SC-ConfigMgr07_bL

Windows Server 2008에 포함되어져 있는 NAP(Network Access Protection) 기술을 이용하시면, Windows 플랫폼만을 가지고, 시스템에 대한 보안 컴플리언스 체크를 지속적으로 할 수 있습니다.

NAP에 대해서 궁금하신 분들께서는 기존에 제가 포스팅했던 내용을 참조하신 후, 이 포스팅을 보시면 이해에 도움이 되실 것입니다.

기본적으로 Windows Server 2008에서 제공하는 NPS의 SHV(System Health Validator)는 시스템의 패치 상태에 대해서는 어느 카테고리의 업데이트를 몇시간이내에 Microsoft Update 혹은 사내의 WSUS와 교신해는지를 확인합니다.

image

또한 패치가 되어져 있지 않아, 격리된 클라이언트에 대해, 클라이언트 사용자가 직접 패치나 업데이트 작업을 진행해주기 전까지는, 이에 대한 자동화가 어려운 것도 사실입니다. 이러한 이슈는 이미 WSUS를 사용하는 경우에도 존재하고 있었습니다. 조직의 관리자가 빠르게 강제적으로 사용자에게 패치 혹은 안티 바이러스의 엔진을 설치하기 위해서는 SMS(System Management Server)가 필요했습니다.

SMS 2003의 다음 버전 이름은 System Center Configuration Manager 2007입니다. SCCM이라고 줄여서 많이 부르는 해당 기술을 이용하면 NAP을 보다 강력하게 업그레이드시켜 줍니다.

image

SCCM에는 SHV Point라는 역할이 새롭게 등장했습니다. 이는 NAP 사용자의 보안 업데이트와 패치, 서비스 팩과 같은 사항을 추가적으로 확인할 수 있게 도와줍니다.

NPS에서의 설정과 더불어, SCCM을 위한 NAP 설정이 추가로 필요합니다.

image

만약 위와 같은 업데이트가 사내에 반드시 설치가 되어져 있어야 하며, 설치되지 않은 클라이언트에 대해서는 네트워크 격리와 더불어, 즉각적인 업데이트를 필요로 한다면... 먼저 이를 SCCM용 NAP 정책으로 선언합니다.

image

이러한 업데이트 정책에 대해 설치가 되어져 있지 않은 NAP 클라이언트는 정책 위배(Non-Compliant)로 보게 됩니다. 이렇게 되면, 해당 클라이언트는 SCCM으로부터 업데이트를 적용받게 됩니다. 자.. 그렇다면, NPS 시스템에서는 어떠한 변화가 생겨져 있을까요?

image

SMS용 SHV가 있는 것을 보실 수 있습니다. SCCM에서 NAP용 정책을 만들게 되면, 이는 액티브 디렉터리로 저장되게 됩니다. 이를 주기적으로 SHV Point가 확인을 하게 됩니다. 기본적으로 1시간마다 한번씩 체크하게 되어져 있고, NAP 클라이언트에 전송되는 캐쉬되어진 SoH(상태 정보)는 8시간이내에는 한번씩 재생성이 되어야 합니다. 하단에 보이시는 "Date created must be after (UTC)"라고 되어져 있는 것은 긴급 업데이트가 발생했을 경우, 반드시 이시간 이후에는 SCCM의 확인을 받아야 한다는 의미로 보시면 됩니다. Zero Day 공격이 예상되는 경우에, 모든 NAP 클라이언트를 한번에 다 Non-Compliant로 만드는 옵션입니다.

image

클라이언트 레벨의 설정은 얼마마다 한번씩 서버로 보안 점검을 받을 것인가와 캐쉬된 SoH를 사용할 것인가를 결정할 수 있습니다.

image

결국 Windows 방화벽, 자동 업데이트, 안티 스파이웨어, 안티 바이러스에 대한 설치 여부 체크는 Windows Server 2008이, 패치 및 엔진 업데이트에 대한 관리는 SCCM 2007이 하게 되는 모습으로 NAP 인프라의 가장 강력한 보안 환경이 구축되게 됩니다.

image image

참고 자료 - SMS NAP Process Flow

+ Recent posts