2020.11.03

윈도우 10 20H2의 새로운 보안 기능

Susan Bradley | CSO
마이크로소프트 윈도우 10 20H2의 보안 업데이트에 대해 알아야 할 사항은 다음과 같다. 이번 기사는 20H2 기능 릴리스 때 업데이트한 보안 기능과 관련한 사항이다. 
     
ⓒ Getty Images Bank

서비스로서의 윈도우(Windows as a Service)의 새로운 시대를 맞아 마이크로소프트는 1년에 2번 운영체제에 대한 변경 사항을 배포하고 있다. 이런 많은 변경 사항을 통해 보안 태세를 개선하고 더 많은 보안 선택을 제공할 수 있다. 더 이상 새로운 보안 기능을 배포하기 위해 새로운 운영체제를 기다릴 필요가 없다. 


윈도우 10 20H2, 어떤 버전이든 이동할 수 있다

20H2이라 부르는 2020년 하반기 윈도우 10 기능 릴리스는 지난 5월에 릴리스된 2004보다 작은 규모다. 이름은 윈도우 인사이더(Windows Insider) 채널 릴리스에 맞게 변경된 것이다. 어떤 버전의 윈도우 10이든 20H2로 이동할 수 있다. 2004에서 이전하는 경우, 20H2는 이미 설치된 소프트웨어를 위한 활성화 패키지인만큼 설치 시간이 더 빨라진다. 이전 버전에서 20H2를 설치하면 정상적인 설치 및 준비 프로세스를 거치기 때문에 시간이 더 오래 걸릴 수 있다. 

마이크로소프트는 20H2에 대한 보안 기준 문서 초안도 발표했다(엣지(Edge)에 대한 보안 기준은 운영체제와 별도로 설치할 수 있으므로 별도로 릴리스된다).

버전 20H2는 홈(Home), 프로(Pro), 프로 에듀케이션(Pro Education), 프로 포 워크스테이션(Pro for Workstations), IoT 코어(IoT Core)에서는 2022년 5월 10일까지 지원하며, 엔터프라이즈(Enterprise), 에듀케이션(Education), IoT 엔터프라이즈(IoT Enterprise)에 대해서는 2023년 5월 9일까지 지원한다. 

 
크로미움 기반의 엣지 브라우저 

20H2의 주요 변경 사항은 크로미움(Chromium) 엔진을 기반으로 한 마이크로소프트의 새로운 엣지 브라우저가 포함된 것이다. 윈도우10에서 새로운 엣지를 제어하는 그룹 정책 파일을 다운로드하려면 비즈니스용 엣지 웹 페이지로 이동한다. 

드롭다운 메뉴 항목에서 ‘채널/버전' 및 '빌드'을 클릭한 다음, 사용할 엣지 버전을 선택한다. 그런 다음 드롭다운 메뉴에서 '플랫폼'을 선택하고 운영체제를 선택한다. ‘정책 파일 다운로드’를 클릭해 엣지를 관리하는 데 필요한 CAB 그룹 정책 파일을 다운로드한다. 


서비스 스택 업데이트 변경 사항 

서비스 스택 업데이트 배포는 20H2와 함께 변경됐다. 더 이상 최신 누적 업데이트와 별도로 서비스 스택 업데이트를 찾고 승인할 필요가 없다. 서비스 스택 업데이트는 윈도우 10 업데이트가 정상으로 유지하는 데 도움이 된다. 20H2 이전에 서비스 스택 업데이트가 릴리스되고 WSUS(Windows Server Update Service), SCCM(System Center Configuration Manager) 또는 다른 패치 플랫폼을 사용해 최신 누적 업데이트를 찾고 승인한 다음, 해당 서비스에 대해 릴리스된 서비스 스택을 찾아 승인한다. 둘 다 승인되지 않은 경우, 운영체제에 패치 문제가 발생할 수 있다. 이제 2가지 모두 소비자 패치를 위한 간소화된 프로세스처럼 하나의 업데이트에 포함되어 있다. 


'DisableAntiSpyware' 설정 

20H2에서 마이크로소프트는 DisableAntiSpyware 설정을 더 이상 사용하지 않는다. 마이크로소프트 디펜더(Microsoft Defender)는 다른 바이러스 백신 도구가 설치된 것을 확인하면 자동으로 꺼진다. 윈도우 서버 또는 LTSB(Long Term Servicing Branch) 버전을 배포하는 경우, 해당 버전이 모든 바이러스 백신 도구를 탐지하지 못할 수 있어 수동으로 비활성화해야 할 상황에서 이 설정이 필요하다.  


'오피스용 마이크로소프트 디펜더 애플리케이션 가드'

20H2 릴리스는 오피스용 마이크로소프트 디펜더 애플리케이션 가드(Microsoft Defender Application Guard for Office)에 대한 지원을 포함하고 있다. 이 기능을 사용하면 기업 외부에서 보낸 신뢰할 수 없는 오피스 문서가 자동적으로 격리된 샌드박스에서 열린다. 이렇게 하면 악성 콘텐츠가 시스템을 손상시키지 않는다. 이 솔루션을 완전히 구현하려면 마이크로소프트 365 E5 라이선스가 필요하다.

   
확장된 윈도우 샌드박스 정책 

윈도우 인튠(Windows Intune) 정책을 지원하도록 윈도우 샌드박스 정책이 확장됐다. 추가 정책은 다음과 같다. 
 
  • WindowsSandbox/AllowAudioInput을 사용하면 샌드박스에서 오디오 입력을 활성화하거나 비활성화할 수 있다. 
  • WindowsSandbox/AllowClipboardRedirection을 사용하면 샌드박스를 사용한 호스트 클립보드 공유를 활성화하거나 비활성화할 수 있다. 
  • WindowsSandbox/AllowPrinterRedirection을 사용하면 샌드박스에서 호스트 프린터 공유를 활성화하거나 비활성화할 수 있다. 
  • WindowsSandbox/AllowVGPU를 사용하면 윈도우 샌드박스용 가상화 GPU를 활성화하거나 비활성화할 수 있다. 
  • WindowsSandbox/AllowVideoInput을 사용하면 윈도우 샌드박스에서 비디오 입력을 활성화하거나 비활성화 할 수 있다.


윈도우 헬로우를 통한 생체 인식 

윈도우 헬로우(Windows Hello)는 가상화에서 지문 및 안면 센서를 지원하므로 사용자 생체 인식 인증을 더욱 격리하고 보장한다. 


새로운 보안 설정 4가지 

20H2에 포함된 4가지 새로운 보안 설정은 흥미로운 조합이며, 이 가운데 하나는 최근 이슈가 된 보안 취약점을 해결한다. 

첫 번째 새로운 설정은 ‘도메인 컨트롤러: 취약한 넷로그온(Netlogon) 보안 채널 연결 허용’이다. 이는 최근 패치된 제로로그온(Zerologon) 취약점 때문에 필요하다. 이런 패치(CVE-2020–1472)를 도메인 컨트롤러에 적용한 후, 도메인에 연결할 수 없는 비준수 장치에 대한 차단을 허용한다. 이 기능은 ‘Machine’ 다음 ‘Security Options’에 위치한다. 

다음 새로운 설정은 ‘클라우드에 최적화된 콘텐츠 끄기’다. 이것은 ‘Machine’ 다음에 “Windows Components\Cloud Content”에 있다.

윈도우 업데이트와 관련한 또 다른 새로운 설정은 ‘기능 업데이트를 위한 보호 기능 사용 안 함’이다. 마이크로소프트는 기능 릴리스를 제대로 배포할 수 없는 시스템에 대한 기능 업데이트를 차단한다. 이 설정을 사용하면 해당 차단으로 무시할 수 있다. 이는 "Machine" 다음에 ‘Windows Components\Windows Update\Windows Update for Business’에 있다. 

마지막 새로운 설정은 ‘Alt-Tab에 엣지 탭 포함 구성’이다. 이는 ‘User’ 다음 ‘Windows Components\Multitasking’에 있다. editor@itworld.co.kr 


2020.11.03

윈도우 10 20H2의 새로운 보안 기능

Susan Bradley | CSO
마이크로소프트 윈도우 10 20H2의 보안 업데이트에 대해 알아야 할 사항은 다음과 같다. 이번 기사는 20H2 기능 릴리스 때 업데이트한 보안 기능과 관련한 사항이다. 
     
ⓒ Getty Images Bank

서비스로서의 윈도우(Windows as a Service)의 새로운 시대를 맞아 마이크로소프트는 1년에 2번 운영체제에 대한 변경 사항을 배포하고 있다. 이런 많은 변경 사항을 통해 보안 태세를 개선하고 더 많은 보안 선택을 제공할 수 있다. 더 이상 새로운 보안 기능을 배포하기 위해 새로운 운영체제를 기다릴 필요가 없다. 


윈도우 10 20H2, 어떤 버전이든 이동할 수 있다

20H2이라 부르는 2020년 하반기 윈도우 10 기능 릴리스는 지난 5월에 릴리스된 2004보다 작은 규모다. 이름은 윈도우 인사이더(Windows Insider) 채널 릴리스에 맞게 변경된 것이다. 어떤 버전의 윈도우 10이든 20H2로 이동할 수 있다. 2004에서 이전하는 경우, 20H2는 이미 설치된 소프트웨어를 위한 활성화 패키지인만큼 설치 시간이 더 빨라진다. 이전 버전에서 20H2를 설치하면 정상적인 설치 및 준비 프로세스를 거치기 때문에 시간이 더 오래 걸릴 수 있다. 

마이크로소프트는 20H2에 대한 보안 기준 문서 초안도 발표했다(엣지(Edge)에 대한 보안 기준은 운영체제와 별도로 설치할 수 있으므로 별도로 릴리스된다).

버전 20H2는 홈(Home), 프로(Pro), 프로 에듀케이션(Pro Education), 프로 포 워크스테이션(Pro for Workstations), IoT 코어(IoT Core)에서는 2022년 5월 10일까지 지원하며, 엔터프라이즈(Enterprise), 에듀케이션(Education), IoT 엔터프라이즈(IoT Enterprise)에 대해서는 2023년 5월 9일까지 지원한다. 

 
크로미움 기반의 엣지 브라우저 

20H2의 주요 변경 사항은 크로미움(Chromium) 엔진을 기반으로 한 마이크로소프트의 새로운 엣지 브라우저가 포함된 것이다. 윈도우10에서 새로운 엣지를 제어하는 그룹 정책 파일을 다운로드하려면 비즈니스용 엣지 웹 페이지로 이동한다. 

드롭다운 메뉴 항목에서 ‘채널/버전' 및 '빌드'을 클릭한 다음, 사용할 엣지 버전을 선택한다. 그런 다음 드롭다운 메뉴에서 '플랫폼'을 선택하고 운영체제를 선택한다. ‘정책 파일 다운로드’를 클릭해 엣지를 관리하는 데 필요한 CAB 그룹 정책 파일을 다운로드한다. 


서비스 스택 업데이트 변경 사항 

서비스 스택 업데이트 배포는 20H2와 함께 변경됐다. 더 이상 최신 누적 업데이트와 별도로 서비스 스택 업데이트를 찾고 승인할 필요가 없다. 서비스 스택 업데이트는 윈도우 10 업데이트가 정상으로 유지하는 데 도움이 된다. 20H2 이전에 서비스 스택 업데이트가 릴리스되고 WSUS(Windows Server Update Service), SCCM(System Center Configuration Manager) 또는 다른 패치 플랫폼을 사용해 최신 누적 업데이트를 찾고 승인한 다음, 해당 서비스에 대해 릴리스된 서비스 스택을 찾아 승인한다. 둘 다 승인되지 않은 경우, 운영체제에 패치 문제가 발생할 수 있다. 이제 2가지 모두 소비자 패치를 위한 간소화된 프로세스처럼 하나의 업데이트에 포함되어 있다. 


'DisableAntiSpyware' 설정 

20H2에서 마이크로소프트는 DisableAntiSpyware 설정을 더 이상 사용하지 않는다. 마이크로소프트 디펜더(Microsoft Defender)는 다른 바이러스 백신 도구가 설치된 것을 확인하면 자동으로 꺼진다. 윈도우 서버 또는 LTSB(Long Term Servicing Branch) 버전을 배포하는 경우, 해당 버전이 모든 바이러스 백신 도구를 탐지하지 못할 수 있어 수동으로 비활성화해야 할 상황에서 이 설정이 필요하다.  


'오피스용 마이크로소프트 디펜더 애플리케이션 가드'

20H2 릴리스는 오피스용 마이크로소프트 디펜더 애플리케이션 가드(Microsoft Defender Application Guard for Office)에 대한 지원을 포함하고 있다. 이 기능을 사용하면 기업 외부에서 보낸 신뢰할 수 없는 오피스 문서가 자동적으로 격리된 샌드박스에서 열린다. 이렇게 하면 악성 콘텐츠가 시스템을 손상시키지 않는다. 이 솔루션을 완전히 구현하려면 마이크로소프트 365 E5 라이선스가 필요하다.

   
확장된 윈도우 샌드박스 정책 

윈도우 인튠(Windows Intune) 정책을 지원하도록 윈도우 샌드박스 정책이 확장됐다. 추가 정책은 다음과 같다. 
 
  • WindowsSandbox/AllowAudioInput을 사용하면 샌드박스에서 오디오 입력을 활성화하거나 비활성화할 수 있다. 
  • WindowsSandbox/AllowClipboardRedirection을 사용하면 샌드박스를 사용한 호스트 클립보드 공유를 활성화하거나 비활성화할 수 있다. 
  • WindowsSandbox/AllowPrinterRedirection을 사용하면 샌드박스에서 호스트 프린터 공유를 활성화하거나 비활성화할 수 있다. 
  • WindowsSandbox/AllowVGPU를 사용하면 윈도우 샌드박스용 가상화 GPU를 활성화하거나 비활성화할 수 있다. 
  • WindowsSandbox/AllowVideoInput을 사용하면 윈도우 샌드박스에서 비디오 입력을 활성화하거나 비활성화 할 수 있다.


윈도우 헬로우를 통한 생체 인식 

윈도우 헬로우(Windows Hello)는 가상화에서 지문 및 안면 센서를 지원하므로 사용자 생체 인식 인증을 더욱 격리하고 보장한다. 


새로운 보안 설정 4가지 

20H2에 포함된 4가지 새로운 보안 설정은 흥미로운 조합이며, 이 가운데 하나는 최근 이슈가 된 보안 취약점을 해결한다. 

첫 번째 새로운 설정은 ‘도메인 컨트롤러: 취약한 넷로그온(Netlogon) 보안 채널 연결 허용’이다. 이는 최근 패치된 제로로그온(Zerologon) 취약점 때문에 필요하다. 이런 패치(CVE-2020–1472)를 도메인 컨트롤러에 적용한 후, 도메인에 연결할 수 없는 비준수 장치에 대한 차단을 허용한다. 이 기능은 ‘Machine’ 다음 ‘Security Options’에 위치한다. 

다음 새로운 설정은 ‘클라우드에 최적화된 콘텐츠 끄기’다. 이것은 ‘Machine’ 다음에 “Windows Components\Cloud Content”에 있다.

윈도우 업데이트와 관련한 또 다른 새로운 설정은 ‘기능 업데이트를 위한 보호 기능 사용 안 함’이다. 마이크로소프트는 기능 릴리스를 제대로 배포할 수 없는 시스템에 대한 기능 업데이트를 차단한다. 이 설정을 사용하면 해당 차단으로 무시할 수 있다. 이는 "Machine" 다음에 ‘Windows Components\Windows Update\Windows Update for Business’에 있다. 

마지막 새로운 설정은 ‘Alt-Tab에 엣지 탭 포함 구성’이다. 이는 ‘User’ 다음 ‘Windows Components\Multitasking’에 있다. editor@itworld.co.kr 


X