Windows Server 2008 보안 한국마이크로소프트
서버 보호 기능 Windows Server 2008에서 디자인 된 보호 기능들은 조직의 네트워크 및 데이터를 보호합니다. 다음의 Windows Server 2008에서 제공되는 보안 및 컴플라이언스 관련 기능 입니다. 보안 컴플라이언스 개발 프로세스 Startup 및 설치 시 보안 강화 코드 무결성 Windows 서비스 보호 Inbound 및 outbound 방화벽 Restart Manager . 향상된 감사 기능 Network Access Protection 이벤트 전달 정책 기반 네트워킹 서버 및 도메인 격리 모델 이동 매체 설치 제어 Active Directory Rights Management Services 보안
BitLocker™ Drive Encryption 12/5/2018 1:31 PM BitLocker™ Drive Encryption BitLocker 드라이브 암호화를 사용하면 컴퓨터를 분실하거나 도난 당한 경우 권한이 없는 사용자가 Windows 파일 및 시스템 보호를 무력화하는 것을 방지할 수 있습니다. BitLocker™ Drive Encryption 주요 기능 그룹 정책을 통한 중앙화된 암호화 정책 관리 및 지사에 대한 보호 제공 컴퓨터를 분실하거나 도난 당한 경우 데이터에 대한 보호 제공 Uses a v1.2 TPM or USB flash drive for key 저장을 위해 v1.2 TPM 또는 USB 사용 Full Volume Encryption Key (FVEK) Encryption Policy Node B
Network Access Protection (NAP) 개요 NAP는 Windows Server2008과 Windows Vista에 포함되어 있는 OS 구성 요소의 집합으로, 사내 네트워크에 액세스하는 클라이언트 컴퓨터에 대해 관리자가 정의한 시스템 건강 상태를 확인하는 플랫폼을 제공. NAP 주요 프로세스 정책 확인 (Policy Validation) 네트워크 제한 (Network Restriction) 업데이트 확인 (Remediation) 지속적인 확인 (Ongoing Compliance) 클라이언트에 대한 보안 정책 준수 여부를 확인함 “Healthy”일 경우 Full Access 허용 “Health”상태에 따라서 네트워크 접속을 제한함 네트워크 제한 방안은 적용 옵션 (DHCP, 802.1x, IPSec, VPN)에 따라 다름 필요한 업데이트를 제공하여 클라이언트가 정책을 준수하도록 함 업데이트 후에는 네트워크 제한을 풀어줌 보안 정책 변경과 동시에 현재 접속되어 있는 클라이언트도 동적으로 네트워크 제한이 될 수 있음
Network Policy Server (NPS) 12/5/2018 1:31 PM Network Access Protection 동작 방식 Network Access Protection의 기본 동작 방식은 다음과 같습니다. How it works ! 네트워크 액세스 디바이스 (NAD) 2 Windows Client (NAP 클라이언트) 3 1 Corporate Network 5 Remediation Servers e.g. Patch, AV Restricted Network 4 Not policy compliant System Health Server Network Policy Server (NPS) Policy Compliant 네트워크 액세스 요청 시 “Health” 상태를 함께 전송 NAD는 “Health”상태를 NPS로 전송 NPS는 사전 정의된 “health” 정책에 대한 준수 여부 확인 “Non-compliant” PC는 제한된 네트워크로 격리되어 업데이트 과정 수행 “Compliant” PC는 네트워크에 “Full Access” © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Network Access Protection 구성 요소 12/5/2018 1:31 PM Network Access Protection 구성 요소 클라이언트 (Client) SHA – Health 에이전트는 클라이언트 상태를 체크 NAP Agent – Coordinates SHA/EC EC – Enforcement 방법 업데이트 관리 서버 (Remediation Server) Patches, AV signatures, etc. 제공 네트워크 정책 서버 (Network Policy Server) SHV –SHA 응답 평가 NAP Server – 클라이언트 “health” 평가 시스템 상태 서버 (System Health Server) SHV 제공 NAP 구성 요소 System Health Servers Remediation Servers Updates Health policy NAP Client Network Access Requests Health Data Network Policy Server System Health Agent (SHA) System Health Validator (SHV) MS SHA SHA 1 SHA 2 MS SHV SHV 1 SHV 2 NAP Agent Network Access Device & Server NAP Server Enforcement Clients (EC) IPSec DHCP 802.1x VPN © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Network Access Protection 적용 옵션 NAP 적용 옵션 별 구현 방안 및 기능은 다음과 같습니다. DHCP 서버 (WinSrv2008) Health Registration Authority Restricted set of routes Default Gateway의 주소가 없고, Subnet mask가 255.255.255.255으로 제한된 IP 주소 할당 Healthy peers reject connection requests from unhealthy systems IPSec 의 상호 인증을 위해, 정책 설정 검사를 성공한 클라이언트에만 인증서를 발급 DHCP 802.1x 지원 스위치 Restricted VLAN 검사 결과에 따라 스위치 액세스 포트에 VLAN를 동적으로 할당 “Unhealthy” 액세스 포인트 구분 경계 네트워크 액세스 DHCP 의 영역 옵션에서 넷 마스크 255.255.255.255 의 Static 라우팅 정보를 배포 경계 네트워크의 서버에는, IPSec 의 상호 인증 필수를 설정하지 않는다 제한된 네트워크의 VLAN 과 경계 네트워크의 VLAN 으로, 라우팅. IPSec 802.1x VPN 서버 (WinSrv2008 또는 3rd Party) IP Filtering VPN 서버를 경유하는 통신을 감시해, 검사를 통과하지 못한 클라이언트로부터의 통신을 필터링하여 제한 IP 주소의 지정을 통해, 필터링 하지 않는 서버를 설정. VPN Full IP 구성 제공 및 Full Access 신뢰된 Peer와 통신 가능 “Healty”
Lightweight Directory Services Rights Management Services Active Directory Services Identity & 액세스 관리와 관련된 다양한 서비스를 Active Directory 서비스로 통합. 단일화된 아키텍처 아래 각 서비스의 연동을 강화하여 향상된 배포 및 관리성을 제공. 1 Active Directory Domain Services (AD DS) 도메인 서비스 기존의 Active Directory 보안 및 유연성의 강화 Active Directory Certificate Services (AD CS) 2 인증서의 발급 및 관리 인증서 서비스 기능 엔터프라이즈 환경을 위한 기능 강화 Active Directory Service 3 Active Directory Federation Services (AD FS) 조직을 넘은 다른 인증 기반의 제휴 WS-Federation , WS-Security 기반의 상호 연결성 HTTPs 기반의 Federation 4 Active Directory Lightweight Directory Services (AD LDS) 어플리케이션용의 LDAP 디렉터리 기존 AD AM ( Active Directory Application Mode) 의 통합 5 Active Directory Rights Management Services (AD RMS) 어플리케이션과 제휴한 디지털 콘텐트 보호 Windows Rights Managements Services (RMS)를 Active Directory 서비스에 통합 조직 간의 콘텐트 보호 구현
Active Directory Domain Services Microsoft Windows Server 2008은 Microsoft ID 및 액세스 파운데이션을 기반으로 여러 가지 새로운 기능과 기술을 통해 확장되므로 조직이 운영 효율성을 향상시키고, 간편하게 규정을 준수하는 것은 물론 보안을 강화할 수 있도록 도와줍니다. 주요 기능 기능 개요 도메인 서비스의 중지 및 재시작 가능 오프라인 조각 모음이나 정식 복원과 같은 오프라인 작업을 수행의 간소화 서비스 기반 AD DS 도메인 데이터베이스의 읽기 전용 복제본을 호스팅하는 도메인 컨트롤러 분산 지점에 있어서의 안전한 DC 배치 가능 읽기 전용 도메인 컨트롤러 단일 도메인 내에서 다양한 사용자 그룹에 서로 다른 암호 제한 및 계정 잠금 정책을 적용 세분화된 암호 및 계정 잠금 정책 디렉터리 서비스 변경에 대한 감사 정책 하위 범주를 통해 보다 세밀하게 감사 가능 디렉터리 서비스 감사 그룹 정책의 강화 Windows Server 2008 / Windows Vista 에서 지원하는 정책의 추가 GPMC(그룹 정책 관리 콘솔)의 강화
Read-Only Domain Controller RODC는 도메인 컨트롤러의 물리적 보안이 보장될 수 없는 위치나 네트워크 연결로 인해 생산성이 저하될 수 있는 위치 또는 도메인 컨트롤러에서 다른 응용 프로그램을 실행해야 하고 서버 관리자(도메인 관리자 그룹의 구성원이 아닌 것이 좋음)가 이러한 프로그램을 유지 관리해야 하는 위치 등에 적합합니다. RODC 개요 Read Only DC Windows Server 2008 DC 1 2 4 5 6 3 본사 지사 요 청 전달 RODC DB 검색 요청에 대한 인증 Credential 정보 캐시 인증 응답 및 TGT를 RODC로 Return 사용자 로그온 및 인증 RODC 는 사용자에게 TGT 발급 RODC 주요 기능 읽기 전용 Active Directory 데이터베이스 허용된 사용자 자격 증명만 RODC에 저장 단 방향 복제 장점 : 물리적인 보안에 보장되지 않는 원격 도메인 컨트롤러에 대한 보안 강화
Active Directory Certificate Services Windows Server 2008의 인증서 서비스의 근본적인 향상점은 조직의 보안, 관리성, 그리고 상호 운영성에 중점을 두고 있습니다. Active Directory Certificate Services 주요 기능 관리성의 향상 PKI View - 인증 기관 (CA)의 통합 관리 기능 인증서 관련 새로운 그룹 정책 최신 표준의 지원 CNG - 차세대의 암호화 API Network Device Enrollment Service (NDES) Online Certificate Status Protocol (OCSP) 유연한 인증서의 발행 인증서의 Web 발급 기능을 강화 AD CS (CA서버) 새로운 그룹 정책 AD DS (도메인 컨트롤러) NDES CNG OCSP 인증서 Web 발급 사용자 PKI View 관리자
Active Directory Federation Services AD FS를 사용하면 Windows 환경 및 Windows 이외 환경 모두를 포함하여 여러 플랫폼에서 작동할 수 있는 확장성이 뛰어나고 인터넷을 통한 확장이 가능한 보안 ID 액세스 솔루션을 만들 수 있습니다. Active Directory Federation Services 주요 기능 AD FS 는 ID 액세스 솔루션을 제공 다수의 조직에 Federation 서버를 배 포하여 비즈니스 (B2B) 간의 트랜잭 션을 용이 함 AD FS 는 웹 기반의 SSO 솔루션을 제공 – 인증은 Account 측에서 수행 AD FS 는 Web Service (WS-*)를 지 원하는 다른 보안 제품과의 상호 운 영을 제공 기업 A 기업 B AD AD Federation 트러스트 계정 Federation Server 리소스 Federation Server 웹 서버 사용자
AD Rights Management Services Windows Server 2008 Active Directory Rights Management Services 는 디지털 정보가 무단으로 사용되지 않도록 보호하기 위해 RMS 지원 응용 프로그램에서 사용되는 정보 보호 기술입니다. AD Rights Management Services 주요 기능 AD RMS 는 조직의 디지털 파일에 대 한 액세스 보호를 제공 향상된 설치 및 관리 환경 AD RMS 클러스터의 Self 등록 AD Federation Services와의 통합 새로운 AD RMS 서버 역할로 제공 정보 생성자 정보 수신자 RMS Server SQL AD
Windows Activation Service Integrated Hypervisor Windows Server 2008 for Developers Windows Server 2008는 개발자들이 유의해야 할 새로운 기능 및 향상점들이 있습니다. 이들은 새로운 API 및 Framework을 포함하는 기존의 구성 요소 또는 Windows Server 2008 및 Windows Vista에서 새롭게 소개되는 구성 요소 입니다. App Platform Management .NET Framework 3.0 MMS 3.0 Windows Activation Service Powershell MSMQ 4.0 IIS 7.0 Task Scheduler 2.0 Server Roles The Fundamentals Tramsactions Recovery Networking Concurrency Integrated Hypervisor