본문 바로가기
Microsoft/Windows Server 2003

미리 정의된 보안 템플릿

장성한군사 2007. 9. 13. 19:32

미리 정의된 보안 템플릿

미리 정의된 보안 템플릿을 사용하여 조직의 다양한 요구에 맞도록 사용자 지정된 보안 정책을 작성합니다. 미리 정의된 보안 템플릿을 사용자 지정했으면 이 템플릿을 개별 컴퓨터나 많은 컴퓨터의 보안을 구성하는 데 사용할 수 있습니다. 기본적으로 미리 정의된 보안 템플릿은 다음 위치에 저장되어 있습니다.

systemroot\Security\Templates

  • 기본 보안(Setup security.inf )

    각 컴퓨터에 설치하는 동안 Setup security.inf 템플릿이 만들어집니다. 새로 설치인지 업그레이드 설치인지에 따라 컴퓨터마다 다른 템플릿이 만들어질 수 있습니다. Setup security.inf는 시스템 드라이브의 루트에 대한 파일 사용 권한을 비롯하여 운영 체제를 설치하는 동안 적용된 기본 보안 설정을 나타냅니다. 이 템플릿은 서버와 클라이언트 컴퓨터에서 사용될 수 있지만 도메인 컨트롤러에는 적용될 수 없습니다. 이 템플릿의 일부를 시스템 문제 복구에 적용할 수 있습니다.

    Setup security.inf에 그룹 정책 사용이 적용되지 않아야 합니다. 그룹 정책을 통해 템플릿이 적용되면 정책이 주기적으로 새로 고쳐지고 대량의 데이터가 도메인을 이동하므로 대량의 데이터가 포함되어 성능이 크게 떨어질 수 있습니다.

    Setup security.inf 템플릿은 부분적으로 적용하는 것이 좋습니다. Secedit 명령줄 도구에서 이 옵션을 제공하므로 이 명령줄 도구를 사용하는 것이 좋습니다.

  • 도메인 컨트롤러 기본 보안(DC security.inf)

    이 템플릿은 서버를 도메인 컨트롤러 수준으로 올릴 때 만들어지며 파일, 레지스트리 및 시스템 서비스 기본 보안 설정을 반영합니다. 이 템플릿을 다시 적용하면 이 영역이 기본값으로 다시 설정되지만 다른 응용 프로그램에서 만든 새 파일, 레지스트리 키 및 시스템 서비스에 대한 사용 권한을 덮어쓸 수 있습니다. 보안 구성 및 분석 스냅인이나 Secedit 명령줄 도구를 사용하여 이 템플릿을 적용할 수 있습니다.

  • 호환 가능(compatws.inf)

    워크스테이션 및 서버에 대한 기본 사용 권한은 주로 Administrators, Power Users 및 Users라는 세 개의 로컬 그룹에 부여됩니다. Administrators의 권한이 가장 많고 Users의 권한이 가장 적습니다. 따라서 다음을 수행하여 보안, 안정성 및 총 시스템 소유 비용을 크게 개선할 수 있습니다.

    • 최종 사용자를 Users 그룹의 구성원으로 만듭니다.
    • Users 그룹의 구성원이 성공적으로 실행할 수 있는 응용 프로그램을 배포합니다.

    Users 권한이 있으면 Windows Logo Program for Software에 가입하는 응용 프로그램을 성공적으로 실행할 수 있습니다. 그러나 Users는 프로그램의 요구 사항에 맞지 않는 응용 프로그램은 실행할 수 없습니다. 다른 응용 프로그램을 지원해야 하는 경우 다음 두 가지 옵션이 있습니다.

    • Users 그룹의 구성원을 Power Users 그룹의 구성원으로 허용합니다.
    • Users 그룹에 부여된 기본 사용 권한을 완화합니다.

    Power Users에는 사용자, 그룹, 프린터 및 공유 생성과 같은 고유 기능이 있으므로 일부 관리자는 최종 사용자가 Power Users 그룹의 구성원이 되도록 허용하는 대신 Users 그룹의 기본 사용 권한을 완화합니다. 이와 같은 이유로 호환 가능 템플릿을 사용합니다. 호환 가능 템플릿은 Windows Logo Program for Software에 속하지 않는 대부분의 응용 프로그램 요구 사항에 맞게 Users 그룹에게 부여되는 기본 파일 및 레지스트리 사용 권한을 변경합니다. 또한 호환 가능 템플릿을 적용하는 관리자가 최종 사용자를 Power Users로 지정하려 하지 않는다고 가정하므로 호환 가능 템플릿은 또한 Power Users 그룹의 모든 구성원을 제거합니다.
    호환 가능 템플릿은 도메인 컨트롤러에 적용할 수 없습니다. 예를 들어 호환 가능 템플릿을 기본 도메인 정책 또는 기본 도메인 컨트롤러 정책으로 가져오면 안 됩니다.

  • 보안(Secure*.inf)

    보안 템플릿은 응용 프로그램 호환성에 최소의 영향을 미치는 향상된 보안 설정을 정의합니다. 예를 들어 보안 템플릿은 보다 강력한 암호, 잠금 및 감사 설정을 정의합니다.

    또한 보안 템플릿은 클라이언트에서는 NTLMv2 응답만 보내고 서버에서는 LAN Manager 응답을 거부하도록 구성하여 LAN Manager와 NTLM 인증 프로토콜의 사용을 제한합니다.

    • Securews.inf를 구성원 컴퓨터에 적용하려면 클라이언트에 로그온하는 모든 사용자의 계정이 있는 모든 도메인 컨트롤러가 Windows NT 4.0 서비스 팩 4 이상을 실행해야 합니다.
    • Windows NT 4.0을 실행하는 도메인 컨트롤러를 포함하는 도메인에 가입한 구성원 컴퓨터에 Securews.inf를 적용하려면 Windows NT 4.0을 실행하는 도메인 컨트롤러와 구성원 컴퓨터 시계의 시간 차가 30분 이내여야 합니다.
    • 클라이언트가 Securews.inf를 사용하여 구성된 경우 LAN Manager 인증 프로토콜만 사용하는 서버에 연결할 수 없고 대상 서버에 정의된 로컬 계정을 사용하여 Windows NT 4.0 서비스 팩 4 이전을 실행하는 서버에도 연결할 수 없습니다.
    • 클라이언트가 Securews.inf를 사용하여 구성된 경우 대상 서버의 시계와 클라이언트 시계의 시간 차가 30분 이상이면 대상 서버에 정의된 로컬 계정을 사용하여 Windows 2000 또는 Windows NT 4.0을 실행하는 서버에 연결할 수 없습니다.
    • 클라이언트가 Securews.inf를 사용하여 구성된 경우 대상 서버의 시계와 클라이언트 시계의 시간 차가 20시간 이상이면 대상 서버에 정의된 로컬 계정을 사용하여 Windows XP 이상을 실행하는 컴퓨터에 연결할 수 없습니다.
    • 클라이언트가 Securews.inf를 사용하여 구성된 경우 공유 수준 보안 모드에서 실행 중인 LAN Manager를 실행하는 서버에 연결할 수 없습니다.
    • 서버가 Securews.inf를 사용하여 구성된 경우 해당 서버에 대한 로컬 계정이 있는 사용자는 로컬 계정을 사용하는 LAN Manager만 실행되는 클라이언트 컴퓨터에서는 그 서버에 연결할 수 없습니다.
    • Windows 2000을 실행하는 서버가 Securews.inf를 사용하여 구성되었고 NTLMv2 인증도 사용하도록 구성된 경우 그 서버에 대한 로컬 계정이 있는 클라이언트는 두 컴퓨터 시계의 시간 차가 30분 이상이면 연결할 수 없습니다.
    • Windows XP를 실행하는 서버가 Securews.inf를 사용하여 구성되었고 NTLMv2 인증도 사용하도록 구성된 경우 그 서버에 대한 로컬 계정이 있는 클라이언트는 두 컴퓨터 시계의 시간 차가 20시간 이상이면 연결할 수 없습니다.
    • 도메인 컨트롤러가 Securews.inf를 사용하여 구성된 경우 해당 도메인에 계정이 있는 사용자는 해당 도메인 계정을 사용하여 LAN Manager만 실행하는 클라이언트 컴퓨터에서는 어떤 구성원 서버에도 연결할 수 없습니다.
    • LAN Manager를 실행하는 컴퓨터에는 Active Directory 클라이언트 확장 팩이 설치되지 않은 Windows 95Windows 98 플랫폼 뿐만 아니라 Windows for Workgroups이 포함됩니다. Active Directory 클라이언트 확장 팩이 Windows 95 또는 Windows 98에 설치되어 있으면 그러한 클라이언트는 NTLMv2를 사용할 수 있습니다. Windows Millennium Edition에서는 추가 수정 없이 NTLMv2를 지원합니다.
    • Windows NT 서비스 팩 4 이상을 실행하는 컴퓨터는 HKLM\System\CurrentControlSet\Control\LSA\LMCompatibilityLevel을 3 이상으로 설정하여 NTLMv2 응답만 보내도록 구성할 수 있습니다.
    • Windows NT 서비스 팩 4 이상을 실행하는 컴퓨터는 네트워크 보안: LAN Manager 인증 수준 보안 옵션에 이 기본 설정을 지정하여 NTLMv2 응답만 보내도록 구성할 수 있습니다.

    또한 보안 템플릿은 트러스트되지 않은 도메인의 사용자 등의 익명 사용자가 다음을 수행할 수 없도록 하여 익명 사용자에 대한 추가 제한을 제공합니다.

    • 계정 이름과 공유 열거
    • SID를 이름으로 또는 이름을 SID로 변환

    마지막으로 보안 템플릿은 서버에 대해 기본적으로 사용할 수 없게 설정되어 있는 서버 쪽 SMB(서버 메시지 블록) 패킷 서명을 활성화합니다. 기본적으로 클라이언트 쪽 SMB 패킷 서명은 활성화되어 있으므로 워크스테이션과 서버가 보안 수준에서 작동할 때는 SMB 패킷 서명이 항상 협상됩니다.

  • 고급 보안(hisec*.inf)

    고급 보안 템플릿은 보안 템플릿의 상위 집합으로 보안 채널을 통해 SMB 클라이언트와 서버 간에 흐르는 데이터 및 인증에 필요한 암호화 및 서명 수준을 보다 엄격하게 제한합니다. 예를 들어 보안 템플릿을 사용하면 서버가 LAN Manager 응답을 거부하는 반면 고급 보안 템플릿을 사용하면 LAN Manager 및 NTLM 응답을 모두 거부합니다. 보안 템플릿은 서버 쪽 SMB 패킷 서명을 허용하지만 고급 보안 템플릿에서는 이러한 서명을 꼭 사용해야 합니다. 또한 고급 보안 템플릿의 경우 도메인과 구성원 및 도메인과 도메인 간의 트러스트 관계를 구성하는 보안 채널 데이터에 대해 강력한 암호화와 서명이 있어야 합니다. 따라서 hisecws.inf를 구성원 컴퓨터에 적용하려면 다음 조건이 충족되어야 합니다.

    • 클라이언트에 로그온하는 모든 사용자 계정이 들어 있는 도메인 컨트롤러는 모두 Windows NT 4.0 서비스 팩 4 이상을 실행해야 합니다.
    • 클라이언트가 가입된 도메인의 도메인 컨트롤러는 모두 Windows 2000 이상을 실행해야 합니다.
    • Hisecws.inf를 사용하여 구성된 클라이언트는 대상 서버에 정의된 로컬 계정을 사용하여 Windows NT 4.0 서비스 팩 3 또는 그 이전 버전을 실행하는 컴퓨터나 LAN Manager만 실행하는 컴퓨터에 연결할 수 없습니다.
    • Hisecws.inf를 사용하여 구성된 클라이언트는 대상 서버의 시계와 클라이언트 시계의 시간 차가 30분 이상이면 대상 서버에 정의된 로컬 계정을 사용하여 Windows 2000 또는 Windows NT 4.0 서비스 팩 4를 실행하는 서버에 연결할 수 없습니다.
    • Hisecws.inf를 사용하여 구성된 클라이언트는 대상 컴퓨터의 시계와 클라이언트 시계의 시간 차가 20시간 이상이면 대상 컴퓨터에 정의된 로컬 계정을 사용하여 Windows XP 이상을 실행하는 컴퓨터에 연결할 수 없습니다.
    • Hisecws.inf를 사용하여 구성된 클라이언트는 공유 수준 보안 모드에서 작동하는 LAN Manager 서버에 연결할 수 없습니다.
    • Hisecdc.inf를 도메인 컨트롤러에 적용하려면 모든 트러스트된 또는 트러스팅 도메인의 도메인 컨트롤러가 모두 Windows 2000 또는 Windows Server 2003 제품군 운영 체제를 실행해야 합니다.
    • 서버가 Hisecws.inf를 사용하여 구성된 경우 해당 서버에 대한 로컬 계정이 있는 사용자는 NTLMv2를 지원하지 않는 클라이언트에서는 그 서버에 연결할 수 없습니다.
    • 서버가 Hisecws.inf를 사용하여 구성된 경우 해당 서버에 대한 로컬 계정이 있는 클라이언트는 클라이언트 컴퓨터가 NTLMv2 응답을 보내도록 구성되지 않은 경우 그 서버에 연결할 수 없습니다.
    • 또한 서버가 Hisecws.inf를 사용하여 구성된 경우 SMB를 사용하여 해당 서버에 연결하려는 모든 클라이언트는 클라이언트 쪽 SMB 패킷 서명을 사용할 수 있게 설정해야 합니다. Windows 2000Windows XP 운영 체제를 실행하는 모든 컴퓨터에서는 기본적으로 클라이언트 쪽 SMB 패킷 서명을 사용할 수 있습니다.
    • 도메인 컨트롤러가 Securews.inf를 사용하여 구성된 경우 LAN Manager 인증 프로토콜만 사용하는 클라이언트에서 연결을 시도하면 해당 도메인에 계정이 있는 사용자는 그 도메인 사용자 계정을 사용하는 구성원 서버에 연결할 수 없습니다.
    • 도메인 컨트롤러가 Hisecdc.inf를 사용하여 구성된 경우 해당 도메인에 계정이 있는 사용자는 다음과 같지 않은 경우 그 도메인 계정을 사용하는 구성원 서버에 연결할 수 없습니다.
      • 클라이언트와 대상 서버 모두 Windows 2000 이상을 실행하고 있고 LAN Manager 기반 인증 대신 Kerberos 기반 인증을 사용할 수 있는 경우
      • 클라이언트가 NTLMv2 응답을 보내도록 구성되어 있는 경우
    • 도메인 컨트롤러가 Hisecdc.inf를 사용하여 구성된 경우 LDAP(Lightweight Directory Access Protocol) 클라이언트는 데이터 서명이 협상되지 않으면 Active Directory LDAP 서버와 바인딩할 수 없습니다. ldap_simple_bind 또는 ldap_simple_bind_s를 사용한 BIND 요청은 거부됩니다. 기본적으로 Windows XP와 함께 제공되는 Microsoft LDAP 클라이언트는 모두 TLS/SSL(Transport Layer Security/Secure Sockets Layer)이 아직 사용되고 있지 않은 경우 데이터 서명을 요청합니다. TLS/SSL이 사용 중인 경우 데이터 서명이 협상된 것으로 간주됩니다.
    • NTLMv2를 지원하지 않는 클라이언트에는 Windows for Workgroups 서비스 팩 4 이전의 Windows NT 클라이언트, Active Directory 클라이언트 확장 팩이 설치되지 않은 Windows 95Windows 98 플랫폼 등이 있습니다.
    • Windows NT 서비스 팩 4 이상을 실행하는 컴퓨터는 HKLM\System\CurrentControlSet\Control\LSA\LMCompatibilityLevel을 3 이상으로 설정하여 NTLMv2 응답만 보내도록 구성할 수 있습니다.
    • Windows 2000 이상을 실행하는 컴퓨터는 네트워크 보안: LAN Manager 인증 수준 보안 옵션에 이 기본 설정을 지정하여 NTLMv2 응답만 보내도록 구성할 수 있습니다.

    고급 보안 템플릿은 LAN Manager 프로토콜의 사용과 보안 채널 및 SMB 트래픽의 암호화 및 서명에 대한 요구 사항을 보다 엄격하게 제한할 뿐 아니라 저장된 사용자 이름 및 암호와 Winlogon에 의해 저장된 데이터 등 캐시된 로그온 데이터의 사용도 제한합니다.

    마지막으로 Hisecws.inf는 제한된 그룹 설정을 사용하여 다음 작업을 수행합니다.

    • Power Users 그룹의 모든 구성원을 제거합니다.
    • Domain Admins 및 로컬 Administrator 계정만 로컬 Administrators 그룹의 구성원이 되도록 설정합니다.
    Hisecws.inf는 사용자가 Windows Logo Program for Software에 속한 응용 프로그램만 사용한다는 가정 하에 이러한 그룹 제한 사항을 정의합니다. 이런 응용 프로그램이 있으면 보안되지 않은 호환 가능 템플릿이나 보안되지 않은 Power Users 그룹 모두 필요하지 않습니다. 대신 사용자는 파일 시스템 및 레지스트리의 기본 보안 설정으로 정의된 Users 그룹 일반 구성원의 보안 컨텍스트를 사용하여 이런 응용 프로그램을 성공적으로 실행할 수 있습니다. Administrators 그룹의 구성원은 여전히 원하는 모든 응용 프로그램을 사용할 수 있습니다.
  • 시스템 루트 보안(Rootsec.inf)

    Rootsec.inf는 루트 사용 권한을 지정합니다. 기본적으로 Rootsec.inf는 시스템 드라이브의 루트에 대해 이러한 사용 권한을 정의합니다. 루트 디렉터리 사용 권한을 실수로 변경한 경우 이 템플릿을 사용하여 루트 디렉터리 사용 권한을 다시 적용할 수 있으며, 템플릿을 수정하여 동일한 루트 사용 권한을 다른 볼륨에 적용할 수 있습니다. 지정한 대로 템플릿은 자식 개체에 정의된 명시적 사용 권한을 덮어 쓰지 않고 자식 개체가 상속한 사용 권한만 전파합니다.

  • 터미널 서버 사용자 SID 없음(Notssed.inf)

    서버에 있는 기본 파일 시스템과 레지스트리 액세스 제어 목록은 터미널 서버 SID(보안 식별자)에 사용 권한을 부여합니다. 터미널 서버 SID는 터미널 서버가 응용 프로그램 호환 모드에서 실행 중일 경우에만 사용됩니다. 터미널 서버를 사용하고 있지 않으면 이 템플릿을 적용하여 파일 시스템과 레지스트리 위치에서 불필요한 터미널 서버 SID를 제거할 수 있습니다. 그러나 이러한 기본 파일 시스템과 레지스트리 위치에서 터미널 서버 SID에 대한 액세스 제어 항목을 제거해도 시스템 보안이 강화되지는 않습니다. 터미널 서버 SID를 제거하는 대신 단순히 터미널 서버를 높은 수준의 보안 모드로 실행합니다. 높은 수준의 보안 모드로 실행하면 터미널 서버 SID가 사용되지 않습니다.

 주의

  • 이러한 보안 템플릿은 기본 보안 설정을 사용하는 컴퓨터에 적용된다는 가정 하에 작성됩니다. 즉 컴퓨터에 기본 보안 설정이 있는 경우 보안 템플릿이 이러한 설정을 점차적으로 수정합니다. 템플릿은 수정 작업을 수행하기 전에 기본 보안 설정을 설치하지 않습니다.
  • 응용 프로그램 기능이 네트워크와 시스템 아키텍처에 맞게 적절한 수준에서 유지되는지 테스트하지 않고 미리 정의된 보안 템플릿을 프로덕션 시스템에 적용하지 않아야 합니다.

보안 템플릿 설정은 보안 템플릿을 통해 볼 수 있습니다. *.inf 파일도 텍스트 파일로 볼 수 있습니다. 이러한 파일은 다음 위치에 있습니다.

%windir%\Security\Templates

FAT(파일 할당 테이블) 파일 시스템에 설치된 Windows XP Professional 시스템에는 보안을 적용할 수 없습니다.



문제 해결

현재 어떤 문제가 있습니까?

보안 데이터베이스가 손상되었습니다.

원인: 컴퓨터가 잘못 종료되었거나 소프트웨어 오류가 발생했습니다.

해결 방법: 명령 프롬프트에서 esentutl /g를 실행하여 %windir%\Security\Database\Secedit.sdb에 있는 보안 데이터베이스의 무결성을 검사합니다.

데이터베이스가 손상된 경우 다음을 수행합니다.

  1. 명령 프롬프트에 esentutl /r을 입력하여 %windir%\Security 폴더에서 데이터베이스 복구를 시도합니다. 실패할 경우 명령 프롬프트에 esentutl /p를 입력하여 %windir%\Security\Database\Secedit.sdb에서 데이터베이스 복구를 시도합니다.
  2. 그런 다음 %windir%\Security에 있는 로그 파일을 삭제합니다.

예)esentutl /g %windir%\Security\Database\Secedit.sdb
esentutl /p %windir%\Security\Database\Secedit.sdb

보안 정책이 올바르게 전파되지 않습니다.

원인: 여러 가지입니다.

해결 방법: RSoP(정책 결과 집합)을 사용하여 사용자 컴퓨터에 영향을 주고 있는 그룹 정책 개체를 확인합니다.

로그 파일을 확인합니다. 로그 파일은 systemroot\Security\Logs\Winlogon.log에 있습니다. 이 로그 파일을 검사하면 컴퓨터에 정책을 전파하는 동안 발생하는 특정 오류를 식별할 수 있습니다.

보안 정책이 전파되면서 다음과 같은 경고가 나타납니다. 0x534 : 계정 이름과 보안 식별자 사이에 매핑이 이루어지지 않았습니다.

원인: 보안 정책에서 이제는 없는 사용자 또는 그룹 계정에 권한을 부여하는 경우 일반적으로 발생합니다.

해결 방법: 유효하지 않은 계정을 찾습니다.

  1. 메모장을 열고 %systemroot%\security\logs\winlogon.log에서 파일을 엽니다. Windows Server 2003 제품군의 구성원과 Windows XP를 실행하는 컴퓨터에서는 기본적으로 정책을 전파하는 동안 이 파일을 만듭니다.
  2. 오류 1332가 있는지 검색합니다. 이 오류는 확인할 수 없는 계정 이름을 나타냅니다.
  3. 사용자 도메인의 정책에서 확인되지 않는 계정 이름을 제거합니다.

해당 계정이 기본 도메인이나 도메인 컨트롤러 그룹 정책 개체에 있으면 그룹 정책의 보안 설정 노드에 있는 정책을 편집하여 해당 계정 이름을 제거할 수 있습니다. 계정이 다른 곳에 있으면 도메인에 정의되어 있는 모든 그룹 정책 개체를 찾아 보고 개별적으로 제거할 수도 있습니다.

다음 오류 메시지가 나타납니다. <DOMAIN_NAME> 도메인을 사용할 수 없으므로 시스템에 로그온할 수 없습니다.

원인: 도메인 컨트롤러를 사용할 수 없으므로 사용자 로그온 정보가 캐시에 저장되지 않았습니다. 대화형 로그온: 캐시할 로그온의 횟수(도메인 컨트롤러가 사용 불가능할 경우) 보안 정책이 0으로 설정되어 있습니다.

해결 방법: 보안 정책을 편집합니다.

참고 항목: 대화형 로그온: 캐시할 로그온의 횟수(도메인 컨트롤러가 사용 불가능할 경우)

'Microsoft/Windows Server 2003' Related Articles

티스토리툴바