Surface Hub 3 보안 모범 사례
범위
이 문서는 새 Surface Hub 3 디바이스, Surface Hub 3 팩 컴퓨팅 카트리지로 업그레이드된 Surface Hub 2S 디바이스 및 Windows 플랫폼의 Teams 룸 소프트웨어로 마이그레이션된 Surface Hub 2S 디바이스에 적용됩니다.
소개
Surface Hub 31은 Windows에서 Microsoft Teams 룸 환경을 실행합니다. organization 보안 태세에 따라 이 문서에 설명된 대로 다른 보안 조치를 취할 수 있습니다. 최소한 다음 조치를 권장했습니다.
팁
시작하기 전에 Microsoft Teams 룸 보안에 대한 지침을 검토합니다. 이 지침은 주로 탁상 회의 디바이스의 보안(인증된 시스템 Teams 룸)에 중점을 둡니다. Windows 11 IoT Enterprise 운영 체제는 IT 관리자에게 다양한 중앙 집중식 구성 및 관리 옵션을 제공합니다.
기본 로컬 관리자 암호 변경
기본 로컬 관리자 계정은 악의적인 행위자의 잘 알려진 진입점입니다. 처음 설치한 후에도 기본 관리자 암호가 변경되지 않은 상태로 유지되면 디바이스가 데이터 위반, 시스템 조작 또는 기타 무단 액세스에 취약할 수 있습니다.
Surface Hub 3에서 로컬 관리자 암호를 변경하려면
- 관리자 자격 증명으로 로그인하고 설정 > 계정 > 로그인 옵션 > 암호 > 변경으로 이동합니다.
- 현재 기본 password:sfb를 입력합니다.
- 새 암호를 Create 암호를 확인하고 힌트를 추가합니다. 자세한 내용은 Windows 암호 변경 또는 재설정을 참조하세요.
팁
Microsoft Entra ID(Azure AD)에 조인하면 Windows LAPS(로컬 관리자 암호 솔루션)를 활용할 수 있습니다. LAPS는 로컬 관리자 계정을 제거하지는 않지만 로컬 관리자 암호를 자동으로 관리하여 임의로 AD에 안전하게 저장되도록 합니다. 이렇게 하면 부실하거나 널리 알려진 관리자 암호와 관련된 위험이 줄어듭니다. 자세한 내용은 Windows LAPS에 대한 Microsoft Intune 지원을 참조하세요.
UEFI 암호 설정
UEFI(Unified Extensible Firmware Interface)는 기존 BIOS(기본 입력/출력 시스템)를 대체하도록 설계된 고급 펌웨어 인터페이스로, 향상된 보안, 빠른 부팅 시간 및 최신 Windows 운영 체제의 대형 하드 드라이브 지원과 같은 향상된 기능을 제공합니다. UEFI 암호를 설정하면 권한이 없는 사용자가 디바이스의 펌웨어 설정을 변경하지 못하도록 추가 보안 계층을 추가합니다. 강력한 UEFI 암호를 설정하고 안전한 위치에 저장합니다.
Surface IT 도구 키트를 사용하여 SEMM(Surface Enterprise Management Mode)을 사용하여 UEFI 암호를 설정합니다.
SEMM에 Surface Hub 3 등록
50MB 이상의 저장 공간이 있는 전용 USB 드라이브가 필요합니다.
IT 도구 키트를 열고 UEFI 구성기디바이스 구성을 > 선택합니다.
배포 빌드 선택에서 DFI를 선택합니다.
인증서 보호 가져오기에서 PFE(조직 개인 정보 교환) 인증서를 추가합니다.
참고
이 문서에서는 타사 공급자로부터 인증서를 얻거나 PKI 인증서 서비스에 대한 전문 지식을 이미 보유하고 있으며 사용자 고유의 인증서를 만드는 방법을 알고 있다고 가정합니다. 자세한 내용은 SEMM 인증서 요구 사항 및인증서 서비스 아키텍처 설명서를 참조하세요.
DFI 패키지 유형에서 구성 패키지를 선택합니다. 디바이스에서 Surface Hub Surface Hub>3을 선택하고 다음을 선택합니다.
UEFI 암호에서 암호 설정 또는 수정을 선택한 다음 암호를 입력하고 확인합니다. 다음을 선택합니다.
필요에 따라 이 페이지의 SEMM을 사용하여 UEFI 설정 관리 섹션에 설명된 대로 구성 요소 및 고급 설정을 구성할 수 있습니다. 그렇지 않으면 다음을 선택합니다.
USB 드라이브를 선택하고 Create 선택합니다.
패키지를 성공적으로 만들면 Configurator에 인증서 지문의 마지막 두 문자가 표시됩니다. 구성을 Surface Hub 3으로 가져올 때 이러한 문자가 필요합니다.
물리적으로 안전한 Surface Hub 3
물리적 보안은 디지털 보안만큼이나 중요한 도구입니다. 공용 회의실의 Surface Hub와 같은 디바이스는 물리적 손상 또는 변조에 취약할 수 있습니다. Surface Hub를 보호하려면 다음 단계를 고려합니다.
- 변조 방지 씰: 디바이스에서 변조 방지 씰을 사용합니다. 누군가가 장치를 열려고 하면 씰이 변조의 징후를 표시합니다.
- 보안 케이블 및 잠금: 보안 케이블과 잠금 장치를 사용 하 여 무거운 또는 이동 하지 않는 개체에 장치를 보호, 누군가가 그것으로 멀리 걸어 만들기.
- 감시: 작업 공간 환경에 따라 회의실에 감시 카메라를 설치하도록 선택할 수 있습니다. 카메라의 단순한 존재는 잠재적 인 잘못을 억제 할 수 있습니다.
Surface Hub & Surface Hub 2S의 Windows 10 Team 차이점
다음 보안 기능은 Surface Hub 3에서 기본적으로 더 이상 사용하도록 설정되지 않습니다.
BitLocker
Microsoft Entra ID(Azure AD)에 조인할 때 Intune 통해 BitLocker를 사용하도록 설정할 수 있습니다. 자세한 내용은 Intune BitLocker를 사용하여 Windows 디바이스 암호화를 참조하세요.
독립 실행형 Surface Hub 3에서 BitLocker를 사용하도록 설정하려면
관리자 자격 증명을 사용하여 Surface Hub 3에 로그인합니다.
시작을 선택하고 ** 컨트롤을 입력한 다음 제어판 엽니다.
시스템 & 보안>BitLocker 드라이브 암호화>BitLocker 켜기를 선택합니다.
UMCI(사용자 모드 코드 무결성)
UMCI는 코드 무결성 정책을 적용하고 신뢰할 수 있는 코드만 사용자 모드에서 실행되도록 하여 악의적이거나 신뢰할 수 없는 코드의 실행을 방지합니다. 허브 3이 Microsoft Entra 도메인에 조인될 때 또는 PowerShell cmdlet을 사용하여 그룹 정책 통해 UMCI를 구성할 수 있습니다. UMCI는 구성 가능한 코드 무결성 정책도 포함하는 Windows Defender WDAC(애플리케이션 제어)로 관리할 수 있는 기능 집합의 일부입니다. 자세한 내용은 Windows Defender WDAC(애플리케이션 제어) 정책 규칙 및 파일 규칙 이해를 참조하세요.
Microsoft Teams 룸 Pro 관리
Microsoft Teams 룸 Pro 관리 포털 라이선스를 활용하는 것이 좋습니다. 이 클라우드 기반 관리 플랫폼은 Microsoft Teams 룸 디바이스 및 주변 장치에 대한 사전 모니터링 및 업데이트를 제공하여 회의실 환경을 향상하도록 설계되었습니다. 모임 환경을 최적화하려는 조직을 위한 이 서비스는 Surface Hub 3을 비롯한 Microsoft Teams 룸 디바이스의 실시간 감독 및 관리를 보장합니다. 조직은 이 솔루션을 채택하여 최종 사용자의 유용성과 안정성을 크게 향상시켜 원활한 모임 환경을 보장할 수 있습니다.
- 지능형 작업: 소프트웨어 및 기계 학습을 활용하여 업데이트를 자동화하고, 문제를 감지하고, Microsoft Teams 룸 문제를 resolve.
- 시기 적절한 보안 업데이트: 자동화된 업데이트 관리를 통해 보안 패치가 사용 가능해지면 즉시 적용되어 취약성 창을 최소화하고 알려진 보안 위협으로부터 디바이스를 보호합니다.
- 업데이트 관리: 고객이 구성할 수 있는 배포 링을 기반으로 모임 애플리케이션 및 Windows 업데이트의 오케스트레이션을 자동화합니다.
자세한 내용은 Microsoft Teams 룸 Pro 관리를 참조하세요.
Surface Hub 3의 엔터프라이즈 관리
Surface Hub 3를 조인하여 Azure AD(Microsoft Entra ID) Microsoft Intune 또는 동등한 MDM(모바일 디바이스 관리) 솔루션을 사용하여 디바이스를 관리하는 것이 좋습니다. 다음 표에서는 Intune 대한 구성 관리 옵션에 대해 설명합니다.
| 기능 | 설명 | 자세히 알아보기 |
|---|---|---|
| 디바이스 구성 프로필 | Intune 엔드포인트 보호 설정을 사용하여 잠재적 위협으로부터 디바이스를 보호하기 위해 Windows Defender, 방화벽 설정 및 기타 보안 기능을 구성합니다. | Microsoft Intune 디바이스 프로필 Create |
| 디바이스 준수 정책 | 디바이스가 organization 보안 표준을 준수하는지 확인합니다. 디바이스가 규정을 준수하지 않는 경우(예: 필요한 업데이트가 설치되지 않은 경우) 자동화된 수정 작업 또는 알림을 구성할 수 있습니다. | Microsoft Intune 디바이스 준수 정책 Create |
| 업데이트 관리 | 기본 업데이트 관리 설정을 사용하여 야간 유지 관리 기간 동안 업데이트를 자동으로 설치합니다. Intune 필요한 경우 사용자 지정하는 더 많은 옵션을 제공합니다. | Windows 업데이트 설정은 Windows 10/11 디바이스에 대한 Intune 업데이트 링 정책으로 관리할 수 있습니다. |
| 앱 관리 | Intune 사용하여 Surface Hub 3에 설치된 앱을 관리합니다. Teams 룸 기능과 관련된 필요한 앱만 설치되고 정기적으로 업데이트되는지 확인합니다. | Intune 앱 관리 및 보안 |
| BitLocker 암호화 | BitLocker를 사용하여 디바이스의 스토리지가 암호화되었는지 확인합니다. 이렇게 하면 무단 액세스 또는 디바이스 도난으로부터 데이터를 보호합니다. Surface Hub 2S와 달리 BitLocker는 기본적으로 설치되지 않습니다. | Intune BitLocker를 사용하여 Windows 디바이스 암호화 |
| WindowsLocal 관리자 암호 솔루션 | Windows LAPS는 로컬 관리자 암호를 자동으로 관리하여 Microsoft Entra ID(Azure AD)에 임의로 안전하게 저장되도록 합니다. 이렇게 하면 부실하거나 널리 알려진 관리자 암호와 관련된 위험이 줄어듭니다. | Windows LAPS에 대한 Microsoft Intune 지원 |
| 조건부 액세스 | 디바이스가 보안 정책 준수와 같은 특정 조건을 충족하는 경우에만 회사 리소스에 액세스할 수 있도록 조건부 액세스 정책을 설정합니다. | Microsoft Intune 규정 준수 정책과 함께 조건부 액세스 사용 |
| 네트워크 보안 | 디바이스가 보안 네트워크 세그먼트에 연결되어 있는지 확인합니다. Intune 사용하여 전송 중인 데이터를 보호하기 위해 Wi-Fi 설정, VPN 또는 기타 네트워크 구성을 구성합니다. | Microsoft Intune 디바이스에 대한 Wi-Fi 프로필 Create Microsoft Intune의 네트워크 끝점 |
| 원격 초기화 및 잠금 | 보안 인시던트가 발생할 경우 Intune 사용하여 디바이스를 원격으로 잠그거나 초기화할 수 있는지 확인합니다. | Microsoft Intune 사용하여 디바이스 사용 중지 또는 초기화 |
| 감사 및 모니터링 | 정기적으로 감사 로그를 검토하고 의심스러운 활동에 대한 경고를 설정합니다. Intune Microsoft Endpoint Manager 및 기타 Microsoft 보안 솔루션과 통합되어 디바이스 보안에 대한 전체적인 보기를 제공합니다. | Microsoft Intune 변경 내용 및 이벤트 감사 |
| 사용자 교육 | 사용자에게 중요한 정보를 화면에 표시하지 않도록 교육합니다. organization DLP(Microsoft Purview 데이터 손실 방지)가 있는 경우 사용자가 Microsoft Teams 채널 또는 채팅 세션에서 중요한 정보를 공유하지 못하도록 하는 정책을 정의할 수 있습니다. |
데이터 손실 방지 및 Microsoft Teams |
도메인 가입 시나리오에서 그룹 정책 설정 관리
Teams 룸 도메인과 통합하는 경우 Teams 룸 위해 특별히 별도의 전용 OU(조직 구성 단위)를 설정해야 합니다. 이 방법을 사용하면 GPO(그룹 정책 Object) 제외를 이 OU에 직접 적용하여 관련 정책만 Teams 룸 개체에 영향을 줄 수 있습니다.
GPO 상속을 사용하지 않도록 설정합니다. 지원되지 않거나 관련이 없는 그룹 정책 설정이 Teams 룸 적용되지 않도록 하려면 이 OU 내의 모든 GPO 상속을 사용하지 않도록 설정하는 것이 중요합니다.
도메인에 가입하기 전에 OU에 GPO를 적용합니다. Teams 룸 대한 컴퓨터 개체가 도메인 조인 전에 이 특정 OU 내에 만들어지는지 확인합니다. 이 단계는 의도한 구성 및 보안 상태를 Teams 룸 유지 관리하기 위해 기본 컴퓨터 OU 정책을 실수로 적용하지 않도록 하는 데 필수적입니다.
도메인 가입 시나리오에서 그룹 정책 구성하는 방법에 대한 자세한 내용은 다음 리소스를 참조하세요.
SEMM으로 UEFI 설정 관리하기
SEMM을 사용하면 IT 관리자가 환경의 보안 태세에 따라 구현할 수 있는 펌웨어 수준에서 기능을 잠글 수 있습니다. 앞에서 설명한 대로 Surface UEFI 구성기를 열고 다음 화면으로 이동합니다.
설정 설명은 SEMM UEFI 설정 참조를 참조하세요.
동시 다중 스레딩(SMT)
일반적으로 Intel 프로세서에서 하이퍼스레딩이라고 하는 SMT를 사용하면 단일 물리적 CPU 코어가 여러 스레드를 동시에 실행할 수 있습니다. 이렇게 하면 다중 스레드 애플리케이션의 성능이 향상될 수 있습니다. 그러나 SMT 설정을 제어할 수 있는 특정 시나리오가 있습니다. 추측 실행 측면 채널 공격(예: L1 터미널 오류, MDS 취약성)과 같은 일부 취약성은 잠재적으로 SMT를 악용하여 중요한 데이터에 액세스할 수 있습니다. SMT를 사용하지 않도록 설정하면 일부 성능이 저하되더라도 이러한 취약성과 관련된 위험을 완화할 수 있습니다. SMT는 기본적으로 사용하도록 설정됩니다.
PXE 부팅용 IPv6
네트워크 인프라 및 보안 컨트롤이 주로 IPv4를 중심으로 설계되었으며 IPv6 트래픽을 안전하게 처리할 수 있도록 완벽하게 갖추어야 하는 경우 PXE 부팅에 IPv6을 사용하도록 설정하면 취약성이 발생할 수 있습니다. IPv6에서 IPv4에 대한 기존 보안 컨트롤 중 일부를 우회할 수 있기 때문입니다.
PXE용 IPv6 부팅을 사용하도록 설정하는 것은 IPv6 채택을 향한 광범위한 업계의 움직임에 부합하지만, 네트워크 인프라, 보안 제어 및 운영 관행이 모두 IPv6을 안전하게 처리할 수 있도록 하는 것이 중요합니다. 그렇지 않은 경우 해당 측정값이 준비될 때까지 PXE용 IPv6 부팅을 사용하지 않도록 유지하는 것이 더 안전할 수 있습니다.
대체 부팅 & USB 부팅
USB 또는 이더넷 디바이스와 같은 다른 원본에서 부팅하는 기능은 시스템 복구에 유연성을 제공하지만 취약성을 도입할 수도 있습니다.
- 권한 없는 운영 체제: 대체 부팅을 사용하도록 설정하면 디바이스에 물리적으로 액세스할 수 있는 공격자가 USB 드라이브에서 권한 없는 운영 체제를 사용하여 시스템을 부팅할 수 있습니다. 이렇게 하면 기본 OS의 보안 제어를 무시할 수 있습니다.
- 데이터 추출: 공격자가 외부 디바이스에서 내부 스토리지에 직접 액세스할 수 있는 시스템으로 부팅하여 중요한 데이터를 추출할 수 있습니다.
- 맬웨어 설치: 신뢰할 수 없는 원본에서 부팅하면 시스템 수준에서 맬웨어, 루트킷 또는 기타 악성 소프트웨어가 발생할 수 있습니다.
이러한 영향을 감안할 때 매우 안전한 작업 공간 환경의 조직은 무단 액세스 또는 변조의 위험을 줄이기 위해 대체 부팅 및 USB 부팅을 사용하지 않도록 선택할 수 있습니다.
부팅 순서 잠금
"부팅 주문 잠금"을 사용하도록 설정하면 권한 있는 원본에서만 부팅되도록 하여 보안 태세가 향상됩니다. 부팅 순서 잠금은 기본적으로 꺼져 있습니다.
참조
- Surface Hub 3 팩으로 업그레이드된 Surface Hub 3 및 Surface Hub 2S에 적용됩니다.
세부 정보
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기