본문 바로가기

IT 살이/03. 관리 - 보안 관리

내 PC의 UAC정책 설정 내용을 보자.

그룹 정책 편집기를 실행시켜 보면 현재 내 PC에 설정된 정책 내용을 볼 수 있는데, 이곳에서 UAC 정책 설정 내용도 볼 수 있다.

"시작->검색 시작->gpedit.msc"

"로컬 컴퓨터 정책->컴퓨터 구성->Windows 설정->보안설정->로컬 정책->보안 옵션"을 선택하면 그림과 같은 내용의 UAC 설정을 볼 수 있다.

[그림] 내 PC의 UAC 정책 설정

이 설정 내용을 보면 UAC에 의해서 어떤 일들이 일어나는지를 알 수 있고 그래서 UAC 개념에 대한 이해에도 도움이 될 것이다. 다음은 각 정책을 더블 클릭했을 때 나오는 설명들로서, 몇가지 확인해봐야 하는 내용도 있지만 그대로 복사해 놓고 있다.


1. 각 사용자 위치에 파일이나 레지스트리를 쓰기 오류 발생할 때 가상화 : 사용

사용자 계정 컨트롤: 파일 및 레지스트리 쓰기 실패를 사용자별 위치로 가상화합니다.

이 보안 설정은 레거시 응용 프로그램 쓰기 실패를 레지스트리 및 파일 시스템 내의 정의된 위치로 리디렉션할 수 있도록 합니다. 이 기능은 일반적으로 관리자로 실행하는 응용 프로그램을 줄이고 런타임 응용 프로그램 데이터를 %ProgramFiles%, %Windir%; %Windir%\system32 또는 HKLM\Software\....에 다시 씁니다.

가상화를 사용하면 표준 사용자로 실행할 때 일반적으로 실패한 Vista 이전의 레거시 응용 프로그램을 쉽게 실행할 수 있습니다. Windows Vista 호환 응용 프로그램만 실행하는 관리자는 필요하지 않은 경우 이 기능을 사용하지 않도록 선택할 수 있습니다.

옵션은 다음과 같습니다.

• 사용: 파일 시스템 및 레지스트리 둘다에 대해 정의된 사용자 위치로 응용 프로그램 쓰기 실패를 쉽게 런타임 리디렉션합니다.

• 사용 안 함: 데이터를 보호된 위치에 쓰는 응용 프로그램은 Windows 이전 버전에서처럼 실패합니다.

기본값: 사용 안 함

2. 관리자 계정의 경우 관리 승인 모드에서 모든 어플리케이션 실행 : 사용

사용자 계정 컨트롤: 관리자를 포함한 모든 사용자를 표준 사용자로 실행

이 보안 설정은 전체 시스템의 모든 UAC 정책 동작을 결정합니다.

옵션은 다음과 같습니다.

• 사용: 관리자 승인 모드 및 모든 기타 UAC 정책은 이 옵션을 사용하는지에 따라 다릅니다. 이 설정을 변경하면 시스템을 다시 부팅해야 합니다.

• 사용 안 함: 관리자 승인 모드 사용자 종류 및 모든 관련 UAC 정책을 사용하지 않습니다. 참고: 보안 센터에서 운영 체제의 전체 보안이 낮아졌음을 알립니다.

기본값: 사용

3. 관리자 계정일 때 관리 승인 모드에서 권한 상승 확인 방법 : 동의 확인

사용자 계정 컨트롤: 관리자 승인 모드에서 관리자에 대한 권한 상승 확인

이 보안 설정은 관리자의 상승 확인 동작을 결정합니다.

옵션은 다음과 같습니다.

• 동의 확인: 권한 상승이 필요한 작업 시 동의 관리자에게 허용 또는 거부를 선택하도록 요청합니다. 동의 관리자가 허용을 선택하면 사용할 수 있는 가장 높은 권한으로 작업을 계속합니다. 이 옵션을 사용하면 사용자가 이름과 암호를 입력하고 권한 있는 작업을 수행할 수 있습니다.

• 자격 증명 확인: 권한 상승이 필요한 작업 시 동의 관리자에게 사용자 이름과 암호를 입력하도록 요청합니다. 사용자가 유효한 자격 증명을 입력하면 해당 권한으로 작업을 계속합니다.

• 확인 없이 상승: 이 옵션을 사용하면 동의 관리자가 권한 상승이 필요한 작업을 동의나 자격 증명 없이 수행할 수 있습니다. 참고: 이 시나리오는 가장 제한된 환경에서만 사용해야 합니다.

기본값: 동의 확인

4. 권한 상승시 보안 데스크탑으로 전환 : 사용

사용자 계정 컨트롤: 권한 상승 확인 시 보안 데스크톱으로 전환

이 보안 설정은 상승 요청 시 대화형 사용자 데스크톱 또는 보안 데스크톱에서 확인을 요청할 것인지 결정합니다.

옵션은 다음과 같습니다.

• 사용: 모든 상승 요청이 기본적으로 보안 데스크톱으로 갑니다.

• 사용 안 함: 모든 상승 요청이 대화형 사용자 데스크톱으로 갑니다.

기본값: 사용

5. 기본 제공 관리자 계정에 대한 관리자 승인 모드 : 사용 안 함

사용자 계정 컨트롤: 기본 제공 관리자 계정에 대한 관리자 승인 모드

이 보안 설정은 기본 제공 관리자 계정에 대한 관리자 승인 모드 동작을 결정합니다.

옵션은 다음과 같습니다.

•사용: 기본 제공 관리자가 관리자 승인 모드로 로그온합니다. 기본적으로 권한 상승이 필요한 작업은 동의 관리자에게 허용 또는 거부를 선택하도록 요청합니다.

• 사용 안 함: 기본 제공 관리자가 XP 호환 가능 모드에서 로그온하며 기본적으로 모든 응용 프로그램을 관리자 권한으로 실행합니다.

기본값: 사용 안 함

6. 안전한 곳에 설치된 UIAccess 어플리케이션만 권한 상승 : 사용

사용자 계정 컨트롤: 보안 위치에 설치된 UIAccess 응용 프로그램만 상승:

이 보안 설정은 UIAccess 무결성 수준(해당 응용 프로그램 매니페스트에서 UIAccess=true 표시를 통해)으로 실행을 요청하는 응용 프로그램의 요구 사항을 적용하며 이 설정이 파일 시스템 내의 보안 위치에 있어야 합니다. 보안 위치는 다음 디렉터리로 제한됩니다.

- …\Program Files\, 하위 디렉터리 포함
- …\Windows\system32
- …\Program Files (x86)\, Windows의 64비트 버전에 대한 하위 디렉터리 포함

참고: Windows에서는 이 보안 설정 상태에 상관 없이 UIAccess 무결성 수준으로 실행을 요청하는 대화형 응용 프로그램에서 PKI 서명 확인을 적용합니다.

옵션은 다음과 같습니다.

• 사용: 파일 시스템의 보안 위치에 있는 경우에만 응용 프로그램이 UIAccess 무결성으로 실행됩니다.

• 사용 안 함: 파일 시스템의 보안 위치에 있지 않은 경우에도 응용 프로그램이 UIAccess 무결성으로 실행됩니다.

기본값: 사용

7. 유효성 검사를 통과한 서명된 실행 파일만 권한 상승 : 사용 안 함

사용자 계정 컨트롤: 서명되고 확인된 실행 파일만 상승

이 보안 설정은 권한 상승을 요청하는 대화형 응용 프로그램에서 PKI 서명 확인을 적용합니다. 엔터프라이즈 관리자는 로컬 컴퓨터의 트러스트된 게시자 저장소 내의 인증서 집합을 통해 관리 응용 프로그램 허용 목록을 제어합니다.

옵션은 다음과 같습니다.

• 사용: 실행 파일을 실행하기 전에 PKI 인증서 체인 유효성 검사를 적용합니다.

• 사용 안 함: 주어진 실행 파일의 실행을 허용하기 전에 PKI 인증서 체인 유효성 검사를 적용하지 않습니다.

기본값: 사용 안 함

8. 응용 프로그램 설치할때 권한 상승 확인 : 사용

사용자 계정 컨트롤: 응용 프로그램 설치 검색 및 권한 상승 확인

이 보안 설정은 전체 시스템에 대한 응용 프로그램 설치 검색 동작을 결정합니다.

옵션은 다음과 같습니다.

• 사용: 권한 상승이 필요한 응용 프로그램 설치 패키지를 자동으로 검색하고 구성된 상승 확인 UX를 트리거합니다.

• 사용 안 함: GPSI(그룹 정책 소프트웨어 설치) 또는 SMS와 같은 위임 설치 기술을 사용하는 표준 사용자 데스크톱을 실행하는 엔터프라이즈에서는 이 기능을 사용하지 않습니다. 이 경우 설치 관리자 검색은 필수가 아니므로 필요하지 않습니다.

기본값: 사용(가정)/사용 안 함(엔터프라이즈)

9. 표준 사용자 계정일 때 권한 상승 확인 방법 : 자격 증명 확인

사용자 계정 컨트롤: 표준 사용자의 권한 상승 확인 동작
이 보안 설정은 표준 사용자의 상승 확인 동작을 결정합니다.

옵션은 다음과 같습니다.

• 자격 증명 확인: 권한 상승이 필요한 작업 시 사용자에게 관리자 사용자 이름 및 암호를 입력하도록 요청합니다. 사용자가 올바른 자격 증명을 입력하면 해당 권한으로 작업을 계속합니다.

• 상승 요청 자동 거부: 이 옵션을 사용하면 표준 사용자가 권한 상승이 필요한 작업을 수행하려고 할 때 액세스 거부 오류 메시지를 반환합니다. 표준 사용자로 데스크톱을 실행하는 대부분의 엔터프라이즈에서는 기술 지원 호출을 줄이기 위해 이 정책을 구성합니다.

기본값: 자격 증명 확인(가정)/상승 요청 자동 거부(엔터프라이즈)