OSConfig를 사용하여 Windows Server 2025 보안 기준을 로컬로 배포

• 적용 대상:

  ✅ Windows Server 2025

환경에 Windows Server 2025 보안 기준을 배포하면 원하는 보안 조치가 적용되어 포괄적이고 표준화된 보안 프레임워크가 제공됩니다. Windows Server 2025 기준에는 업계 표준 보안 요구 사항을 충족하도록 300개가 넘는 보안 설정이 포함되어 있습니다. 또한 온-프레미스 및 Azure Arc 연결 디바이스에 대한 공동 관리 지원도 제공합니다. 보안 기준은 PowerShell, Windows Admin Center 및 Azure Policy를 통해 구성할 수 있습니다. OSConfig 도구는 시나리오 기반 접근 방식을 사용하여 환경에 원하는 보안 조치를 제공하고 적용하는 보안 구성 스택입니다. 초기 배포 프로세스부터 OSConfig를 사용하여 디바이스 수명 주기 전체의 보안 기준을 적용할 수 있습니다.

보안 기준의 주요 사항 중 일부는 다음과 같은 적용을 제공합니다.

• Secureed-Core: UEFI MAT, 보안 부팅, 서명된 부팅 체인
• 프로토콜: TLS 적용 1.2 이상, SMB 3.0 이상, Kerberos AES
• 자격 증명 보호: LSASS/PPL
• 계정 및 암호 정책
• 보안 정책 및 보안 옵션

GitHub에서 보안 기준에 대한 설정의 전체 목록을 가져올 수 있습니다.

평가 지침

대규모 작업의 경우 Azure Policy 및 Azure Automanage Machine Configuration을 사용하여 준수 점수를 모니터링하고 확인합니다.

Important

보안 기준을 적용하면 기본 동작과 함께 시스템의 보안 설정이 변경됩니다. 프로덕션 환경에서 이러한 변경 내용을 적용하기 전에 신중하게 테스트합니다.

멤버 서버 및 작업 그룹 멤버 시나리오에 대한 보안 기준을 적용한 후 로컬 관리자 암호를 변경하라는 메시지가 표시됩니다.

아래에서 기준이 적용된 후 더 눈에 띄는 변경 내용 목록을 찾을 수 있습니다.

• 로컬 관리자 암호를 변경해야 합니다. 새 암호 정책은 복잡성 요구 사항과 최소 길이 14자를 충족해야 합니다. 이 규칙은 로컬 사용자 계정에만 적용됩니다. 도메인 계정으로 로그인할 때 도메인 계정에 대한 도메인 요구 사항이 우선합니다.

• TLS 연결에는 최소 TLS/DTLS 1.2 이상이 적용되며, 이로 인해 이전 시스템에 대한 연결이 차단될 수 있습니다.

• RDP 세션에서 파일을 복사하여 붙여넣을 수 없습니다. 이 함수를 사용해야 하는 경우 다음 명령을 실행한 다음 디바이스를 다시 부팅합니다.

  Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/<ServerRoleBeingApplied> -Name RemoteDesktopServicesDoNotAllowDriveRedirection -Value 0
  

• Linux SAMBA와 같은 비 Windows 시스템에 연결하려면 SMB 3.0을 지원해야 하거나 기준선을 조정해야 하므로 연결에는 SMB 3.0 이상이 적용됩니다.

• 현재 OSConfig인 두 가지 방법으로 동일한 설정을 구성하는 경우 충돌이 예상됩니다. 특히 매개 변수가 다른 경우 원본 간에 설정이 지속적으로 변경되지 않도록 원본 중 하나를 제거해야 하기 때문에 드리프트 컨트롤이 관련됩니다.

• 특정 도메인 구성에서 SID 번역 오류가 발생할 수 있습니다. 나머지 보안 기준 정의에는 영향을 주지 않으며 무시할 수 있습니다.

필수 조건

디바이스에서 Windows Server 2025를 실행해야 합니다. OSConfig는 이전 버전의 Windows Server를 지원하지 않습니다.

OSConfig PowerShell 모듈 설치

보안 기준을 처음으로 적용하려면 먼저 관리자 권한 PowerShell 창을 통해 OSConfig 모듈을 설치해야 합니다.

1. 시작을 선택하고, PowerShell을 입력하고, Windows PowerShell을 마우스로 가리키고, 관리자 권한으로 실행을 선택합니다.

2. 다음 명령을 실행하여 OSConfig 모듈을 설치합니다.

   Install-Module -Name Microsoft.OSConfig -Scope AllUsers -Repository PSGallery -Force
   

   NuGet 공급자를 설치하거나 업데이트하라는 메시지가 표시되면 예를 선택합니다.

3. OSConfig 모듈이 설치되어 있는지 확인하려면 다음 명령을 실행합니다.

   Get-Module -ListAvailable -Name Microsoft.OSConfig
   

Windows Server 2025 보안 기준 관리

디바이스의 Windows Server 역할에 따라 적절한 보안 기준을 적용합니다.

• 도메인 컨트롤러(DC)
• 멤버 서버(도메인에 가입된)
• 작업 그룹 구성원 서버(도메인에 가입되지 않은)

기준 환경은 OSConfig를 통해 제공됩니다. 일단 적용되면 보안 기준 설정은 보안 플랫폼의 주요 기능 중 하나인 모든 드리프트로부터 자동으로 보호됩니다.

참고 항목

Azure Arc 연결 디바이스의 경우 연결 전후에 보안 기준을 적용할 수 있습니다. 그러나 연결 후 서버 역할이 변경되는 경우 할당을 삭제하고 다시 적용하여 컴퓨터 구성 플랫폼에서 역할 변경을 검색할 수 있는지 확인해야 합니다. 할당 삭제에 대한 자세한 내용은 Azure Policy에서 게스트 할당 삭제를 참조하세요.

기준을 적용하려면 기준이 적용되었는지 확인하거나, 기준을 제거하거나, PowerShell에서 OSConfig에 대한 자세한 준수 정보를 보려면 다음 탭의 명령을 사용합니다.

구성

도메인에 가입된 디바이스에 대한 기준을 적용하려면 다음 명령을 실행합니다.

Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer -Default

작업 그룹에 있는 디바이스에 대한 기준을 적용하려면 다음 명령을 실행합니다.

Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/WorkgroupMember -Default

DC로 구성된 디바이스에 대한 기준을 적용하려면 다음 명령을 실행합니다.

Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/DomainController -Default

디바이스에 보안 코어 기준을 적용하려면 다음 명령을 실행합니다.

Set-OSConfigDesiredConfiguration -Scenario SecuredCore -Default

디바이스에 대한 Microsoft Defender 바이러스 백신 기준을 적용하려면 다음 명령을 실행합니다.

Set-OSConfigDesiredConfiguration -Scenario Defender/Antivirus -Default

확인

도메인에 가입된 디바이스에 대한 기준이 제대로 적용되었는지 확인하려면 다음 명령을 실행합니다.

Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer

작업 그룹에 있는 디바이스의 기준이 제대로 적용되었는지 확인하려면 다음 명령을 실행합니다.

Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/WorkgroupMember

DC로 구성된 디바이스의 기준이 제대로 적용되었는지 확인하려면 다음 명령을 실행합니다.

Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/DomainController

디바이스의 보안 코어 기준이 제대로 적용되었는지 확인하려면 다음 명령을 실행합니다.

Get-OSConfigDesiredConfiguration -Scenario SecuredCore

디바이스에 대한 Microsoft Defender 바이러스 백신 기준이 제대로 적용되었는지 확인하려면 다음 명령을 실행합니다.

Get-OSConfigDesiredConfiguration -Scenario Defender/Antivirus

제거

도메인에 가입된 디바이스에 대한 기준을 제거하려면 다음 명령을 실행합니다.

Remove-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer

작업 그룹에 있는 디바이스의 기준을 제거하려면 다음 명령을 실행합니다.

Remove-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/WorkgroupMember

DC로 구성된 디바이스에 대한 기준을 제거하려면 다음 명령을 실행합니다.

Remove-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/DomainController

디바이스에 대한 보안 코어 기준을 제거하려면 다음 명령을 실행합니다.

Remove-OSConfigDesiredConfiguration -Scenario SecuredCore

디바이스에 대한 Microsoft Defender 바이러스 백신 기준을 제거하려면 다음 명령을 실행합니다.

Remove-OSConfigDesiredConfiguration -Scenario Defender/Antivirus

규정 준수 확인

지정된 시나리오에 대해 원하는 구성 세부 정보를 가져오려면 다음 명령을 사용합니다. 출력은 구성 항목의 이름, 준수 상태 및 비준수 이유를 포함하는 테이블 형식으로 표시됩니다.

도메인에 가입된 디바이스에 대한 준수 세부 정보를 확인하려면 다음 명령을 실행합니다.

Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer | ft Name, @{ Name = "Status"; Expression={$_.Compliance.Status} }, @{ Name = "Reason"; Expression={$_.Compliance.Reason} } -AutoSize -Wrap

작업 그룹 디바이스에 대한 준수 세부 정보를 확인하려면 다음 명령을 실행합니다.

Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/WorkgroupMember | ft Name, @{ Name = "Status"; Expression={$_.Compliance.Status} }, @{ Name = "Reason"; Expression={$_.Compliance.Reason} } -AutoSize -Wrap

DC 기준의 준수 세부 정보를 확인하려면 다음 명령을 실행합니다.

Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/DomainController | ft Name, @{ Name = "Status"; Expression={$_.Compliance.Status} }, @{ Name = "Reason"; Expression={$_.Compliance.Reason} } -AutoSize -Wrap

보안 코어 기준의 준수 세부 정보를 확인하려면 다음 명령을 실행합니다.

Get-OSConfigDesiredConfiguration -Scenario SecuredCore | ft Name, @{ Name = "Status"; Expression={$_.Compliance.Status} }, @{ Name = "Reason"; Expression={$_.Compliance.Reason} } -AutoSize -Wrap

Microsoft Defender 바이러스 백신 기준에 대한 규정 준수 세부 정보를 확인하려면 다음 명령을 실행합니다.

Get-OSConfigDesiredConfiguration -Scenario Defender/Antivirus | ft Name, @{ Name = "Status"; Expression={$_.Compliance.Status} }, @{ Name = "Reason"; Expression={$_.Compliance.Reason} } -AutoSize -Wrap 

참고 항목

• 보안 기준을 적용하거나 제거하면 변경 내용을 적용하려면 다시 시작해야 합니다.

• 보안 기준을 사용자 지정하는 경우 수정한 보안 기능에 따라 변경 내용이 적용되려면 다시 시작해야 합니다.

• 제거 프로세스 중에 보안 설정이 되돌려지면 이러한 설정을 미리 관리되는 구성으로 다시 변경하는 것은 보장되지 않습니다. 보안 기준 내의 특정 설정에 따라 달라집니다. 이 동작은 Microsoft Intune 정책이 제공하는 기능과 일치합니다. 자세한 내용은 보안 기준 할당제거를 참조하세요.

Windows Server 2025 보안 기준 사용자 지정

보안 기준 구성을 완료한 후 드리프트 제어를 유지하면서 보안 설정을 수정할 수 있습니다. 보안 값을 사용자 지정하면 환경의 특정 요구 사항에 따라 조직의 보안 정책을 더 많이 제어할 수 있습니다.

멤버 서버에 대한 기본값 AuditDetailedFileShare2 을 3 편집하려면 다음 명령을 실행합니다.

Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer -Setting AuditDetailedFileShare -Value 3 

새 값이 적용되었는지 확인하려면 다음 명령을 실행합니다.

Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer -Setting AuditDetailedFileShare 

참고 항목

사용자 지정되는 보안 설정에 따라 특정 사용자 입력이 필요합니다. 이러한 입력은 다음과 같습니다.

• MessageTextUserLogon
• MessageTextUserLogonTitle
• RenameAdministratorAccount
• RenameGuestAccount

필요한 입력을 제공한 후 Enter 키를 선택하여 계속 진행합니다.

OSConfig에 대한 피드백 제공

보안 기준을 적용한 후 차단되거나 작업 중단이 발생하는 경우 피드백 허브를 사용하여 버그를 제출합니다. 피드백 제출에 대한 자세한 내용은 피드백을 자세히 살펴보세요.

OSConfig 보안 기준을 피드백 제목으로 제공합니다. 범주 선택에서 드롭다운 목록에서 Windows Server를 선택한 다음, 보조 드롭다운 목록에서 관리를 선택하고 피드백 제출을 진행합니다.

관련 콘텐츠

• OSConfig를 사용하여 비즈니스용 App Control 구성