2018.11.26

How-To : 윈도우 10 보안 업데이트 설정 정복하기

Susan Bradley | CSO
윈도우 10 업데이트 설정은 종류도 많고 종종 헷갈린다. 다음 설정을 사용하면 보안(및 기타) 업데이트가 자동으로 시스템을 업데이트하는 시점을 정확히 제어할 수 있다. 이번에 소개하는 비즈니스용 윈도우 업데이트 설정은 독립형 워크스테이션과 그룹 정책(레지스트리 항목을 통해)에서 사용 가능하며 윈도우 소프트웨어 업데이트 서비스(WSUS)와 함께 사용할 수도 있다. 설정은 윈도우 10 버전 1803을 기준으로 한다.

비즈니스용 윈도우 업데이트 설정을 통해 품질(보안) 업데이트를 일정 기간동안 연기해야 한다. 업데이트에는 부작용이 따르므로 품질 업데이트(quality updates)를 설치하기 전에 적어도 7일 이상 기다릴 것을 권장한다. 11일 동안 연기하면 업데이트를 대기한 상태로 주말을 지나치게 되는데, 두 번째 주가 되면 업데이트의 부작용이 대부분 파악된다.

연기해야 하는 또 다른 설치는 기능 업데이트(Feature Update) 설치다. 자신의 환경에 적절한 시점과 날짜로 연기하는 것이 좋다. 또한 윈도우 10 기능 릴리스 설치를 더 효과적으로 제어하기 위해 기능 업데이트 설치를 스크립트로 만들 것을 권장한다. 기업용으로 준비가 된 것으로 간주되는 기능 릴리스는 반기 릴리스로 분류된다.

업데이트를 제어하기 위한 아무런 조치를 취하지 않으면 기능 릴리스는 기본적으로 반기(대상 지정) 단위로 설정되며, 컴퓨터는 마이크로소프트의 판단에 따라 해당 컴퓨터가 업데이트를 받을 준비가 됐다고 간주될 때 기능 릴리스를 받게 된다. 기능 업데이트는 보안 업데이트를 포함하지 않으므로 공급업체가 릴리스를 확실히 지원할 시간동안 설치를 연기해도 대체로 안전하다. 설치 연기는 윈도우 10 프로와 엔터프라이즈 버전 및 교육용 버전에서 설정할 수 있다.

- 조언: 도메인 설정에서 그룹 정책을 관리하는 경우, 다음과 같은 최신 윈도우 10 워크스테이션의 ADMX 파일을 SYSVOL 중앙 저장소의 서버 그룹 정책 설정에 복사하는 방법으로 도메인에 윈도우 10/서버 2016 템플릿을 다운로드해야 한다.

C:\Program Files (x86)\Microsoft Group Policy\Windows 10\PolicyDefinitions의 DeliveryOptimization.admx

C:\Program Files (x86)\Microsoft Group Policy\Windows 10\PolicyDefinitions\en-US의 DeliveryOptimization.adml


"컴퓨터 구성", "관리 템플릿", "윈도우 구성 요소", "윈도우 업데이트"에서 다음과 같이 설정할 수 있다. "비즈니스용 윈도우 업데이트"에서 다음과 같이 설정한다.
"프리뷰 빌드 및 기능 업데이트 수신 시기 선택(Select when Preview Builds and Feature Updates are received)"을 "반기 채널(Semi-Annual Channel"로 설정한 다음, 기능 업데이트 연기를 360일로 설정한다. 이렇게 하면 모든 기능 릴리스 설치는 반기로 선언된 기능 릴리스가 나온 시점부터 거의 1년 이후로 연기된다. 시점을 한참 이후로 설정해 두고, 실제 설치는 현재 환경이 설치할 준비가 됐다고 판단될 때 실행하면 된다.
 
기능 업데이트 지연 설정. ⓒMicrosoft

"품질 업데이트 수신 시기 선택(Select when Quality updates are received)"을 7일 이상으로 설정한다. 11일 정도가 적당하다. 마찬가지로 11일을 선택하면 보안 업데이트가 나온 시점으로부터 2주 동안 설치가 연기되므로 문제를 해결할 시간을 충분히 확보할 수 있다.
 
품질 업데이트 수신 시점 선택. ⓒMicrosoft

"컴퓨터 구성(Computer Configuration)", "관리 템플릿(Administrative Templates)", "윈도우 구성 요소(Windows Components)", "윈도우 업데이트(Windows Update)"의 다른 설정은 다음과 같이 처리하면 된다.

"로그온한 사용자가 있을 때 예약된 자동 업데이트 설치를 위해 자동으로 다시 시작하지 않음(No auto-restart with logged-on users for scheduled automatic update installations)" 정책을 사용하거나 설정하지 말아야 한다. 필자의 경험으로 이 정책은 로그온한 사용자를 제대로 탐지하지 못한다. 

사용자가 자리를 비워 화면에 뜬 알림에 바로 대응하지 못하는 경우, 시스템이 다시 부팅되는 경우가 많다. 윈도우 10에서는 이 설정을 아예 사용하지 않는 것이 좋다. 필자가 이 설정을 WSUS(Windows Server Update Service) 설정과 함께 사용해 본 결과, 적절치 않은 시점에 컴퓨터가 재부팅되고 막상 재부팅하기에 적절한 시점에서는 재부팅이 되지 않았다.

WSUS를 사용하는 경우, "업데이트 연기 정책이 윈도우 업데이트 검색을 유발하도록 허용하지 않음(Do not allow update deferral policies to cause scans against Windows Update)"을 설정하고 사용한다. 이 설정을 하지 않고 기능 연기 정책을 설정하는 경우 WSUS 설정을 건너뛰고 바로 마이크로소프트 업데이트를 통해 모든 업데이트를 받게 된다. 결과적으로 윈도우 10 업데이트와 기능 업데이트를 승인하지 않기 위한 WSUS 설정이 무시되고 업데이트가 적용된다.
 
근무 시간 동안 업데이트 자동 재시작 끄기. ⓒMicrosoft

다음 단계로, 활성 시간을 설정한다. "활성 시간 중 업데이트를 위한 자동 다시 시작 끄기(Turn off auto-restart for updates during active hours)"를 활성화한다. 설정 가능한 최대 시간은 18시간이다. 이렇게 하면 시스템 활성 시간이 아닐 때 다시 시작되도록 할 수 있다. 이 정책에는 "로그온한 사용자가 있을 때 예약된 자동 업데이트 설치를 위해 자동으로 다시 시작하지 않음"이 활성화된 경우 활성 시간 설정이 무시된다는 주의 사항이 달려 있다.
 
활성 시간 설정. ⓒMicrosoft

마지막으로, "개입형 재시작(Engaged restart)" 설정은 사용자가 보류 중인 업데이트에 대한 알림과 메시지를 받을 수 있게 해준다. 앞서 언급했듯이 "로그온한 사용자가 있을 때 예약된 자동 업데이트 설치를 위해 자동으로 다시 시작하지 않음"과 같은 레거시 윈도우 업데이트 설정이 선택된 경우, 윈도우는 예약된 시간에 항상 자동으로 재시작된다.

"업데이트 설치를 위해 자동으로 다시 시작하기 전까지의 기한 지정(Specify deadline before auto-restart for update installation)" 역시 이 개입형 재시작 설정을 무효화한다. 윈도우 10에서 이와 같은 설정을 사용하지 않도록 주의해야 한다. editor@itworld.co.kr  


2018.11.26

How-To : 윈도우 10 보안 업데이트 설정 정복하기

Susan Bradley | CSO
윈도우 10 업데이트 설정은 종류도 많고 종종 헷갈린다. 다음 설정을 사용하면 보안(및 기타) 업데이트가 자동으로 시스템을 업데이트하는 시점을 정확히 제어할 수 있다. 이번에 소개하는 비즈니스용 윈도우 업데이트 설정은 독립형 워크스테이션과 그룹 정책(레지스트리 항목을 통해)에서 사용 가능하며 윈도우 소프트웨어 업데이트 서비스(WSUS)와 함께 사용할 수도 있다. 설정은 윈도우 10 버전 1803을 기준으로 한다.

비즈니스용 윈도우 업데이트 설정을 통해 품질(보안) 업데이트를 일정 기간동안 연기해야 한다. 업데이트에는 부작용이 따르므로 품질 업데이트(quality updates)를 설치하기 전에 적어도 7일 이상 기다릴 것을 권장한다. 11일 동안 연기하면 업데이트를 대기한 상태로 주말을 지나치게 되는데, 두 번째 주가 되면 업데이트의 부작용이 대부분 파악된다.

연기해야 하는 또 다른 설치는 기능 업데이트(Feature Update) 설치다. 자신의 환경에 적절한 시점과 날짜로 연기하는 것이 좋다. 또한 윈도우 10 기능 릴리스 설치를 더 효과적으로 제어하기 위해 기능 업데이트 설치를 스크립트로 만들 것을 권장한다. 기업용으로 준비가 된 것으로 간주되는 기능 릴리스는 반기 릴리스로 분류된다.

업데이트를 제어하기 위한 아무런 조치를 취하지 않으면 기능 릴리스는 기본적으로 반기(대상 지정) 단위로 설정되며, 컴퓨터는 마이크로소프트의 판단에 따라 해당 컴퓨터가 업데이트를 받을 준비가 됐다고 간주될 때 기능 릴리스를 받게 된다. 기능 업데이트는 보안 업데이트를 포함하지 않으므로 공급업체가 릴리스를 확실히 지원할 시간동안 설치를 연기해도 대체로 안전하다. 설치 연기는 윈도우 10 프로와 엔터프라이즈 버전 및 교육용 버전에서 설정할 수 있다.

- 조언: 도메인 설정에서 그룹 정책을 관리하는 경우, 다음과 같은 최신 윈도우 10 워크스테이션의 ADMX 파일을 SYSVOL 중앙 저장소의 서버 그룹 정책 설정에 복사하는 방법으로 도메인에 윈도우 10/서버 2016 템플릿을 다운로드해야 한다.

C:\Program Files (x86)\Microsoft Group Policy\Windows 10\PolicyDefinitions의 DeliveryOptimization.admx

C:\Program Files (x86)\Microsoft Group Policy\Windows 10\PolicyDefinitions\en-US의 DeliveryOptimization.adml


"컴퓨터 구성", "관리 템플릿", "윈도우 구성 요소", "윈도우 업데이트"에서 다음과 같이 설정할 수 있다. "비즈니스용 윈도우 업데이트"에서 다음과 같이 설정한다.
"프리뷰 빌드 및 기능 업데이트 수신 시기 선택(Select when Preview Builds and Feature Updates are received)"을 "반기 채널(Semi-Annual Channel"로 설정한 다음, 기능 업데이트 연기를 360일로 설정한다. 이렇게 하면 모든 기능 릴리스 설치는 반기로 선언된 기능 릴리스가 나온 시점부터 거의 1년 이후로 연기된다. 시점을 한참 이후로 설정해 두고, 실제 설치는 현재 환경이 설치할 준비가 됐다고 판단될 때 실행하면 된다.
 
기능 업데이트 지연 설정. ⓒMicrosoft

"품질 업데이트 수신 시기 선택(Select when Quality updates are received)"을 7일 이상으로 설정한다. 11일 정도가 적당하다. 마찬가지로 11일을 선택하면 보안 업데이트가 나온 시점으로부터 2주 동안 설치가 연기되므로 문제를 해결할 시간을 충분히 확보할 수 있다.
 
품질 업데이트 수신 시점 선택. ⓒMicrosoft

"컴퓨터 구성(Computer Configuration)", "관리 템플릿(Administrative Templates)", "윈도우 구성 요소(Windows Components)", "윈도우 업데이트(Windows Update)"의 다른 설정은 다음과 같이 처리하면 된다.

"로그온한 사용자가 있을 때 예약된 자동 업데이트 설치를 위해 자동으로 다시 시작하지 않음(No auto-restart with logged-on users for scheduled automatic update installations)" 정책을 사용하거나 설정하지 말아야 한다. 필자의 경험으로 이 정책은 로그온한 사용자를 제대로 탐지하지 못한다. 

사용자가 자리를 비워 화면에 뜬 알림에 바로 대응하지 못하는 경우, 시스템이 다시 부팅되는 경우가 많다. 윈도우 10에서는 이 설정을 아예 사용하지 않는 것이 좋다. 필자가 이 설정을 WSUS(Windows Server Update Service) 설정과 함께 사용해 본 결과, 적절치 않은 시점에 컴퓨터가 재부팅되고 막상 재부팅하기에 적절한 시점에서는 재부팅이 되지 않았다.

WSUS를 사용하는 경우, "업데이트 연기 정책이 윈도우 업데이트 검색을 유발하도록 허용하지 않음(Do not allow update deferral policies to cause scans against Windows Update)"을 설정하고 사용한다. 이 설정을 하지 않고 기능 연기 정책을 설정하는 경우 WSUS 설정을 건너뛰고 바로 마이크로소프트 업데이트를 통해 모든 업데이트를 받게 된다. 결과적으로 윈도우 10 업데이트와 기능 업데이트를 승인하지 않기 위한 WSUS 설정이 무시되고 업데이트가 적용된다.
 
근무 시간 동안 업데이트 자동 재시작 끄기. ⓒMicrosoft

다음 단계로, 활성 시간을 설정한다. "활성 시간 중 업데이트를 위한 자동 다시 시작 끄기(Turn off auto-restart for updates during active hours)"를 활성화한다. 설정 가능한 최대 시간은 18시간이다. 이렇게 하면 시스템 활성 시간이 아닐 때 다시 시작되도록 할 수 있다. 이 정책에는 "로그온한 사용자가 있을 때 예약된 자동 업데이트 설치를 위해 자동으로 다시 시작하지 않음"이 활성화된 경우 활성 시간 설정이 무시된다는 주의 사항이 달려 있다.
 
활성 시간 설정. ⓒMicrosoft

마지막으로, "개입형 재시작(Engaged restart)" 설정은 사용자가 보류 중인 업데이트에 대한 알림과 메시지를 받을 수 있게 해준다. 앞서 언급했듯이 "로그온한 사용자가 있을 때 예약된 자동 업데이트 설치를 위해 자동으로 다시 시작하지 않음"과 같은 레거시 윈도우 업데이트 설정이 선택된 경우, 윈도우는 예약된 시간에 항상 자동으로 재시작된다.

"업데이트 설치를 위해 자동으로 다시 시작하기 전까지의 기한 지정(Specify deadline before auto-restart for update installation)" 역시 이 개입형 재시작 설정을 무효화한다. 윈도우 10에서 이와 같은 설정을 사용하지 않도록 주의해야 한다. editor@itworld.co.kr  


X