App-V 보안 고려 사항
적용 대상:
- Windows 10
- Windows 11
이 문서에는 계정 및 그룹, 로그 파일 및 Microsoft App-V(애플리케이션 가상화)에 대한 기타 보안 관련 고려 사항에 대한 간략한 개요가 포함되어 있습니다.
중요
App-V는 보안 제품이 아니며 보안 환경에 대한 보장을 제공하지 않습니다.
PACKAGEStoreAccessControl(PSAC) 기능은 더 이상 사용되지 않습니다.
2014년 6월부터 단일 사용자 및 다중 사용자 환경 모두에서 Microsoft Application Virtualization(App-V) 5.0 SP2(서비스 팩 2)에 도입된 PACKAGEStoreAccessControl(PSAC) 기능이 더 이상 사용되지 않습니다.
일반적인 보안 고려 사항
보안 위험을 이해합니다. App-V에 대한 가장 심각한 위험은 권한이 없는 사용자가 App-V 클라이언트의 기능을 하이재킹하여 해커에게 App-V 클라이언트에서 키 데이터를 다시 구성할 수 있는 기능을 제공하는 것입니다. 이에 비해 서비스 거부 공격으로 인한 App-V 기능의 단기 손실은 치명적이 아닙니다.
컴퓨터를 물리적으로 보호합니다. 물리적 보안을 고려하지 않는 보안 전략은 불완전합니다. App-V 서버에 물리적으로 액세스할 수 있는 모든 사용자가 잠재적으로 전체 클라이언트 기반을 공격할 수 있으므로 잠재적인 물리적 공격이나 도난을 방지해야 합니다. App-V 서버는 제어된 액세스 권한이 있는 물리적으로 안전한 서버 룸에 저장해야 합니다. 관리자가 자리를 비운 경우 컴퓨터를 안전하게 유지하기 위해 운영 체제 또는 보안 화면 보호기로 컴퓨터를 잠급니다.
모든 컴퓨터에 최신 보안 업데이트를 적용합니다. 운영 체제, Microsoft SQL Server 및 App-V에 대한 최신 업데이트에 대한 정보를 유지하려면 Microsoft 보안 TechCenter를 참조하세요. (이 링크를 업데이트해야 함)
강력한 암호를 사용하거나 구를 전달합니다. 항상 모든 App-V 및 App-V 관리자 계정에 대해 15자 이상의 문자로 강력한 암호를 사용합니다. 빈 암호를 사용하지 마세요. 암호 개념에 대한 자세한 내용은 암호 정책 및 강력한 암호를 참조하세요. (이 링크를 업데이트해야 함)
App-V의 계정 및 그룹
사용자 계정 관리를 위한 모범 사례는 도메인 전역 그룹을 만들고 사용자 계정을 추가하는 것입니다. 그런 다음, App-V 서버의 필요한 App-V 로컬 그룹에 도메인 전역 계정을 추가합니다.
참고
게시 서버에 연결해야 하는 App-V 클라이언트 컴퓨터 계정은 게시 서버의 사용자 로컬 그룹에 속해야 합니다. 기본적으로 도메인의 모든 컴퓨터는 사용자 로컬 그룹의 일부인 권한 있는사용자 그룹의 일부입니다.
App-V 서버 보안
App-V를 설정하는 동안 그룹이 자동으로 만들어지지 않습니다. App-V 서버 작업을 관리하려면 다음 Active Directory Domain Services 전역 그룹을 만들어야 합니다.
| 그룹 이름 | 세부 정보 | 중요 정보 |
|---|---|---|
| App-V 관리 관리 그룹 | App-V 관리 서버를 관리하는 데 사용됩니다. 이 그룹은 App-V 관리 서버를 설치하는 동안 만들어집니다. | 설치가 완료된 후에는 관리 콘솔 새 그룹을 만들 수 없습니다. |
| 관리 서비스 계정에 대한 데이터베이스 읽기/쓰기 | 관리 데이터베이스에 대한 읽기/쓰기 액세스를 제공합니다. 이 계정은 App-V 관리 데이터베이스 설치 중에 만들어야 합니다. | |
| App-V 관리 서비스 설치 관리자 계정 | 관리 데이터베이스의 스키마 버전 테이블에 대한 공용 액세스를 제공합니다. 이 계정은 App-V 관리 데이터베이스 설치 중에 만들어야 합니다. | 이 계정은 관리 데이터베이스가 서비스와 별도로 설치되는 경우에만 필요합니다. |
| App-V Reporting Service 설치 관리자 계정 | 보고 데이터베이스의 스키마 버전 테이블에 대한 공용 액세스. 이 계정은 App-V 보고 데이터베이스 설치 중에 만들어야 합니다. | 이 계정은 보고 데이터베이스가 서비스와 별도로 설치되는 경우에만 필요합니다. |
다음 추가 정보를 고려합니다.
- 패키지 공유에 대한 액세스: 공유가 관리 서버와 동일한 컴퓨터에 있는 경우 네트워크 서비스에 공유에 대한 읽기 액세스 권한이 필요합니다. 또한 각 App-V 클라이언트 컴퓨터에는 패키지 공유에 대한 읽기 권한이 있어야 합니다.
참고
이전 버전의 App-V에서는 패키지 공유를 콘텐츠 공유라고 했습니다.
- 관리 서버에 게시 서버 등록: 게시 서버를 관리 서버에 등록해야 합니다. 예를 들어 게시 서버 컴퓨터 계정이 관리 서비스 API를 호출할 수 있도록 데이터베이스에 추가해야 합니다.
App-V 패키지 보안
다음 정보는 가상화된 패키지가 안전한지 확인하는 방법을 계획하는 데 도움이 됩니다.
- 애플리케이션 설치 관리자가 파일 또는 디렉터리에 ACL(액세스 제어 목록)을 적용하는 경우 해당 ACL은 패키지에 유지되지 않습니다. 패키지가 배포될 때 사용자가 파일 또는 디렉터리를 수정하면 수정된 파일 또는 디렉터리가 %userprofile% 의 ACL을 상속하거나 대상 컴퓨터 디렉터리의 ACL을 상속합니다. 전자는 파일 또는 디렉터리가 가상 파일 시스템 위치에 없는 경우 발생합니다. 파일 또는 디렉터리가 %windir%와 같은 가상 파일 시스템 위치에 있는 경우 후자가 발생합니다.
App-V 로그 파일
App-V를 설치하는 동안 설치 로그 파일은 설치 중인 사용자의 %temp% 폴더에 만들어집니다.