UE-V 2.1 SP1에 대한 보안 고려 사항
이 문서에는 UE-V(Microsoft 사용자 환경 가상화) 2.1 SP1에 대한 계정 및 그룹, 로그 파일 및 기타 보안 관련 고려 사항에 대한 간략한 개요가 포함되어 있습니다.
UE-V 구성에 대한 보안 고려 사항
중요
설정 스토리지 공유를 만들 때 액세스 권한이 필요한 사용자에 대한 공유 액세스를 제한합니다.
설정 패키지에는 개인 정보가 포함될 수 있으므로 이를 보호하고 가능하도록 주의해야 합니다. 일반적으로 다음 작업을 수행합니다.
공유를 액세스 권한이 필요한 사용자로만 제한합니다. 특정 공유의 폴더를 리디렉션한 사용자에 대한 보안 그룹을 만들고 해당 사용자로만 액세스를 제한합니다.
공유를 만들 때 공유 이름 다음에 $를 추가하여 공유를 숨깁니다. 이 추가 기능은 캐주얼 브라우저에서 공유를 숨기며 공유는 내 네트워크 위치에 표시되지 않습니다.
사용자에게 필요한 최소 권한만 제공합니다. 다음 표에서는 필요한 권한을 보여 줍니다.
스토리지 위치 폴더 설정에 대해 다음 공유 수준 SMB 권한을 설정합니다.
사용자 계정 권장 권한 모두 사용 권한 없음 UE-V의 보안 그룹 모든 권한 설정 스토리지 위치 폴더에 대해 다음 NTFS 파일 시스템 권한을 설정합니다.
사용자 계정 권장 권한 Folder 작성자/소유자 모든 권한 하위 폴더 및 파일만 도메인 관리자 모든 권한 이 폴더, 하위 폴더 및 파일 UE-V 사용자의 보안 그룹 폴더/읽기 데이터 나열, 폴더 만들기/데이터 추가 이 폴더만 모두 모든 권한 제거 사용 권한 없음 설정 템플릿 카탈로그 폴더에 대해 다음 공유 수준 SMB 권한을 설정합니다.
사용자 계정 사용 권한 권장 모두 사용 권한 없음 도메인 컴퓨터 읽기 권한 수준 관리자 읽기/쓰기 권한 수준 설정 템플릿 카탈로그 폴더에 대해 다음 NTFS 권한을 설정합니다.
사용자 계정 권장 권한 적용 작성자/소유자 모든 권한 이 폴더, 하위 폴더 및 파일 도메인 컴퓨터 폴더 내용 나열 및 읽기 권한 이 폴더, 하위 폴더 및 파일 모두 사용 권한 없음 사용 권한 없음 관리자 모든 권한 이 폴더, 하위 폴더 및 파일
Windows Server 2003을 기준으로 Windows Server를 사용하여 리디렉션된 파일 공유 호스트
사용자 설정 패키지 파일에는 클라이언트 컴퓨터와 설정 패키지를 저장하는 서버 간에 전송되는 개인 정보가 포함됩니다. 이 프로세스로 인해 네트워크를 통해 이동하는 동안 데이터가 보호되는지 확인해야 합니다.
사용자 설정 데이터는 네트워크를 통과할 때 데이터 가로채기, 네트워크를 통과할 때 데이터 변조, 데이터를 호스트하는 서버 스푸핑 등의 잠재적 위협에 취약합니다.
Windows Server 2003을 기준으로 Windows Server 운영 체제의 여러 기능은 사용자 데이터를 보호하는 데 도움이 될 수 있습니다.
Kerberos - Kerberos는 Windows Server 2003부터 모든 버전의 Microsoft Windows 2000 Server 및 Windows Server에서 표준입니다. Kerberos는 네트워크 리소스에 대한 최고 수준의 보안을 보장합니다. NTLM은 클라이언트만 인증합니다. Kerberos는 서버와 클라이언트를 인증합니다. NTLM을 사용하는 경우 클라이언트는 서버가 유효한지 여부를 알 수 없습니다. 이 차이는 로밍 사용자 프로필의 경우와 마찬가지로 클라이언트가 서버와 개인 파일을 교환하는 경우에 중요합니다. Kerberos는 NTLM보다 더 나은 보안을 제공합니다. Kerberos는 Microsoft Windows NT Server 4.0 이전 운영 체제에서 사용할 수 없습니다.
IPsec - IP 보안 프로토콜(IPsec)은 네트워크 수준 인증, 데이터 무결성 및 암호화를 제공합니다. IPsec은 다음을 보장합니다.
로밍된 데이터는 데이터가 라우팅되는 동안 데이터 수정으로부터 안전합니다.
로밍된 데이터는 가로채기, 보기 또는 복사로부터 안전합니다.
로밍된 데이터는 인증되지 않은 당사자의 액세스로부터 안전합니다.
SMB 서명 - SMB(서버 메시지 블록) 인증 프로토콜은 활성 메시지 및 "중간 사용자" 공격을 방지하는 메시지 인증을 지원합니다. SMB 서명은 각 SMB에 디지털 서명을 배치하여 이 인증을 제공합니다. 그런 다음 클라이언트와 서버 모두 디지털 서명을 확인합니다. SMB 서명을 사용하려면 먼저 SMB 서명을 사용하도록 설정하거나 SMB 클라이언트와 SMB 서버 모두에서 SMB 서명을 사용해야 합니다.
참고
SMB 서명은 성능 저하를 부과합니다. 더 이상 네트워크 대역폭을 사용하지 않지만 클라이언트 및 서버 쪽에서 더 많은 CPU 주기를 사용합니다.
항상 사용자 데이터를 보유하는 볼륨에 NTFS 파일 시스템을 사용합니다.
가장 안전한 구성을 위해 UE-V 설정 파일을 호스트하는 서버를 구성하여 NTFS 파일 시스템을 사용합니다. FAT 파일 시스템과 달리 NTFS는 DACL(임의 액세스 제어 목록) 및 SACL(시스템 액세스 제어 목록)을 지원합니다. DACL 및 SACLs는 파일에 대한 작업을 수행할 수 있는 사용자와 파일에서 수행되는 작업의 로깅을 트리거하는 이벤트를 제어합니다.
네트워크를 통해 전송될 때 EFS를 사용하여 사용자 파일을 암호화하지 마세요.
EFS(파일 시스템 암호화)를 사용하여 원격 서버의 파일을 암호화하는 경우 네트워크를 통해 전송하는 동안 암호화된 데이터는 암호화되지 않습니다. 디스크에 저장된 경우에만 암호화됩니다.
시스템에 IPsec(인터넷 프로토콜 보안) 또는 WebDAV(Web Distributed Authoring and Versioning)가 포함된 경우에는 이 암호화 프로세스가 적용되지 않습니다. IPsec은 TCP/IP 네트워크를 통해 전송되는 동안 데이터를 암호화합니다. 파일이 복사되거나 서버의 WebDAV 폴더로 이동하기 전에 암호화된 경우 전송 중과 서버에 저장된 동안 암호화된 상태로 유지됩니다.
UE-V 에이전트가 각 사용자에 대한 폴더를 만들도록 허용
UE-V가 최적으로 작동하도록 하려면 서버에 루트 공유만 만들고 UE-V 에이전트가 각 사용자에 대한 폴더를 만들도록 합니다. UE-V는 적절한 보안으로 이러한 사용자 폴더를 만듭니다.
이 권한 구성을 사용하면 사용자가 설정 스토리지에 대한 폴더를 만들 수 있습니다. UE-V 에이전트는 사용자의 컨텍스트에서 실행되는 동안 설정 패키지 폴더를 만들고 보호합니다. 사용자는 설정 패키지 폴더에 대한 모든 권한을 받습니다. 다른 사용자는 이 폴더에 대한 액세스를 상속하지 않습니다. 개별 사용자 디렉터리를 만들고 보호할 필요가 없습니다. 사용자의 컨텍스트에서 실행되는 에이전트는 자동으로 실행합니다.
참고
설정 스토리지 공유에 Windows Server를 사용하는 경우 더 많은 보안을 구성할 수 있습니다. UE-V를 구성하여 로컬 관리자 그룹 또는 현재 사용자가 설정 패키지가 저장된 폴더의 소유자인지 확인할 수 있습니다. 추가 보안을 사용하려면 다음 명령을 사용합니다.
에 REG_DWORD 레지스트리 키를
RepositoryOwnerCheckEnabled추가합니다HKEY_LOCAL_MACHINE\Software\Microsoft\UEV\Agent\Configuration.레지스트리 키 값을 로
1설정합니다.
이 구성 설정이 있는 경우 UE-V 에이전트는 로컬 관리자 그룹 또는 현재 사용자가 설정 패키지 폴더의 소유자인지 확인합니다. 그렇지 않은 경우 UE-V 에이전트는 폴더에 대한 액세스 권한을 부여하지 않습니다.
사용자에 대한 폴더를 만들어야 하는 경우 올바른 사용 권한이 설정되어 있는지 확인합니다.
폴더를 미리 만들지 마세요. 대신 UE-V 에이전트가 사용자에 대한 폴더를 만들도록 합니다.
홈 디렉터리 또는 사용자 지정 디렉터리에 UE-V 2 설정을 저장할 수 있는 올바른 권한 확인
UE-V 설정을 사용자의 홈 디렉터리 또는 사용자 지정 AD(Active Directory) 디렉터리로 리디렉션하는 경우 디렉터리에 대한 권한이 조직에 적절하게 설정되어 있는지 확인합니다.