랩 3: IoT 디바이스에 대한 정책 설정 구성
랩 2에서는 사용자 지정 이미지에서 디바이스 잠금 기능을 사용하도록 설정했습니다. 디바이스 파트너는 Windows IoT Enterprise 잠금 기능 외에도 그룹 정책과 기능 사용자 지정을 혼합하여 원하는 사용자 환경을 얻을 수 있습니다.
이 랩에서는 IoT 디바이스 파트너가 사용하는 몇 가지 일반적인 구성 설정을 사용하는 것이 좋습니다. 각 개별 구성 설정이 디바이스 시나리오에 적용되는지 여부를 고려하세요.
Windows 업데이트 제어
디바이스 파트너의 가장 일반적인 요청 중 하나는 Windows IoT 디바이스에서 자동 업데이트 제어를 중심으로 합니다. IoT 디바이스의 특성은 계획되지 않은 업데이트와 같은 예기치 않은 중단으로 인해 잘못된 디바이스 환경을 만들 수 있다는 것입니다. Windows 업데이트를 제어하는 방법을 고려할 때 요청되는 질문은 다음과 같습니다.
- 워크플로 중단이 허용되지 않는 디바이스 시나리오인가요?
- 배포 전에 업데이트의 유효성을 검사하려면 어떻게 해야 하나요?
- 디바이스 자체의 업데이트 사용자 환경은 무엇인가요?
사용자 환경의 중단이 허용되지 않는 디바이스가 있는 경우 다음을 수행해야 합니다.
- 업데이트를 특정 시간으로만 제한하는 것이 좋습니다.
- 자동 업데이트를 사용하지 않도록 설정하는 것이 좋습니다.
- 수동으로 또는 제어된 타사 솔루션을 통해 업데이트를 배포하는 것이 좋습니다.
업데이트로 인한 다시 부팅 제한
Active Hours 그룹 정책, MDM(모바일 디바이스 관리) 또는 레지스트리 설정을 사용하여 업데이트를 특정 시간으로만 제한할 수 있습니다.
- 그룹 정책 편집기(gpedit.msc)를 열고 컴퓨터 구성\관리 템플릿\Windows 구성 요소\Windows 업데이트\최종 사용자 환경 관리로 이동하고 활성 시간 정책 설정 중에 업데이트에 대한 자동 다시 시작 해제를 엽니다.
- 정책을 활성화합니다.
- 시작 및 종료 시간을 활성 시간 범위로 설정합니다. 예를 들어 활성 시간을 오전 4시에 시작하고 오전 2시에 종료하도록 설정합니다. 이렇게 하면 오전 2시에서 오전 4시 사이의 업데이트에서 시스템을 다시 부팅할 수 있습니다.
Windows 업데이트 클라이언트에서 UI 알림 제어
서비스 자체가 백그라운드에서 실행되고 시스템을 업데이트하는 동안 Windows 업데이트에 대한 UI 환경을 숨기는 방식으로 디바이스를 구성할 수 있습니다. Windows 업데이트 클라이언트는 자동 업데이트를 구성하기 위해 설정된 정책을 계속 적용합니다. 이 정책은 해당 환경의 UI 부분을 제어합니다.
- 그룹 정책 편집기(gpedit.msc)를 열고 컴퓨터 구성\관리 템플릿\Windows 구성 요소\Windows 업데이트\최종 사용자 환경 관리로 이동하고 업데이트 알림 정책 설정에 대한 표시 옵션을 엽니다.
- 정책을 활성화합니다.
- 업데이트 알림 표시 옵션을 1로 지정 - 다시 시작 경고를 제외한 모든 알림 사용 안 함 또는 2 - 다시 시작 경고를 포함한 모든 알림 사용 안 함
자동 Windows 업데이트를 완전히 사용 안 함
보안 및 안정성은 성공적인 IoT 프로젝트의 핵심이며, Windows 업데이트 Windows IoT Enterprise에 적용 가능한 최신 보안 및 안정성 업데이트가 있는지 확인하기 위한 업데이트를 제공합니다. 그러나 Windows 업데이트를 수동으로 처리해야 하는 디바이스 시나리오가 있을 수 있습니다. 이러한 유형의 시나리오에서는 Windows 업데이트를 통한 자동 업데이트를 사용하지 않도록 설정하는 것이 좋습니다. 이전 버전의 Windows 디바이스 파트너는 Windows 업데이트 서비스를 중지하고 사용하지 않도록 설정할 수 있었지만, 이는 자동 업데이트를 사용하지 않도록 설정하는 데 더 이상 지원되지 않습니다. Windows에는 여러 가지 방법으로 Windows 업데이트 구성할 수 있는 많은 정책이 있습니다.
Windows 업데이트 사용하여 Windows의 자동 업데이트를 완전히 사용하지 않도록 설정하려면 다음을 수행합니다.
- 그룹 정책 편집기(gpedit.msc)를 열고 컴퓨터 구성\관리 템플릿\Windows 구성 요소\Windows 업데이트\최종 사용자 환경 관리로 이동하고 자동 업데이트 구성 정책 설정을 엽니다.
- 정책을 명시적으로 사용 안 함으로 설정합니다. 이 설정을 사용 안 함으로 설정하면 Windows 업데이트 사용 가능한 모든 업데이트를 수동으로 다운로드하여 설치해야 하며 Windows 업데이트 설정 앱에서 수행할 수 있습니다.
Windows 업데이트 사용자 환경에 대한 액세스 사용 안 함
일부 시나리오에서는 자동 업데이트를 구성하는 것만으로는 원하는 디바이스 환경을 유지하는 데 충분하지 않습니다. 예를 들어 최종 사용자는 여전히 Windows 업데이트를 통한 수동 업데이트를 허용하는 Windows 업데이트 설정에 액세스할 수 있습니다. 설정을 통해 Windows 업데이트에 액세스할 수 없도록 금지하는 그룹 정책을 구성할 수 있습니다.
Windows 업데이트에 대한 액세스를 금지하려면 다음을 수행합니다.
- 그룹 정책 편집기(gpedit.msc)를 열고 컴퓨터 구성\관리 템플릿\Windows 구성 요소\Windows 업데이트\최종 사용자 환경 관리로 이동하고 액세스 제거를 열어 모든 Windows 업데이트 기능 정책 설정을 사용합니다.
- 사용자에 대한 "업데이트 확인" 옵션을 방지하려면 이 정책을 사용으로 설정합니다. 참고: 백그라운드 업데이트 검사, 다운로드 및 설치는 구성된 대로 계속 작동합니다. 이 정책은 단순히 사용자가 설정을 통해 수동 인에 액세스하지 못하도록 차단합니다. 이전 섹션의 단계를 사용하여 검사, 다운로드 및 설치도 사용하지 않도록 설정합니다.
Important
디바이스에 대해 잘 설계된 서비스 전략이 있어야 합니다. 디바이스에서 다른 방식으로 업데이트를 받지 못하는 경우 Windows 업데이트 기능을 사용하지 않도록 설정하면 디바이스가 취약한 상태가 됩니다.
Windows 업데이트를 통해 드라이버가 설치되지 않도록 방지
경우에 따라 Windows 업데이트에서 설치된 드라이버로 인해 디바이스 환경에 문제가 발생할 수 있습니다. 다음 단계에서는 Windows 업데이트 디바이스에 새 드라이버를 다운로드하고 설치하는 것을 금지합니다.
- 그룹 정책 편집기(gpedit.msc)를 열고 컴퓨터 구성\관리 템플릿\Windows 구성 요소\Windows update\Windows 업데이트 제공된 업데이트 관리로 이동하고 Windows 업데이트s 정책 설정이 있는 드라이버 포함 안 함을 엽니다.
- 이 정책을 사용하도록 설정합니다. 그러면 Windows 품질 업데이트가 있는 드라이버를 포함하지 않도록 Windows에 지시합니다.
Windows 업데이트 요약
Windows 업데이트는 여러 가지 방법으로 구성할 수 있으며, 모든 정책이 모든 디바이스에 적용되는 것은 아닙니다. 일반적으로 IoT 디바이스는 디바이스에서 사용되는 서비스 및 관리 전략에 특별히 주의해야 합니다. 서비스 전략이 정책을 통해 모든 Windows 업데이트 기능을 사용하지 않도록 설정하는 경우 다음 단계에서는 구성할 정책의 결합된 목록을 제공합니다.
- 그룹 정책 편집기(gpedit.msc)를 열고 컴퓨터 구성\관리 템플릿\시스템\디바이스 설치로 이동하여 다음 정책을 설정합니다.
- 장치 드라이버 업데이트에 대한 검색 서버 지정을 사용으로 설정하고, 업데이트 서버 선택을 관리되는 서버 검색으로 설정합니다.
- 장치 드라이버 원본 위치에 대한 검색 순서 지정을 사용으로 설정하고, 검색 순서 선택을 Windows 업데이트 검색 안 함으로 설정합니다.
- 그룹 정책 편집기에서 컴퓨터 구성\관리 템플릿\Windows 구성 요소\Windows 업데이트 이동하여 다음 정책을 설정합니다.
- 자동 업데이트 구성을 사용 안 함으로
- Windows 업데이트에 드라이버를 포함하지 않음을 사용으로
- 그룹 정책 편집기에서 컴퓨터 구성\관리 템플릿\시스템\인터넷 통신 관리\인터넷 통신 설정으로 이동하고 모든 Windows 업데이트 기능에 대한 액세스 끄기를 사용으로 설정합니다.
- 그룹 정책 편집기에서 컴퓨터 구성\관리 템플릿\Windows 구성 요소\Windows 업데이트\업데이트 알림에 대한 표시 옵션으로 이동하고 업데이트 알림 표시 옵션을 2로 지정하여 정책을 사용하도록 설정합니다.
블루 스크린을 숨기도록 시스템 구성
시스템의 버그 확인(블루 스크린 또는 BSOD)은 여러 가지 이유로 발생할 수 있습니다. IoT 디바이스의 경우 이러한 오류가 발생하면 숨기는 것이 중요합니다. 시스템에서 여전히 디버깅을 위해 메모리 덤프를 수집할 수 있지만, 사용자 환경은 버그 확인 오류 화면 자체를 표시하지 않아야 합니다. OS 오류에 대해 "블루 스크린"을 빈 화면으로 바꾸도록 시스템을 구성할 수 있습니다.
- IoT 디바이스에서 레지스트리 편집기를 열고 Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl로 이동합니다.
- 값 데이터가 1인 DWORD(32비트) 형식으로 DisplayDisabled라는 새 레지스트리를 추가합니다.
알림, 알림 메시지 및 팝업 구성
IoT 디바이스는 일반적으로 PC 시나리오에서 의미가 있지만 IoT 디바이스의 사용자 환경을 방해할 수 있는 일반적인 Windows 대화 상자를 표시하지 않습니다. 원치 않는 대화 상자를 사용하지 않도록 설정하는 가장 간단한 방법은 셸 시작 관리자 또는 할당된 액세스를 사용하여 사용자 지정 셸을 사용하는 것입니다. 사용자 지정 셸이 올바른 선택이 아닌 경우 원치 않는 팝업 및 알림을 사용하지 않도록 설정할 수 있는 정책, 설정 및 레지스트리 조정의 조합을 설정할 수 있습니다.
Notifications
개별 알림을 사용하지 않도록 설정하는 것은 일부 시나리오에서 유용합니다. 예를 들어 디바이스가 태블릿 디바이스인 경우 배터리 절약 모드 알림은 사용자에게 표시되는 것일 수 있지만, OneDrive 또는 사진과 같은 다른 알림은 숨겨야 합니다. 또한 알림을 제공하는 OS 구성 요소에 관계없이 디바이스에서 모든 알림을 표시하지 않도록 결정할 수도 있습니다.
모든 알림 숨기기
알림을 사용하지 않도록 설정하는 한 가지 방법은 Windows의 방해 금지 모드 기능을 사용하는 것입니다. 방해 금지 모드는 특정 시간, 일반적으로 야간에 있는 동안 알림을 표시하지 않는 많은 스마트폰에 있는 기능과 비슷하게 작동합니다. Windows에서는 알림이 표시되지 않도록 Quiet Hours를 24x7로 설정할 수 있습니다.
24x7 조용한 시간 사용
- 그룹 정책 편집기(gpedit.msc)를 열고 사용자 구성\관리 템플릿\시작 메뉴 및 작업 표시줄\알림으로 이동합니다 .
- 매일 방해 금지 모드가 시작되는 시간 설정 정책을 사용하도록 설정하고, 값을 0으로 설정합니다.
- 매일 방해 금지 모드가 끝나는 시간 설정 정책을 사용하도록 설정하고, 값을 1439로 설정합니다(하루는 1,440분).
팁
사용자 구성\관리 템플릿\시작 메뉴 및 작업 표시줄\알림에는 사용하지 않도록 설정할 정확한 알림을 보다 세분화할 수 있는 다른 정책이 있습니다. 이러한 옵션은 일부 디바이스 시나리오에서 유용할 수 있습니다.
메시지 상자 기본 회신
시스템이 대화 상자(확인 또는 취소)에서 기본 단추를 자동으로 선택하게 하여 MessageBox 클래스 상자가 팝업되지 않도록 설정하는 레지스트리 변경 내용입니다. 이는 디바이스 파트너가 제어하지 않는 타사 애플리케이션에 MessageBox 스타일 대화 상자를 표시하는 경우에 유용할 수 있습니다. 이 레지스트리 값은 메시지 상자 기본 회신에서 알아볼 수 있습니다.
MessageBox 기본 회신 사용
- 레지스트리 편집기를 관리자 권한으로 엽니다.
- EnableDefaultReply라는 값을 사용하여 새 Dword 레지스트리 값을 HKLM\System\CurrentControlSet\Control\Error Message Instrument 아래에 만듭니다.
- EnableDefaultReply 값의 데이터를 1로 설정합니다.
- 시나리오를 테스트하여 예상대로 작동하는지 확인합니다.
보안 기준
Windows의 첫 번째 릴리스부터 보안 기준이라는 정책 집합이 각 Windows 릴리스와 함께 제공되었습니다. 보안 기준은 Microsoft 보안 엔지니어링 팀, 제품 그룹, 파트너 및 고객의 피드백을 기반으로 하는 Microsoft 권장 구성 설정 그룹입니다. 보안 기준은 IoT 디바이스에서 권장 보안 설정을 빠르게 사용하도록 설정하는 좋은 방법입니다.
참고 항목
STIG와 같은 인증이 필요한 디바이스는 보안 기준을 시작점으로 사용하는 것이 도움이 됩니다. 보안 기준은 Security Compliance Toolkit의 일부로 제공됩니다.
Security Compliance Toolkit는 다운로드 센터에서 다운로드할 수 있습니다.
위의 링크에서 다운로드를 선택합니다. Windows 버전 xxxx 보안 Baseline.zip LGPO.zip 선택합니다. 배포하는 Windows 버전과 일치하는 버전을 선택해야 합니다.
IoT 디바이스에서 Windows 버전 xxxx 보안 Baseline.zip 파일 및 LGPO.zip 파일을 추출합니다.
Windows 버전 xxxx 보안 기준선의 Scripts\Tools 폴더에 LGPO.exe 복사합니다. LGPO는 보안 기준 설치 스크립트에 필요하지만 별도로 다운로드해야 합니다.
관리 명령 프롬프트에서 다음을 실행합니다.
Client_Install_NonDomainJoined.cmd
또는 IoT 디바이스가 Active Directory 도메인의 일부인 경우 다음을 실행합니다.
Client_Install_DomainJoined.cmd
스크립트를 실행하라는 메시지가 표시되면 Enter 키를 누른 다음, IoT 디바이스를 다시 부팅합니다.
예상할 수 있는 작업
많은 설정이 보안 기준의 일부로 포함됩니다. 설명서 폴더에는 기준선에서 설정한 모든 정책을 간략하게 설명하는 Excel 스프레드시트가 있습니다. 사용자 계정 암호 복잡성이 해당 기본값에서 변경되었음을 즉시 알 수 있으므로 시스템에서 또는 배포의 일부로 사용자 계정 암호를 업데이트해야 할 수 있습니다. 또한 USB 드라이브 데이터 액세스에 대한 정책을 구성합니다. 이제 시스템에서 데이터를 복사하는 작업이 기본적으로 보호됩니다. 보안 기준에서 추가한 다른 설정을 계속 살펴봅니다.
Microsoft Defender
바이러스 백신 보호는 많은 IoT 디바이스 시나리오, 특히 Windows IoT Enterprise와 같은 운영 체제를 더 완벽하게 기능하고 실행하는 디바이스에서 필요합니다. 키오스크, 소매 POS, ATM 등과 같은 디바이스의 경우 Microsoft Defender는 Windows IoT Enterprise 설치의 일부로 기본적으로 포함되고 사용하도록 설정됩니다. 기본 Microsoft Defender 사용자 환경을 수정하려는 시나리오가 있을 수 있습니다. 예를 들어 수행된 검사에 대한 알림을 사용하지 않도록 설정하거나 실시간 검사만 사용하기 위해 예약된 심층 검사도 사용하지 않도록 설정합니다. 아래 정책은 Microsoft Defender에서 원치 않는 UI를 만들지 못하도록 방지하는 데 유용합니다.
그룹 정책 편집기(gpedit.msc)를 열고 Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender 바이러스 백신\Scan 및 set로 이동합니다.
- 예약된 검사를 실행하기 전에 최신 바이러스 및 스파이웨어 정의 파일 확인을 사용 안 함으로 설정합니다.
- 검사 중 최대 CPU 사용률 지정을 5로 설정합니다.
- 전체 보완 검사 켜기를 사용 안 함으로 설정합니다.
- 빠른 보완 검사 켜기를 사용 안 함으로 설정합니다.
- 시스템 복원 지점 만들기를 사용 안 함으로 설정합니다.
- 보완 검사를 실행한 이후 일 수 정의를 20으로 설정합니다('만약의 경우에 대비한 설정'이며, 보완 검사가 사용하도록 설정된 경우 필요하지 않음).
- 예약 검색에 사용할 검색 유형 지정에서 빠른 검사로 설정합니다.
- 예약된 검사에 사용할 검사 유형 지정을 0x8(안 함)로 설정합니다.
그룹 정책 편집기에서 컴퓨터 구성\관리 템플릿\Windows 구성 요소\Microsoft Defender 바이러스 백신\보안 인텔리전스 업데이트로 이동하고 다음을 설정합니다.
- 스파이웨어 보안 인텔리전스가 만료 된 것으로 간주되기 전의 일 수를 30일로 정의합니다.
- 바이러스 보안 인텔리전스가 만료 된 것으로 간주되기 전의 일 수를 30일로 정의합니다.
- 비활성으로 보안 인텔리전스 업데이트 후 검사 켜기
- 시작 시 사용 안 함으로 보안 인텔리전스 업데이트 시작
- 0x8 보안 인텔리전스 업데이트를 확인하려면 요일 지정 (절대 안 됨)
- 캐치업 보안 인텔리전스 업데이트가 30일 이후의 일 수를 정의합니다 .
Windows 구성 요소\Microsoft Defender 바이러스 백신 추가 정책이 있습니다. 각 설정 설명을 확인하여 IoT 디바이스에 적용되는지 확인합니다.
다음 단계
이제 원하는 사용자 환경에 맞게 조정된 이미지를 만들었으므로 원하는 만큼 많은 디바이스에 배포할 수 있도록 이미지를 캡처할 수 있습니다. 랩 4에서는 캡처할 이미지를 준비한 다음, 디바이스에 배포하는 방법을 설명합니다.