Configuration Manager 보안의 기본 사항
적용 대상: Configuration Manager(현재 분기)
이 문서에서는 모든 Configuration Manager 환경의 다음과 같은 기본 보안 구성 요소를 요약합니다.
보안 계층
Configuration Manager 보안은 다음 계층으로 구성됩니다.
- Windows OS 및 네트워크 보안
- 네트워크 인프라: 방화벽, 침입 검색, PKI(공개 키 인프라)
- Configuration Manager 보안 제어
- SMS 공급자
- 사이트 데이터베이스 사용 권한
Windows OS 및 네트워크 보안
첫 번째 계층은 OS와 네트워크 모두에 대한 Windows 보안 기능에서 제공됩니다. 이 계층에는 다음 구성 요소가 포함됩니다.
파일 공유를 사용하여 Configuration Manager 구성 요소 간에 파일을 전송합니다.
파일 및 레지스트리 키를 보호하는 데 도움이 되는 ACL(목록)을 Access Control.
통신을 보호하는 데 도움이 되는 IPsec(인터넷 프로토콜 보안)입니다.
보안 정책을 설정하도록 정책을 그룹화합니다.
Configuration Manager 콘솔과 같은 분산 애플리케이션에 대한 DCOM(분산 구성 요소 개체 모델) 권한입니다.
보안 주체를 저장하는 Active Directory Domain Services.
설치하는 동안 Configuration Manager 만드는 일부 그룹을 포함하여 Windows 계정 보안
네트워크 인프라
방화벽 및 침입 검색과 같은 네트워크 보안 구성 요소는 전체 환경에 대한 방어를 제공하는 데 도움이 됩니다. 업계 표준 PKI(공개 키 인프라) 구현에서 발급한 인증서는 인증, 서명 및 암호화를 제공하는 데 도움이 됩니다.
Configuration Manager 보안 제어
기본적으로 로컬 관리자만 Configuration Manager 콘솔을 설치하는 컴퓨터에 필요한 파일 및 레지스트리 키에 대한 권한을 갖습니다.
SMS 공급자
다음 보안 계층은 SMS 공급자에 대한 액세스를 기반으로 합니다. SMS 공급자는 사용자에게 사이트 데이터베이스에서 정보를 쿼리할 수 있는 액세스 권한을 부여하는 Configuration Manager 구성 요소입니다. SMS 공급자는 주로 WMI(Windows Management Instrumentation)를 통해 액세스 권한을 노출하지만 관리 서비스라는 REST API도 노출합니다.
기본적으로 공급자에 대한 액세스는 로컬 SMS 관리자 그룹의 구성원으로 제한됩니다. 처음에 이 그룹에는 Configuration Manager 설치한 사용자만 포함됩니다. CIM(일반 정보 모델) 리포지토리 및 SMS 공급자에 다른 계정 권한을 부여하려면 다른 계정을 SMS 관리자 그룹에 추가합니다.
관리자가 Configuration Manager 사이트에 액세스할 수 있도록 최소 인증 수준을 지정할 수 있습니다. 이 기능을 사용하면 관리자가 필요한 수준으로 Windows에 로그인할 수 있습니다. 자세한 내용은 SMS 공급자 계획을 참조하세요.
사이트 데이터베이스 사용 권한
보안의 최종 계층은 사이트 데이터베이스의 개체에 대한 권한을 기반으로 합니다. 기본적으로 로컬 시스템 계정 및 Configuration Manager 설치하는 데 사용한 사용자 계정은 사이트 데이터베이스의 모든 개체를 관리할 수 있습니다. 역할 기반 관리를 사용하여 Configuration Manager 콘솔의 다른 관리 사용자에게 권한을 부여하고 제한합니다.
역할 기반 관리
Configuration Manager 역할 기반 관리를 사용하여 컬렉션, 배포 및 사이트와 같은 개체를 보호합니다. 이 관리 모델은 모든 사이트 및 사이트 설정에 대한 계층 전체 보안 액세스 설정을 중앙에서 정의하고 관리합니다.
관리자는 관리 사용자 및 그룹 권한에 보안 역할을 할당합니다. 권한은 클라이언트 설정을 만들거나 변경하는 등 다양한 Configuration Manager 개체 유형에 연결됩니다.
보안 범위에는 관리 사용자가 관리해야 하는 특정 개체 인스턴스가 포함됩니다. 예를 들어 Configuration Manager 콘솔을 설치하는 애플리케이션입니다.
보안 역할, 보안 범위 및 컬렉션의 조합은 관리 사용자가 보고 관리할 수 있는 개체를 정의합니다. Configuration Manager 일반적인 관리 작업에 대한 몇 가지 기본 보안 역할을 설치합니다. 특정 비즈니스 요구 사항을 지원하는 고유한 보안 역할을 만듭니다.
자세한 내용은 역할 기반 관리의 기본 사항을 참조하세요.
클라이언트 엔드포인트 보안
Configuration Manager 자체 서명 또는 PKI 인증서 또는 Microsoft Entra 토큰을 사용하여 사이트 시스템 역할에 대한 클라이언트 통신을 보호합니다. 일부 시나리오에서는 PKI 인증서를 사용해야 합니다. 예를 들어 인터넷 기반 클라이언트 관리 및 모바일 디바이스 클라이언트의 경우
클라이언트가 HTTPS 또는 HTTP 클라이언트 통신을 위해 연결하는 사이트 시스템 역할을 구성할 수 있습니다. 클라이언트 컴퓨터는 항상 사용 가능한 가장 안전한 방법을 사용하여 통신합니다. 클라이언트 컴퓨터는 HTTP 통신을 허용하는 사이트 시스템 역할이 있는 경우에만 덜 안전한 통신 방법을 사용하는 것으로 대체됩니다.
중요
Configuration Manager 버전 2103부터 HTTP 클라이언트 통신을 허용하는 사이트는 더 이상 사용되지 않습니다. HTTPS 또는 고급 HTTP에 대한 사이트를 구성합니다. 자세한 내용은 HTTPS 전용 또는 향상된 HTTP에 사이트 사용을 참조하세요.
자세한 내용은 보안 계획을 참조하세요.
Configuration Manager 계정 및 그룹
Configuration Manager 대부분의 사이트 작업에 로컬 시스템 계정을 사용합니다. 일부 사이트 작업에서는 사이트 서버의 도메인 컴퓨터 계정을 사용하는 대신 서비스 계정을 사용할 수 있습니다. 일부 관리 작업에서는 다른 계정을 만들고 유지 관리해야 할 수 있습니다. 예를 들어 OS 배포 작업 순서 중에 도메인에 가입합니다.
Configuration Manager 설정 중에 여러 기본 그룹 및 SQL Server 역할을 만듭니다. 컴퓨터 또는 사용자 계정을 기본 그룹 및 SQL Server 역할에 수동으로 추가해야 할 수 있습니다.
자세한 내용은 Configuration Manager 사용된 계정을 참조하세요.
개인 정보 보호
Configuration Manager 구현하기 전에 개인 정보 요구 사항을 고려합니다. 엔터프라이즈 관리 제품은 많은 클라이언트를 효과적으로 관리할 수 있으므로 많은 이점을 제공하지만 이 소프트웨어는 organization 사용자의 개인 정보에 영향을 줄 수 있습니다. Configuration Manager 데이터를 수집하고 디바이스를 모니터링하는 많은 도구가 포함되어 있습니다. 일부 도구는 organization 개인 정보 보호 문제를 제기할 수 있습니다.
예를 들어 Configuration Manager 클라이언트를 설치하는 경우 기본적으로 많은 관리 설정을 사용하도록 설정합니다. 이 구성을 사용하면 클라이언트 소프트웨어가 Configuration Manager 사이트로 정보를 보냅니다. 사이트는 사이트 데이터베이스에 클라이언트 정보를 저장합니다. 클라이언트 정보는 Microsoft로 직접 전송되지 않습니다. 자세한 내용은 진단 및 사용량 현황 데이터를 참조하세요.