ID 보안 강화
우리의 업무와 개인 생활은 자격 증명의 보안에 점점 더 의존합니다. 즉, 자격 증명 위반은 organization 및 사용자에게 심각한 결과를 초래할 수 있습니다. ID는 사람, 디바이스, 심지어 서비스를 나타낼 수 있습니다. 사용자를 보호하고 전체적으로 organization 가장 좋은 방법은 제로 트러스트 방법입니다. organization 전체의 ID가 강력하고 유연하게 유지되고 세분화된 수준에서 액세스를 제어할 수 있도록 하는 데 도움이 됩니다. 방금 설명한 최신 디바이스 관리 도구는 이 기능 선택에 따라 organization 보안 태세를 발전시키는 데 도움이 됩니다. 월간 서비스 업데이트를 보완하기 위해 Microsoft Intune 및 Microsoft Entra ID 사용하여 직원, 파트너 및 고객의 ID를 관리하고 보호합니다.
다단계 인증을 사용하여 암호 없는 상태 이동
암호는 기억하기 어려울 수 있으며 사이버 범죄자를 대상으로 하는 경우가 많습니다. 사용자가 계정 간에 동일한 암호를 다시 사용하는 경우가 많습니다. 이 문제를 해결하려면 비즈니스용 Windows Hello 프리미어 기본 제공 암호 없는 솔루션 및/또는 Microsoft Entra ID MFA(다단계 인증)로 사용합니다.
Windows는 여러 FIDO 인증 방법을 통해 암호에 대한 제로 트러스트 접근 방식을 취하므로 공유 디바이스에 FIDO2 보안 키를 사용할 수 있습니다. FIDO(Fast Identity Online)는 사용자가 계정 간에 동일한 암호를 다시 사용하지 못하도록 설계된 개방형 인증 표준입니다. 하나의 계정이 손상된 경우 동일한 암호를 사용하는 모든 계정도 위험에 노출됩니다. 최대 보호를 위해 함께 사용할 수 있는 암호 없는 다단계 인증을 다룹니다.
비즈니스용 Windows Hello 첫날부터 암호를 사용할 필요가 없도록 하여 사용자 ID를 보호할 수 있습니다. 얼굴 인식, 지문 또는 PIN을 사용하여 사용자 ID를 확인합니다. 사용자의 자격 증명을 디바이스에 바인딩하고, 등록된 디바이스에서만 사용할 수 있으며, 다른 디바이스에서는 작동하지 않습니다. 엔터프라이즈의 Microsoft Entra ID 통합된 이 설정은 여러 디바이스 시나리오를 통해 암호 도용 및 피싱 공격으로부터 보호합니다. 다음 단계를 사용하여 보안 태세를 개선합니다.
시작: 온-프레미스, 클라우드 또는 하이브리드를 포함하여 organization 환경에 따라 비즈니스용 Windows Hello 디바이스를 등록합니다. Microsoft Intune 또는 수동으로 테넌트 전체 비즈니스용 Windows Hello 정책을 구성합니다.
- 비즈니스용 Windows Hello 사용으로 설정합니다.
- PIN 요구 사항 구성: 길이, 문자 대/소문자, 특수 문자, 만료, 기록 및 복구 옵션.
- TPM(신뢰할 수 있는 플랫폼 모듈) 칩, 생체 인식 인증, 스푸핑 방지, 온-프레미스 리소스용 인증서 및 로그인을 위한 보안 키와 같은 추가 보호를 사용하도록 설정합니다.
추가 진행: 보호 강화를 위해 조건부 액세스를 만듭니다( 예: 사용자가 organization 보안 정책에 따라 관리되고 최신 디바이스에 있는 경우에만 리소스에 액세스할 수 있도록 허용). 이렇게 하면 원격 자격 증명 도용 및 피싱 공격으로부터 organization 보호할 수 있습니다. 항상 사용자가 액세스 권한을 얻고 필요한 암호 수를 줄이기 위해 물리적으로 행동하도록 요구합니다.
최적화: 더욱 강력한 보안을 위해 Microsoft Entra ID 같은 ID 공급자가 제공하는 MFA(다단계 인증)와 암호 없는 보호를 결합하도록 비즈니스용 Windows Hello 구성합니다.
또는 설정 카탈로그를 사용하여 아래 그림과 같은 비즈니스용 Windows Hello 구성합니다.
MFA(다단계 인증)를 사용하면 계정에 액세스 권한이 부여되기 전에 여러 인증 요구 사항을 결합할 수 있습니다. 예를 들어 사용자가 Microsoft Authenticator 앱을 사용하여 요청을 승인하거나 액세스 권한을 얻기 위해 생체 인식 정보 외에 휴대폰 또는 전자 메일로 전송된 확인 코드를 제공하도록 요구할 수 있습니다.
디바이스가 Microsoft Entra 테넌트 내에 등록되고 개별 사용자와 연결된 경우 해당 디바이스에 액세스하기 위해 사용자의 생체 인식 또는 PIN이 필요한 암호 없는 인증을 설정할 수 있습니다. Microsoft Authenticator 앱을 사용하여 설정합니다. Microsoft Authenticator를 사용하여 비즈니스용 Windows Hello.yFinally를 부트스트랩할 수도 있습니다. 사용자가 단일 물리적 보안 키를 대체 암호 없는 인증으로 사용하여 리소스 및 플랫폼에 액세스할 수 있습니다.
프레즌스 감지: 절전 모드 해제 및 휴가 중 잠금
Windows 프레즌스 감지는 하이브리드 작업자를 위한 또 다른 데이터 보안 및 개인 정보 보호 계층을 제공합니다. 최신 Windows 디바이스는 가정, 사무실 또는 공공 환경에서 작업하든 관계없이 안전하고 생산적인 상태를 유지할 수 있도록 사용자의 현재 상태에 지능적으로 적응할 수 있습니다. Windows 프레즌스 감지는 현재 상태 감지 센서가 있는 Windows Hello 얼굴 인식을 사용하여 핸즈프리로 로그인하고, 사용자가 떠날 때 자동으로 장치를 잠급니다. 접근 시 PC를 절전 모드 해제하는 기능은 Windows 11 디바이스에서 구성할 수 있으며, Windows 10 잠금 기능도 사용할 수 있습니다. 디바이스에 절전 모드 해제를 위해 내장된 현재 상태 센서 가 있는지 확인하고 Bluetooth와 페어링 하여 잠급 수 있습니다.
설정 카탈로그를 사용하여 현재 상태 감지를 제어합니다.
액세스 제어 구현
Access Control 사용하면 사용자가 특정 파일 시스템 개체에 액세스하려고 하는 경우와 같이 개체를 제어하고 시스템 이벤트를 감사할 수 있습니다. 이렇게 하면 중요한 개체에 대한 활동을 제어하고 추적할 수 있습니다.
Windows 디바이스에 대한 액세스 제어를 구성하여 organization 디바이스 및 네트워크에서 개체 및 리소스에 대한 사용자, 그룹 및 컴퓨터의 권한 부여를 제어합니다. 액세스 제어를 사용하면 다음을 수행할 수 있습니다.
- 사용자가 조직 정책과 일치하는 방식으로 리소스에 액세스하고 일상 업무에 필요한 리소스에 액세스할 수 있도록 합니다.
- organization 정책이 변경되거나 사용자의 작업이 변경됨에 따라 정기적으로 리소스에 액세스하는 사용자의 기능을 업데이트합니다.
- 합법적인 사용자가 작업을 수행하는 데 필요한 리소스에 액세스할 수 없는 경우 액세스 문제를 식별하고 해결합니다.
Access Control Lists 사용하여 특정 개체에 사용할 수 있는 권한을 구성합니다. 시스템 리소스에 대한 권한에는 시스템 Access Control Lists 사용합니다.
Windows Defender Credential Guard 사용
Windows 11 버전 22H2 업데이트부터 Windows Defender Credential Guard는 엔터프라이즈 버전에서 기본적으로 사용하도록 설정됩니다. 그렇지 않은 경우 Windows Defender Credential Guard를 사용하도록 설정하여 하드웨어 및 가상화 기반 보안의 조합을 사용하여 시스템을 보호합니다. 이를 사용하여 암호 해시와 같은 자격 증명 도난 공격을 비롯한 고급 영구 위협으로부터 보호합니다. 여기서 사이버 범죄자는 환경 전체에서 횡적으로 이동하기 위해 암호 해시를 사용합니다. 또한 어떻게든 관리 권한을 얻었을 수 있는 맬웨어가 비밀을 추출하지 못하도록 방지할 수 있습니다.
아래 그림과 같이 설정 카탈로그 또는 보안 기준을 사용하여 Windows Defender Credential Guard를 사용하도록 설정합니다.
organization 사용자는 원격 데스크톱 연결을 통해 원격 디바이스에 연결해야 할 수 있습니다. 그렇다면 Windows Defender Remote Credential Guard를 사용하도록 설정하여 자격 증명이 네트워크를 통해 전달되지 않고 디바이스에만 유지되도록 합니다. 또한 원활하고 보호된 로그인을 위해 모든 원격 데스크톱 세션에 대한 Single Sign-On 환경을 제공할 수 있습니다.
