보안 코어 PC 구성 잠금

• 적용 대상:

  ✅ Windows 11

엔터프라이즈 organization IT 관리자는 회사 디바이스에 정책을 적용하여 디바이스를 준수 상태로 유지하고 사용자가 구성을 변경하지 못하도록 방지하고 구성 드리프트를 만들어 OS를 보호합니다. 구성 드리프트는 로컬 관리자 권한이 있는 사용자가 설정을 변경하고 디바이스를 보안 정책과 동기화되지 않도록 할 때 발생합니다. 비규격 상태의 디바이스는 다음 동기화 및 구성이 MDM과 다시 설정될 때까지 취약할 수 있습니다. 구성 잠금이 있는 Windows 11 IT 관리자는 구성 드리프트를 방지하고 OS 구성을 원하는 상태로 유지할 수 있습니다. 구성 잠금을 사용하면 OS는 각 기능을 구성하는 레지스트리 키를 모니터링하고 드리프트를 감지하면 몇 초 만에 IT에서 원하는 상태로 되돌립니다.

보안 코어 구성 잠금(구성 잠금)은 의도하지 않은 잘못된 구성으로 인한 보안 코어 PC 기능에서 구성 드리프트를 방지하는 새로운 SCPC( 보안 코어 PC) 기능입니다. 즉, 보안 코어 PC가 될 디바이스가 보안 코어 PC로 유지되도록 합니다.

요약하면 다음과 같이 잠금을 구성합니다.

• MDM을 통해 관리되는 경우 IT에서 보안 코어 PC 기능을 "잠금"할 수 있습니다.
• 몇 초 내에 드리프트 수정 검색
• 악의적인 공격을 방지하지 않습니다.

Windows 버전 및 라이선싱 요구 사항

다음 표에는 보안 코어 구성 잠금을 지원하는 Windows 버전이 나와 있습니다.

Windows Pro	Windows Enterprise	Windows Pro Education/SE	Windows Education
예	예	예	예

보안 코어 구성 잠금 라이선스 권한은 다음 라이선스에 의해 부여됩니다.

Windows Pro/Pro Education/SE	Windows Enterprise E3	Windows Enterprise E5	Windows Education A3	Windows Education A5
예	예	예	예	예

Windows 라이선싱에 대한 자세한 내용은 Windows 라이선싱 개요를 참조하세요.

구성 흐름

보안 코어 PC가 데스크톱에 도달하면 구성 잠금은 디바이스가 보안 코어 PC인지 여부를 감지하여 구성 드리프트를 방지합니다. 디바이스가 보안 코어 PC가 아닌 경우 잠금이 적용되지 않습니다. 디바이스가 보안 코어 PC인 경우 구성 잠금은 잠긴 정책 목록에 나열된 정책을 잠급 수 있습니다.

Microsoft Intune 사용하여 구성 잠금 사용

구성 잠금은 기본적으로 사용하도록 설정되지 않거나 부팅하는 동안 OS에서 켜져 있지 않습니다. 대신 켜야 합니다.

Microsoft Intune 사용하여 구성 잠금을 설정하는 단계는 다음과 같습니다.

1. 구성 잠금을 설정하는 디바이스가 Microsoft Intune 등록되어 있는지 확인합니다.

2. Intune 관리 센터에서디바이스>구성 프로필 프로필>만들기를 선택합니다.

3. 다음을 선택하고 만들기를 누릅니 다.

   • 플랫폼: Windows 10 and later
   • 프로필 유형: Templates
   • 템플릿 이름: 사용자 지정

   

4. 프로필 이름을 지정합니다.

5. 구성 설정 단계에 도달하면 "추가"를 선택하고 다음 정보를 추가합니다.

   • OMA-URI: ./Vendor/MSFT/DMClient/Provider/MS%20DM%20Server/ConfigLock/Lock
   • 데이터 형식: Integer
   • 값: 1

   구성 잠금을 해제하려면 값을 0으로 변경합니다.

   

6. 구성 잠금을 설정할 디바이스를 선택합니다. 테스트 테넌트 사용 중인 경우 "+ 모든 디바이스 추가"를 선택할 수 있습니다.

7. 테스트 목적으로 적용 가능성 규칙을 설정할 필요가 없습니다.

8. 구성을 검토하고 모든 것이 올바른 경우 "만들기"를 선택합니다.

9. 디바이스가 Microsoft Intune 서버와 동기화된 후 구성 잠금이 성공적으로 사용하도록 설정되었는지 확인할 수 있습니다.

   

   

보안 코어 PC 기능 구성

구성 잠금은 보안 코어 PC가 의도치 않게 잘못 구성되지 않도록 설계되었습니다. SCPC 기능(예: 펌웨어 보호)을 사용하거나 사용하지 않도록 설정하는 기능을 유지합니다. 그룹 정책 또는 Microsoft Intune 같은 MDM 서비스를 사용하여 이러한 변경을 수행할 수 있습니다.

FAQ

• 구성 잠금을 사용하지 않도록 설정할 수 있나요? 예. MDM을 사용하여 구성 잠금을 완전히 해제하거나 기술 지원팀 활동에 임시 잠금 해제 모드로 전환할 수 있습니다.

잠긴 정책 목록

Csp
BitLocker
PassportForWork
WindowsDefenderApplicationGuard
ApplicationControl

MDM 정책	그룹 정책 지원
DataProtection/AllowDirectMemoryAccess	아니오
DataProtection/LegacySelectiveWipeID	아니오
DeviceGuard/ConfigureSystemGuardLaunch	예
DeviceGuard/EnableVirtualizationBasedSecurity	예
DeviceGuard/LsaCfgFlags	예
DeviceGuard/RequirePlatformSecurityFeatures	예
DeviceInstallation/AllowInstallationOfMatchingDeviceIDs	예
DeviceInstallation/AllowInstallationOfMatchingDeviceInstanceIDs	예
DeviceInstallation/AllowInstallationOfMatchingDeviceSetupClasses	예
DeviceInstallation/PreventDeviceMetadataFromNetwork	예
DeviceInstallation/PreventInstallationOfDevicesNotDescribedByOtherPolicySettings	예
DeviceInstallation/PreventInstallationOfMatchingDeviceIDs	예
DeviceInstallation/PreventInstallationOfMatchingDeviceInstanceIDs	예
DeviceInstallation/PreventInstallationOfMatchingDeviceSetupClasses	예
DmaGuard/DeviceEnumerationPolicy	예
WindowsDefenderSecurityCenter/CompanyName	예
WindowsDefenderSecurityCenter/DisableAccountProtectionUI	예
WindowsDefenderSecurityCenter/DisableAppBrowserUI	예
WindowsDefenderSecurityCenter/DisableClearTpmButton	예
WindowsDefenderSecurityCenter/DisableDeviceSecurityUI	예
WindowsDefenderSecurityCenter/DisableEnhancedNotifications	예
WindowsDefenderSecurityCenter/DisableFamilyUI	예
WindowsDefenderSecurityCenter/DisableHealthUI	예
WindowsDefenderSecurityCenter/DisableNetworkUI	예
WindowsDefenderSecurityCenter/DisableNotifications	예
WindowsDefenderSecurityCenter/DisableTpmFirmwareUpdateWarning	예
WindowsDefenderSecurityCenter/DisableVirusUI	예
WindowsDefenderSecurityCenter/DisallowExploitProtectionOverride	예
WindowsDefenderSecurityCenter/Email	예
WindowsDefenderSecurityCenter/EnableCustomizedToasts	예
WindowsDefenderSecurityCenter/EnableInAppCustomization	예
WindowsDefenderSecurityCenter/HideRansomwareDataRecovery	예
WindowsDefenderSecurityCenter/HideSecureBoot	예
WindowsDefenderSecurityCenter/HideTPMTroubleshooting	예
WindowsDefenderSecurityCenter/HideWindowsSecurityNotificationAreaControl	예
WindowsDefenderSecurityCenter/Phone	예
WindowsDefenderSecurityCenter/URL	예
SmartScreen/EnableAppInstallControl	예
SmartScreen/EnableSmartScreenInShell	예
SmartScreen/PreventOverrideForFilesInShell	예