Windows 장치를 보호하기 위해 Intune에서 보안 정책 만들기

2024년 1월 8일

이 기술 및 교육 문서의 목적은 보안 분석가, IT 관리자 및 시스템 엔지니어가 Windows 장치를 보호하기 위해 Microsoft Intune에서 강력한 보안 정책을 만들고 구현하는 방법을 안내하는 것입니다. Microsoft Endpoint Manager의 일부인 Microsoft Intune은 통합 엔드포인트 관리를 위한 포괄적인 솔루션을 제공하여 조직이 장치 위치에 관계없이 장치를 관리하고, 데이터를 보호하고, 보안 정책을 준수할 수 있도록 해줍니다[1].

소개

장치가 회사 소유이거나 개인(BYOD)일 수 있고 어디서나 회사 리소스에 액세스할 수 있는 현대 직장에서는 엔드포인트 보안이 그 어느 때보다 중요합니다. Microsoft Intune은 Windows 장치에서 보안 정책의 관리 및 시행을 단순화하여 중요한 데이터에 액세스하기 전에 기업 표준을 충족하는지 확인합니다[2].

이 실무 가이드에서는 실제 시나리오에 초점을 맞추고 단계별 지침, 예제 구성 및 유효성 검사 방법을 제공하면서 규정 준수 정책, 장치 구성 프로필 등 Intune에서 다양한 유형의 보안 정책을 만드는 방법을 다룹니다. 목표는 독자가 이러한 정책을 효과적으로 구현하고 조직의 보안 상태를 개선할 수 있도록 하는 것입니다.

보안 정책에 Intune을 사용하는 이유는 무엇인가요?

Intune은 Windows 장치 보안 관리에 대한 여러 가지 이점을 제공합니다.

통합 관리: 단일 콘솔에서 Windows, macOS, iOS/iPadOS 및 Android 장치를 관리합니다.
지속적인 규정 준수: 기업 리소스에 액세스하기 전에 장치가 보안 요구 사항을 충족하는지 확인합니다.
자동화: 보안 설정, 업데이트 및 애플리케이션 배포를 자동화합니다.
통합: 조건부 액세스를 위한 Azure AD(Microsoft Entra ID) 및 고급 위협 보호를 위한 엔드포인트용 Microsoft Defender와 같은 다른 Microsoft 솔루션과 통합됩니다.
유연성: 완전 관리형 기업 장치부터 BYOD까지 다양한 시나리오를 지원합니다.

전제조건

이 튜토리얼을 따르려면 다음 항목이 필요합니다.

라이선스: Microsoft Intune에 대한 유효한 라이선스입니다. Microsoft 365 E3, E5, F1, F3 또는 EMS(Enterprise Mobility + Security) 독립 실행형 라이선스와 같은 패키지에 포함되는 경우가 많습니다[3].
관리 액세스: Microsoft Endpoint Manager 관리 센터(https://endpoint.microsoft.com)에서 전역 관리자 또는 Intune 관리자 권한이 있는 계정입니다.
등록된 Windows 장치: Microsoft Intune에 이미 등록된 Windows 10/11 장치입니다. 등록은 Azure AD 조인, 하이브리드 Azure AD 조인 또는 BYOD 수동 등록을 통해 수행할 수 있습니다.
사용자 및 장치 그룹: 체계적인 방식으로 정책을 할당하기 위한 Azure AD의 보안 그룹입니다.

단계별: Intune에서 보안 정책 만들기

Intune의 포괄성을 보여주기 위해 다양한 유형의 정책을 만들겠습니다.

1. 장치 규정 준수 정책 만들기

규정 준수 정책은 장치가 "규정 준수"로 간주되기 위해 충족해야 하는 요구 사항을 정의합니다. 비준수 장치는 조건부 액세스 정책을 통해 회사 리소스에 액세스하지 못하도록 차단할 수 있습니다.

단계:

Microsoft Endpoint Manager 관리 센터로 이동합니다.
장치 > 규정 준수 정책으로 이동합니다.
정책 만들기를 클릭합니다.
플랫폼 Windows 10 이상을 선택하고 만들기를 클릭합니다.
기본: 정책에 이름(예: Windows - 기본 규정 준수 정책)과 설명을 지정합니다. 다음을 클릭하세요.
규정 준수 설정: 여기에서 규칙을 정의합니다. 중요한 설정의 예:
- 장치 무결성:
  - BitLocker 필요: 필요. 시스템 드라이브가 암호화되었는지 확인합니다.
  - 장치에서 보안 부팅을 활성화해야 합니다: '필수'. 부팅 프로세스에서 루트킷으로부터 보호합니다.
- 장치 속성:
  - 최소 OS 버전: 최소 Windows 버전을 gara로 설정합니다.지원되는 최신 운영 체제만 사용되는지 확인하십시오.
- 시스템 보안:
  - 모바일 장치를 잠금 해제하려면 비밀번호가 필요합니다: '필수'.
  - 방화벽: '필수'. Microsoft Defender 방화벽이 활성화되어 있는지 확인합니다.
  - 바이러스 백신: '필수'. Windows 보안 센터에 등록된 바이러스 백신 솔루션이 활성화되어 있는지 확인합니다.
비준수에 대한 조치: 장치가 규정을 준수하지 않을 경우 어떻게 되는지 정의합니다. 기본 작업은 즉시 기기를 지원되지 않는 것으로 표시하는 것입니다. 사용자에게 이메일을 보내는 등의 다른 작업을 추가할 수 있습니다.
할당: Azure AD 장치 또는 사용자 그룹에 정책을 할당합니다.
검토 + 생성: 설정을 검토하고 만들기를 클릭합니다.

2. 장치 구성 프로필 생성

구성 프로필은 장치에 보다 자세한 보안 설정을 적용하는 데 사용됩니다.

단계:

Microsoft Endpoint Manager 관리 센터에서 장치 > 구성 프로필로 이동합니다.
프로필 만들기를 클릭합니다.
플랫폼 Windows 10 이상 및 프로필 유형 설정 카탈로그를 선택합니다. 만들기를 클릭합니다.
기본: 프로필에 이름(예: Windows - Defender 보안 설정)과 설명을 지정합니다.
구성 설정: 설정 추가를 클릭합니다. 설정 선택기를 사용하여 원하는 정책을 찾아 설정하세요. 예를 들어 Microsoft Defender를 구성하려면 다음을 수행합니다.
- "Microsoft Defender"를 검색하세요.
- 'Microsoft Defender Antivirus' 및 '실시간 보호'와 같은 카테고리를 선택하세요.
- 다음과 같은 설정을 활성화합니다:
  - 실시간 보호 활성화: '활성화됨'.
  - 클라우드 제공 보호 활성화: '활성화됨'.
  - 클라우드에서 제공되는 보호 수준: 높은 차단 수준.
할당: 프로필을 장치 그룹에 할당합니다.
검토 + 생성: 프로필을 검토하고 생성합니다.

3. 보안 기준 적용

기준선은 Microsoft에서 권장하는 미리 구성된 보안 설정 집합입니다. 이는 강력한 보안 태세를 강화하는 가장 빠른 방법입니다.

단계:

엔드포인트 보안 > 보안 기준으로 이동합니다.
사용하려는 기준을 선택합니다(예: Windows 10 이상용 보안 기준).
프로필 만들기를 클릭합니다.
이름과 설명을 입력하세요.
구성 설정: 기본 설정을 검토합니다. 필요에 따라 사용자 정의할 수 있지만 이상적으로는 Microsoft의 권장 사항을 따르는 것이 좋습니다.
할당: 장치 그룹에 기준선을 할당합니다.
검토 + 생성: 프로필을 생성합니다.

검증 및 모니터링

정책을 만들고 할당한 후에는 정책 시행 및 장치 규정 준수를 모니터링하는 것이 중요합니다.

규정 준수 정책: 장치 > 규정 준수 정책으로 이동하여 정책을 선택한 다음 장치 상태 및 구성별 상태를 확인하여 어떤 장치가 규정을 준수하는지 여부와 그 이유를 확인하세요.
구성 프로필: 장치 > 구성 프로필로 이동하여 프로필을 선택한 후 상태 보고서를 확인하여 설정이 성공적으로 적용되었는지 확인하세요.

결론

Microsoft Intune은 기업 환경에서 Windows 장치의 보안을 강화하기 위한 강력한 도구입니다. 관리자는 규정 준수 정책, 구성 프로필 및 보안 기준을 결합하여 장치가 높은 보안 표준을 충족하도록 보장하고 조직의 데이터를 위협으로부터 보호할 수 있습니다. 이러한 정책을 올바르게 구현하는 것은 제로 트러스트 보안 아키텍처를 향한 여정의 기본 단계입니다.

참고자료

[1] 마이크로소프트. (2023). Microsoft Intune이란 무엇입니까? [2] 마이크로소프트. (2023). Microsoft Intune으로 데이터와 장치를 보호하세요. [3] 마이크로소프트. (2023). Microsoft Intune에 사용 가능한 라이선스.