제어판\고급 페이지 사용 안 함
구성되지 않음
사용
인터넷 제어판\보안 페이지 사용 안 함
구성되지 않음
사용
오프라인 페이지\채널 추가할 수 없음
사용
사용
오프라인 페이지\오프라인 페이지에 대한 예약 추가할 수 없음
사용
사용
오프라인 페이지\예약된 모든 오프라인 페이지 사용 안 함
사용
사용
오프라인 페이지\채널 사용자 인터페이스 완전히 비활성화
사용
사용
오프라인 페이지\사이트 가입 내용 다운로드 안 함
사용
사용
오프라인 페이지\예약 그룹 편집/만들기 안 함
사용
사용
오프라인 페이지\오프라인 페이지에 대한 예약 편집할 수 없음
사용
사용
오프라인 페이지\오프라인 페이지 적중 횟수 로깅 사용 안 함
사용
사용
오프라인 페이지\채널 제거할 수 없음
사용
사용
오프라인 페이지\오프라인 페이지에 대한 예약 제거할 수 없음
사용
사용
Outlook Express 구성
사용
사용
고급 페이지 설정 변경할 수 없음
구성되지 않음
사용
자동 구성 설정 변경할 수 없음
구성되지 않음
사용
인증서 설정 변경할 수 없음
구성되지 않음
사용
연결 설정 변경할 수 없음
구성되지 않음
사용
프록시 설정 변경할 수 없음
구성되지 않음
사용
자동 완성에서 암호를 저장할 수 없음
사용
사용
###### 브라우저 메뉴\\이 프로그램을 디스크에 저장 옵션 사용 안 함
이 정책 설정은 사용자가 Internet Explorer에서 다운로드한 프로그램이나 파일을 하드 디스크에 저장할 수 없도록 합니다. 이 정책 설정을 활성화하면 **이 프로그램을 디스크에 저장** 옵션을 사용하여 프로그램을 디스크에 저장할 수 없습니다. 프로그램 파일이 다운로드되지 않으며 명령을 사용할 수 없다는 메시지가 표시됩니다. 이 정책 설정을 사용하면 사용자는 Internet Explorer를 통해 해로울 수 있는 프로그램을 다운로드하여 디스크에 저장할 수 없으므로 높은 보안 환경을 유지하는 데 도움이 됩니다.
**브라우저 메뉴\\이 프로그램을 디스크에 저장 옵션 사용 안 함** 설정은 SSLF 환경에서만 **사용**으로 구성되고 EC 환경에서는 구성되지 않음입니다.
###### 인터넷 제어판\\고급 페이지 사용 안 함
설정은 사용자가 Internet Explorer UI의 **고급** 탭에서 구성한 설정을 변경할 수 없도록 하려면 이 정책 설정을 다른 설정과 함께 사용합니다.
**인터넷 제어판\\고급 페이지 사용 안 함** 설정은 SSLF 환경에서만 **사용**으로 구성되고 EC 환경에서는 구성되지 않음입니다.
###### 인터넷 제어판\\보안 페이지 사용 안 함
사용자가 그룹 정책을 통해 구성된 설정을 변경할 수 없도록 하려면 이 정책 설정을 다른 설정과 함께 사용합니다. 이 정책 설정을 사용하면 **인터넷 옵션** 대화 상자에서 **보안** 탭이 제거됩니다. 이 정책 설정을 활성화하면 사용자는 스크립팅, 다운로드 및 사용자 인증과 같은 보안 영역에 대한 설정을 보거나 변경할 수 없습니다. 이 정책 설정은 사용자들이 Internet Explorer의 다른 보안 설정을 약화시키는 설정을 변경할 수 없도록 활성화하는 것이 좋습니다.
**인터넷 제어판\\보안 페이지 사용 안 함** 설정은 SSLF 환경에서만 **사용**으로 구성되고 EC 환경에서는 구성되지 않음입니다.
###### 오프라인 페이지\\채널 추가할 수 없음
이 정책 설정은 Internet Explorer에 채널을 추가할 수 없도록 합니다. 채널은 Internet Explorer가 실행되는 컴퓨터에서 자동으로 업데이트되는 웹 사이트이며 업데이트 일정은 채널 공급자가 지정합니다. 이 정책 설정은 콘텐츠를 자동으로 다운로드하는 Internet Explorer의 기능을 차단하는 몇 가지 설정 중 하나입니다. 사용자가 컴퓨터에서 직접 요청하는 경우에만 페이지를 인터넷에서 컴퓨터로 다운로드할 수 있도록 하는 것이 가장 좋습니다.
이러한 이유로 **오프라인 페이지\\채널 추가할 수 없음** 설정은 이 가이드에 나오는 두 가지 환경에서 **사용**으로 구성됩니다.
###### 오프라인 페이지\\오프라인 페이지에 대한 예약 추가할 수 없음
이 정책 설정을 사용하면 사용자는 웹 페이지를 오프라인 상태에서 다운로드하여 보도록 지정할 수 없습니다. 이렇게 지정하면 컴퓨터가 인터넷에 연결되어 있지 않을 때 웹 페이지를 볼 수 있습니다.
**오프라인 페이지\\오프라인 페이지에 대한 예약 추가할 수 없음** 설정은 이 가이드에 나오는 두 가지 환경에서 **사용**으로 구성됩니다.
###### 오프라인 페이지\\예약된 모든 오프라인 페이지 사용 안 함
이 정책 설정은 오프라인 상태에서 볼 수 있게 웹 페이지를 다운로드하도록 설정된 기존 일정을 비활성화합니다. 이 정책을 활성화하면 **웹 페이지 속성** 대화 상자의 **일정** 탭에 있는 일정 확인란의 선택이 취소되며 사용자는 해당 확인란을 선택할 수 없습니다. 이 탭을 표시하려면 **도구** 메뉴, **동기화**를 차례로 클릭하고 웹 페이지를 선택한 후 **속성** 단추를 클릭한 다음 **일정** 탭을 클릭합니다. 이 정책 설정은 콘텐츠를 자동으로 다운로드하는 Internet Explorer의 기능을 차단하는 몇 가지 설정 중 하나입니다.
**오프라인 페이지\\예약된 모든 오프라인 페이지 사용 안 함** 설정은 이 가이드에 나오는 두 가지 환경에서 **사용**으로 구성됩니다.
###### 오프라인 페이지\\채널 사용자 인터페이스 완전히 비활성화
이 정책 설정을 사용하면 채널 모음 인터페이스를 표시할 수 없습니다. 채널은 컴퓨터에서 자동으로 업데이트되는 웹 사이트이며 일정은 채널 공급자가 지정합니다. 이 정책 설정을 활성화하면 사용자는 채널 모음 인터페이스에 액세스하여 **속성 표시** 대화 상자의 **웹** 탭에 있는 **Internet Explorer 채널 모음** 확인란을 선택할 수 없습니다. 이 정책 설정은 콘텐츠를 자동으로 다운로드하는 Internet Explorer의 기능을 차단하는 몇 가지 설정 중 하나입니다.
**오프라인 페이지\\채널 사용자 인터페이스 완전히 비활성화** 설정은 이 가이드에 나오는 두 가지 환경에서 **사용**으로 구성됩니다.
###### 오프라인 페이지\\사이트 가입 내용 다운로드 안 함
이 정책 설정을 사용하면 사용자는 웹 사이트에서 가입 콘텐츠를 다운로드할 수 없습니다. 사용자가 콘텐츠 업데이트 여부를 확인하기 위해 이전에 액세스했던 페이지로 돌아갈 경우 웹 페이지 콘텐츠는 계속 동기화됩니다. 이 정책 설정은 콘텐츠를 자동으로 다운로드하는 Internet Explorer의 기능을 차단하는 몇 가지 설정 중 하나입니다.
**오프라인 페이지\\사이트 가입 내용 다운로드 안 함** 설정은 이 가이드에 나오는 두 가지 환경에서 **사용**으로 구성됩니다.
###### 오프라인 페이지\\예약 그룹 편집/만들기 안 함
이 정책 설정을 사용하면 사용자는 예약한 웹 페이지 및 웹 페이지 그룹을 오프라인으로 보는 동안 해당 일정을 추가, 편집 또는 제거할 수 없습니다. 예약 그룹은 즐겨 찾는 웹 페이지와 여기에 링크되어 있는 웹 페이지를 나타냅니다. 이 정책을 활성화하면 **웹 페이지 속성** 대화 상자의 **일정** 탭에서 **추가**, **제거** 및 **편집** 단추가 흐리게 표시됩니다. 이 탭을 표시하려면 Internet Explorer의 **도구** 및 **동기화**를 차례로 클릭한 후 웹 페이지를 선택하고 **속성** 단추를 클릭한 후 **일정** 탭을 클릭합니다. 이 정책 설정은 콘텐츠를 자동으로 다운로드하는 Internet Explorer의 기능을 차단하는 몇 가지 설정 중 하나입니다.
이러한 이유로 **오프라인 페이지\\예약 그룹 편집/만들기 안 함** 설정은 이 가이드에 나오는 두 가지 환경에서 **사용**으로 구성됩니다.
###### 오프라인 페이지\\오프라인 페이지에 대한 예약 편집할 수 없음
이 정책 설정을 사용하면 사용자는 웹 페이지를 오프라인으로 보기 위해 다운로드하도록 설정된 기존 일정을 편집할 수 없습니다. 이 정책을 활성화하면 오프라인으로 볼 수 있게 설정된 페이지의 일정 속성을 표시할 수 없습니다. 사용자가 Internet Explorer에서 **도구**, **동기화**를 클릭하고 웹 페이지를 선택한 후 **속성** 단추를 클릭해도 아무 속성이 표시되지 않습니다. 또한 해당 명령을 사용할 수 없다는 메시지도 표시되지 않습니다. 이 정책 설정은 콘텐츠를 자동으로 다운로드하는 Internet Explorer의 기능을 차단하는 몇 가지 설정 중 하나입니다.
**오프라인 페이지\\오프라인 페이지에 대한 예약 편집할 수 없음** 설정은 이 가이드에 나오는 두 가지 환경에서 **사용**으로 구성됩니다.
###### 오프라인 페이지\\오프라인 페이지 적중 횟수 로깅 사용 안 함
이 정책 설정을 사용하면 채널 공급자는 오프라인 중일 때 채널 페이지를 사용자가 보는 빈도를 기록할 수 없습니다. 이 정책 설정은 콘텐츠를 자동으로 다운로드하는 Internet Explorer의 기능을 차단하는 몇 가지 설정 중 하나입니다.
**오프라인 페이지\\오프라인 페이지 적중 횟수 로깅 사용 안 함** 설정은 이 가이드에 나오는 두 가지 환경에서 **사용**으로 구성됩니다.
###### 오프라인 페이지\\채널 제거할 수 없음
이 정책 설정을 사용하면 사용자는 Internet Explorer에서 채널 동기화를 비활성화할 수 없습니다. 사용자가 컴퓨터에서 직접 요청하는 경우에만 페이지를 인터넷에서 컴퓨터로 다운로드할 수 있도록 하는 것이 가장 좋습니다.
이러한 이유로 **오프라인 페이지\\채널 제거할 수 없음** 설정은 이 가이드에 나오는 두 가지 환경에서 **사용**으로 구성됩니다.
###### 오프라인 페이지\\오프라인 페이지에 대한 예약 제거할 수 없음
이 정책 설정을 사용하면 사용자는 오프라인으로 보기 위해 다운로드하는 웹 페이지에 대한 미리 구성된 설정을 제거할 수 없습니다. 이 정책 설정을 활성화하면 미리 구성한 웹 페이지 설정이 보호됩니다. 이 정책 설정은 콘텐츠를 자동으로 다운로드하는 Internet Explorer의 기능을 차단하는 몇 가지 설정 중 하나입니다.
**오프라인 페이지\\오프라인 페이지에 대한 예약 제거할 수 없음** 설정은 이 가이드에 나오는 두 가지 환경에서 **사용**으로 구성됩니다.
###### Outlook Express 구성
이 정책 설정을 사용하면 관리자는 바이러스가 포함되었을 가능성이 있는 첨부 파일을 Microsoft Outlook® Express 사용자가 저장하거나 여는 기능을 설정 및 해제할 수 있습니다. 사용자가 **Outlook Express 구성** 설정을 비활성화해도 첨부 파일은 계속 차단됩니다. 이 정책 설정을 적용하려면 **사용**을 클릭하고 **바이러스가 포함된 가능성이 있는 첨부 파일 차단**을 선택합니다.
이 장에 나오는 두 환경에서는 **바이러스가 포함된 가능성이 있는 첨부 파일 차단** 옵션과 함께 **Outlook Express 구성** 설정이 **사용**으로 구성됩니다.
###### 고급 페이지 설정 변경할 수 없음
이 정책 설정을 사용하면 사용자는 Internet Explorer의 **인터넷 옵션** 대화 상자에 있는 **고급** 탭의 설정을 변경할 수 없습니다. 이 정책 설정을 활성화하면 브라우저의 보안, 멀티미디어 및 인쇄와 관련된 고급 설정을 변경할 수 없습니다. 또한 **인터넷 옵션** 대화 상자의 **고급** 탭에서 이러한 옵션에 대한 확인란을 선택하거나 선택 취소할 수 없습니다. 또한 이 정책 설정을 사용하면 그룹 정책을 통해 구성된 설정을 변경할 수 없습니다.
**고급 페이지 설정 변경할 수 없음** 설정은 SSLF 환경에서만 **사용**으로 구성되고 EC 환경에서는 구성되지 않음입니다.
**참고**: \\사용자 구성\\관리 템플릿\\Windows 구성 요소\\Internet Explorer\\인터넷 제어판에 있는 **고급 페이지 사용 안 함** 설정을 구성하는 경우 이 정책 설정을 활성화하면 **인터넷 옵션** 대화 상자에서 **고급** 탭이 제거되므로 **고급 페이지 사용 안 함** 설정을 구성할 필요가 없습니다.
###### 자동 구성 설정 변경할 수 없음
이 정책 설정을 사용하면 자동으로 구성된 설정을 변경할 수 없습니다. 관리자는 자동 구성을 사용하여 브라우저 설정을 주기적으로 업데이트합니다. 이 정책 설정을 활성화하면 Internet Explorer에서 자동 구성 설정이 흐리게 표시됩니다. 이러한 설정은 **LAN 설정** 대화 상자의 **자동 구성** 영역에 포함되어 있습니다. 또한 이 정책 설정을 사용하면 그룹 정책을 통해 구성된 설정을 변경할 수 없습니다.
**LAN 설정 대화 상자를 표시하려면**
1. **인터넷 옵션** 대화 상자를 열고 **연결** 탭을 클릭합니다.
2. **LAN 설정** 단추를 클릭하고 설정을 확인합니다.
**자동 구성 설정 변경할 수 없음** 설정은 SSLF 환경에서만 **사용**으로 구성되고 EC 환경에서는 구성되지 않음입니다.
**참고**: \\사용자 구성\\관리 템플릿\\Windows 구성 요소\\Internet Explorer\\인터넷 제어판에 있는 **연결 페이지 사용 안 함** 설정을 지정하면 제어판의 Internet Explorer에서 **연결** 탭이 제거되며 이 설정은 **자동 구성 설정 변경할 수 없음** 구성 옵션보다 우선적으로 적용됩니다. "내용 페이지 사용 안 함"을 활성화하면 "인증서 설정 변경할 수 없음"은 무시됩니다.
###### 인증서 설정 변경할 수 없음
이 정책 설정을 사용하면 사용자는 Internet Explorer에서 인증서 설정을 변경할 수 없습니다. 인증서는 소프트웨어 게시자의 ID를 확인하는 데 사용됩니다. 이 정책 설정을 활성화하면 **인터넷 옵션** 대화 상자에 있는 **내용** 탭의 **인증서** 영역에서 인증서 설정이 흐리게 표시됩니다. 또한 이 정책 설정을 사용하면 그룹 정책을 통해 구성된 설정을 변경할 수 없습니다.
**인증서 설정 변경할 수 없음** 설정은 SSLF 환경에서만 **사용**으로 구성되고 EC 환경에서는 구성되지 않음입니다.
**참고**: 이 정책 설정을 활성화해도 소프트웨어 게시 인증서(.spc) 파일을 두 번 클릭하여 인증서 관리자 가져오기 마법사를 실행할 수 있습니다. 이 마법사를 사용하여 Internet Explorer에 아직 구성되지 않은 소프트웨어 게시자로부터 인증서에 대한 설정을 가져오고 구성할 수 있습니다.
**참고**: \\사용자 구성\\관리 템플릿\\Windows 구성 요소\\Internet Explorer\\인터넷 제어판에 있는 **내용 페이지 사용 안 함** 설정을 지정하면 제어판의 Internet Explorer에서 **내용** 탭이 제거되며 이 설정은 **인증서 설정 변경할 수 없음** 구성 옵션보다 우선적으로 적용됩니다. "내용 페이지 사용 안 함"을 활성화하면 "인증서 설정 변경할 수 없음"은 무시됩니다.
###### 연결 설정 변경할 수 없음
이 정책 설정을 사용하면 사용자는 전화 접속 설정을 변경할 수 없습니다. 이 정책 설정을 활성화하면 **인터넷 옵션** 대화 상자의 **연결** 탭에 있는 **설정** 단추가 흐리게 표시됩니다. 또한 이 정책 설정을 사용하면 그룹 정책을 통해 구성된 설정을 변경할 수 없습니다. 이동 중에 연결 설정을 바꾸어야 하는 랩톱 사용자를 위해 이 정책 설정을 비활성화할 수 있습니다.
**연결 설정 변경할 수 없음** 설정은 SSLF 환경에서만 **사용**으로 구성되고 EC 환경에서는 구성되지 않음입니다.
**참고**: \\사용자 구성\\관리 템플릿\\Windows 구성 요소\\Internet Explorer\\인터넷 제어판에 있는 **연결 페이지 사용 안 함** 설정을 구성하면 이 정책 설정을 구성할 필요가 없습니다. **연결 페이지 사용 안 함** 설정을 지정하면 인터페이스에 **연결** 탭이 표시되지 않습니다.
###### 프록시 설정 변경할 수 없음
이 정책 설정을 사용하면 사용자는 프록시 설정을 변경할 수 없습니다. 이 정책 설정을 활성화하면 프록시 설정이 흐리게 표시됩니다. 프록시 설정은 **인터넷 옵션** 대화 상자에서 **연결** 탭을 클릭한 후 **LAN 설정** 단추를 클릭하면 표시되는 **LAN 설정** 대화 상자의 **프록시 서버** 영역에 있습니다. 또한 이 정책 설정을 사용하면 그룹 정책을 통해 구성된 설정을 변경할 수 없습니다. 이동 중에 연결 설정을 바꾸어야 하는 랩톱 사용자를 위해 이 정책 설정을 비활성화할 수 있습니다.
**프록시 설정 변경할 수 없음** 설정은 SSLF 환경에서만 **사용**으로 구성되고 EC 환경에서는 구성되지 않음입니다.
**참고**: \\사용자 구성\\관리 템플릿\\Windows 구성 요소\\Internet Explorer\\인터넷 제어판에 있는 **연결 페이지 사용 안 함** 설정을 구성하면 이 정책 설정을 구성할 필요가 없습니다. **연결 페이지 사용 안 함** 설정을 지정하면 인터페이스에 **연결** 탭이 표시되지 않습니다.
###### 자동 완성에서 암호를 저장할 수 없음
이 정책 설정은 웹 페이지의 폼에서 사용자 이름과 암호의 자동 완성 기능을 사용할 수 없도록 하며 암호 저장 여부를 묻는 메시지를 표시하지 않습니다. 이 정책 설정을 활성화하면 **폼에 사용할 사용자 이름과 암호** 및 **암호 저장 여부 확인** 확인란이 흐리게 표시되고 사용자는 암호를 로컬로 저장할 수 없습니다. 이러한 확인란을 표시하려면 **인터넷 옵션** 대화 상자를 열고 **내용** 탭을 클릭한 후 **자동 완성** 단추를 클릭합니다.
**자동 완성에서 암호를 저장할 수 없음** 설정은 이 장에 나오는 두 환경에서 **사용**으로 구성됩니다.
##### 첨부파일 관리자
그룹 정책 개체 편집기의 다음 위치에서 지정된 다음 사용자 설정을 구성할 수 있습니다.
**사용자 구성\\관리 템플릿\\Windows 구성 요소\\**
**첨부파일 관리자**
다음 표는 첨부파일 관리자 사용자 구성 권장 설정을 요약해서 보여 줍니다. 표 다음에 나오는 하위 섹션에 각 설정에 대한 추가 정보가 포함되어 있습니다.
**표 4.28 첨부파일 관리자 사용자 구성 권장 설정**
설정
EC 컴퓨터
SSLF 컴퓨터
첨부 파일에 영역 정보를 보존하지 않음
사용 안 함
사용 안 함
영역 정보를 제거하는 메커니즘 숨기기
사용
사용
첨부 파일을 열 때 바이러스 백신 프로그램에 알림
사용
사용
###### 첨부 파일에 영역 정보를 보존하지 않음
이 정책 설정으로 Windows가 첨부 파일의 출처(제한 영역, 인터넷, 인트라넷, 로컬)에 대한 정보를 사용하여 파일에 표시하는 것을 관리할 수 있습니다. 이 기능이 올바르게 작동하려면 파일이 NTFS 디스크 파티션으로 다운로드되어야 합니다. 영역 정보를 보존하지 않으면 Windows는 첨부 파일의 출처를 기반으로 위험성 확인을 올바르게 수행할 수 없습니다.
**첨부 파일에 영역 정보를 보존하지 않음** 설정을 활성화하면 첨부 파일에 영역 정보가 표시되지 않습니다. 이 정책 설정을 비활성화하면 Windows에서는 첨부 파일에 영역 정보를 표시합니다. 일반적으로 인터넷 영역과 같은 신뢰할 수 없는 Internet Explorer 영역에서 위험한 첨부 파일이 다운로드되므로 각 파일에 최대한 많은 보안 정보가 포함되도록 이 정책 설정을 **사용 안 함**으로 구성하는 것이 좋습니다.
이 장에 나오는 두 환경에서는 **첨부 파일에 영역 정보를 보존하지 않음** 설정이 **사용 안 함**으로 구성됩니다.
###### 영역 정보를 제거하는 메커니즘 숨기기
이 정책 설정으로 사용자가 저장한 첨부 파일에 있는 영역 정보를 수동으로 제거할 수 있는지 여부를 관리할 수 있습니다. 일반적으로 사용자는 파일의 **속성** 시트에 있는 **차단 해제** 단추를 클릭하거나 **보안 경고** 대화 상자의 확인란을 선택할 수 있습니다. 영역 정보를 제거하면 사용자는 Windows에서 차단한 위험성이 있는 첨부 파일을 열 수 있게 됩니다.
**영역 정보를 제거하는 메커니즘 숨기기** 설정을 활성화하면 Windows에서 해당 확인란과 **차단 해제** 단추를 숨기고 이 정책 설정을 비활성화하면 Windows에서 해당 확인란과 **차단 해제** 단추를 표시합니다. 일반적으로 인터넷 영역과 같은 신뢰할 수 없는 Internet Explorer 영역에서 위험한 첨부 파일이 다운로드되므로 각 파일에 최대한 많은 보안 정보가 포함되도록 이 정책 설정을 **사용**으로 구성하는 것이 좋습니다.
이 장에 나오는 두 환경에서는 **영역 정보를 제거하는 메커니즘 숨기기** 설정이 **사용**으로 구성됩니다.
**참고**: 파일을 영역 정보와 함께 저장할지를 구성하려면 앞에 나온 **첨부 파일에 영역 정보를 보존하지 않음** 설정을 참조하십시오.
###### 첨부 파일을 열 때 바이러스 백신 프로그램에 알림
바이러스 백신 프로그램은 많은 환경에서 필수적으로 필요하며 공격을 막는 강력한 방어 장치를 제공합니다.
**첨부 파일을 열 때 바이러스 백신 프로그램에 알림** 설정을 사용하여 등록된 바이러스 백신 프로그램에 알리는 방법을 관리할 수 있습니다. 이 정책 설정이 활성화되면 Windows에서는 사용자가 첨부 파일을 열 때 등록된 바이러스 백신 프로그램이 해당 파일을 검사하도록 요청합니다. 바이러스 백신 프로그램이 검사에 실패하면 첨부 파일은 열 수 없도록 차단됩니다. 이 정책 설정을 비활성화하면 Windows에서는 첨부 파일이 열릴 때 바이러스 백신 프로그램을 호출하지 않습니다. 모든 첨부 파일을 열기 전에 바이러스 백신 프로그램으로 검사하도록 모든 작업 환경에서 이 정책 설정을 **사용**으로 구성하는 것이 좋습니다.
이 장에 나오는 두 환경에서는 **첨부 파일을 열 때 바이러스 백신 프로그램에 알림** 설정이 **사용**으로 구성됩니다.
**참고**: 이 정책 설정이 제대로 작동하려면 업데이트된 바이러스 백신 프로그램을 설치해야 합니다. 업데이트된 많은 바이러스 백신 프로그램이 SP2에 포함되어 있는 새로운 API를 사용합니다.
##### Windows 탐색기
Windows 탐색기는 Windows XP Professional이 실행되는 클라이언트 컴퓨터에서 파일 시스템을 탐색하는 데 사용됩니다.
그룹 정책 개체 편집기의 다음 위치에서 지정된 다음 사용자 설정을 구성할 수 있습니다.
**사용자 구성\\관리 템플릿\\Windows 구성 요소**\\
**Windows 탐색기**
다음 표는 Windows 탐색기 사용자 구성 권장 설정을 요약해서 보여 줍니다. 표 다음에 나오는 하위 섹션에 각 설정에 대한 추가 정보가 포함되어 있습니다.
**표 4.29 Windows 탐색기 사용자 구성 권장 설정**
설정
EC 컴퓨터
SSLF 컴퓨터
CD 굽기 기능 제거
구성되지 않음
사용
보안 탭 제거
구성되지 않음
사용
###### CD 굽기 기능 제거
이 정책 설정은 Windows 탐색기에서 CD를 구울 수 있는 기본 제공된 Windows XP 기능을 제거합니다. Windows XP에서는 컴퓨터에 읽기/쓰기 CD 드라이브가 연결된 경우 다시 작성할 수 있는 CD를 만들고 수정할 수 있습니다. 이 기능을 사용하면 하드 드라이브에 있는 대량의 데이터를 CD로 복사한 후 컴퓨터에서 제거할 수 있습니다.
**CD 굽기 기능 제거** 설정이 EC 환경에서는 **구성되지 않음**으로 구성되지만 SSLF 환경에서는 **사용**으로 구성됩니다.
**참고**: 이 정책 설정 사용해도 CD 기록기를 사용하는 타사 응용 프로그램으로 CD를 수정하거나 만드는 작업은 막지 못합니다. 타사 응용 프로그램을 통한 CD 만들기나 수정은 소프트웨어 제한 정책을 사용하여 차단하는 것이 좋습니다. 자세한 내용은 6장 "Windows XP 클라이언트용 소프트웨어 제한 정책"을 참고하십시오.
또한 작업 환경의 컴퓨터에 CD 기록기를 제거하거나 읽기 전용 CD 드라이브로 바꾸어 CD를 굽지 못하게 할 수도 있습니다.
###### 보안 탭 제거
이 정책 설정은 Windows 탐색기의 파일 및 폴더 대화 상자에 있는 **보안** 탭을 사용할 수 없게 만듭니다. 이 정책 설정을 활성화하면 사용자는 폴더, 파일, 바로 가기 및 드라이브를 비롯한 모든 파일 시스템 개체의 **속성** 대화 상자에서 **보안** 탭에 액세스할 수 없습니다. **보안** 탭에 액세스할 수 없으므로 설정을 변경하거나 사용자 목록을 볼 수도 없습니다.
따라서 **보안 탭 제거** 설정이 EC 환경에서는 **구성되지않음**이지만 SSLF 환경에서는 **사용**으로 구성됩니다.
#### 시스템
다음 그림에서는 시스템 섹션의 설정 변경으로 인해 영향을 받게 될 그룹 정책의 섹션을 보여 줍니다.
[.gif)](https://technet.microsoft.com/ko-kr/cc163076.sgfg0407_big(ko-kr,technet.10).gif)
**그림 4.7 사용자 구성 시스템에 대한 그룹 정책 구조**
그룹 정책 개체 편집기의 다음 위치에서 지정된 다음 설정을 구성할 수 있습니다.
**사용자 구성\\관리 템플릿\\시스템**
##### 레지스트리 편집 도구 사용 안 함
다음 표는 레지스트리 편집기 사용자 구성 권장 설정을 요약해서 보여 줍니다.
**표 4.30 레지스트리 편집기 사용자 구성 권장 설정**
설정
EC 컴퓨터
SSLF 컴퓨터
레지스트리 편집 도구 사용 안 함
구성되지 않음
사용
이 정책 설정은 Windows 레지스트리 편집기 Regedit.exe 및 Regedt32.exe를 비활성화합니다. 이 정책 설정을 활성화하면 사용자가 레지스트리 편집기를 사용할 때 이러한 편집기를 사용할 수 없다는 메시지가 표시됩니다. 이 정책 설정은 사용자 및 침입자가 이러한 도구를 사용하여 레지스트리에 액세스하지 못하도록 하지만 레지스트리 자체에 액세스하는 것을 막지는 못합니다.
**레지스트리 편집 도구 사용 안 함** 설정이 EC 환경에서는 **구성되지 않음**이지만 SSLF 환경에서는 **사용**으로 구성됩니다.
##### 시스템\\전원 관리
그룹 정책 개체 편집기의 다음 위치에서 지정된 다음 설정을 구성할 수 있습니다.
**사용자 구성\\관리 템플릿\\시스템\\전원 관리**
###### 최대 절전 모드/대기 모드에서 재개할 때 암호 확인
다음 표는 **최대 절전 모드/대기 모드에서 재개할 때 암호 확인**의 권장 구성 설정을 요약해서 보여 줍니다.
**표 4.31 시스템\\전원 관리 사용자 구성 권장 설정**
설정
EC 컴퓨터
SSLF 컴퓨터
최대 절전 모드/대기 모드에서 재개할 때 암호 확인
사용
사용
이 정책 설정은 최대 절전 모드 또는 대기 모드에서 작동 모드를 재개할 때 작업 환경의 클라이언트 컴퓨터가 잠겨 있을지 여부를 제어합니다. 이 정책 설정을 활성화하면 작동 모드를 재개할 때 클라이언트 컴퓨터는 잠겨 있으므로 사용자는 잠금을 해제하기 위해 암호를 입력해야 합니다. 이 정책 설정을 비활성화하거나 구성하지 않으면 다른 사용자가 클라이언트 컴퓨터에 액세스할 수 있으므로 심각한 보안 침해가 발생할 수 있습니다.
따라서 이 장에 나오는 두 환경에서 **최대 절전 모드/대기 모드에서 재개할 때 암호 확인** 설정은 **사용**으로 구성됩니다.
[](#mainsection)[페이지 위쪽](#mainsection)
### 요약
이 장에서는 Windows XP에 포함되어 있는 관리 템플릿에서 사용 가능한 보안 설정 중에서 중요한 여러 항목에 대해 설명했습니다. 이러한 템플릿을 사용하여 조직에서 Windows XP가 실행되는 데스크톱 및 랩톱의 보안을 유지할 수 있습니다. 조직의 보안 설정 정책을 고려할 때는 보안과 사용자 생산성 간에 균형을 이루도록 해야 합니다. 이 정책의 목표는 지나치게 제한적인 보안 설정으로 인해 사용자가 방해를 받지 않고 작업을 최대한 수행할 수 있는 안전한 컴퓨터 작업 환경을 구축하여 악의적인 프로그램 및 바이러스로부터 사용자를 보호하는 것입니다.
#### 추가 정보
다음 링크에서는 Windows XP Professional 보안 관련 항목에 대한 추가 정보를 제공합니다.
- Windows XP 및 Windows Server 2003에서 사용할 수 있는 모든 관리 템플릿 그룹 정책 설정의 전체 목록을 보려면 "[Windows Server 2003 서비스 팩 1의 그룹 정책 기본 설정](https://www.microsoft.com/download/details.aspx?familyid=7821c32f-da15-438d-8e48-45915cd2bc14&displaylang=en)" 통합 문서(www.microsoft.com/downloads/details.aspx?FamilyId=
7821C32F-DA15-438D-8E48-45915CD2BC14)를 다운로드하십시오.
- 관리 템플릿을 직접 만드는 방법에 대한 자세한 내용은 "[레지스트리 기반 그룹 정책 구현](https://www.microsoft.com/windows2000/techinfo/howitworks/management/rbppaper.asp)" 백서(
www.microsoft.com/windows2000/techinfo/howitworks/management/rbppaper.asp)를 참조하십시오.
- 오류 보고에 대한 자세한 내용은 Windows [기업 오류 보고](https://www.microsoft.com/resources/satech/cer/) 웹 사이트(www.microsoft.com/resources/satech/cer/)를 참조하십시오.
- WSUS(Windows Server Update Service)에 대한 일반 정보는 [Windows Server Update Services 제품 개요](https://www.microsoft.com/windowsserversystem/updateservices/evaluation/overview.mspx)(
www.microsoft.com/windowsserversystem/updateservices/evaluation/overview.mspx)를 참조하십시오.
- WSUS 배포 방법에 대한 자세한 내용은 [Microsoft Windows Server Update Services 배포](https://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/wsus/wsusdeploymentguidetc/)(www.microsoft.com/technet/prodtechnol/windowsserver2003/
library/WSUS/WSUSDeploymentGuideTC/)를 참조하십시오.
- 그룹 정책 관리에 대한 자세한 내용은 [그룹 정책 관리 콘솔을 사용한 엔터프라이즈 관리](https://www.microsoft.com/windowsserver2003/gpmc/default.mspx)(at www.microsoft.com/windowsserver2003/gpmc/)를 참조하십시오.
- 주요 Office 2003 [Security](https://office.microsoft.com/en-us/assistance/ha011403061033.aspx) 사이트
https://office.microsoft.com/en-us/assistance/HA011403061033.aspx에는 Office 2003의 보안 설정 및 기능을 사용하는 방법을 설명하는 문서에 대한 링크가 포함되어 있습니다.
- "[Office 2003 정책 템플릿 파일 및 배포 계획 도구](https://download.microsoft.com/download/9/5/f/95f7e000-d7ab-4b86-8a5d-804b124c7a69/office-2003-sp1-adms-opas-and-explain-text.exe)"에는 사용 가능한 모든 설정을 요약해서 설명하는 Office 그룹 정책 관리 템플릿 파일과 스프레드시트가 포함되어 있습니다. 이러한 도구는
https://download.microsoft.com/download/9/5/f/95f7e000-d7ab-4b86-8a5d-804b124c7a69/Office-2003-SP1-ADMs-OPAs-and-Explain-Text.exe에서 다운로드할 수 있습니다.
- https://download.microsoft.com/download/0/e/
d/0eda9ae6-f5c9-44be-98c7-ccc3016a296a/ork.exe에서 다운로드할 수 있는 "[Office 2003 Resource Kit 도구 세트](https://download.microsoft.com/download/0/e/d/0eda9ae6-f5c9-44be-98c7-ccc3016a296a/ork.exe)"에는 "Office 2003 정책 템플릿 파일 및 배포 계획 도구"와 Office 2003의 배치 및 관리를 위한 유용한 도구가 포함되어 있습니다.
- [*Internet Explorer Administration Kit*](https://www.microsoft.com/technet/prodtechnol/ie/ieak/)에 대한 자세한 내용은 www.microsoft.com/technet/prodtechnol/ie/ieak/를 참조하십시오.
[](#mainsection)[페이지 위쪽](#mainsection)
##### 다운로드
[Windows XP 보안 가이드 다운로드](https://go.microsoft.com/fwlink/?linkid=14840)
[](#mainsection)[페이지 위쪽](#mainsection)