Windows에서 강화란 무엇이며 시스템 관리자가 아니더라도 강화를 적용하는 방법

서버나 사용자 컴퓨터를 관리하는 사람이라면 아마도 다음과 같은 질문을 스스로에게 해봤을 것입니다. Windows를 안전하게 작동시킬 만큼 안전하게 만들려면 어떻게 해야 할까요? Windows의 강화 이는 일회성 전략이 아니라 공격 표면을 줄이고, 액세스를 제한하고, 시스템을 통제하기 위한 일련의 결정과 조정입니다.

기업 환경에서 서버는 운영의 기반입니다. 데이터를 저장하고, 서비스를 제공하고, 중요한 비즈니스 구성 요소를 연결합니다. 그렇기 때문에 모든 공격자의 주요 표적이 됩니다. 모범 사례와 기준을 통해 Windows를 강화함으로써, 실패를 최소화하고 위험을 제한합니다. 그리고 어느 시점에서 발생한 사고가 인프라의 나머지 부분으로 확대되는 것을 방지할 수 있습니다.

Windows에서 강화란 무엇이고 왜 중요한가요?

경화 또는 보강은 다음으로 구성됩니다. 구성 요소 구성, 제거 또는 제한 운영 체제, 서비스 및 애플리케이션을 차단하여 잠재적인 진입점을 차단합니다. Windows는 다재다능하고 호환성이 뛰어나지만, "거의 모든 것에 적용 가능하다"는 접근 방식은 항상 필요하지 않은 개방형 기능도 제공한다는 것을 의미합니다.

불필요한 기능, 포트 또는 프로토콜을 더 많이 활성화할수록 취약성은 커집니다. 강화의 목표는 다음과 같습니다. 공격 표면을 줄이세요최신 패치, 적극적인 감사, 명확한 정책을 통해 권한을 제한하고 필수적인 것만 남겨둡니다.

이러한 접근 방식은 Windows에만 국한되지 않습니다. 모든 최신 시스템에 적용됩니다. 수천 가지의 다양한 시나리오를 처리할 수 있도록 설치되어 있습니다. 따라서 권장되는 방식입니다. 사용하지 않는 항목은 닫으세요.당신이 그것을 사용하지 않으면 다른 사람이 당신을 대신해 그것을 사용하려고 할 수도 있기 때문입니다.

진로를 결정하는 기준선과 표준

Windows의 강화를 위해서는 다음과 같은 벤치마크가 있습니다. CIS(인터넷 보안 센터) 그리고 DoD STIG 가이드라인 외에도 Microsoft 보안 기준 (Microsoft 보안 기준). 이 참조 자료는 다양한 역할과 Windows 버전에 권장되는 구성, 정책 값 및 제어 기능을 다룹니다.

기준선을 적용하면 프로젝트 속도가 크게 향상됩니다. 기본 구성과 모범 사례 간의 차이를 줄이고, 빠른 배포에서 흔히 발생하는 "격차"를 방지할 수 있습니다. 하지만 모든 환경은 고유하므로 다음 사항을 고려하는 것이 좋습니다. 변경 사항 테스트 생산에 들어가기 전에.

Windows 강화 단계별

준비 및 물리적 보안

Windows의 강화는 시스템이 설치되기 전에 시작됩니다. 완전한 서버 인벤토리강화될 때까지 트래픽에서 새 항목을 격리하고 암호로 BIOS/UEFI를 보호하고 비활성화합니다. 외부 미디어에서 부팅 복구 콘솔에서 자동 로그온을 방지합니다.

자체 하드웨어를 사용하는 경우 장비를 다음과 같은 위치에 배치하십시오. 물리적 접근 제어적절한 온도 유지 및 모니터링이 필수적입니다. 물리적 접근을 제한하는 것은 논리적 접근만큼 중요합니다. 섀시를 열거나 USB로 부팅하는 것은 모든 것을 손상시킬 수 있기 때문입니다.

계정, 자격 증명 및 비밀번호 정책

명백한 약점을 제거하여 시작하세요: 게스트 계정을 비활성화하고 가능한 경우 로컬 관리자를 비활성화하거나 이름을 바꿉니다.사소하지 않은 이름으로 관리 계정을 만듭니다(쿼리 Windows 11에서 오프라인으로 로컬 계정을 만드는 방법) 일상적인 작업에는 권한이 없는 계정을 사용하고, 필요한 경우에만 "다른 사용자로 실행"을 통해 권한을 높입니다.

비밀번호 정책을 강화하세요: 적절한 복잡성과 길이를 확보하세요. 주기적 만료실패한 시도 후 재사용 및 계정 잠금을 방지하기 위한 기록. 여러 팀을 관리하는 경우 로컬 자격 증명을 순환하는 LAPS와 같은 솔루션을 고려하세요. 중요한 것은 정적 자격 증명을 피하세요 그리고 추측하기 쉽습니다.

 

그룹 멤버십(관리자, 원격 데스크톱 사용자, 백업 운영자 등)을 검토하고 불필요한 멤버십을 제거하십시오. 원칙은 다음과 같습니다. 더 낮은 특권 이는 측면 움직임을 제한하는 데 가장 좋습니다.

네트워크, DNS 및 시간 동기화(NTP)

프로덕션 서버에는 다음이 있어야 합니다. 고정 IP방화벽 뒤에 보호되는 세그먼트에 위치해야 합니다(알고 있음) CMD에서 의심스러운 네트워크 연결을 차단하는 방법 (필요한 경우) 중복성을 위해 두 개의 DNS 서버를 정의합니다. A 및 PTR 레코드가 있는지 확인합니다. DNS 전파는... 걸릴 수도 있다 그리고 계획을 세우는 것이 좋습니다.

NTP 구성: 단 몇 분의 오차만으로도 Kerberos가 중단되고 드물게 인증 실패가 발생할 수 있습니다. 신뢰할 수 있는 타이머를 정의하고 동기화하세요. 전체 함대 반대합니다. 필요하지 않은 경우 TCP/IP를 통한 NetBIOS 또는 LMHosts 조회와 같은 레거시 프로토콜을 비활성화합니다. 소음을 줄이다 그리고 전시.

역할, 기능 및 서비스: 적을수록 더 좋습니다

서버 목적에 필요한 역할과 기능(IIS, 필요한 버전의 .NET 등)만 설치하세요. 각 추가 패키지는 다음과 같습니다. 추가 표면 취약점 및 구성에 대해. 사용하지 않을 기본 또는 추가 애플리케이션을 제거합니다(참조 Winaero Tweaker: 유용하고 안전한 조정).

검토 서비스: 필요한 서비스는 자동으로, 다른 서비스에 의존하는 서비스는 자동 (지연된 시작) 또는 잘 정의된 종속성을 사용합니다. 가치를 더하지 않는 모든 항목은 비활성화됩니다. 애플리케이션 서비스의 경우 특정 서비스 계정 가능하다면 로컬 시스템이 아닌 최소한의 권한으로 사용하세요.

방화벽 및 노출 최소화

일반적인 규칙: 기본적으로 차단하고 필요한 것만 여세요. 웹 서버인 경우 노출하세요. HTTP / HTTPS 이것으로 끝입니다. 관리(RDP, WinRM, SSH)는 VPN을 통해 이루어져야 하며, 가능하면 IP 주소로 제한해야 합니다. Windows 방화벽은 프로필(도메인, 개인, 공용)과 세부적인 규칙을 통해 효과적인 제어를 제공합니다.

전용 경계 방화벽은 서버의 부하를 줄이고 추가 기능을 제공하기 때문에 항상 장점입니다. 고급 옵션 (검사, IPS, 세분화). 어떤 경우든 접근 방식은 동일합니다. 즉, 열려 있는 포트가 적고, 공격 가능한 영역이 줄어듭니다.

원격 액세스 및 안전하지 않은 프로토콜

절대적으로 필요한 경우에만 RDP를 사용하십시오. NLA, 높은 암호화가능하면 MFA를 사용하고 특정 그룹 및 네트워크에 대한 접근을 제한하세요. 텔넷과 FTP는 피하고, 전송이 필요한 경우 SFTP/SSH를 사용하세요. 더 좋은 방법은 다음과 같습니다. VPN에서PowerShell 원격 및 SSH는 반드시 제어되어야 합니다. 액세스 가능한 사용자와 액세스 위치를 제한해야 합니다. 원격 제어를 위한 안전한 대안으로 다음을 수행하는 방법을 알아보세요. Windows에서 Chrome 원격 데스크톱 활성화 및 구성.

필요하지 않으면 원격 등록 서비스를 비활성화하세요. 검토 후 차단하세요. NullSessionPipes y NullSessionShares 리소스에 대한 익명 액세스를 방지합니다. IPv6를 사용하지 않는 경우, 영향을 평가한 후 비활성화하는 것을 고려하세요.

패치, 업데이트 및 변경 제어

Windows를 최신 상태로 유지하세요 보안 패치 운영 환경으로 전환하기 전에 통제된 환경에서 매일 테스트를 실시합니다. WSUS 또는 SCCM은 패치 주기를 관리하는 데 매우 유용합니다. 취약점의 원인이 되는 타사 소프트웨어도 잊지 마세요. 업데이트를 예약하고 취약점을 신속하게 수정하세요.

롯 드라이버 드라이버는 Windows 보안 강화에도 중요한 역할을 합니다. 오래된 장치 드라이버는 충돌과 취약점을 유발할 수 있습니다. 새로운 기능보다 안정성과 보안을 우선시하여 정기적인 드라이버 업데이트 프로세스를 구축하세요.

이벤트 로깅, 감사 및 모니터링

보안 감사를 구성하고 로그 크기를 늘려 이틀마다 순환되지 않도록 하세요. 시스템 규모가 커짐에 따라 각 서버를 개별적으로 검토하는 것은 비현실적이므로, 기업용 뷰어나 SIEM에 이벤트를 중앙 집중화하세요. 지속적인 모니터링 성과 기준선과 경고 임계값을 통해 "맹목적으로 공격"하는 것을 방지하세요.

파일 무결성 모니터링(FIM) 기술과 구성 변경 추적은 기준선 편차를 감지하는 데 도움이 됩니다. 다음과 같은 도구가 있습니다. Netwrix 변경 추적기 이러한 도구를 사용하면 누가, 언제 무엇이 변경되었는지 쉽게 감지하고 설명할 수 있어 대응 속도를 높이고 규정 준수에 도움이 됩니다(NIST, PCI DSS, CMMC, STIG, NERC CIP).

저장 중 및 전송 중 데이터 암호화

서버의 경우, BitLocker를 민감한 데이터가 있는 모든 드라이브에는 이미 기본 요구 사항입니다. 파일 수준의 세부 정보가 필요한 경우 다음을 사용하세요. EFS서버 간에 IPsec을 사용하면 기밀성과 무결성을 유지하기 위해 트래픽을 암호화할 수 있습니다. 세분화된 네트워크 또는 덜 안정적인 단계를 거치는 경우도 있습니다. 이는 Windows에서 강화를 논의할 때 매우 중요합니다.

액세스 관리 및 중요 정책

사용자와 서비스에 최소 권한 원칙을 적용합니다. 해시 저장을 피하세요. 랜 매니저 레거시 종속성을 제외하고 NTLMv1을 비활성화합니다. 허용되는 Kerberos 암호화 유형을 구성하고, 필수적이지 않은 파일 및 프린터 공유를 줄입니다.

값 이동식 미디어(USB) 제한 또는 차단 악성코드 유출 또는 침입을 제한합니다. 로그인 전에 법적 고지("무단 사용 금지")가 표시되며, Ctrl + Alt + Del 비활성 세션을 자동으로 종료합니다. 이는 공격자의 저항력을 높이는 간단한 조치입니다.

견인력을 얻기 위한 도구와 자동화

대량으로 기준선을 적용하려면 다음을 사용하세요. GPO Microsoft의 보안 기준. CIS 가이드와 평가 도구는 현재 상태와 목표 간의 격차를 측정하는 데 도움이 됩니다. 확장성이 필요한 경우 다음과 같은 솔루션이 있습니다. CalCom 강화 제품군(CHS) 그들은 환경에 대해 배우고, 영향을 예측하고, 중앙에서 정책을 적용하여 시간이 지나도 강화를 유지하는 데 도움이 됩니다.

클라이언트 시스템에는 필수 기능을 "강화"하는 작업을 간소화하는 무료 유틸리티가 있습니다. 시스템 샤드너 서비스, ​​방화벽 및 일반 소프트웨어에 대한 설정을 제공합니다. 하덴툴스 잠재적으로 악용 가능한 기능(브라우저당 매크로, ActiveX, Windows Script Host, PowerShell/ISE)을 비활성화합니다. 하드 구성기 SRP, 경로 또는 해시별 허용 목록, 로컬 파일에 대한 SmartScreen, 신뢰할 수 없는 소스 차단 및 USB/DVD에서 자동 실행 기능을 사용할 수 있습니다.

방화벽 및 액세스: 효과적인 실용적인 규칙

항상 Windows 방화벽을 활성화하고 기본적으로 수신 차단을 사용하도록 세 가지 프로필을 모두 구성하고 엽니다. 중요한 포트만 서비스에 연결(해당되는 경우 IP 범위 포함). 원격 관리는 VPN을 통해 제한된 접근 권한으로 수행하는 것이 가장 좋습니다. 기존 규칙을 검토하고 더 이상 필요하지 않은 규칙은 비활성화하세요.

Windows의 보안 강화는 정적인 이미지가 아니라 역동적인 과정이라는 점을 잊지 마세요. 기준선을 문서화하세요. 편차를 모니터링합니다각 패치 이후 변경 사항을 검토하고 장비의 실제 기능에 맞게 조치를 조정하십시오. 약간의 기술적 원칙, 자동화, 그리고 명확한 위험 평가만 있으면 Windows는 다재다능함을 희생하지 않고도 훨씬 더 강력한 시스템이 될 수 있습니다.