Upload
sang-don-kim
View
1.423
Download
0
Embed Size (px)
Citation preview
Windows 10 엔터프라이즈 시나리오 Part II - 보안 및 관리
권순만 / Microsoft MVP (Windows and Device for IT)
㈜테크데이타
암호는 더 이상
충분하지 않다.
빨리 새로운 기술을 채택할 필요성을 느끼는가?
사용자는 앱 및 데이터를 언제 어디서나 액세스할 있어야 한다.
너무 많은 도구와 너무 많은 관리 포인트
더 이상의 배포에 대한 부담을 줄일 순 없는가?
Microsoft와의 더 많은
투명성과 열린 피드백을 원한다.
IT 예산을 최소화하여 관리할 수 있는 방안을 모색
기업의 데이터를 어떻게 보호할 수 있습니까?
모바일 장치에 대한 보안이 최고의 관심사
사용자와 IT 관리자들의 아우성
2
엔터프라이즈를 위한 Windows 10
더 높은 생산성을 위한
환경 제공
발전하는 보안 위협으로
부터의 보호 방안
비즈니스 환경을 위한
혁신 적인 장치 지속적인 혁신을 위한
관리의 필요성
3
Windows 10 기업용 에디션 비교
4
Windows 10 기업용 에디션 기능
기본 사항
http://www.microsoft.com/ko-kr/WindowsForBusiness/Compare
Windows 10
Profession과
Enterprise 공통
기능
5
Windows 10 Enterprise 기능 Win 8 Win 10
Direct Access
Windows To Go 툴
AppLocker
Branch Cache
시작 화면 제어
Granular UX 제어
Credential Guard
Device Guard
LTSB
6
Windows 10 Enterprise 관리 기능
7
Windows Update 종류
8
Windows Insider Preview Branch Current Branch
Current Branch for Business Long Term Servicing Branch
Windows Update 종류 비교
적용 시나리오 구분
Current Branch (CB)
Current Branch for Business (CBB)
Long Term Servicing Branch (LTSB)
에디션
• Home
• Pro
• Enterprise
• Education
Time in Market
• 일반 사용자
• BYOD 사용자
• 시스템 테스터
• ~4 개월
• 일반 업무 사용자
• 비 중요 시스템
• 4-8 개월
• 업데이트 지연
• 공장 / 항공 관제 / 병원
• 특별 관리 시스템 사용자
• 5년 일반 지원
• 5년 연장 지원
• Pro
• Enterprise
• Education
• Enterprise
9
CBB(Current Branch for Business) vs. LTSB (Long Term Servicing Branch)
10
Current Branch for Business (CBB)
Long Term Servicing
Branch (LTSB)
Ongoing security updates for the lifetime of the branch
1st party browsing choices
Several months to consume feature updates
Support for Universal Office and some 1st party Universal apps
No feature upgrade required to stay supported
Value of the latest features as they are released
Capabilities
Enterprise 적용 시나리오 일반적인 업무 사용자 특별한 시스템 및 사용자:
Air Traffic Control; Hospital ER, etc.
Microsoft Edge, IE 11
Support for Win 32 Office
Ability to load universal apps
IE 11
Demo • Windows Update 관리 그룹 정책
11
Windows 10 관리 옵션
12
Workplace Join
13
장치 등록 서비스 (Device Registration Service, DRS) 장치 인증을 하기 위해 디바이스를 등록하는 서비스 Windows Server 2012 R2의 ADFS의 세부 서비스로 구성 장치를 등록하고, 장치 인증을 처리할 수 있도록 구성하는 것을
Workplace Join
Start
Active Directory
Start
Microsoft 클라우드를 통한 Windows 10 관리
14
Azure AD 조인 1. Azure AD 자격 증명을 통해 장치에 로그인 2. 로컬 관리자를 설정 3. 장치 로그온을 차단 가능 4. 장치에 MDM을 등록하여 적용 5. O365 & SaaS 앱의 SSO 가능
Intune를 사용한 장치 등록 1. 장치에 정책을 적용이 가능 2. 장치에 앱 배포 3. 규정 준수에 대한 장치의 상태 보고 4. 원격 초기화(Remote Wipe) 기능
Intune
Demo • Azure AD 구성 및 Azure AD Join
15
Azure AD Join 검증
16
Windows 10 MDM(Mobile Device Management)
Windows 10 환경의 모바일 및 데스크 톱 장치 모두를 관리할 수 있는 추가 기능이 제공 됩니다.
17
BYOD: 간단한 보안 설정
장치 잠금
기업 관점의 모든 관리 기능
Windows 8.1 Windows 10
OMA-DM(Open Mobile Alliance – Device Management)
18
Windows 10 모바일 관리 아키텍처
19
MDM Client
Common Device Configurator
WMI providers
Provisioning
Engine
MDM Configuration Service Providers (CSP’s)
EAS Client WMI Bridge
DEVICE/OS
SERVICE/SERVER EAS Provisioning MDM (Intune) ConfigMgr
Common component PC component
OMA-DM 통신
20
MD
M C
lient
MDM Configuration Service Providers (CSP’s) C
om
mon D
evic
e
Configura
tor
MDM (Intune)
CSP(Configuration Service Provider)
CSP는 디바이스에 구성 설정을 읽고, 설정, 수정 또는 삭제하는 인터페이스
SyncML CSP를 구성하는 모든 정보와 파일
예제 : CSP 구성 정책
21
{unique device ID}
./Vendor/MSFT/Policy/Config/DeviceLock/MinDevicePasswordLength
6S
yn
cM
L
Syn
cH
ead
er
Syn
cB
od
y
Device
OMA-URI
Value
OMA-URI(Open Mobile Alliance – Uniform Resource
Identifier)
22
23
Windows 10 장치를 위한 사용자 지정 구성 제공
24
Custom URI settings for Windows 10 devices Configuration service provider reference
•AppLocker CSP •AssignedAccess CSP •ClientCertificateInstall CSP •CustomDeviceUI CSP •Defender CSP •DeviceStatus CSP •DiagnosticLog CSP •EnterpriseAPN CSP •EnterpriseDesktopAppManagement CSP •EnterpriseExt CSP •EnterpriseExtFileSystem CSP •EnterpriseModernAppManagement CSP •HealthAttestation CSP •PassportForWork CSP •Policy CSP •Provisioning CSP •RemoteFind CSP •RootCATrustedCertificates CSP •UnifiedWriteFilter CSP •Update CSP •VPNv2 CSP •WindowsLicensing CSP
Demo • Intune을 사용한 디바이스 관리 및 정책
25
26
장치 등록
27
IT User
장치 등록
28
디바이스 등록
정책 적용
Company Portal
사용자 디바이스를 위한 앱 추천
IT User
장치 등록을 통한 접속 권한 제공
29
1
사용자 2
Demo •조건부 액세스 이메일(Conditional Access eMail)
30
Windows 10 Enterprise 보안 기능
31
Windows 10 향상된 보안 기능
32
Windows 7 Windows 10
추가 인증에 대한 쉬운 배포
윈도우 환경에서 생체인식을 이용한 인증
입력하는 패스워드에 대한 의존도
도용하기 쉬운 자격증명
사용자 보호
자동화된 디스크 암호화와 통합된 데이터 손실 방지
디스크 암호화의 수동 프로비저닝
별도의 3rd 파티 DLP 솔루션 필요
데이터 보호
신뢰할 수 있는 앱만을 실행
격리를 통한 탄력적인 시스템 보호
위협 감지 및 공격시 신뢰성 검증
위협 대비 안티 바이러스의 대응 속도 한계
위협 방어
향상된 소프트웨어와 하드웨어 기반의 통합된 보안
소프트웨어 보안의 한계 장치 보안
Microsoft Passport / Windows Hello
33
34
네트워크 환경에서 ID와 PW의 취약점
35
Social
.com
Bank
.com
Network
.com
LOL
.com
인터넷 환경에서 사용하는 ID와 PW
사내에서 제공되는 사용자 계정과 PW
인증서를 탈취 또는 손상 공격으로부터의 위협
ID와 PW의 취약점 – 인터넷 환경
인터넷 환경에 한 곳의 사이트에서 사용자 ID와 PW가 유출 되는 경우는 다른 웹 사이트까지 영향을 받을 가능성은 상당히 높을 수 있습니다.
사용자
해커
1
Social
.com
Bank
.com
Network
.com
LOL
.com
Obscure
.com 1
2
36
ID와 PW의 취약점 – 기업 환경
기업 환경에서는 제공되는 사용자 계정과 PW이 유출되는 경우는 손쉽게 내부 리소스 접근이 가능하게 됩니다.
37
사용자
1
3
5
Device
IDP
IDP
IDP
2
4
Network
Resource 해커
ID와 PW의 취약점 – 인증서 공격
인증서를 탈취하기 위한 지속적인 공격이 이루어지고 있습니다.
38
1
Windows 8.1
사용자
2
IDP
Active Directory
3
4 5
6 Network
Resource 해커
새로운 사용자 인증 제공
39
IDP
Active Directory
Azure AD
Microsoft Account
1
User 2
Windows 10
3
Intranet Resource 4
4 Intranet Resource
40
Windows Hello 센서
Windows Biometric framework에 통합되어 제공되며, 기존의 텍스트 형태의 패스워드, 개인 PIN을 지문, 안면 인식 및 홍채까지 지원합니다.
41
- 현재 모든 지문인식 인증이 가능한 장치에서 지원
- Intel® RealSense™ 를 통한 안면 인식 인증 지원
- Windows Hello 센서 사양을 충족한 IR 센서가 포함된 모든 장치
- 눈의 “홍채"를 통한 인증 방법으로 곧 제공되고, 관련된 요구사항에 대하여 곧 게시될 예정
Windows Hello 안면 인식 세부 보안 요구사항
Windows Biometric framework에 통합되어 제공되며, 기존의 텍스트 형태의 패스워드, 개인 PIN, 지문인식등에서 사용자의 안면 인식하여 인증처리하는 기능이 포함 합니다.
42
-
-
-
-
*FAR (誤수락율) : 등록된 사용자를 잘못 인식하여 수락하는 확률 *FRR (誤거부율): 등록된 사용자를 인식이 안되어 거부하게 될 확률 FAR>FRR 중요
Demo • Windows Hello 로그인
43
사례 : Windows Hello
44
Windows Hello: can identical twins fool Microsoft and Intel? http://www.theaustralian.com.au/business/in-depth/windows-hello-can-identical-twins-fool-microsoft-and-intel/story-fnw66tov-1227490164701
엔터프라이즈 데이터 보호(EDP)
45
엔터프라이즈 데이터 보호(EDP)
46
Lync eMail Facebook
OneDrive
for
Business Contacts WhatsApp
LOB App Calendar OneDrive
PDF Reader Photos
Flappy
Birds
업무용 앱 &
데이터
(관리 앱)
개인 앱 &
데이터
(비 관리 앱)
Other Other Other
Data exchange is controlled
단일 경험
격리된 데이터
사용하지 않는 데이터 암호화
데이터 교환 차단/감사
조직이 키를 관리
정체 불명의 앱 차단
3rd Party를 위한 API
MDM 관리
엔터프라이즈 데이터 보호
회사 앱(관리되는 앱)
개인 앱 개인 앱
회사앱(관리되는 앱)
IT User
엔터프라이즈 데이터 보호
48
개인 앱
Managed apps
복사/잘라내기/붙여넣기등의 제한 조치에 의해 기업 데이터의 누출을 방지할 수 있음
User
Demo •엔터프라이즈 데이터 보호(EDP)를 통한 콘텐츠 보안
49
Device Guard
52
Device Guard 란?
53
정보 보호
사용자 계정 보호
보안 위협 차단
Windows 10 새로운 보안 기능으로 하드웨어 + 소프트웨어 보안 기능의 결합
Device Guard 솔루션
하드웨어 요구사항
Device Guard 솔루션
54
Virtualization based Security (VBS)
Hypervisor Enforced Code Integrity
Credential Guide
Configurable Code Integrity (CI)
Device Guard 설정 상태 확인
Device Guard 설정 상태를 확인하는 방법은 GUI 또는 PowerShell을 사용하여 확인할 수 있습니다.
55
Get-CimInstance –ClassName Win32_DeviceGuard –Namespace root\Microsoft\Windows\DeviceGuard
msinfo.32.exe
참고 : https://technet.microsoft.com/en-us/library/mt463091(v=vs.85).aspx
Credential Guard 로그인
56
LSASS
NTLM
Kerberos
Kerb key TGT
Hypervisor
Password: a1b2c3
User: Alice
VSM(Virtual Security Mode)
NTLM
Kerberos
NTOWF: C9DF4E56…
TGT key File server
Domain Controller
NTOWF: C9DF4E56…
Kerb key
Alice’s User
Session
코드 무결성(Code Integrity)
•디바이스 자체에 대한 무결성
•플랫폼 자체에 대한 무결성
•앱에 대한 무결성
•무결성에 대한 지속적인 확인
57
ROM/Fuses Bootloader
s Native UEFI
Windows
OS Loader
Windows Kernel and Drive
rs
3rd Party Drivers
User mode code (apps, etc.)
KMCI
UEFI Secure Boot
UMCI
Platform Secure Boot AppLocker
Device Guard 계획 가이드
58
1
2
3
4
5
Demo • Golden Image 생성 및 정책 생성 방법
59
문서 보안(Right Management Service)
66
RMS(Right Management Service)란?
정보가 생성이 될 때, 파일의 내용은 암호화가 되고, 암호화한 키는 파일의 사용 권한과 함께 파일에 저장되며,파일에 저장된 암호화 키는 조직의 루트 키로 한번 더 암호화가 이루어집니다.
67
[기밀]
콜라 제조법:
• 물
• HFCS
• 밤색 #16
#!@#!#!@#!
()&)(*&)(@#!
#!@#!#!@#!
()&)(*&)(@#!
#!@#!#!@#!
()&)(*&)(@#!
사용 권한 +
[기밀]
콜라 제조법:
• 물
• HFCS
• 밤색 #16
보호되지 않는 문서
Protect Unprotect
사용 권한과 콘텐츠 키를 포함된 정책이 문서에 추가
#!@#!#!@#!
()&)(*&)(@#!
#!@#!#!@#!
()&)(*&)(@#!
#!@#!#!@#!
()&)(*&)(@#!
사용 권한 +
조직의 RSA 루트 키로 라이선스 보호
파일 컨텐츠는 절대 RMS 서버/서비스에 저장하지 않음
RMS 감사 기능
69
RMS 감사 기능
70
RMS 감사 기능
71
Demo • Azure RMS 정책 설정 및 RMS 감사 기능
72
요약 - Windows 10 향상된 관리 및 보안
73
관리 기능 보안 기능
사용자 보호
데이터 보호
위협 방어
장치 보안
WaaS
관리 옵션
MDM
Deploy
요약 – 비즈니스 혁신을 위한 Windows 10
74
하드웨어 기반의 보안
보안 부팅
하드웨어-기반 분리를 통한 엔터프라이즈 자격인증 보호
사용자 계정 위협으로 부터 보호
Microsoft Passport
Windows Hello
기업의 데이터의 보호
엔터프라이즈 데이터 보호(EDP)
악성코드 보호
Device Guard
모바일 사용자를 위한 향상된 보안
보안 원격 연결
기업에 적합한 관리 솔루션을 선택
MDM(Mobile Device Management)
그룹 정책
새로운 배포 방식의 지원 Dynamic provisioning In-place 업그레이드
클라우드 환경의 사용자 계정 관리
Azure AD Join (desktop and phone)
SSO를 통한 앱, 장치, 데이터 및 사용자 상태 로밍 가능
쉽고, 편의성 스토어
Private 카탈로그 영역
Windows Business Store
최신의 기능과 보안 상태 유지
Windows Update for Business
사용자 경험을 극대화
시작 메뉴
Continuum
Continuum for Phone
하나의 통합된 앱 사용
Windows Universal Apps
모든 Windows 장치간의 생산성 제공
Office for Windows
향상된 웹 경험 지속적인 호환성 제공
Microsoft Edge
Internet Explorer 11
지속적인 기존 PC 환경 혁신
하드웨어 호환성
세분화된 UX 컨트롤
Windows 기반의 넓은 선택의 폭
2-in-1 장치
Surface
Lumia
혁신적인 Windows 장치를 통한 생산성 증가
Surface Hub
HoloLens
더욱 향상된 생산성을 위한 환경 제공
지속적인 보안 위협에 대한 보호 기능 제공
비즈니스 환경에서 제공되는 혁신적인 장치
관리를 위한 향상되고 지속적인 추가 기능 제공
Q&A
75
• MSDN Forum http://aka.ms/msdnforum
• TechNet Forum http://aka.ms/technetforum
Windows 10의 Enterprise를 위한 기능은 현재가
아닌 미래를 위해 계속 진화하고 있습니다.
IT 관리자가 생산성 높은 관리와 더욱 안전한 환경의 컴퓨팅 환경을 원하신다면, Windows 10 업그레이드를 고려 하시길 바랍니다. Email : [email protected]
FB: @hakunamata2
http://aka.ms/td2015_again
TechDays Korea 2015에서 놓치신 세션은 Microsoft 기술 동영상 커뮤니티 Channel 9에서
추후에 다시 보실 수 있습니다.