권한 있는 액세스 스토리의 일부로 디바이스 보안 설정
이 지침은 완전한 권한 있는 액세스 전략 의 일부이며 권한 있는 액세스 배포의 일부로 구현됩니다.
권한 있는 액세스에 대한 종단 간 제로 트러스트 보안에는 세션에 대한 다른 보안 보증을 빌드할 수 있는 강력한 디바이스 보안 기반이 필요합니다. 보안 보증은 세션에서 향상될 수 있지만 원래 디바이스에서 보안 보장이 얼마나 강력한지에 따라 항상 제한됩니다. 이 디바이스를 제어하는 공격자는 사용자를 가장하거나 향후 가장을 위해 자격 증명을 도용할 수 있습니다. 이 위험은 계정, 점프 서버와 같은 중개자 및 리소스 자체에 대한 다른 보증을 훼손합니다. 자세한 내용은 클린 원본 원칙을 참조하세요.
이 문서는 보안 컨트롤의 개요를 제공하여, 중요한 사용자에게 수명 주기 내내 보안 워크스테이션을 제공합니다.
이 솔루션은 Windows 10 운영 체제, 엔드포인트용 Microsoft Defender, Microsoft Entra ID 및 Microsoft InTune의 핵심 보안 기능을 사용합니다.
보안 워크스테이션 사용은 누구에게 좋은가요?
모든 사용자 및 운영자는 보안 워크스테이션의 혜택을 누릴 수 있습니다. PC 또는 디바이스를 손상시키는 공격자는 이를 사용하는 모든 계정의 자격 증명/토큰을 가장하거나 도용하여 많은 또는 모든 기타 보안 보증을 약화시킬 수 있습니다. 관리자 또는 중요한 계정의 경우 공격자가 권한을 에스컬레이션하고 조직에 있는 액세스 권한을 높일 수 있는데, 종종 도메인, 전역 또는 엔터프라이즈 관리자 권한으로 극적으로 높일 수도 있습니다.
보안 수준 및 어느 수준에 할당해야 하는지에 대한 자세한 내용은 Privileged Access 보안 수준을 참조 하세요.
디바이스 보안 컨트롤
보안 워크스테이션을 성공적으로 배포하려면 애플리케이션 인터페이스에 적용되는 디바이스, 계정, 중개자 및 보안 정책을 비롯한 종단 간 접근 방식의 일부여야 합니다. 온전한 권한 있는 액세스 보안 전략에 대한 스택의 모든 요소에 대하여 주소를 지정해야 합니다.
다음 표는 다양한 디바이스 수준의 보안 컨트롤을 요약합니다.
| 프로필 | Enterprise | 특수화 | 특권 계정 |
|---|---|---|---|
| Microsoft Endpoint Manager(MEM) 관리 | 예 | 네 | 예 |
| BYOD 디바이스 등록 거부 | 아니요 | 네 | 예 |
| 적용된 MEM 보안 기준 | 예 | 네 | 예 |
| 엔드포인트에 대한 Microsoft Defender | 예* | 예 | 예 |
| Autopilot을 통해 개인 디바이스에 조인 | 예* | 예* | No |
| 승인된 목록으로 제한된 URL | 최대 허용 | 최대 허용 | 기본값 거부 |
| 관리자 권한 제거 | 예 | 예 | |
| AppLocker(애플리케이션 실행 컨트롤) | 감사- > 적용됨 | Yes | |
| MEM으로만 설치된 애플리케이션 | 예 | 예 |
참고 항목
해당 솔루션은 새로운 하드웨어, 기존 하드웨어 및 Bring Your Own Device(BYOD) 시나리오를 사용하여 배포할 수 있습니다.
모든 수준의 보안 업데이트에 대한 적절한 보안 유지 관리에는 Intune 정책이 적용됩니다. 디바이스 보안 수준 향상으로 인한 보안 차이는 공격자가 악용을 시도할 수 있는 공격 표면을 줄이는 데 중점을 두었습니다(가능한 많은 사용자 생산성 유지). 엔터프라이즈 및 특수 수준 디바이스는 생산성 애플리케이션 및 일반 웹 검색을 허용하지만 권한 있는 액세스 워크스테이션은 허용하지 않습니다. 엔터프라이즈 사용자는 자체 애플리케이션을 설치할 수 있지만 특수한 사용자는 워크스테이션의 로컬 관리자가 아닐 수 있습니다.
참고 항목
여기서 웹 검색은 위험 수준이 높은 활동이 될 수 있는 임의의 웹 사이트에 대한 일반적인 액세스를 의미합니다. 이러한 검색은 웹 브라우저를 사용하여 Azure, Microsoft 365, 다른 클라우드 공급자 및 SaaS 애플리케이션과 같은 서비스에 대해 잘 알려진 소수의 관리 웹 사이트에 액세스하는 것과는 분명히 다릅니다.
신뢰할 수 있는 하드웨어 루트
보안 워크스테이션에는 '신뢰할 수 있는 루트'라는 신뢰할 수 있는 워크스테이션을 사용하는 공급망 솔루션이 필수적입니다. 신뢰할 수 있는 루트 하드웨어를 선택할 때 고려해야 하는 기술에는 최신 노트북에 포함된 다음과 같은 기술이 포함되어야 합니다.
- Trusted Platform Module(TPM) 2.0
- BitLocker 드라이브 암호화
- UEFI 보안 부팅
- Windows 업데이트를 통해 배포되는 드라이버 및 펌웨어
- 가상화 및 HVCI 사용
- 드라이버 및 앱 HVCI-준비
- Windows Hello
- DMA I/O 보호
- System Guard
- 최신 대기
이 솔루션의 경우 최신 기술 요구 사항을 충족하는 하드웨어와 Windows Autopilot 기술을 사용하여 신뢰할 수 있는 루트를 배포합니다. 워크스테이션을 보호하기 위해 Autopilot을 사용하면 Microsoft OEM 최적화 Windows 10 디바이스를 활용할 수 있습니다. 이러한 디바이스는 제조업체로부터 알려진 양호한 상태로 제공됩니다. Autopilot은 잠재적으로 안전하지 않은 디바이스를 이미지로 다시 설치하는 대신 Windows 10 디바이스를 "업무 지원" 상태로 변환할 수 있습니다. 즉, 설정과 정책을 적용하고, 앱을 설치하고, Windows 10의 버전을 변경합니다.
디바이스 역할 및 프로필
이 참고 자료는 Windows 10을 강화하고 디바이스 또는 사용자 손상과 관련된 위험을 줄이는 방법을 보여 줍니다. 솔루션은 최신 하드웨어 기술과 신뢰할 수 있는 루트 디바이스를 이용하기 위해 디바이스 상태 증명을 사용합니다. 이 기능은 디바이스의 초기 부팅 중에 공격자가 지속될 수 없도록 하기 위해 제공됩니다. 이는 정책과 기술을 사용하여 보안 기능 및 위험을 관리하는 데 도움이 됩니다.
- 엔터프라이즈 디바이스 - 첫 번째 관리형 역할은 조직에서 최소 보안 바를 발생시키려는 개인 사용자, 소규모 비즈니스 사용자, 일반 개발자 및 기업에 적합합니다. 이 프로필을 사용하면 사용자가 모든 애플리케이션을 실행하고 모든 웹 사이트를 찾아볼 수 있지만, 엔드포인트용 Microsoft Defender와 같은 맬웨어 방지 및 EDR(엔드포인트 감지 및 응답) 솔루션이 필요합니다. 보안 태세를 향상시키는 정책 기반 접근 방법이 사용됩니다. 이메일 및 웹 검색과 같은 생산성 도구를 사용 하면서 고객 데이터를 사용할 수 있는 안전한 방법을 제공합니다. 감사 정책 및 Intune을 사용하여 엔터프라이즈 워크스테이션에서 사용자 동작 및 프로필 사용량을 모니터링할 수 있습니다.
권한 있는 액세스 배포 지침의 엔터프라이즈 보안 프로필은 JSON 파일을 사용하여 Windows 10 및 제공된 JSON 파일을 사용하여 이를 구성합니다.
- 특수 디바이스 – 워크스테이션을 자체 관리하는 기능을 제거하고 권한 있는 관리자가 설치한 애플리케이션(프로그램 파일 및 사용자 프로필 위치의 사전 승인된 애플리케이션)으로만 실행할 수 있는 애플리케이션을 제한하여 엔터프라이즈 사용에서 중요한 단계를 나타냅니다. 애플리케이션을 설치하는 기능을 제거하면 생산성에 영향을 줄 수 있으므로 사용자 요구를 충족하기 위해 신속하게 설치할 수 있는 Microsoft Store 애플리케이션 또는 회사 관리형 애플리케이션에 대한 액세스를 제공해야 합니다. 어떤 사용자를 특수 수준의 디바이스로 구성해야 하는지에 대한 참고 자료는 권한 있는 액세스 보안 수준을 참조하세요.
- 특수 보안 사용자는 사용이 간편한 환경에서 이메일 및 웹 검색과 같은 작업을 수행할 수 있는 동시에 더 잘 제어되는 환경을 필요로 합니다. 이러한 사용자는 쿠키, 즐겨찾기 및 기타 바로 가기와 같은 기능이 작동할 것으로 예상하지만 디바이스 운영 체제를 수정하거나 디버그하거나 드라이버를 설치하는 기능이 필요하지 않습니다.
권한 있는 액세스 배포 지침의 특수 보안 프로필은 JSON 파일을 사용하여 Windows 10 및 제공된 JSON 파일을 사용하여 이를 구성합니다.
- PAW(Privileged Access Workstation) – 계정이 손상된 경우 조직에 중요하거나 중대한 영향을 미칠 매우 중요한 역할을 위해 설계된 가장 높은 보안 구성입니다. PAW 구성에는 로컬 관리 액세스 및 생산성 도구를 제한하는 보안 제어 및 정책이 포함되어 공격 노출 영역을 중요한 작업 수행에 절대적으로 필요한 것으로 최소화합니다.
이렇게 하면 공격자가 피싱 공격을 위한 가장 일반적인 벡터(이메일 및 웹 검색)를 차단하기 때문에 PAW 디바이스를 손상하기가 어려워집니다.
이러한 사용자에게 생산성을 제공하려면 생산성 애플리케이션 및 웹 검색을 위한 별도의 계정 및 워크스테이션을 제공해야 합니다. 이는 불편하기는 하지만 조직에서 대부분의 또는 모든 리소스에 손상을 줄 수 있는 계정을 가진 사용자를 보호하는 데 필요한 컨트롤입니다.
- 권한 있는 워크스테이션은 명확한 애플리케이션 컨트롤 및 애플리케이션 가드 기능이 있는 강화된 워크스테이션을 제공합니다. 워크스테이션은 자격 증명 가드, 디바이스 가드, 앱 가드 및 익스플로잇 가드를 사용하여 호스트를 악의적인 동작으로부터 보호합니다. 모든 로컬 디스크는 BitLocker를 사용하여 암호화되고 웹 트래픽은 허용되는 대상의 제한 집합으로 제한됩니다(모두 거부).
권한 있는 액세스 배포 지침의 권한 있는 보안 프로필은 JSON 파일을 사용하여 Windows 10 및 제공된 JSON 파일을 사용하여 이를 구성합니다.