TechDays Korea 2015

1. Windows 10 엔터프라이즈 시나리오
Part II - 보안 및 관리
권순만 / Microsoft MVP (Windows and Device for IT)
㈜테크데이타

2. 암호는 더
이상
충분하지
않다.
빨리 새로운
기술을 채택할
필요성을
느끼는가?
사용자는 앱
및 데이터를
언제 어디서나
액세스할
있어야 한다.
너무 많은
도구와 너무
많은 관리
포인트
더 이상의
배포에 대한
부담을 줄일
순 없는가?
Microsoft와의
더 많은
투명성과 열린
피드백을
원한다.
IT 예산을
최소화하여
관리할 수
있는 방안을
모색
기업의
데이터를
어떻게
보호할 수
있습니까?
모바일
장치에 대한
보안이
최고의
관심사
사용자와 IT 관리자들의 아우성
2

3. 엔터프라이즈를 위한 Windows 10
더 높은 생산성
을 위한
환경 제공
발전하는 보안
위협으로
부터의 보호 방안
비즈니스 환경을 위한
혁신 적인 장치
지속적인 혁신을 위한
관리의 필요성
3

4. Windows 10 기업용 에디션 비교
4

5. Windows 10 기업용 에디션 기능
기본 사항
http://www.microsoft.com/ko-kr/WindowsForBusiness/Compare
Windows 10
Profession과
Enterprise 공통
기능
5

6. Windows 10 Enterprise 기능
Win 8 Win 10
Direct Access
Windows To Go 툴
AppLocker
Branch Cache
시작 화면 제어
Granular UX 제어
Credential Guard
Device Guard
LTSB
6

7. Windows 10 Enterprise 관리 기능
7

8. Windows Update 종류
8
Windows Insider Preview Branch Current Branch
Current Branch for Business Long Term Servicing Branch

9. Windows Update 종류 비교
적용 시나리오구분
Current
Branch
(CB)
Current
Branch for
Business
(CBB)
Long
Term
Servicing
Branch
(LTSB)
에디션
• Home
• Pro
• Enterprise
• Education
Time in Market
• 일반 사용자
• BYOD 사용자
• 시스템 테스터
• ~4 개월
• 일반 업무 사용자
• 비 중요 시스템
• 4-8 개월
• 업데이트 지연
• 공장 / 항공 관제 / 병원
• 특별 관리 시스템 사용자
• 5년 일반 지원
• 5년 연장 지원
• Pro
• Enterprise
• Education
• Enterprise
9

10. CBB(Current Branch for Business) vs. LTSB (Long Term Servicing Branch)
10
Current Branch for
Business (CBB)
Long Term Servicing
Branch (LTSB)
Ongoing security updates for
the lifetime of the branch
1st party browsing choices
Several months to consume
feature updates
Support for Universal Office
and some 1st party Universal apps
No feature upgrade required to stay
supported
Value of the latest features
as they are released
Capabilities
Enterprise 적용 시나리오 일반적인 업무 사용자
특별한 시스템 및 사용자:
Air Traffic Control; Hospital ER, etc.
Microsoft Edge, IE 11
Support for Win 32 Office
Ability to load universal apps
IE 11

11. Demo
• Windows Update 관리 그룹 정책
11

12. Windows 10 관리 옵션
12

13. Workplace Join
13
장치 등록 서비스
(Device Registration Service, DRS)
 장치 인증을 하기 위해 디바이스를 등록하는 서비스
 Windows Server 2012 R2의 ADFS의 세부 서비스로 구성
장치를 등록하고, 장치 인증을 처리할 수 있도록 구성하는 것을
Workplace Join
Start
Active Directory
Start

14. Microsoft 클라우드를 통한 Windows 10 관리
14
Azure AD 조인
1. Azure AD 자격 증명을 통해 장치에 로그인
2. 로컬 관리자를 설정
3. 장치 로그온을 차단 가능
4. 장치에 MDM을 등록하여 적용
5. O365 & SaaS 앱의 SSO 가능
Intune를 사용한 장치 등록
1. 장치에 정책을 적용이 가능
2. 장치에 앱 배포
3. 규정 준수에 대한 장치의 상태 보고
4. 원격 초기화(Remote Wipe) 기능
Intune

15. Demo
• Azure AD 구성 및 Azure AD Join
15

16. Azure AD Join 검증
16

17. Windows 10 MDM(Mobile Device Management)
Windows 10 환경의 모바일 및 데스크 톱 장치 모두를 관리할 수 있는 추가 기능
이 제공 됩니다.
17
BYOD: 간단한 보안 설정
장치 잠금
기업 관점의 모든 관리 기능
Windows 8.1 Windows 10

18. OMA-DM(Open Mobile Alliance – Device Management)
18

19. Windows 10 모바일 관리 아키텍처
19
MDM Client
Common Device Configurator
WMI providers
Provisioning
Engine
MDM Configuration Service Providers (CSP’s)
EAS Client WMI Bridge
DEVICE/OS
SERVICE/SERVER EASProvisioningMDM (Intune) ConfigMgr
Common component PC component

20. OMA-DM 통신
20
MDMClient
MDM Configuration Service
Providers (CSP’s)
CommonDevice
Configurator
MDM (Intune)
CSP(Configuration Service Provider)
CSP는 디바이스에 구성 설정을 읽고,
설정, 수정 또는 삭제하는 인터페이스
SyncML
CSP를 구성하는 모든 정보와 파일

21. 예제 : CSP 구성 정책
21
{unique device ID}
./Vendor/MSFT/Policy/Config/DeviceLock/MinDevicePasswordLength
6
SyncML
SyncHeaderSyncBody
Device
OMA-URI
Value

22. OMA-URI(Open Mobile Alliance – Uniform Resource
Identifier)
22

23. 23

24. Windows 10 장치를 위한 사용자 지정 구성 제공
24
Custom URI settings for Windows 10 devices Configuration service provider reference
•AppLocker CSP
•AssignedAccess CSP
•ClientCertificateInstall CSP
•CustomDeviceUI CSP
•Defender CSP
•DeviceStatus CSP
•DiagnosticLog CSP
•EnterpriseAPN CSP
•EnterpriseDesktopAppManagement CSP
•EnterpriseExt CSP
•EnterpriseExtFileSystem CSP
•EnterpriseModernAppManagement CSP
•HealthAttestation CSP
•PassportForWork CSP
•Policy CSP
•Provisioning CSP
•RemoteFind CSP
•RootCATrustedCertificates CSP
•UnifiedWriteFilter CSP
•Update CSP
•VPNv2 CSP
•WindowsLicensing CSP

25. Demo
• Intune을 사용한 디바이스 관리 및 정책
25

26. 26

27. 장치 등록
27
ITUser

28. 장치 등록
28
디바이스
등록
정책 적용
Company Portal
사용자 디바이스를 위한 앱 추천
ITUser

29. 장치 등록을 통한 접속 권한 제공
29
1
사용자 2

30. Demo
• 조건부 액세스 이메일(Conditional Access eMail)
30

31. Windows 10 Enterprise 보안 기능
31

32. Windows 10 향상된 보안 기능
32
Windows 7 Windows 10
추가 인증에 대한 쉬운 배포
윈도우 환경에서 생체인식을 이용한 인증
입력하는 패스워드에
대한 의존도
도용하기 쉬운 자격증명
사용자 보호
자동화된 디스크 암호화와 통합된 데이터
손실 방지
디스크 암호화의 수동
프로비저닝
별도의 3rd 파티 DLP
솔루션 필요
데이터 보호
신뢰할 수 있는 앱만을 실행
격리를 통한 탄력적인 시스템 보호
위협 감지 및 공격시
신뢰성 검증
위협 대비 안티 바이러스
의 대응 속도 한계
위협 방어
향상된 소프트웨어와 하드웨어 기반의 통
합된 보안
소프트웨어 보안의 한계
장치 보안

33. Microsoft Passport / Windows Hello
33

34. 34

35. 네트워크 환경에서 ID와 PW의 취약점
35
Social
.com
Bank
.com
Network
.com
LOL
.com
인터넷 환경에서
사용하는 ID와 PW
사내에서 제공되는
사용자 계정과 PW
인증서를 탈취 또는 손상
공격으로부터의 위협

36. ID와 PW의 취약점 – 인터넷 환경
인터넷 환경에 한 곳의 사이트에서 사용자 ID와 PW가 유출 되는 경우는 다른 웹
사이트까지 영향을 받을 가능성은 상당히 높을 수 있습니다.
사용자
해커
1
Social
.com
Bank
.com
Network
.com
LOL
.com
Obscure
.com
1
2
36

37. ID와 PW의 취약점 – 기업 환경
기업 환경에서는 제공되는 사용자 계정과 PW이 유출되는 경우는 손쉽게 내부 리
소스 접근이 가능하게 됩니다.
37
사용자
1
3
5
Device
IDP
IDP
IDP
2
4
Network
Resource해커

38. ID와 PW의 취약점 – 인증서 공격
인증서를 탈취하기 위한 지속적인 공격이 이루어지고 있습니다.
38
1
Windows 8.1
사용자
2
IDP
Active Directory
3
4 5
6Network
Resource
해커

39. 새로운 사용자 인증 제공
39
IDP
Active Directory
Azure AD
Google
Facebook
Microsoft Account
1
User
2
Windows 10
3
Intranet
Resource 4
4
Intranet
Resource

40. 40

41. Windows Hello 센서
Windows Biometric framework에 통합되어 제공되며, 기존의 텍스트 형태의 패스
워드, 개인 PIN을 지문, 안면 인식 및 홍채까지 지원합니다.
41
- 현재 모든 지문인식 인증이
가능한 장치에서 지원
- Intel® RealSense™ 를 통한 안면
인식 인증 지원
- Windows Hello 센서 사양을
충족한 IR 센서가 포함된 모든
장치
- 눈의 “홍채＂를 통한 인증
방법으로 곧 제공되고, 관련된
요구사항에 대하여 곧 게시될
예정

42. Windows Hello 안면 인식 세부 보안 요구사항
Windows Biometric framework에 통합되어 제공되며, 기존의 텍스트 형태의 패스
워드, 개인 PIN, 지문인식등에서 사용자의 안면 인식하여 인증처리하는 기능이 포
함 합니다.
42
-
-
-
-
*FAR (誤수락율) : 등록된 사용자를 잘못 인식하여 수락하는 확률
*FRR (誤거부율): 등록된 사용자를 인식이 안되어 거부하게 될 확률
FAR>FRR 중요

43. Demo
• Windows Hello 로그인
43

44. 사례 : Windows Hello
44
Windows Hello: can identical twins fool Microsoft and Intel?
http://www.theaustralian.com.au/business/in-depth/windows-hello-can-identical-twins-fool-microsoft-and-intel/story-fnw66tov-1227490164701

45. 엔터프라이즈 데이터 보호(EDP)
45

46. 엔터프라이즈 데이터 보호(EDP)
46
Lync eMail Facebook
OneDrive
for
Business Contacts WhatsApp
LOB App Calendar OneDrive
PDF Reader Photos
Flappy
Birds
업무용 앱 &
데이터
(관리 앱)
개인 앱 &
데이터
(비 관리 앱)
Other Other Other
Data exchange is controlled
단일 경험
격리된 데이터
사용하지 않는 데이터 암호화
데이터 교환 차단/감사
조직이 키를 관리
정체 불명의 앱 차단
3rd Party를 위한 API
MDM 관리

47. 엔터프라이즈 데이터 보호
회사 앱(관리되는
앱)
개인 앱개인 앱
회사앱(관리되는 앱)
ITUser

48. 엔터프라이즈 데이터 보호
48
개인 앱
Managed apps
복사/잘라내기/붙여넣기등의 제한 조치에 의해 기
업 데이터의 누출을 방지할 수 있음
User

49. Demo
• 엔터프라이즈 데이터 보호(EDP)를 통한 콘텐츠 보안
49

50. Device Guard
52

51. Device Guard 란?
53
정보 보호
사용자
계정 보호
보안 위협
차단
Windows 10 새로운 보안 기능으로
하드웨어 + 소프트웨어 보안 기능의 결합
Device Guard
솔루션
하드웨어
요구사항

52. Device Guard 솔루션
54
Virtualization based
Security (VBS)
Hypervisor Enforced
Code Integrity
Credential Guide
Configurable
Code Integrity (CI)

53. Device Guard 설정 상태 확인
Device Guard 설정 상태를 확인하는 방법은 GUI 또는 PowerShell을 사용하여 확인
할 수 있습니다.
55
Get-CimInstance –ClassName Win32_DeviceGuard –
Namespace rootMicrosoftWindowsDeviceGuard
msinfo.32.exe
참고 : https://technet.microsoft.com/en-us/library/mt463091(v=vs.85).aspx

54. Credential Guard 로그인
56
LSASS
NTLM
Kerberos
Kerb key TGT
Hypervisor
Password: a1b2c3
User: Alice
VSM(Virtual Security Mode)
NTLM
Kerberos
NTOWF: C9DF4E56…
TGT key File server
Domain
Controller
NTOWF: C9DF4E56…
Kerb key
Alice’s User
Session

55. 코드 무결성(Code Integrity)
• 디바이스 자체에 대한 무결성
• 플랫폼 자체에 대한 무결성
• 앱에 대한 무결성
• 무결성에 대한 지속적인 확인
57
ROM/Fuses
Bootloader
s
Native UEFI
Windows
OS Loader
Windows Ker
nel and Drive
rs
3rd Party Dri
vers
User mode code (apps, et
c.)
KMCIUEFI Secure Boot UMCIPlatform Secure Boot AppLocker

56. Device Guard 계획 가이드
58
1
2
3
4
5

57. Demo
• Golden Image 생성 및 정책 생성 방법
59

58. 문서 보안(Right Management Service)
66

59. RMS(Right Management Service)란?
정보가 생성이 될 때, 파일의 내용은 암호화가 되고, 암호화한 키는 파일의 사용 권한과 함께 파일에 저장
되며,파일에 저장된 암호화 키는 조직의 루트 키로 한번 더 암호화가 이루어집니다.
67
[기밀]
콜라 제조법:
• 물
• HFCS
• 밤색 #16
#!@#!#!@#!
()&)(*&)(@#!
#!@#!#!@#!
()&)(*&)(@#!
#!@#!#!@#!
()&)(*&)(@#!
사용 권한 +
[기밀]
콜라 제조법:
• 물
• HFCS
• 밤색 #16
보호되지 않는 문서
Protect Unprotect
사용 권한과 콘텐츠 키를
포함된 정책이 문서에 추가
#!@#!#!@#!
()&)(*&)(@#!
#!@#!#!@#!
()&)(*&)(@#!
#!@#!#!@#!
()&)(*&)(@#!
사용 권한 +
조직의 RSA 루트 키로
라이선스 보호
파일 컨텐츠는 절대 RMS 서버/서비스에 저장하지 않음

60. RMS 감사 기능
69

61. RMS 감사 기능
70

62. RMS 감사 기능
71

63. Demo
• Azure RMS 정책 설정 및 RMS 감사 기능
72

64. 요약 - Windows 10 향상된 관리 및 보안
73
관리 기능 보안 기능
사용자
보호
데이터
보호
위협
방어
장치
보안
WaaS
관리
옵션
MDM
Deploy

65. 요약 – 비즈니스 혁신을 위한 Windows 10
74
하드웨어 기반의 보안
보안 부팅
하드웨어-기반 분리를 통한
엔터프라이즈 자격인증 보호
사용자 계정 위협으로 부터 보호
Microsoft Passport
Windows Hello
기업의 데이터의 보호
엔터프라이즈 데이터 보호(EDP)
악성코드 보호
Device Guard
모바일 사용자를 위한 향상된 보안
보안 원격 연결
기업에 적합한 관리 솔루션을 선택
MDM(Mobile Device Management)
그룹 정책
새로운 배포 방식의 지원
Dynamic provisioning
In-place 업그레이드
클라우드 환경의 사용자 계정 관리
Azure AD Join (desktop and phone)
SSO를 통한 앱, 장치, 데이터 및
사용자 상태 로밍 가능
쉽고, 편의성 스토어
Private 카탈로그 영역
Windows Business Store
최신의 기능과 보안 상태 유지
Windows Update for Business
사용자 경험을 극대화
시작 메뉴
Continuum
Continuum for Phone
하나의 통합된 앱 사용
Windows Universal Apps
모든 Windows 장치간의 생산성
제공
Office for Windows
향상된 웹 경험 지속적인 호환성
제공
Microsoft Edge
Internet Explorer 11
지속적인 기존 PC 환경 혁신
하드웨어 호환성
세분화된 UX 컨트롤
Windows 기반의 넓은 선택의 폭
2-in-1 장치
Surface
Lumia
혁신적인 Windows 장치를 통한
생산성 증가
Surface Hub
HoloLens
더욱 향상된 생산성을 위한
환경 제공
지속적인 보안 위협에 대한
보호 기능 제공
비즈니스 환경에서
제공되는 혁신적인 장치
관리를 위한 향상되고
지속적인 추가 기능 제공

66. Q&A
75

67. • MSDN Forum http://aka.ms/msdnforum
• TechNet Forum http://aka.ms/technetforum
Windows 10의 Enterprise를 위한 기능은 현재가
아닌 미래를 위해 계속 진화하고 있습니다.
IT 관리자가 생산성 높은 관리와 더욱 안전한
환경의 컴퓨팅 환경을 원하신다면, Windows 10
업그레이드를 고려 하시길 바랍니다.
Email : smkwon@techdata.co.kr
FB: @hakunamata2

68. http://aka.ms/td2015_again
TechDays Korea 2015에서 놓치신 세션은
Microsoft 기술 동영상 커뮤니티 Channel 9에서
추후에 다시 보실 수 있습니다.