다음을 통해 공유

보안 코어 PC 구성 잠금

  • 아티클
  • 적용 대상:
    Windows 11

엔터프라이즈 조직에서 IT 관리자는 회사 디바이스에 정책을 적용하여 디바이스를 준수 상태로 유지하고 사용자가 구성을 변경하지 못하도록 방지하고 구성 드리프트를 만들어 OS를 보호합니다. 구성 드리프트는 로컬 관리자 권한이 있는 사용자가 설정을 변경하고 디바이스를 보안 정책과 동기화되지 않도록 할 때 발생합니다. 비규격 상태의 디바이스는 다음 동기화 및 구성이 MDM과 다시 설정될 때까지 취약할 수 있습니다. 구성 잠금이 있는 Windows 11을 사용하면 IT 관리자가 구성 드리프트를 방지하고 OS 구성을 원하는 상태로 유지할 수 있습니다. 구성 잠금을 사용하면 OS는 각 기능을 구성하는 레지스트리 키를 모니터링하고 드리프트를 감지하면 몇 초 만에 IT에서 원하는 상태로 되돌립니다.

보안 코어 구성 잠금(구성 잠금)은 의도하지 않은 잘못된 구성으로 인한 보안 코어 PC 기능에서 구성 드리프트를 방지하는 새로운 SCPC( 보안 코어 PC) 기능입니다. 즉, 보안 코어 PC가 될 디바이스가 보안 코어 PC로 유지되도록 합니다.

요약하면 다음과 같이 잠금을 구성합니다.

  • MDM을 통해 관리되는 경우 IT에서 보안 코어 PC 기능을 "잠금"할 수 있습니다.
  • 몇 초 내에 드리프트 수정 검색
  • 악의적인 공격을 방지하지 않습니다.

Windows 버전 및 라이선싱 요구 사항

다음 표에는 보안 코어 구성 잠금을 지원하는 Windows 버전이 나와 있습니다.

Windows Pro Windows Enterprise Windows Pro Education/SE Windows Education

보안 코어 구성 잠금 라이선스 권한은 다음 라이선스에 의해 부여됩니다.

Windows Pro/Pro Education/SE Windows Enterprise E3 Windows Enterprise E5 Windows Education A3 Windows Education A5

Windows 라이선싱에 대한 자세한 내용은 Windows 라이선싱 개요를 참조하세요.

구성 흐름

보안 코어 PC가 데스크톱에 도달하면 구성 잠금은 디바이스가 보안 코어 PC인지 여부를 감지하여 구성 드리프트를 방지합니다. 디바이스가 보안 코어 PC가 아닌 경우 잠금이 적용되지 않습니다. 디바이스가 보안 코어 PC인 경우 구성 잠금은 잠긴 정책 목록에 나열된 정책을 잠급 수 있습니다.

Microsoft Intune을 사용하여 구성 잠금 사용

구성 잠금은 기본적으로 사용하도록 설정되지 않거나 부팅하는 동안 OS에서 켜져 있지 않습니다. 대신 켜야 합니다.

Microsoft Intune을 사용하여 구성 잠금을 설정하는 단계는 다음과 같습니다.

  1. 구성 잠금을 설정하는 디바이스가 Microsoft Intune에 등록되어 있는지 확인합니다.

  2. Intune 관리 센터에서디바이스>구성 프로필 프로필>만들기를 선택합니다.

  3. 다음을 선택하고 만들기를 누릅니 .

    • 플랫폼: Windows 10 and later
    • 프로필 유형: Templates
    • 템플릿 이름: 사용자 지정

    구성 프로필에서 플랫폼이 Windows 10 이상으로 설정되고 프로필 형식 템플릿이 있는 프로필 만들기 페이지가 표시됩니다.

  4. 프로필 이름을 지정합니다.

  5. 구성 설정 단계에 도달하면 "추가"를 선택하고 다음 정보를 추가합니다.

    • OMA-URI: ./Vendor/MSFT/DMClient/Provider/MS%20DM%20Server/ConfigLock/Lock
    • 데이터 형식: Integer
    • : 1

    구성 잠금을 해제하려면 값을 0으로 변경합니다.

    구성 설정 단계에서 행 편집 페이지에는 구성 잠금 이름, 턴온 구성 잠금에 대한 설명 및 OMA-URI 집합과 값 1로 설정된 정수 데이터 형식이 표시됩니다.

  6. 구성 잠금을 설정할 디바이스를 선택합니다. 테스트 테넌트 사용 중인 경우 "+ 모든 디바이스 추가"를 선택할 수 있습니다.

  7. 테스트 목적으로 적용 가능성 규칙을 설정할 필요가 없습니다.

  8. 구성을 검토하고 모든 것이 올바른 경우 "만들기"를 선택합니다.

  9. 디바이스가 Microsoft Intune 서버와 동기화된 후 구성 잠금이 성공적으로 사용하도록 설정되었는지 확인할 수 있습니다.

    구성 잠금 디바이스 구성 프로필을 볼 때 프로필 할당 상태 대시보드에서 한 디바이스가 이 프로필을 적용하는 데 성공했음을 보여줍니다.

    구성 잠금 디바이스 구성 프로필의 디바이스 상태이며, 배포 상태가 성공으로 표시되고 2개는 보류 중으로 표시됩니다.

보안 코어 PC 기능 구성

구성 잠금은 보안 코어 PC가 의도치 않게 잘못 구성되지 않도록 설계되었습니다. SCPC 기능(예: 펌웨어 보호)을 사용하거나 사용하지 않도록 설정하는 기능을 유지합니다. 그룹 정책 또는 Microsoft Intune과 같은 MDM 서비스를 사용하여 이러한 변경을 수행할 수 있습니다.

System Guard에 대한 설명이 포함된 Defender 펌웨어 보호 설정은 손상된 펌웨어로부터 디바이스를 보호합니다. 설정이 끄기로 설정됩니다.

FAQ

  • 구성 잠금을 사용하지 않도록 설정할 수 있나요? 예. MDM을 사용하여 구성 잠금을 완전히 해제하거나 기술 지원팀 활동에 임시 잠금 해제 모드로 전환할 수 있습니다.

잠긴 정책 목록

CSP
BitLocker
PassportForWork
WindowsDefenderApplicationGuard
ApplicationControl
MDM 정책 그룹 정책에서 지원됨
DataProtection/AllowDirectMemoryAccess 아니오
DataProtection/LegacySelectiveWipeID 아니오
DeviceGuard/ConfigureSystemGuardLaunch
DeviceGuard/EnableVirtualizationBasedSecurity
DeviceGuard/LsaCfgFlags
DeviceGuard/RequirePlatformSecurityFeatures
DeviceInstallation/AllowInstallationOfMatchingDeviceIDs
DeviceInstallation/AllowInstallationOfMatchingDeviceInstanceIDs
DeviceInstallation/AllowInstallationOfMatchingDeviceSetupClasses
DeviceInstallation/PreventDeviceMetadataFromNetwork
DeviceInstallation/PreventInstallationOfDevicesNotDescribedByOtherPolicySettings
DeviceInstallation/PreventInstallationOfMatchingDeviceIDs
DeviceInstallation/PreventInstallationOfMatchingDeviceInstanceIDs
DeviceInstallation/PreventInstallationOfMatchingDeviceSetupClasses
DmaGuard/DeviceEnumerationPolicy
WindowsDefenderSecurityCenter/CompanyName
WindowsDefenderSecurityCenter/DisableAccountProtectionUI
WindowsDefenderSecurityCenter/DisableAppBrowserUI
WindowsDefenderSecurityCenter/DisableClearTpmButton
WindowsDefenderSecurityCenter/DisableDeviceSecurityUI
WindowsDefenderSecurityCenter/DisableEnhancedNotifications
WindowsDefenderSecurityCenter/DisableFamilyUI
WindowsDefenderSecurityCenter/DisableHealthUI
WindowsDefenderSecurityCenter/DisableNetworkUI
WindowsDefenderSecurityCenter/DisableNotifications
WindowsDefenderSecurityCenter/DisableTpmFirmwareUpdateWarning
WindowsDefenderSecurityCenter/DisableVirusUI
WindowsDefenderSecurityCenter/DisallowExploitProtectionOverride
WindowsDefenderSecurityCenter/Email
WindowsDefenderSecurityCenter/EnableCustomizedToasts
WindowsDefenderSecurityCenter/EnableInAppCustomization
WindowsDefenderSecurityCenter/HideRansomwareDataRecovery
WindowsDefenderSecurityCenter/HideSecureBoot
WindowsDefenderSecurityCenter/HideTPMTroubleshooting
WindowsDefenderSecurityCenter/HideWindowsSecurityNotificationAreaControl
WindowsDefenderSecurityCenter/Phone
WindowsDefenderSecurityCenter/URL
SmartScreen/EnableAppInstallControl
SmartScreen/EnableSmartScreenInShell
SmartScreen/PreventOverrideForFilesInShell