System Center Configuration Manager에서 운영 체제 배포의 보안 및 개인 정보

 

적용 대상: System Center Configuration Manager (current branch)

이 항목에서는 System Center Configuration Manager에서 운영 체제를 배포할 때의 보안과 개인 정보 보호에 대해 설명합니다.

Configuration Manager를 사용하여 운영 체제를 배포할 때 따라야 할 보안 모범 사례는 다음과 같습니다.

  • 부팅 가능한 미디어를 보호하기 위해 액세스 제어 구현

    부팅 가능한 미디어를 만들 때에는 미디어 보안을 위해 항상 암호를 지정합니다. 그러나 암호를 지정하더라도 중요한 정보가 포함된 파일만 암호화되고 모든 파일이 덮어쓰여질 수 있습니다.

    공격자가 암호화 공격을 사용하여 클라이언트 인증 인증서를 얻지 못하도록 미디어에 대한 실제 액세스를 제어합니다.

    클라이언트에서 변조된 콘텐츠 또는 클라이언트 정책을 설치하지 못하도록 콘텐츠가 해시되고 원래 정책과 함께 사용되어야 합니다. 콘텐츠 해시 또는 콘텐츠가 정책과 일치하는지에 대한 확인이 실패할 경우 클라이언트에서 부팅 가능한 미디어를 사용하지 않습니다. 콘텐츠만 해시되며 정책은 해시되지 않지만 암호를 지정할 경우 정책이 암호화되어 보호되므로 공격자가 정책을 수정하기가 더 어려워집니다.

  • 운영 체제 이미지에 대한 미디어를 만들 때 보안된 위치 사용

    무단 사용자가 해당 위치에 액세스할 수 있을 경우 만들어진 파일을 변조하고 사용 가능한 디스크 공간을 모두 사용할 수 있으며, 이에 따라 미디어 만들기가 실패합니다.

  • 강력한 암호로 인증서 파일(.pfx)을 보호하고, 인증서 파일을 네트워크에 저장할 경우 Configuration Manager

    부팅 가능한 미디어에 사용하는 클라이언트 인증 인증서를 가져올 때 암호를 요구하면 공격자로부터 인증서를 보호하는 데 도움이 됩니다.

    공격자가 인증서 파일을 변조하지 못하도록 네트워크 위치와 사이트 서버 사이에 SMB 서명 또는 IPsec을 사용합니다.

  • 클라이언트 인증서가 손상될 경우 Configuration Manager 에서 인증서를 차단하고 PKI 인증서인 경우 인증서를 해지

    부팅 가능한 미디어와 PXE 부팅을 사용하여 운영 체제를 배포하려는 경우 개인 키와 함께 클라이언트 인증 인증서를 사용해야 합니다. 인증서가 손상될 경우 관리 작업 영역, 보안 노드의 인증서 노드에서 해당 인증서를 차단합니다.

  • SMS 공급자가 사이트 서버가 아닌 컴퓨터에 있는 경우 통신 채널의 보안을 유지하여 부팅 이미지 보호

    부팅 이미지가 수정되고 SMS 공급자가 사이트 서버가 아닌 서버에서 실행되는 경우 부팅 이미지가 공격에 취약할 수 있습니다. SMB 서명 또는 IPsec을 사용하여 이러한 컴퓨터 간의 네트워크 채널을 보호해야 합니다.

  • 보안 네트워크 세그먼트에서만 배포 지점의 PXE 클라이언트 통신을 사용하도록 설정

    클라이언트가 PXE 부팅 요청을 보내는 경우 요청이 유효한 PXE 지원 배포 지점에서 전송된 것인지 확인할 방법이 없습니다. 이 시나리오에는 다음과 같은 보안 위험이 있습니다.

    • PXE 요청에 응답하는 Rogue 배포 지점에서 변조된 이미지를 클라이언트에 제공할 수 있습니다.

    • 공격자는 PXE에서 사용하는 TFTP 프로토콜에 대한 가로채기(man-in-the-middle) 공격을 시작하고 운영 체제 파일과 함께 악성 코드를 보내거나 Rogue 클라이언트를 만들어 배포 지점으로 직접 TFTP 요청을 전송할 수 있습니다.

    • 공격자는 악성 클라이언트를 사용하여 배포 지점에 대한 서비스 거부 공격을 시작할 수 있습니다.

    클라이언트가 PXE 요청을 위해 배포 지점에 액세스하는 네트워크 세그먼트를 심층 방어 수단을 사용하여 보호해야 합니다.

    System_CAPS_ICON_warning.jpg 경고


    이러한 보안 위험 때문에 경계 네트워크와 같은 신뢰할 수 없는 네트워크에서는 PXE 통신에 배포 지점을 사용하지 않도록 설정해야 합니다.

  • PXE 사용 배포 지점이 지정된 네트워크 인터페이스에서만 PXE 요청에 응답하도록 구성

    배포 지점이 모든 네트워크에서 PXE 요청에 응답하도록 허용할 경우 PXE 서비스가 신뢰할 수 없는 네트워크에 노출될 수 있습니다.

  • PXE 부팅 시 암호 요구

    PXE 부팅에 암호를 요구하면 PXE 부팅 프로세스에 대한 보안 수준이 강화되어 Rogue 클라이언트가 Configuration Manager 계층에 참여하는 것을 방지할 수 있습니다.

  • PXE 부팅 또는 멀티캐스트에 사용되는 이미지에 중요한 데이터가 들어 있는 LOB(기간 업무) 응용 프로그램 또는 소프트웨어를 포함하지 않음

    PXE 부팅 및 멀티캐스트에 내재된 보안 위험 때문에 Rogue 컴퓨터가 운영 체제 이미지를 다운로드할 경우의 위험을 줄여야 합니다.

  • 작업 순서 변수를 사용하여 설치되는 소프트웨어 패키지에 중요한 데이터가 들어 있는 LOB(기간 업무) 응용 프로그램 또는 소프트웨어를 포함하지 않음

    작업 순서 변수를 사용하여 소프트웨어 패키지를 배포하는 경우 해당 소프트웨어를 받을 권한이 없는 사용자에게 컴퓨터에 소프트웨어가 설치될 수 있습니다.

  • 사용자 상태를 마이그레이션하는 경우 SMB 서명 또는 IPsec을 사용하여 클라이언트와 상태 마이그레이션 지점 간 네트워크 채널 보호

    HTTP를 통한 초기 연결 후에 사용자 상태 마이그레이션 데이터는 SMB를 사용하여 전송됩니다. 네트워크 채널의 보안을 유지하지 않을 경우 공격자가 이 데이터를 읽고 수정할 수 있습니다.

  • Configuration Manager 를 지원하는 최신 버전의 USMT(사용자 상태 마이그레이션 도구) 사용

    최신 버전의 USMT는 사용자 상태 데이터를 마이그레이션할 때 더욱 강력한 보안과 제어력을 제공합니다.

  • 서비스 해제된 상태 마이그레이션 지점의 폴더를 수동으로 삭제

    Configuration Manager 콘솔의 상태 마이그레이션 지점 속성에서 상태 마이그레이션 지점 폴더를 제거해도 실제 폴더가 삭제되지 않습니다. 사용자 상태 마이그레이션 데이터의 정보 공개를 방지하려면 수동으로 네트워크 공유를 제거하고 해당 폴더를 삭제해야 합니다.

  • 사용자 상태를 즉시 삭제하도록 삭제 정책을 구성하지 않음

    삭제하도록 표시된 데이터를 즉시 제거하도록 상태 마이그레이션 지점에서 삭제 정책을 구성하면 공격자가 유효한 컴퓨터보다 먼저 사용자 상태 데이터를 검색할 경우 사용자 상태 데이터가 즉시 삭제됩니다. 다음 시간 이후에 삭제 간격을 충분히 길게 설정하여 사용자 상태 데이터가 성공적으로 복원되었는지 확인합니다.

  • 사용자 상태 마이그레이션 데이터 복원이 완료되고 확인되었을 때 컴퓨터 연결을 수동으로 삭제

    Configuration Manager 에서는 컴퓨터 연결을 자동으로 제거하지 않습니다. 더 이상 필요하지 않은 컴퓨터 연결을 수동으로 삭제하여 사용자 상태 데이터가 식별되지 않도록 방지해야 합니다.

  • 상태 마이그레이션 지점에서 사용자 상태 마이그레이션 데이터를 수동으로 백업

    Configuration Manager 백업에는 사용자 상태 마이그레이션 데이터가 포함되지 않습니다.

  • 운영 체제가 설치된 후에 BitLocker를 사용하도록 설정해야 합니다.

    컴퓨터에서 BitLocker를 지원하는 경우 운영 체제를 무인 방식으로 설치하려면 작업 순서 단계를 사용하여 BitLocker를 사용하지 않도록 설정해야 합니다. Configuration Manager 에서는 운영 체제가 설치된 후 BitLocker를 사용하도록 설정하지 않으므로 수동으로 BitLocker를 다시 사용하도록 설정해야 합니다.

  • 미리 준비된 미디어를 보호하기 위해 액세스 제어 구현

    공격자가 암호화 공격을 사용하여 클라이언트 인증 인증서와 중요한 데이터를 얻지 못하도록 미디어에 대한 실제 액세스를 제어합니다.

  • 참조 컴퓨터 이미징 프로세스를 보호하기 위해 액세스 제어 구현

    예기치 않은 소프트웨어 또는 악성 소프트웨어가 설치되어 캡처된 이미지에 원치 않게 포함되는 일이 없도록 운영 체제 이미지를 캡처하기 위해 사용하는 참조 컴퓨터가 적절한 액세스 제어를 갖는 안전한 환경에 있어야 합니다. 이미지를 캡처할 때에는 캡처된 후에 변조될 수 없도록 대상 네트워크 파일 공유 위치가 안전한지 확인해야 합니다.

  • 참조 컴퓨터에 항상 최신 보안 업데이트 설치

    참조 컴퓨터에 최신 보안 업데이트가 있으면 새 컴퓨터가 처음 시작될 때 보안상 취약한 기간이 줄어듭니다.

  • 알려지지 않은 컴퓨터에 운영 체제를 배포해야 하는 경우 권한이 없는 컴퓨터가 네트워크에 연결할 수 없도록 액세스 제어 구현

    알려지지 않은 컴퓨터를 프로비전하는 것은 필요 시 새 컴퓨터를 배포하는 편리한 방법이지만 이를 통해 공격자가 손쉽게 네트워크의 신뢰할 수 있는 클라이언트가 될 수 있습니다. 네트워크에 대한 실제 액세스를 제한하고 클라이언트를 모니터링하여 권한이 없는 컴퓨터를 감지해야 합니다. 또한 PXE에서 시작한 운영 체제 배포에 응답하는 컴퓨터의 경우 운영 체제 배포 시 모든 데이터가 삭제될 수 있어 실수로 다시 포맷된 시스템의 가용성 손실이 발생할 수 있습니다.

  • 멀티캐스트 패키지에 암호화 사용

    Configuration Manager 에서 멀티캐스트를 사용하여 패키지를 전송하는 경우 모든 운영 체제 배포 패키지에 암호화를 사용하도록 설정할 수 있습니다. 이 구성을 사용하면 Rogue 컴퓨터가 멀티캐스트 세션에 참여할 수 없게 되어 전송 시 공격자의 변조를 방지할 수 있습니다.

  • 권한이 없는 멀티캐스트를 사용하는 배포 지점에 대한 모니터링

    공격자가 네트워크에 액세스할 수 있는 경우 Rogue 멀티캐스트 서버를 구성하여 운영 체제 배포를 스푸핑할 수 있습니다.

  • 작업 순서를 네트워크 위치로 내보내는 경우 해당 위치와 네트워크 채널의 보안을 유지해야 합니다.

    네트워크 폴더에 액세스할 수 있는 사용자를 제한합니다.

    공격자가 내보내는 작업 순서를 변조하지 못하도록 네트워크 위치와 사이트 서버 사이에 SMB 서명 또는 IPsec을 사용합니다.

  • 가상 하드 디스크를 Virtual Machine Manager에 업로드할 때 통신 채널을 보호합니다.

    네트워크를 통해 데이터를 전송할 때 데이터가 변조되지 않도록 하려면 Configuration Manager 콘솔을 실행하는 컴퓨터와 Virtual Machine Manager를 실행하는 컴퓨터 간에 IPSec(인터넷 프로토콜 보안) 또는 SMB(서버 메시지 블록)를 사용하십시오.

  • 작업 순서 실행 계정을 사용하는 경우 추가 보안 예방 조치 수행

    작업 순서 실행 계정을 사용하는 경우 다음 예방 조치를 수행합니다.

    • 계정 권한을 최소한으로 사용합니다.

    • 이 계정에 대해 네트워크 액세스 계정을 사용하지 마세요.

    • 계정을 도메인 관리자 계정으로 만들면 안 됩니다.

    이 밖에도 다음 지침을 따릅니다.

    • 이 계정에 대해 로밍 프로필을 구성해서는 안 됩니다. 작업 순서가 실행될 때 해당 계정의 로밍 프로필이 다운로드되어 프로필이 로컬 컴퓨터에서 쉽게 액세스될 수 있습니다.

    • 계정 범위를 제한해야 합니다. 예를 들어 각 작업 순서에 대해 서로 다른 작업 순서 실행 계정을 만듭니다. 이렇게 하면 한 계정이 손상될 경우 해당 계정이 액세스할 수 있는 클라이언트 컴퓨터만 손상됩니다. 명령줄에서 컴퓨터에 대한 관리자 액세스 권한이 필요한 경우 작업 순서를 실행하는 모든 컴퓨터에서 작업 순서 실행 계정 전용으로 로컬 관리자 계정을 만들고 더 이상 필요 없게 되는 즉시 계정을 삭제합니다.

  • 운영 체제 배포 관리자 보안 역할이 부여된 관리자 제한 및 모니터링

    운영 체제 배포 관리자 보안 역할이 부여된 관리자는 자체 서명된 인증서를 만들어 특정 클라이언트를 가장하고 Configuration Manager에서 클라이언트 정책을 얻을 수 있습니다.

운영 체제 배포와 관련된 보안 문제

운영 체제 배포는 네트워크에 있는 컴퓨터에 가장 안전한 운영 체제와 구성을 배포하는 편리한 방법이지만 다음과 같은 보안 위험을 갖습니다.

  • 정보 공개 및 서비스 거부

    공격자가 Configuration Manager 인프라에 대한 제어력을 얻을 수 있는 경우 모든 작업 순서를 실행할 수 있으며, 여기에는 모든 클라이언트 컴퓨터의 하드 드라이브를 포맷하는 것이 포함될 수 있습니다. 작업 순서는 도메인 및 볼륨 라이선스 키에 연결할 수 있는 권한을 가진 계정과 같은 중요한 정보를 포함하도록 구성될 수 있습니다.

  • 가장 및 권한 승격

    작업 순서는 컴퓨터를 도메인에 연결할 수 있으므로 Rogue 컴퓨터가 인증된 네트워크 액세스를 얻게 될 수 있습니다. 운영 체제 배포에 대한 또 다른 중요한 보안 고려 사항은 부팅 가능한 작업 순서 미디어와 PXE 부팅 배포에 사용되는 클라이언트 인증 인증서를 보호하는 것입니다. 클라이언트 인증 인증서를 캡처하는 경우 공격자가 인증서의 개인 키를 획득하여 네트워크의 유효한 클라이언트를 가장할 수 있습니다.

    공격자가 부팅 가능한 작업 순서 미디어와 PXE 부팅 배포에 사용되는 클라이언트 인증서를 획득할 경우 Configuration Manager에게 이 클라이언트를 유효한 클라이언트로 가장할 수 있습니다. 이 시나리오에서는 Rogue 컴퓨터가 중요한 데이터를 포함할 수 있는 정책을 다운로드할 수 있습니다.

    클라이언트가 네트워크 액세스 계정을 사용하여 상태 마이그레이션 지점에 저장된 데이터에 액세스하는 경우 이러한 클라이언트는 효과적으로 동일한 ID를 공유하고 네트워크 액세스 계정을 사용하는 다른 클라이언트에서 상태 마이그레이션 데이터에 액세스할 수 있습니다. 데이터는 암호화되므로 원래 클라이언트만 데이터를 읽을 수 있지만 데이터가 변조 또는 삭제될 수 있습니다.

  • 관리 지점에서 발급한 Configuration Manager 토큰을 사용하여 상태 마이그레이션 지점에 대한 클라이언트 인증이 수행됩니다.

    또한 Configuration Manager 는 상태 마이그레이션 지점에 저장된 데이터 양을 제한하거나 관리하지 않으므로 공격자는 사용 가능한 디스크 공간을 가득 채워 서비스 거부를 유발할 수 있습니다.

  • 컬렉션 변수를 사용하는 경우 잠재적으로 로컬 관리자가 중요 정보를 읽을 수 있습니다.

    컬렉션 변수를 사용하면 운영 체제를 유연하게 배포할 수 있지만 이로 인해 정보가 노출될 수 있습니다.

Configuration Manager 를 사용하여 운영 체제가 없는 컴퓨터에 운영 체제를 배포할 수 있을 뿐 아니라 한 컴퓨터에서 다른 컴퓨터로 사용자 파일과 설정을 마이그레이션할 수 있습니다. 관리자는 개인적 데이터 파일, 구성 설정 및 브라우저 쿠키를 포함하여 전송할 정보를 구성합니다.

정보는 상태 마이그레이션 지점에 저장되고 전송 또는 저장 도중 암호화된 상태를 유지합니다. 상태 정보와 연결된 새 컴퓨터에서 정보를 검색할 수 있습니다. 새 컴퓨터가 정보를 검색하는 키를 분실한 경우 컴퓨터 연합 인스턴스 개체에 대한 '복구 정보 보기' 권한이 있는 Configuration Manager 관리자가 정보에 액세스하고 정보를 새 컴퓨터에 연결할 수 있습니다. 새 컴퓨터에서 상태 정보가 복원되면 기본적으로 만 하루 뒤에 데이터가 삭제됩니다. 삭제하도록 표시한 데이터를 상태 마이그레이션 지점에서 제거하는 시점을 구성할 수 있습니다. 상태 마이그레이션 정보는 사이트 데이터베이스에 저장되지 않으며, Microsoft로 전송되지도 않습니다.

부팅 이미지를 사용하여 운영 체제 이미지를 배포하는 경우 항상 기본 옵션을 사용하여 부팅 미디어를 암호로 보호해야 합니다. 암호는 작업 순서에 저장된 모든 변수를 암호화하지만 변수에 저장되지 않은 정보는 쉽게 노출될 수 있습니다.

작업 순서를 사용하여 운영 체제 배포 프로세스 동안 여러 가지 많은 작업을 수행할 수 있습니다. 예를 들어 응용 프로그램을 설치하고 소프트웨어를 업데이트할 수 있습니다. 또한 작업 순서를 구성할 때 소프트웨어 설치에 영향을 미치는 개인 정보 보호에 대해 주의해야 합니다.

먼저 Sysprep를 사용하여 이미지를 새로 설치하지 않고 Virtual Machine Manager에 가상 하드 디스크를 업로드하는 경우 업로드된 가상 하드 디스크에 원본 이미지의 개인 데이터가 포함될 수 있습니다.

Configuration Manager 는 운영 체제 배포를 기본적으로 구현하지 않으므로, 사용자 상태 정보를 수집하거나 작업 순서나 부팅 이미지를 만들기 전에 여러 구성 단계를 수행해야 합니다.

운영 체제 배포를 구성하기 전에 개인 정보 보호 요구 사항을 고려하십시오.

System Center Configuration Manager의 운영 체제 배포 계획

표시: