다음을 통해 공유

시스템 보안

  • 아티클
  • 적용 대상:
    Windows 11

보안 기능 목록이 포함된 다이어그램

신뢰할 수 있는 부팅(보안 부팅 + 측정된 부팅)

Windows 11 모든 PC에서 UEFI(Unified Extensible Firmware Interface)의 보안 부팅 기능을 사용해야 합니다. Windows 11 디바이스가 시작되면 보안 부팅 및 신뢰할 수 있는 부팅이 함께 작동하여 맬웨어 및 손상된 구성 요소가 로드되지 않도록 방지합니다. 보안 부팅은 초기 보호를 제공한 다음 신뢰할 수 있는 부팅이 프로세스를 선택합니다.

보안 부팅은 Windows 커널의 신뢰할 수 있는 부팅 시퀀스를 통해 UEFI(Unified Extensible Firmware Interface)에서 안전하고 신뢰할 수 있는 경로를 만듭니다. Windows 부팅 시퀀스에 대한 맬웨어 공격은 UEFI, 부팅 로더, 커널 및 애플리케이션 환경 간의 부팅 시퀀스 전체에서 서명 적용 핸드셰이크에 의해 차단됩니다.

펌웨어 루트킷의 위험을 완화하기 위해 PC는 부팅 프로세스 시작 시 펌웨어의 디지털 서명을 확인합니다. 그런 다음 보안 부팅은 OS 부팅 로더의 디지털 서명과 운영 체제가 시작되기 전에 실행되는 모든 코드를 확인하여 서명 및 코드가 보안 부팅 정책에 따라 호환되지 않고 신뢰할 수 있는지 확인합니다.

신뢰할 수 있는 부팅은 보안 부팅으로 시작하는 프로세스를 선택합니다. Windows 부팅 로더는 로드하기 전에 Windows 커널의 디지털 서명을 확인합니다. Windows 커널은 부팅 드라이버, 시작 파일 및 맬웨어 방지 제품의 ELAM(조기 출시 방지) 드라이버를 포함하여 Windows 시작 프로세스의 다른 모든 구성 요소를 확인합니다. 이러한 파일이 변조된 경우 부팅 로더는 문제를 감지하고 손상된 구성 요소 로드를 거부합니다. 종종 Windows는 손상된 구성 요소를 자동으로 복구하여 Windows의 무결성을 복원하고 PC가 정상적으로 시작되도록 할 수 있습니다.

더 알아보세요

Cryptography

암호화는 사용자 및 시스템 데이터를 보호하도록 설계되었습니다. Windows 11 암호화 스택은 칩에서 클라우드로 확장되어 Windows, 애플리케이션 및 서비스가 시스템 및 사용자 비밀을 보호할 수 있습니다. 예를 들어 고유 키를 가진 특정 판독기만 읽을 수 있도록 데이터를 암호화할 수 있습니다. 데이터 보안의 기초로 암호화는 의도한 수신자를 제외한 모든 사람이 데이터를 읽지 못하도록 하고, 무결성 검사를 수행하여 데이터가 변조되지 않도록 하고, 통신이 안전한지 확인하기 위해 ID를 인증하는 데 도움이 됩니다. Windows 11 암호화는 FIPS(Federal Information Processing Standard) 140을 충족하도록 인증되었습니다. FIPS 140 인증은 미국 정부가 승인한 알고리즘이 올바르게 구현되도록 합니다.

더 알아보세요

  • FIPS 140 유효성 검사

Windows 암호화 모듈은 다음과 같은 하위 수준 기본 형식을 제공합니다.

  • RNG(난수 생성기)
  • XTS, ECB, CBC, CFB, CCM 및 GCM 작동 모드를 사용하는 AES 128/256 지원 RSA 및 DSA 2048, 3072 및 4,096 키 크기; 곡선 위에 ECDSA P-256, P-384, P-521
  • 해시(SHA1, SHA-256, SHA-384 및 SHA-512 지원)
  • 서명 및 확인(OAEP, PSS 및 PKCS1에 대한 패딩 지원)
  • 키 계약 및 키 파생(NIST 표준 프라임 곡선 P-256, P-384, P-521 및 HKDF를 통해 ECDH 지원)

애플리케이션 개발자는 이러한 암호화 모듈을 사용하여 낮은 수준의 암호화 작업(Bcrypt), NCrypt(키 스토리지 작업), DPAPI(정적 데이터 보호) 및 보안 공유 비밀(DPAPI-NG)을 수행할 수 있습니다.

더 알아보세요

  • 암호화 및 인증서 관리

개발자는 Microsoft의 오픈 소스 암호화 라이브러리인 SymCrypt에서 제공하는 CNG(암호화 차세대 API)를 통해 Windows의 모듈에 액세스할 수 있습니다. SymCrypt는 오픈 소스 코드를 통해 완전한 투명성을 지원합니다. 또한 SymCrypt는 사용 가능한 경우 어셈블리 및 하드웨어 가속을 활용하여 암호화 작업에 대한 성능 최적화를 제공합니다.

SymCrypt는 사람들이 Microsoft의 제품 및 서비스를 신뢰하는 데 필요한 기밀 보안 정보와 리소스를 제공하는 것을 목표로 하는 글로벌 Microsoft 정부 보안 프로그램을 포함하는 투명성에 대한 Microsoft의 노력의 일부입니다. 이 프로그램은 소스 코드, 위협 및 취약성 정보 교환에 대한 제어된 액세스, Microsoft의 제품 및 서비스에 대한 기술 콘텐츠에 참여할 수 있는 기회, 전 세계적으로 분산된 5개의 투명성 센터에 대한 액세스를 제공합니다.

인증서

Windows는 정보를 보호하고 인증하기 위해 인증서 및 인증서 관리에 대한 포괄적인 지원을 제공합니다. 기본 제공 인증서 관리 명령줄 유틸리티(certmgr.exe) 또는 MMC(Microsoft Management Console) 스냅인(certmgr.msc)을 사용하여 인증서, CTL(인증서 신뢰 목록) 및 CRL(인증서 해지 목록)을 보고 관리할 수 있습니다. Windows에서 인증서를 사용할 때마다 리프 인증서와 신뢰 체인의 모든 인증서가 해지되거나 손상되지 않았는지 확인합니다. 컴퓨터에서 신뢰할 수 있는 루트 및 중간 인증서 및 공개적으로 해지된 인증서는 PKI(공개 키 인프라) 트러스트에 대한 참조로 사용되며 Microsoft 신뢰할 수 있는 루트 프로그램에 의해 매월 업데이트됩니다. 신뢰할 수 있는 인증서 또는 루트가 해지되면 모든 전역 디바이스가 업데이트되므로 사용자는 Windows가 공개 키 인프라의 취약성으로부터 자동으로 보호한다는 것을 신뢰할 수 있습니다. 클라우드 및 엔터프라이즈 배포의 경우 Windows는 사용자에게 인증서 만료 또는 잘못된 구성으로 인한 잠재적인 중단 위험을 줄이기 위해 그룹 정책을 사용하여 Active Directory에서 인증서를 자동 등록하고 갱신할 수 있는 기능을 제공합니다.

코드 서명 및 무결성

Windows 파일이 변조되지 않았는지 확인하기 위해 Windows 코드 무결성 프로세스는 Windows에서 각 파일의 서명을 확인합니다. 코드 서명은 Windows 플랫폼 전반에 걸쳐 펌웨어, 드라이버 및 소프트웨어의 무결성을 설정하는 핵심입니다. 코드 서명은 코드 서명 인증서의 프라이빗 키 부분으로 파일의 해시를 암호화하고 서명을 파일에 포함시켜 디지털 서명을 만듭니다. Windows 코드 무결성 프로세스는 서명된 파일을 암호 해독하여 파일의 무결성을 검사 신뢰할 수 있는 게시자의 파일인지 확인하여 파일이 변조되지 않았는지 확인합니다.

디지털 서명은 Windows 부팅 코드, Windows 커널 코드 및 Windows 사용자 모드 애플리케이션의 Windows 환경에서 평가됩니다. 보안 부팅 및 코드 무결성은 부팅 로더, 옵션 ROM 및 기타 부팅 구성 요소의 서명을 확인하여 신뢰할 수 있고 평판이 좋은 게시자로부터 서명을 확인합니다. Microsoft에서 게시하지 않은 드라이버의 경우 커널 코드 무결성은 커널 드라이버의 서명을 확인하고 Windows에서 드라이버를 서명하거나 WHCP(Windows 하드웨어 호환성 프로그램)에서 인증을 받아야 합니다. 이 프로그램은 타사 드라이버가 다양한 하드웨어 및 Windows와 호환되고 드라이버가 검증된 드라이버 개발자의 드라이버임을 보장합니다.

장치 상태 증명

Windows Device Health 증명 프로세스는 정적 네트워크 기반 경계에서 사용자, 자산 및 리소스로 포커스를 이동하는 제로 트러스트 패러다임을 지원합니다. 증명 프로세스는 디바이스, 펌웨어 및 부팅 프로세스가 양수 상태이며 회사 리소스에 액세스하기 전에 변조되지 않았음을 확인합니다. 이러한 결정은 보안 신뢰 루트를 제공하는 TPM에 저장된 데이터로 이루어집니다. 정보는 디바이스가 신뢰할 수 있는 상태인지 확인하기 위해 Azure Attestation 같은 증명 서비스로 전송됩니다. 그런 다음, Microsoft Intune[4]와 같은 클라우드 네이티브 디바이스 관리 솔루션은 디바이스 상태를 검토하고 조건부 액세스를 위해 이 정보를 Microsoft Entra ID[4]에 연결합니다.

Windows에는 맬웨어 및 공격으로부터 사용자를 보호하는 데 도움이 되는 많은 보안 기능이 포함되어 있습니다. 그러나 플랫폼이 예상대로 부팅되고 변조되지 않는 경우에만 보안 구성 요소가 신뢰할 수 있습니다. 위에서 설명한 것처럼 Windows는 UEFI(Unified Extensible Firmware Interface) 보안 부팅, ELAM, DRTM, 신뢰할 수 있는 부팅 및 기타 하위 수준 하드웨어 및 펌웨어 보안 기능을 사용하여 PC를 공격으로부터 보호합니다. 맬웨어 방지가 시작될 때까지 PC에서 전원을 켜는 순간부터 Windows는 안전을 유지하는 데 도움이 되는 적절한 하드웨어 구성으로 지원됩니다. 부팅 로더 및 BIOS에 의해 구현된 측정된 부팅은 연결된 방식으로 부팅의 각 단계를 확인하고 암호화하여 기록합니다. 이러한 이벤트는 하드웨어 신뢰 루트로 작동하는 TPM에 바인딩됩니다. 원격 증명은 이러한 이벤트를 서비스에서 읽고 확인하여 확인 가능하고 편견이 없으며 변조 복원력 있는 보고서를 제공하는 메커니즘입니다. 원격 증명은 시스템 부팅의 신뢰할 수 있는 감사자이므로 의존 당사자가 디바이스 및 보안에 신뢰를 바인딩할 수 있습니다.

Windows 디바이스의 증명 및 Zero-Trust 관련된 단계에 대한 요약은 다음과 같습니다.

  • 부팅 프로세스의 각 단계(예: 파일 로드, 특수 변수 업데이트 등)에서 파일 해시 및 서명과 같은 정보는 PCR(TPM 플랫폼 구성 레지스터)에서 측정됩니다. 측정값은 기록할 수 있는 이벤트와 각 이벤트의 형식을 지정하는 신뢰할 수 있는 컴퓨팅 그룹 사양에 의해 바인딩됩니다. 데이터는 전원을 켜는 순간부터 디바이스 보안에 대한 중요한 정보를 제공합니다.
  • Windows가 부팅되면 attestor(또는 검증 도구)는 TPM에 측정 부팅 로그와 함께 PCR에 저장된 측정값을 얻습니다. 이러한 증명은 함께 Azure Attestation 서비스로 전송되는 증명 증거를 형성합니다.
  • TPM은 Azure Certificate Service를 사용하여 칩셋에서 사용할 수 있는 키 또는 암호화 자료를 사용하여 확인됩니다.
  • 위의 정보는 디바이스가 신뢰할 수 있는 상태인지 확인하기 위해 Azure Attestation 서비스로 전송됩니다.

더 알아보세요

Windows 보안 정책 설정 및 감사

보안 정책 설정은 전체 보안 전략의 중요한 부분입니다. Windows는 IT 관리자가 organization Windows 디바이스 및 기타 리소스를 보호하는 데 사용할 수 있는 강력한 보안 설정 정책 집합을 제공합니다. 보안 정책 설정은 디바이스 또는 여러 디바이스에서 다음을 제어하도록 구성할 수 있는 규칙입니다.

  • 네트워크 또는 디바이스에 대한 사용자 인증
  • 사용자가 액세스할 수 있는 리소스
  • 이벤트 로그에 사용자 또는 그룹의 작업을 기록할지 여부
  • 그룹의 멤버 자격

보안 감사는 네트워크 및 자산의 무결성을 유지하는 데 사용할 수 있는 가장 강력한 도구 중 하나입니다. 감사는 고가치 대상에 대한 공격, 네트워크 취약성 및 공격을 식별하는 데 도움이 될 수 있습니다. 보안 관련 이벤트의 범주를 지정하여 CSP(구성 서비스 공급자) 또는 그룹 정책을 사용하여 organization 요구에 맞게 조정된 감사 정책을 만들 수 있습니다.

Windows가 처음 설치되면 모든 감사 범주가 비활성화됩니다. 사용하도록 설정하기 전에 다음 단계에 따라 효과적인 보안 감사 정책을 만듭니다.

  1. 가장 중요한 리소스 및 활동을 식별합니다.
  2. 추적해야 하는 감사 설정을 식별합니다.
  3. 각 리소스 또는 설정과 관련된 이점 및 잠재적 비용을 평가합니다.
  4. 이러한 설정을 테스트하여 선택 항목의 유효성을 검사합니다.
  5. 감사 정책을 배포하고 관리하기 위한 계획을 개발합니다.

더 알아보세요

Windows 보안

디바이스 보안 및 상태에 대한 가시성과 인식은 수행된 모든 작업의 핵심입니다. Windows 보안 앱은 디바이스의 보안 상태 상태를 한눈에 볼 수 있습니다. 이러한 인사이트를 통해 문제를 식별하고 보호되는지 확인하는 데 도움이 됩니다. 바이러스 및 위협 방지, 방화벽 및 네트워크 보안, 디바이스 보안 제어 등의 상태 빠르게 확인할 수 있습니다.

Windows 보안 앱의 스크린샷

더 알아보세요

구성 새로 고침

기존 그룹 정책을 사용하면 사용자가 로그인할 때와 기본적으로 90분마다 PC에서 정책 설정이 새로 고쳐집니다. 관리자는 정책 설정이 IT에서 설정한 관리 설정을 준수하도록 해당 타이밍을 더 짧게 조정할 수 있습니다.

반면, Microsoft Intune[4]와 같은 디바이스 관리 솔루션에서는 사용자가 로그인한 다음 기본적으로 8시간 간격으로 정책을 새로 고칩니다. 그러나 정책 설정은 GPO에서 디바이스 관리 솔루션으로 마이그레이션되며, 나머지 한 가지 간격은 변경된 정책 다시 적용 사이의 긴 기간입니다.

구성 새로 고침을 사용하면 PC의 잘못된 구성, 레지스트리 편집 또는 악성 소프트웨어로 인해 드리프트되는 CSP(정책 구성 서비스 공급자)의 설정을 관리자가 기본적으로 90분마다 의도한 값으로 다시 설정할 수 있습니다. 원하는 경우 30분마다 새로 고칠 수 있습니다. 정책 CSP는 전통적으로 그룹 정책으로 설정되었으며 이제 MDM(모바일 장치 관리) 프로토콜을 통해 설정된 수백 개의 설정을 다룹니다.

구성 새로 고침은 구성 가능한 기간 동안 일시 중지할 수도 있으며, 그 후에는 다시 설정할 수 있습니다. 이는 기술 지원팀 기술자가 문제 해결을 위해 디바이스를 다시 구성해야 하는 시나리오를 지원하기 위한 것입니다. 관리자가 언제든지 다시 시작해도 됩니다.

더 알아보세요

키오스크 모드

Windows를 사용하면 기본 제공 기능을 사용하여 특정 애플리케이션으로 기능을 제한할 수 있으므로 키오스크와 같은 공용 또는 공유 디바이스에 적합합니다. 디바이스에서 로컬로 또는 Microsoft Intune[7]과 같은 클라우드 기반 디바이스 관리 솔루션을 통해 Windows를 키오스크로 설정할 수 있습니다. 키오스크 모드는 단일 앱, 여러 앱 또는 전체 화면 웹 브라우저를 실행하도록 구성할 수 있습니다. 시작 시 지정된 키오스크 앱을 자동으로 로그인하고 시작하도록 디바이스를 구성할 수도 있습니다.

Windows 키오스크의 스크린샷

더 알아보세요

Windows 보호 인쇄

Windows 보호 인쇄는 호환성을 최대화하고 사용자를 최우선으로 하는 보다 최신의 안전한 인쇄 시스템을 제공하도록 빌드되었습니다. Windows 최신 인쇄 스택을 사용하여 디바이스를 독점적으로 인쇄할 수 있도록 하여 인쇄 환경을 간소화합니다.

Windows 보호 인쇄의 이점은 다음과 같습니다.

  • PC 보안 강화
  • PC 아키텍처에 관계없이 간소화되고 일관된 인쇄 환경
  • 인쇄 드라이버를 관리할 필요가 없습니다.

Windows 보호 인쇄는 Mopria 인증 프린터에서만 작동하도록 설계되었습니다. 많은 기존 프린터가 이미 호환됩니다.

더 알아보세요

Windows용 Rust

Rust는 안전, 성능 및 동시성에 중점을 둔 것으로 알려진 최신 프로그래밍 언어입니다. Null 포인터 역참조 및 버퍼 오버플로와 같은 일반적인 프로그래밍 오류를 방지하도록 설계되었으며, 이로 인해 보안 취약성과 충돌이 발생할 수 있습니다. Rust는 가비지 수집기 없이 메모리 안전을 보장하는 고유한 소유권 시스템을 통해 이를 달성합니다. Windows 코드베이스의 안전성과 안정성을 향상시키기 위해 Rust의 Windows 커널 통합을 확장하고 있습니다. 이러한 전략적 움직임은 Windows의 품질과 보안을 개선하기 위해 최신 기술을 채택하겠다는 우리의 의지를 강조합니다.

더 알아보세요