Computer >> 컴퓨터 >  >> 체계 >> Windows Server

Microsoft 보안 기준을 사용하여 Windows 강화

Microsoft 보안 기준 보안 구성을 제공하고 도메인 컨트롤러, 서버, 컴퓨터 및 사용자를 보호하기 위해 Microsoft가 Windows 워크스테이션 및 서버에 대해 제안하는 권장 설정이 포함되어 있습니다. Microsoft는 보안 기준을 기반으로 참조 그룹 정책 개체 및 템플릿을 개발했습니다. 관리자는 AD 도메인에 적용할 수 있습니다. Microsoft Security Baseline GPO의 보안 설정을 통해 관리자는 최신 글로벌 보안 모범 사례에 따라 Windows 인프라를 보호할 수 있습니다. 이 문서에서는 도메인에서 Microsoft 보안 기준 GPO를 구현하는 방법을 보여줍니다.

참조 Microsoft 보안 기준 그룹 정책은 Microsoft 보안 준수 관리자(SCM)의 일부입니다. . SCM은 Windows 및 기타 Microsoft 제품에 대한 모범 사례와 최신 보안 권장 사항을 분석, 테스트 및 적용하기 위한 여러 도구가 포함된 무료 제품입니다.

Microsoft Security Compliance Toolkit은 https://www.microsoft.com/en-us/download/details.aspx?id=55319 링크에서 사용할 수 있습니다. 현재 다음 제품에 대한 기준선이 Security Compliance Toolkit에서 제공됩니다.

Microsoft 보안 기준을 사용하여 Windows 강화

  • Windows 10 버전 20H2 및 Windows Server 버전 20H2
  • Windows 10 버전 2004 및 Windows Server 버전 2004
  • Windows 10 버전 1909 및 Windows Server 버전 1909
  • Windows 10 버전 1903 및 Windows Server 버전 1903
  • Windows 10 버전 1809 및 Windows Server 2019
  • Windows 10 버전 1607 및 Windows Server 2016
  • 마이크로소프트 엣지 v88
  • 오피스365 프로플러스
  • Windows 서버 2012 R2

다음 도구를 다운로드할 수도 있습니다.

  • LGPO 로컬 GPO 설정을 관리하는 데 사용됩니다.
  • 정책 분석기 기존 그룹 정책을 분석하고 보안 기준의 참조 정책과 비교하는 도구입니다.
  • SetObjectSecurity

각 Windows 버전에 대한 보안 기준 아카이브에는 여러 폴더가 있습니다.

  • 문서 보안 기준에 적용된 설정에 대한 자세한 설명과 함께 XLSX 및 PDF 파일이 포함되어 있습니다.
  • GP 보고서 적용할 GPO 설정이 포함된 HTML 보고서가 있습니다.
  • GPO – 다양한 시나리오에 대한 GPO 개체를 포함합니다. GPMC(그룹 정책 관리) 콘솔로 정책을 가져올 수 있습니다.
  • 스크립트 GPO 설정을 도메인 또는 로컬 정책으로 쉽게 가져올 수 있는 PowerShell 스크립트 포함:Baseline-ADImport.ps1 , Baseline-LocalInstall.ps1 , Remove-EPBaselineSettings.ps1 , MapGuidsToGpoNames.ps1
  • 템플릿 – 추가 ADMX/ADML GPO 템플릿(예:AdmPwd.admx LAPS, MSS-legacy.admx에 대한 로컬 암호 관리 설정이 포함되어 있습니다. , SecGuide.admx )

Microsoft 보안 기준을 사용하여 Windows 강화

Active Directory 도메인 환경에서는 GPO를 사용하여 보안 기준을 구현하는 것이 더 쉽습니다(작업 그룹에서는 LGPO.exe 도구를 사용하여 로컬 그룹 정책을 통해 권장 보안 설정을 적용할 수 있음).

Internet Explorer, BitLocker, Credential Guard, Windows Defender 바이러스 백신 설정뿐만 아니라 컴퓨터, 사용자, 도메인 서버, 도메인 컨트롤러에 대한 정책(가상 DC에 대한 별도의 정책이 있음)과 같은 다양한 Windows 인프라 요소에 대한 GPO 보안 기준 템플릿이 있습니다. 다양한 시나리오에 대해 구성된 그룹 정책은 GPO 폴더에 있습니다(아래에서 Windows Server 2019 및 Windows 10 1909용 GPO 목록을 볼 수 있음).

  • MSFT Internet Explorer 11 — 컴퓨터
  • MSFT Internet Explorer 11 — 사용자
  • MSFT Windows 10 1909 — BitLocker
  • MSFT Windows 10 1909 — 컴퓨터
  • MSFT Windows 10 1909 — 사용자
  • MSFT Windows 10 1909 및 Server 1909 — Defender 바이러스 백신
  • MSFT Windows 10 1909 및 Server 1909 — 도메인 보안
  • MSFT Windows 10 1909 및 Server 1909 구성원 서버 - Credential Guard
  • MSFT Windows Server 1909 — 도메인 컨트롤러 가상화 기반 보안
  • MSFT Windows Server 1909 — 도메인 컨트롤러
  • MSFT Windows Server 1909 — 구성원 서버
각 Windows Server 버전 또는 Windows 10 빌드에 대해 별도의 보안 기준이 설정되어 있습니다.

Windows 버전과 일치하는 보안 기준 버전으로 아카이브를 추출하고 그룹 정책 관리(gpmc.msc)를 엽니다. ) 콘솔.

  1. ADMX 템플릿을 DC의 SYSVOL PolicyDefinitions 폴더(GPO 중앙 저장소)에 복사합니다. Microsoft 보안 기준을 사용하여 Windows 강화
  2. Windows 10 2004 Security Baseline이라는 이름으로 새 GPO를 만듭니다.;
  3. GPO를 마우스 오른쪽 버튼으로 클릭하고 설정 가져오기를 선택합니다.; Microsoft 보안 기준을 사용하여 Windows 강화
  4. Windows 버전의 Security Baseline 파일 경로를 백업 위치로 지정합니다(예:C:\Tools\SCM\Windows 10 Version 2004 and Windows Server Version 2004 Security Baseline\Windows-10-Windows Server-v2004-Security-Baseline-FINAL\GPOs ); Microsoft 보안 기준을 사용하여 Windows 강화
  5. 정책 템플릿 목록이 표시됩니다. 우리의 경우 컴퓨터 설정과 함께 정책을 가져옵니다. MSFT Windows 10 2004 – 컴퓨터를 선택합니다. (보기 설정 사용 버튼을 누르면 정책 설정을 gpresult 보고서 형식으로 볼 수 있습니다. Microsoft 보안 기준을 사용하여 Windows 강화
  6. 그런 다음 보안 개체 및 UNC 경로에 대한 참조 링크를 마이그레이션하는 방법을 선택하라는 메시지가 표시됩니다. 새로운 정책이므로 소스에서 동일하게 복사를 선택합니다.; Microsoft 보안 기준을 사용하여 Windows 강화
  7. 그런 다음 Windows 10 2004를 실행하는 컴퓨터에 대한 참조 보안 기준 정책 설정을 GPO로 가져옵니다. Microsoft 보안 기준을 사용하여 Windows 강화

특정 Windows 빌드를 실행하는 컴퓨터에만 그룹 정책 개체를 적용하려면 GPO WMI 필터를 사용하십시오. 예를 들어 Windows 10 2004의 경우 다음 WMI 필터를 사용할 수 있습니다.

Select Version,ProductType from Win32_OperatingSystem WHERE Version LIKE "10.0.19041%" and ProductType = "1"

정책에 필터를 적용하고 정책을 필요한 조직 단위에 연결하십시오.

Microsoft 보안 기준을 사용하여 Windows 강화

같은 방식으로 사용자, 도메인 컨트롤러, 도메인 구성원 서버 등에 대한 보안 기준을 가져올 수 있습니다.

사용자 컴퓨터에 보안 기준을 적용하기 전에 제안된 설정을 철저히 확인하고 테스트 사용자 또는 컴퓨터가 있는 OU에 먼저 적용하십시오. 필요한 경우 Security Baseline에서 제안하는 일부 설정을 비활성화할 수 있습니다. 테스트 컴퓨터에서 보안 기준 설정을 성공적으로 테스트한 후에만 도메인의 모든 컴퓨터/서버에 적용할 수 있습니다.

Security Baseline에는 수십 또는 수백 개의 설정이 포함되어 있습니다. 우리는 하나의 기사에서 그것들을 논의할 수 없습니다. woshub.com의 다른 기사에서 다룬 보안 설정을 살펴보겠습니다.

  • 프로그램 시작 및 설치 규칙 관리:AppLocker(소프트웨어 제한 정책), UAC 및 Windows Installer
  • 도메인 비밀번호 및 계정 잠금 정책
  • 특권 계정 제한
  • 익명 액세스 제한
  • 모든 이벤트 및 사용자 로그온 기록에 대한 정보를 얻기 위한 감사 정책 설정
  • LSA 메모리 보호
  • 주변 장치에 대한 액세스(프린터 및 USB 설치 정책 포함)
  • NetBIOS 및 NTLM 프로토콜 비활성화
  • 원격 지원, 섀도 연결, RDS 시간 초과, CredSSP Oracle Remediation 설정
  • PowerShell 실행 정책
  • Windows 오류 보고 구성
  • Windows 방화벽 규칙 관리
  • WinRM 설정
  • 기본 제공 관리자 계정 비활성화
  • 강화된 UNC 경로 정책
  • SMBv1 비활성화
Windows 10을 실행하는 가정용 컴퓨터를 보호하려면 준비된 PowerShell 스크립트를 사용하여 보안 기준 설정을 적용할 수 있습니다.

서명되지 않은 스크립트 실행 허용:

Set-ExecutionPolicy -Scope Process Unrestricted
정책 적용:
Baseline-LocalInstall.ps1 -Win10NonDomainJoined

Microsoft Security Baseline 설정은 Windows 인프라의 보안을 강화하고 회사 네트워크의 모든 컴퓨터(새 컴퓨터 포함)에 동일한 설정을 적용하는 데 도움이 됩니다.