Windows 10 엔터프라이즈 시나리오 Part II - 보안 및 관리

권순만 / Microsoft MVP (Windows and Device for IT)

㈜테크데이타

암호는 더 이상

충분하지 않다.

빨리 새로운 기술을 채택할 필요성을 느끼는가?

사용자는 앱 및 데이터를 언제 어디서나 액세스할 있어야 한다.

너무 많은 도구와 너무 많은 관리 포인트

더 이상의 배포에 대한 부담을 줄일 순 없는가?

Microsoft와의 더 많은

투명성과 열린 피드백을 원한다.

IT 예산을 최소화하여 관리할 수 있는 방안을 모색

기업의 데이터를 어떻게 보호할 수 있습니까?

모바일 장치에 대한 보안이 최고의 관심사

사용자와 IT 관리자들의 아우성

2

엔터프라이즈를 위한 Windows 10

더 높은 생산성을 위한

환경 제공

발전하는 보안 위협으로

부터의 보호 방안

비즈니스 환경을 위한

혁신 적인 장치 지속적인 혁신을 위한

관리의 필요성

3

Windows 10 기업용 에디션 비교

4

Windows 10 기업용 에디션 기능

기본 사항

http://www.microsoft.com/ko-kr/WindowsForBusiness/Compare

Windows 10

Profession과

Enterprise 공통

기능

5

Windows 10 Enterprise 기능 Win 8 Win 10

Direct Access

Windows To Go 툴

AppLocker

Branch Cache

시작 화면 제어

Granular UX 제어

Credential Guard

Device Guard

LTSB

6

Windows 10 Enterprise 관리 기능

7

Windows Update 종류

8

Windows Insider Preview Branch Current Branch

Current Branch for Business Long Term Servicing Branch

Windows Update 종류 비교

적용 시나리오 구분

Current Branch (CB)

Current Branch for Business (CBB)

Long Term Servicing Branch (LTSB)

에디션

• Home

• Pro

• Enterprise

• Education

Time in Market

• 일반 사용자

• BYOD 사용자

• 시스템 테스터

• ~4 개월

• 일반 업무 사용자

• 비 중요 시스템

• 4-8 개월

• 업데이트 지연

• 공장 / 항공 관제 / 병원

• 특별 관리 시스템 사용자

• 5년 일반 지원

• 5년 연장 지원

• Pro

• Enterprise

• Education

• Enterprise

9

CBB(Current Branch for Business) vs. LTSB (Long Term Servicing Branch)

10

Current Branch for Business (CBB)

Long Term Servicing

Branch (LTSB)

Ongoing security updates for the lifetime of the branch

1st party browsing choices

Several months to consume feature updates

Support for Universal Office and some 1st party Universal apps

No feature upgrade required to stay supported

Value of the latest features as they are released

Capabilities

Enterprise 적용 시나리오 일반적인 업무 사용자 특별한 시스템 및 사용자:

Air Traffic Control; Hospital ER, etc.

Microsoft Edge, IE 11

Support for Win 32 Office

Ability to load universal apps

IE 11

Demo • Windows Update 관리 그룹 정책

11

Windows 10 관리 옵션

12

Workplace Join

13

장치 등록 서비스 (Device Registration Service, DRS) 장치 인증을 하기 위해 디바이스를 등록하는 서비스 Windows Server 2012 R2의 ADFS의 세부 서비스로 구성 장치를 등록하고, 장치 인증을 처리할 수 있도록 구성하는 것을

Workplace Join

Start

Active Directory

Start

Microsoft 클라우드를 통한 Windows 10 관리

14

Azure AD 조인 1. Azure AD 자격 증명을 통해 장치에 로그인 2. 로컬 관리자를 설정 3. 장치 로그온을 차단 가능 4. 장치에 MDM을 등록하여 적용 5. O365 & SaaS 앱의 SSO 가능

Intune를 사용한 장치 등록 1. 장치에 정책을 적용이 가능 2. 장치에 앱 배포 3. 규정 준수에 대한 장치의 상태 보고 4. 원격 초기화(Remote Wipe) 기능

Intune

Demo • Azure AD 구성 및 Azure AD Join

15

Azure AD Join 검증

16

Windows 10 MDM(Mobile Device Management)

Windows 10 환경의 모바일 및 데스크 톱 장치 모두를 관리할 수 있는 추가 기능이 제공 됩니다.

17

BYOD: 간단한 보안 설정

장치 잠금

기업 관점의 모든 관리 기능

Windows 8.1 Windows 10

OMA-DM(Open Mobile Alliance – Device Management)

18

Windows 10 모바일 관리 아키텍처

19

MDM Client

Common Device Configurator

WMI providers

Provisioning

Engine

MDM Configuration Service Providers (CSP’s)

EAS Client WMI Bridge

DEVICE/OS

SERVICE/SERVER EAS Provisioning MDM (Intune) ConfigMgr

Common component PC component

OMA-DM 통신

20

MD

M C

lient

MDM Configuration Service Providers (CSP’s) C

om

mon D

evic

e

Configura

tor

MDM (Intune)

CSP(Configuration Service Provider)

CSP는 디바이스에 구성 설정을 읽고, 설정, 수정 또는 삭제하는 인터페이스

SyncML CSP를 구성하는 모든 정보와 파일

예제 : CSP 구성 정책

21

{unique device ID}

./Vendor/MSFT/Policy/Config/DeviceLock/MinDevicePasswordLength

6S

yn

cM

L

Syn

cH

ead

er

Syn

cB

od

y

Device

OMA-URI

Value

OMA-URI(Open Mobile Alliance – Uniform Resource

Identifier)

22

23

Windows 10 장치를 위한 사용자 지정 구성 제공

24

Custom URI settings for Windows 10 devices Configuration service provider reference

•AppLocker CSP •AssignedAccess CSP •ClientCertificateInstall CSP •CustomDeviceUI CSP •Defender CSP •DeviceStatus CSP •DiagnosticLog CSP •EnterpriseAPN CSP •EnterpriseDesktopAppManagement CSP •EnterpriseExt CSP •EnterpriseExtFileSystem CSP •EnterpriseModernAppManagement CSP •HealthAttestation CSP •PassportForWork CSP •Policy CSP •Provisioning CSP •RemoteFind CSP •RootCATrustedCertificates CSP •UnifiedWriteFilter CSP •Update CSP •VPNv2 CSP •WindowsLicensing CSP

Demo • Intune을 사용한 디바이스 관리 및 정책

25

26

장치 등록

27

IT User

장치 등록

28

디바이스 등록

정책 적용

Company Portal

사용자 디바이스를 위한 앱 추천

IT User

장치 등록을 통한 접속 권한 제공

29

1

사용자 2

Demo •조건부 액세스 이메일(Conditional Access eMail)

30

Windows 10 Enterprise 보안 기능

31

Windows 10 향상된 보안 기능

32

Windows 7 Windows 10

추가 인증에 대한 쉬운 배포

윈도우 환경에서 생체인식을 이용한 인증

입력하는 패스워드에 대한 의존도

도용하기 쉬운 자격증명

사용자 보호

자동화된 디스크 암호화와 통합된 데이터 손실 방지

디스크 암호화의 수동 프로비저닝

별도의 3rd 파티 DLP 솔루션 필요

데이터 보호

신뢰할 수 있는 앱만을 실행

격리를 통한 탄력적인 시스템 보호

위협 감지 및 공격시 신뢰성 검증

위협 대비 안티 바이러스의 대응 속도 한계

위협 방어

향상된 소프트웨어와 하드웨어 기반의 통합된 보안

소프트웨어 보안의 한계 장치 보안

Microsoft Passport / Windows Hello

33

34

네트워크 환경에서 ID와 PW의 취약점

35

Social

.com

Bank

.com

Network

.com

LOL

.com

인터넷 환경에서 사용하는 ID와 PW

사내에서 제공되는 사용자 계정과 PW

인증서를 탈취 또는 손상 공격으로부터의 위협

ID와 PW의 취약점 – 인터넷 환경

인터넷 환경에 한 곳의 사이트에서 사용자 ID와 PW가 유출 되는 경우는 다른 웹 사이트까지 영향을 받을 가능성은 상당히 높을 수 있습니다.

사용자

해커

1

Social

.com

Bank

.com

Network

.com

LOL

.com

Obscure

.com 1

2

36

ID와 PW의 취약점 – 기업 환경

기업 환경에서는 제공되는 사용자 계정과 PW이 유출되는 경우는 손쉽게 내부 리소스 접근이 가능하게 됩니다.

37

사용자

1

3

5

Device

IDP

IDP

IDP

2

4

Network

Resource 해커

ID와 PW의 취약점 – 인증서 공격

인증서를 탈취하기 위한 지속적인 공격이 이루어지고 있습니다.

38

1

Windows 8.1

사용자

2

IDP

Active Directory

3

4 5

6 Network

Resource 해커

새로운 사용자 인증 제공

39

IDP

Active Directory

Azure AD

Google

Facebook

Microsoft Account

1

User 2

Windows 10

3

Intranet Resource 4

4 Intranet Resource

40

Windows Hello 센서

Windows Biometric framework에 통합되어 제공되며, 기존의 텍스트 형태의 패스워드, 개인 PIN을 지문, 안면 인식 및 홍채까지 지원합니다.

41

- 현재 모든 지문인식 인증이 가능한 장치에서 지원

- Intel® RealSense™ 를 통한 안면 인식 인증 지원

- Windows Hello 센서 사양을 충족한 IR 센서가 포함된 모든 장치

- 눈의 “홍채＂를 통한 인증 방법으로 곧 제공되고, 관련된 요구사항에 대하여 곧 게시될 예정

Windows Hello 안면 인식 세부 보안 요구사항

Windows Biometric framework에 통합되어 제공되며, 기존의 텍스트 형태의 패스워드, 개인 PIN, 지문인식등에서 사용자의 안면 인식하여 인증처리하는 기능이 포함 합니다.

42

-

-

-

-

*FAR (誤수락율) : 등록된 사용자를 잘못 인식하여 수락하는 확률 *FRR (誤거부율): 등록된 사용자를 인식이 안되어 거부하게 될 확률 FAR>FRR 중요

Demo • Windows Hello 로그인

43

사례 : Windows Hello

44

Windows Hello: can identical twins fool Microsoft and Intel? http://www.theaustralian.com.au/business/in-depth/windows-hello-can-identical-twins-fool-microsoft-and-intel/story-fnw66tov-1227490164701

엔터프라이즈 데이터 보호(EDP)

45

엔터프라이즈 데이터 보호(EDP)

46

Lync eMail Facebook

OneDrive

for

Business Contacts WhatsApp

LOB App Calendar OneDrive

PDF Reader Photos

Flappy

Birds

업무용 앱 &

데이터

(관리 앱)

개인 앱 &

데이터

(비 관리 앱)

Other Other Other

Data exchange is controlled

단일 경험

격리된 데이터

사용하지 않는 데이터 암호화

데이터 교환 차단/감사

조직이 키를 관리

정체 불명의 앱 차단

3rd Party를 위한 API

MDM 관리

엔터프라이즈 데이터 보호

회사 앱(관리되는 앱)

개인 앱 개인 앱

회사앱(관리되는 앱)

IT User

엔터프라이즈 데이터 보호

48

개인 앱

Managed apps

복사/잘라내기/붙여넣기등의 제한 조치에 의해 기업 데이터의 누출을 방지할 수 있음

User

Demo •엔터프라이즈 데이터 보호(EDP)를 통한 콘텐츠 보안

49

Device Guard

52

Device Guard 란?

53

정보 보호

사용자 계정 보호

보안 위협 차단

Windows 10 새로운 보안 기능으로 하드웨어 + 소프트웨어 보안 기능의 결합

Device Guard 솔루션

하드웨어 요구사항

Device Guard 솔루션

54

Virtualization based Security (VBS)

Hypervisor Enforced Code Integrity

Credential Guide

Configurable Code Integrity (CI)

Device Guard 설정 상태 확인

Device Guard 설정 상태를 확인하는 방법은 GUI 또는 PowerShell을 사용하여 확인할 수 있습니다.

55

Get-CimInstance –ClassName Win32_DeviceGuard –Namespace root\Microsoft\Windows\DeviceGuard

msinfo.32.exe

참고 : https://technet.microsoft.com/en-us/library/mt463091(v=vs.85).aspx

Credential Guard 로그인

56

LSASS

NTLM

Kerberos

Kerb key TGT

Hypervisor

Password: a1b2c3

User: Alice

VSM(Virtual Security Mode)

NTLM

Kerberos

NTOWF: C9DF4E56…

TGT key File server

Domain Controller

NTOWF: C9DF4E56…

Kerb key

Alice’s User

Session

코드 무결성(Code Integrity)

•디바이스 자체에 대한 무결성

•플랫폼 자체에 대한 무결성

•앱에 대한 무결성

•무결성에 대한 지속적인 확인

57

ROM/Fuses Bootloader

s Native UEFI

Windows

OS Loader

Windows Kernel and Drive

rs

3rd Party Drivers

User mode code (apps, etc.)

KMCI

UEFI Secure Boot

UMCI

Platform Secure Boot AppLocker

Device Guard 계획 가이드

58

1

2

3

4

5

Demo • Golden Image 생성 및 정책 생성 방법

59

문서 보안(Right Management Service)

66

RMS(Right Management Service)란?

정보가 생성이 될 때, 파일의 내용은 암호화가 되고, 암호화한 키는 파일의 사용 권한과 함께 파일에 저장되며,파일에 저장된 암호화 키는 조직의 루트 키로 한번 더 암호화가 이루어집니다.

67

[기밀]

콜라 제조법:

• 물

• HFCS

• 밤색 #16

#!@#!#!@#!

()&)(*&)(@#!

#!@#!#!@#!

()&)(*&)(@#!

#!@#!#!@#!

()&)(*&)(@#!

사용 권한 +

[기밀]

콜라 제조법:

• 물

• HFCS

• 밤색 #16

보호되지 않는 문서

Protect Unprotect

사용 권한과 콘텐츠 키를 포함된 정책이 문서에 추가

#!@#!#!@#!

()&)(*&)(@#!

#!@#!#!@#!

()&)(*&)(@#!

#!@#!#!@#!

()&)(*&)(@#!

사용 권한 +

조직의 RSA 루트 키로 라이선스 보호

파일 컨텐츠는 절대 RMS 서버/서비스에 저장하지 않음

RMS 감사 기능

69

RMS 감사 기능

70

RMS 감사 기능

71

Demo • Azure RMS 정책 설정 및 RMS 감사 기능

72

요약 - Windows 10 향상된 관리 및 보안

73

관리 기능 보안 기능

사용자 보호

데이터 보호

위협 방어

장치 보안

WaaS

관리 옵션

MDM

Deploy

요약 – 비즈니스 혁신을 위한 Windows 10

74

하드웨어 기반의 보안

보안 부팅

하드웨어-기반 분리를 통한 엔터프라이즈 자격인증 보호

사용자 계정 위협으로 부터 보호

Microsoft Passport

Windows Hello

기업의 데이터의 보호

엔터프라이즈 데이터 보호(EDP)

악성코드 보호

Device Guard

모바일 사용자를 위한 향상된 보안

보안 원격 연결

기업에 적합한 관리 솔루션을 선택

MDM(Mobile Device Management)

그룹 정책

새로운 배포 방식의 지원 Dynamic provisioning In-place 업그레이드

클라우드 환경의 사용자 계정 관리

Azure AD Join (desktop and phone)

SSO를 통한 앱, 장치, 데이터 및 사용자 상태 로밍 가능

쉽고, 편의성 스토어

Private 카탈로그 영역

Windows Business Store

최신의 기능과 보안 상태 유지

Windows Update for Business

사용자 경험을 극대화

시작 메뉴

Continuum

Continuum for Phone

하나의 통합된 앱 사용

Windows Universal Apps

모든 Windows 장치간의 생산성 제공

Office for Windows

향상된 웹 경험 지속적인 호환성 제공

Microsoft Edge

Internet Explorer 11

지속적인 기존 PC 환경 혁신

하드웨어 호환성

세분화된 UX 컨트롤

Windows 기반의 넓은 선택의 폭

2-in-1 장치

Surface

Lumia

혁신적인 Windows 장치를 통한 생산성 증가

Surface Hub

HoloLens

더욱 향상된 생산성을 위한 환경 제공

지속적인 보안 위협에 대한 보호 기능 제공

비즈니스 환경에서 제공되는 혁신적인 장치

관리를 위한 향상되고 지속적인 추가 기능 제공

Q&A

75

• MSDN Forum http://aka.ms/msdnforum

• TechNet Forum http://aka.ms/technetforum

Windows 10의 Enterprise를 위한 기능은 현재가

아닌 미래를 위해 계속 진화하고 있습니다.

IT 관리자가 생산성 높은 관리와 더욱 안전한 환경의 컴퓨팅 환경을 원하신다면, Windows 10 업그레이드를 고려 하시길 바랍니다. Email : smkwon@techdata.co.kr

FB: @hakunamata2

http://aka.ms/td2015_again

TechDays Korea 2015에서 놓치신 세션은 Microsoft 기술 동영상 커뮤니티 Channel 9에서

추후에 다시 보실 수 있습니다.