권한 있는 액세스 스토리의 일부로 디바이스 보안 설정

이 지침은 완전한 권한 있는 액세스 전략 의 일부이며 권한 있는 액세스 배포의 일부로 구현됩니다.

권한 있는 액세스에 대한 종단 간 제로 트러스트 보안에는 세션에 대한 다른 보안 보증을 빌드할 수 있는 강력한 디바이스 보안 기반이 필요합니다. 보안 보증은 세션에서 향상될 수 있지만 원래 디바이스에서 보안 보장이 얼마나 강력한지에 따라 항상 제한됩니다. 이 디바이스를 제어하는 공격자는 사용자를 가장하거나 향후 가장을 위해 자격 증명을 도용할 수 있습니다. 이 위험은 계정, 점프 서버와 같은 중개자 및 리소스 자체에 대한 다른 보증을 훼손합니다. 자세한 내용은 클린 원본 원칙을 참조하세요.

이 문서는 보안 컨트롤의 개요를 제공하여, 중요한 사용자에게 수명 주기 내내 보안 워크스테이션을 제공합니다.

Workflow to acquire and deploy a secure workstation

이 솔루션은 Windows 10 운영 체제, 엔드포인트용 Microsoft Defender, Microsoft Entra ID 및 Microsoft InTune의 핵심 보안 기능을 사용합니다.

보안 워크스테이션 사용은 누구에게 좋은가요?

모든 사용자 및 운영자는 보안 워크스테이션의 혜택을 누릴 수 있습니다. PC 또는 디바이스를 손상시키는 공격자는 이를 사용하는 모든 계정의 자격 증명/토큰을 가장하거나 도용하여 많은 또는 모든 기타 보안 보증을 약화시킬 수 있습니다. 관리자 또는 중요한 계정의 경우 공격자가 권한을 에스컬레이션하고 조직에 있는 액세스 권한을 높일 수 있는데, 종종 도메인, 전역 또는 엔터프라이즈 관리자 권한으로 극적으로 높일 수도 있습니다.

보안 수준 및 어느 수준에 할당해야 하는지에 대한 자세한 내용은 Privileged Access 보안 수준을 참조 하세요.

디바이스 보안 컨트롤

보안 워크스테이션을 성공적으로 배포하려면 애플리케이션 인터페이스에 적용되는 디바이스, 계정, 중개자 및 보안 정책을 비롯한 종단 간 접근 방식의 일부여야 합니다. 온전한 권한 있는 액세스 보안 전략에 대한 스택의 모든 요소에 대하여 주소를 지정해야 합니다.

다음 표는 다양한 디바이스 수준의 보안 컨트롤을 요약합니다.

프로필 Enterprise 특수화 특권 계정
Microsoft Endpoint Manager(MEM) 관리
BYOD 디바이스 등록 거부 아니요
적용된 MEM 보안 기준
엔드포인트에 대한 Microsoft Defender 예*
Autopilot을 통해 개인 디바이스에 조인 예* 예* No
승인된 목록으로 제한된 URL 최대 허용 최대 허용 기본값 거부
관리자 권한 제거
AppLocker(애플리케이션 실행 컨트롤) 감사- > 적용됨 Yes
MEM으로만 설치된 애플리케이션

참고 항목

해당 솔루션은 새로운 하드웨어, 기존 하드웨어 및 Bring Your Own Device(BYOD) 시나리오를 사용하여 배포할 수 있습니다.

모든 수준의 보안 업데이트에 대한 적절한 보안 유지 관리에는 Intune 정책이 적용됩니다. 디바이스 보안 수준 향상으로 인한 보안 차이는 공격자가 악용을 시도할 수 있는 공격 표면을 줄이는 데 중점을 두었습니다(가능한 많은 사용자 생산성 유지). 엔터프라이즈 및 특수 수준 디바이스는 생산성 애플리케이션 및 일반 웹 검색을 허용하지만 권한 있는 액세스 워크스테이션은 허용하지 않습니다. 엔터프라이즈 사용자는 자체 애플리케이션을 설치할 수 있지만 특수한 사용자는 워크스테이션의 로컬 관리자가 아닐 수 있습니다.

참고 항목

여기서 웹 검색은 위험 수준이 높은 활동이 될 수 있는 임의의 웹 사이트에 대한 일반적인 액세스를 의미합니다. 이러한 검색은 웹 브라우저를 사용하여 Azure, Microsoft 365, 다른 클라우드 공급자 및 SaaS 애플리케이션과 같은 서비스에 대해 잘 알려진 소수의 관리 웹 사이트에 액세스하는 것과는 분명히 다릅니다.

신뢰할 수 있는 하드웨어 루트

보안 워크스테이션에는 '신뢰할 수 있는 루트'라는 신뢰할 수 있는 워크스테이션을 사용하는 공급망 솔루션이 필수적입니다. 신뢰할 수 있는 루트 하드웨어를 선택할 때 고려해야 하는 기술에는 최신 노트북에 포함된 다음과 같은 기술이 포함되어야 합니다.

이 솔루션의 경우 최신 기술 요구 사항을 충족하는 하드웨어와 Windows Autopilot 기술을 사용하여 신뢰할 수 있는 루트를 배포합니다. 워크스테이션을 보호하기 위해 Autopilot을 사용하면 Microsoft OEM 최적화 Windows 10 디바이스를 활용할 수 있습니다. 이러한 디바이스는 제조업체로부터 알려진 양호한 상태로 제공됩니다. Autopilot은 잠재적으로 안전하지 않은 디바이스를 이미지로 다시 설치하는 대신 Windows 10 디바이스를 "업무 지원" 상태로 변환할 수 있습니다. 즉, 설정과 정책을 적용하고, 앱을 설치하고, Windows 10의 버전을 변경합니다.

Secure workstation Levels

디바이스 역할 및 프로필

이 참고 자료는 Windows 10을 강화하고 디바이스 또는 사용자 손상과 관련된 위험을 줄이는 방법을 보여 줍니다. 솔루션은 최신 하드웨어 기술과 신뢰할 수 있는 루트 디바이스를 이용하기 위해 디바이스 상태 증명을 사용합니다. 이 기능은 디바이스의 초기 부팅 중에 공격자가 지속될 수 없도록 하기 위해 제공됩니다. 이는 정책과 기술을 사용하여 보안 기능 및 위험을 관리하는 데 도움이 됩니다.

Secure workstation profiles

  • 엔터프라이즈 디바이스 - 첫 번째 관리형 역할은 조직에서 최소 보안 바를 발생시키려는 개인 사용자, 소규모 비즈니스 사용자, 일반 개발자 및 기업에 적합합니다. 이 프로필을 사용하면 사용자가 모든 애플리케이션을 실행하고 모든 웹 사이트를 찾아볼 수 있지만, 엔드포인트용 Microsoft Defender와 같은 맬웨어 방지 및 EDR(엔드포인트 감지 및 응답) 솔루션이 필요합니다. 보안 태세를 향상시키는 정책 기반 접근 방법이 사용됩니다. 이메일 및 웹 검색과 같은 생산성 도구를 사용 하면서 고객 데이터를 사용할 수 있는 안전한 방법을 제공합니다. 감사 정책 및 Intune을 사용하여 엔터프라이즈 워크스테이션에서 사용자 동작 및 프로필 사용량을 모니터링할 수 있습니다.

권한 있는 액세스 배포 지침의 엔터프라이즈 보안 프로필은 JSON 파일을 사용하여 Windows 10 및 제공된 JSON 파일을 사용하여 이를 구성합니다.

  • 특수 디바이스 – 워크스테이션을 자체 관리하는 기능을 제거하고 권한 있는 관리자가 설치한 애플리케이션(프로그램 파일 및 사용자 프로필 위치의 사전 승인된 애플리케이션)으로만 실행할 수 있는 애플리케이션을 제한하여 엔터프라이즈 사용에서 중요한 단계를 나타냅니다. 애플리케이션을 설치하는 기능을 제거하면 생산성에 영향을 줄 수 있으므로 사용자 요구를 충족하기 위해 신속하게 설치할 수 있는 Microsoft Store 애플리케이션 또는 회사 관리형 애플리케이션에 대한 액세스를 제공해야 합니다. 어떤 사용자를 특수 수준의 디바이스로 구성해야 하는지에 대한 참고 자료는 권한 있는 액세스 보안 수준을 참조하세요.
    • 특수 보안 사용자는 사용이 간편한 환경에서 이메일 및 웹 검색과 같은 작업을 수행할 수 있는 동시에 더 잘 제어되는 환경을 필요로 합니다. 이러한 사용자는 쿠키, 즐겨찾기 및 기타 바로 가기와 같은 기능이 작동할 것으로 예상하지만 디바이스 운영 체제를 수정하거나 디버그하거나 드라이버를 설치하는 기능이 필요하지 않습니다.

권한 있는 액세스 배포 지침의 특수 보안 프로필은 JSON 파일을 사용하여 Windows 10 및 제공된 JSON 파일을 사용하여 이를 구성합니다.

  • PAW(Privileged Access Workstation) – 계정이 손상된 경우 조직에 중요하거나 중대한 영향을 미칠 매우 중요한 역할을 위해 설계된 가장 높은 보안 구성입니다. PAW 구성에는 로컬 관리 액세스 및 생산성 도구를 제한하는 보안 제어 및 정책이 포함되어 공격 노출 영역을 중요한 작업 수행에 절대적으로 필요한 것으로 최소화합니다. 이렇게 하면 공격자가 피싱 공격을 위한 가장 일반적인 벡터(이메일 및 웹 검색)를 차단하기 때문에 PAW 디바이스를 손상하기가 어려워집니다. 이러한 사용자에게 생산성을 제공하려면 생산성 애플리케이션 및 웹 검색을 위한 별도의 계정 및 워크스테이션을 제공해야 합니다. 이는 불편하기는 하지만 조직에서 대부분의 또는 모든 리소스에 손상을 줄 수 있는 계정을 가진 사용자를 보호하는 데 필요한 컨트롤입니다.
    • 권한 있는 워크스테이션은 명확한 애플리케이션 컨트롤 및 애플리케이션 가드 기능이 있는 강화된 워크스테이션을 제공합니다. 워크스테이션은 자격 증명 가드, 디바이스 가드, 앱 가드 및 익스플로잇 가드를 사용하여 호스트를 악의적인 동작으로부터 보호합니다. 모든 로컬 디스크는 BitLocker를 사용하여 암호화되고 웹 트래픽은 허용되는 대상의 제한 집합으로 제한됩니다(모두 거부).

권한 있는 액세스 배포 지침의 권한 있는 보안 프로필은 JSON 파일을 사용하여 Windows 10 및 제공된 JSON 파일을 사용하여 이를 구성합니다.

다음 단계

안전한 Azure 관리형 워크스테이션 배포