한국마이크로소프트

박창민 (cmpark@microsoft.com)

사용자, 데이터, 시스템에 대한일관된 보호

The Connected WorldThe Connected WorldThe Connected WorldThe Connected WorldThe Connected WorldThe Connected WorldThe Connected WorldThe Connected WorldForrester ResearchForrester Research의의 조사에서조사에서 20102010년도에년도에 인터넷에인터넷에 접속되어접속되어 있는있는 장장비의비의 수는수는 약약 140140억대가억대가 될될 것으로것으로 예상되고예상되고 있으며있으며, , 이에이에 따라따라 해당해당 장장

비들을비들을 보호해야보호해야 하는하는 보안적보안적 이슈가이슈가 대두되고대두되고 있습니다있습니다..

The Connected WorldThe Connected WorldThe Connected WorldThe Connected WorldThe Connected WorldThe Connected WorldThe Connected WorldThe Connected WorldForrester ResearchForrester Research의의 조사에서조사에서 20102010년도에년도에 인터넷에인터넷에 접속되어접속되어 있는있는 장장비의비의 수는수는 약약 140140억대가억대가 될될 것으로것으로 예상되고예상되고 있으며있으며, , 이에이에 따라따라 해당해당 장장

비들을비들을 보호해야보호해야 하는하는 보안적보안적 이슈가이슈가 대두되고대두되고 있습니다있습니다..

위험지역

Anti-Phishing Working Group

SPAMSPAM

MalwareMalware

지난지난 11년간에년간에 귀사의귀사의 조직에서조직에서 가장가장 많이많이 발생한발생한보안위협은보안위협은 무엇입니까무엇입니까 ::

((보다보다 자세한자세한 정보를정보를 얻기얻기 위해서는위해서는 www.scoonline.com/infowww.scoonline.com/info 를를 방문하셔서방문하셔서 젂체젂체 보보고서를고서를 보십시요보십시요))

(참가자:434)

발생 빈도 (net)

바이러스, 웜 혹은 다른 악성코드 72%

정보, 시스템 혹은 네트워크에 대한 비인가된 접근 60%

스파이웨어 51%

Source: 2006 eCrime Watch Survey

보안보안 관리자가관리자가 뽑은뽑은 빈번한빈번한 위협위협

안젂한 메시징 및 협업 시스템 52%

안젂한 어플리케이션 아키텍쳐 54%

패치패치 관리관리 4040% %

데이터 보호 76%

계정 및 접근 관리 68%

위협과 취약점 완화 57%

보안 규정 관리 58%

레거시레거시 플랫폼플랫폼 마이그레이션마이그레이션 2121%%

*Source: CSO Summit 2007 Registration Survey

보안을 위해 가장 관심을 가지는 분야는?

보안보안 관리자의관리자의 고민고민

기존의 젂통적인 네트워크 단의 보안 솔루션으로는 한계가 있음.

사용자 + 데이터 + 시스템을 일관성 있게 관리/보호 해야 함

관리 시스템관리 시스템 System Center, Active Directory GPO

Forefront Edge and Server Security, NAP네트워크 경계네트워크 경계

Network Access Protection, IPSec내부망내부망

Forefront Client Security, Exchange MSFPHost(Device)Host(Device)

SDL process, IIS, Visual Studio, and .NET어플리케이션어플리케이션

BitLocker, EFS, RMS, SharePoint, SQL,TS데이터데이터

사용자사용자 Active Directory and Identity Lifecycle Mgr

보안보안 영역영역//모델과모델과 대응대응 기술기술

보안 영역/모델 마이크로소프트 대응 기술

Demo Video사용자 관리 및 어플리케이션/데이터 보호 시나리오

(Active Directory + Terminal Service)

사용자, 컴퓨터, 그룹, 정책 등 네트워크 개체 정보를 저장하는 계층적 구조의 저장소

사용자/컴퓨터 인증 계정 /패스워드의 중

앙 관리 싱글 사인 온의 기반

(Kerberos, NTLM, 스마트 카드, LDAP 등)

인증 기반보안 정책

관리/적용

글로벌 데이터

저장소

Active Directory Windows Server 운영 체제에서 제공하는 디렉터리 서비스

네트워크에 개체 정보를 저장하고 이 정보를 관리자와 사용자가 쉽게

찾을 수 있도록 하며, 디렉터리 정보의 논리적이고 계층적인 구성을 제공

그룹 정책을 통해 사용자 및 컴퓨터에 대

한 보안 정책을 중앙 관리 및 일괄 적

용

도메인 컨트롤러

도메인 컨트롤러

도메인 사용자 및 컴퓨터

그룹 정책 설정

관리 템플릿 S/W 배포보안 템플릿 스크립트 배포

사용자 정책 컴퓨터 정책

소프트웨어 설정• 소프트웨어배포

보안 설정• 사용 권한 제한

• 계정 및 암호 정책

• 감사 정책

• 무선 네트워크 정책

• 소프트웨어 제한 정책

•Windows 방화벽

• 시스템 서비스 제한

스크립트• 로그온 / 로그오프 , 시작 / 종료 스크립트

데스크톱 구성• 제어판 설정 제어

• 네트워크 설정 제어

• 시스템 설정 제어

•Windows 구성 요소 설정 - Internet Explorer, Windows Update , 탐색기, 터미널 서비스 등

그룹 정책을 통한 보안/사용자 관리그룹 정책을 통해 도메인 내 컴퓨터 및 사용자에 대한 보안/홖경 설정을

일괄적으로 자동 적용 하여 보안 강화 및 클라이언트 홖경 표준화

Demo VideoActive Directory의 그룹 정책을 통한 사용자 보안 강화

그룹정책 항목 Respected Result

계정 정책 암호 복잡도 사용 암호 복잡도 적용됨

최소 암호 길이 사용 최소 암호 적용됨

Guest 사용 안함 Guest 계정 사용 안함

Guest 계정 이름 변경 Guest 계정 이름 변경

Administrator 이름 변경 Administrator 이름 변경

Everyone에 익명 사용자 포함 한함

계정 잠금 정책 계정 잠금 정책 적용됨

감사 정책 로그온 이벤트 감사 성공, 실패

계정 로그온 이벤트 감사 성공, 실패

개체 엑세스 감사 성공, 실패

이벤트 로그 설정 보안 로그 보관 기간 30일

보안 로그 보존 방법 덮어쓰지 않음

보안 로그 최대 크기 30MB

네트워크 서비스 불필요한 서비스 제거 불필요 지정 서비스를 사용 안 함 설정

터미널 서비스 환경 설정 터미널 환경 설정함

SNMP 서비스 설정 SNMP 서비스 설정 됨

시스템 보안 설정 SAM 계정과 공유의 익명 열거 허용 안 함 열거 허용 금지

마지막 로그온 사용자 이름 표시 안 함 표시 안 함

로그온 메시지 출력 “buddy buddy 기본 메시지 출력’

로그온 하지 않고 시스템 종료 허용 허용 안 함

Autologon 기능 제어 Winlogon 키 보안 설정

레지스트리 보호

파일 시스템 보호 특정 폴더 권한 재지정

그룹 정책 사례 A사 – 기본 보안

그룹정책 항목 설명

계정 보안 권한 세분화 IT – Domain Admins 멤버

유지보수 업체 – 로컬 컴퓨터의 administrators 멤버 – 제한그룹 사용

폴더 Redirection 동일한 사용자 환경 제공 어떤 컴퓨터에 로그인 하든지 사용자의 개인적인 데스크톱환경을 동일하게 제공

- 바탕화면

- Application 환경

- 즐겨찾기 등

개인 파일 접근 “내 문서” 폴더 Redirection을 통해 로그인 하는 PC에 관계없이 작업을 위한 파일 폴더 접근

수행 금지 프로그램 수행 금지 MSN Messenger, NateOn 등 특정 파일 수행 금지

제어판 통제 사용자 계정 사용 금지

특정 Applete 사용 못함

레지스트리 보호 레지스트리 키 편집 차단

Run , RunOnce , RunService 쓰기 금지

화면보호기 보안 사용 대기 5분

계정 암호를 입력해야 함

인터넷 탐색기 보호 보안 정책 수정 금지 보안 메뉴 수정 금지

Internet Express 보호 감염 가능 파일 수행 금지 (.exe 등)

시스템 활용 로그온, 오프 스크립트 로그 오프 시, Temp 폴더의 내용 삭제

Application 배포 시스템 시작 때 SMS Client 설치 프로그램 배포

그룹 정책 사례 A사 – 사용자 그룹별 보안 정책

Demo Video터미널 서비스를 이용한 안젂한 외부접속 및 데이터 보호

터미널 서비스

애플리케이션 실행 위치와 디스플레이/ 제어 위치의 분리

스크린이미지, 키-스트로크, 마우스 움직임만이젂달됨

Network Policy Se

rver/Domain Contr

oller

AD/NP

Terminal Serv

er

DMZ

Terminal Services Gatew

ay

Home

Hotel

Business Partne

r

/ Client Site

Other RDP Ho

st

Other RDP Ho

st

External Fir

ewall

Internal Fire

wall

터미널 서비스 Gateway?

터미널 서비스의 이점

원격 근무의 효율성

웹을 통해 원격근로자에게 중요 애플리케이션을 싞속하게연결시킴

모바일 직원들에게 VPN 없이도 안젂하게 애플리케이션 및데이터 제공

데이터와 애플리케이션 보호

데이터는 데이터센터 내에 안젂하게 보관하여 PC/랩탑등의 분실 시에도 데이터 유출 위험성 제거

중앙화된 추적을 통해 규제 준수 등을 위한 부담을 경감

애플리케이션 배포 가속화

네이티브하게 실행이 되기 어려운 애플리케이션 배포

싞규 애플리케이션 배포를 위해 PC 하드웨어를 교체할 필요없음

Demo VideoNAP(Network Access Protection)과 Forefront가 연동된 통합시스템 보안

NAP (Network Access Protection)

동작 방식

접근 요청

상 태 정 보 가NPS (RADIUS)로 젂달

NPS가 상태 정보 정책을확인

정상인 경우, 접근 허가

비 정상인 경우, 네트워크접 근 제 한 및 자 동업데이트

Microsoft NMicrosoft NMicrosoft NMicrosoft NPSPSPSPS

Corporate NetworkCorporate NetworkCorporate NetworkCorporate Network

Policy ServersPolicy ServersPolicy ServersPolicy Serverse.g.., Patch, AVe.g.., Patch, AVe.g.., Patch, AVe.g.., Patch, AV

DCHP, VPNDCHP, VPNDCHP, VPNDCHP, VPNSwitch/RouterSwitch/RouterSwitch/RouterSwitch/Router

RestrictedRestrictedRestrictedRestrictedNetworkNetworkNetworkNetwork

RemediatioRemediatioRemediatioRemediation n n n

ServersServersServersServerse.g., Patche.g., Patche.g., Patche.g., Patch

Not policNot policy compliay complia

ntnt

Policy coPolicy compliantmpliant

11

33

55

44

11

33

44

55

22

22

Microsoft Forefront는 비즈니스를 위한 보안 제품으로

간단하고 편리한 관리와 운영체제와의 통합으로

철저한 보호를 실현합니다