1. 개요
본 문서는 Windows Server 2022 개인 프로젝트의 보안 정책 및 GPO 설계 기준을 정리한 문서이다. 본 프로젝트는 단순한 기능 구현이 아니라, 기업 환경에서 요구되는 계정 보안, 접근 통제, 운영 정책을 함께 반영하는 것을 목표로 한다. 이에 따라 본사와 지사 도메인 환경에 공통적으로 적용할 수 있는 보안 기준을 수립하고, 이를 GPO를 통해 중앙에서 관리할 수 있도록 설계한다.
2. 보안 설계 목적
본 프로젝트의 보안 설계 목적은 사용자 계정과 시스템 자원을 보다 안전하게 관리하고, 공통 운영 기준을 중앙에서 일관되게 적용하는 데 있다. 특히 도메인 환경에서는 계정 정책, 장치 사용 정책, 감사 정책 등을 개별 PC마다 수동으로 설정하는 방식보다 GPO를 통해 통합 적용하는 방식이 효율적이다. 따라서 본 프로젝트에서는 계정 보안, 권한 통제, 운영 관리, 감사 기록의 관점에서 필요한 항목을 선정하여 적용하고자 한다.
3. 보안 정책 구성
본 프로젝트에서는 KISA 기반 보안 적용 항목을 반영하여 기본적인 계정 보호와 시스템 운영 보안을 강화하고자 한다. 적용 대상은 본사와 지사의 도메인 사용자 및 도메인 가입 클라이언트이며, 필요에 따라 정책 강도를 구분하여 적용할 수 있도록 설계한다.
3.1 계정 잠금 정책
계정 잠금 정책은 반복적인 로그인 실패 시 계정을 일시적으로 잠그는 방식으로 무차별 대입 공격에 대응하기 위한 항목이다. 본 프로젝트에서는 일정 횟수 이상 암호 입력에 실패할 경우 계정을 잠그고, 일정 시간이 지난 뒤 자동으로 잠금이 해제되도록 설정한다.
적용 목적은 다음과 같다.
- 반복적인 로그인 시도 차단
- 계정 무차별 대입 공격 대응
- 사용자 계정 보호 강화
3.2 암호 정책
암호 정책은 사용자 계정의 비밀번호 복잡도와 변경 주기를 관리하기 위한 항목이다. 본 프로젝트에서는 최소 암호 길이, 복잡도 요구, 암호 변경 주기 등을 설정하여 취약한 암호 사용을 방지하고자 한다.
적용 목적은 다음과 같다.
- 취약한 비밀번호 사용 방지
- 계정 탈취 위험 감소
- 보안 수준 향상
3.3 Guest 계정 비활성화
Guest 계정은 불특정 사용자가 임시로 접근할 수 있는 계정으로, 기업 환경에서는 보안상 불필요하거나 위험 요소가 될 수 있다. 본 프로젝트에서는 Guest 계정을 비활성화하여 불필요한 접근 가능성을 차단한다.
적용 목적은 다음과 같다.
- 불필요한 기본 계정 제거
- 비인가 접근 방지
- 보안 관리 기준 강화
3.4 관리자 그룹 최소화
관리자 권한은 시스템 전체에 영향을 줄 수 있으므로 최소 인원에게만 부여해야 한다. 본 프로젝트에서는 Domain Admins 및 로컬 관리자 그룹에 포함되는 계정을 최소화하고, 일반 사용자 계정과 관리자 계정을 구분하여 운영한다.
적용 목적은 다음과 같다.
- 과도한 권한 보유 방지
- 권한 오남용 위험 감소
- 관리 책임 구분 명확화
3.5 공유 폴더 권한 최소화
파일 서버의 공유 폴더는 조직별 또는 부서별로 필요한 사용자만 접근할 수 있도록 권한을 최소화하여 설정한다. 본 프로젝트에서는 Everyone 권한 부여를 지양하고, 그룹 단위 접근 제어를 통해 자료 접근 범위를 제한한다.
적용 목적은 다음과 같다.
- 부서별 자료 분리
- 민감 정보 보호
- 불필요한 접근 차단
3.6 감사 정책 설정
감사 정책은 로그인 실패, 계정 잠금, 권한 변경 등 주요 보안 이벤트를 추적하기 위한 항목이다. 본 프로젝트에서는 주요 로그온 이벤트와 계정 관리 이벤트를 기록하여 문제 발생 시 원인을 추적할 수 있도록 구성한다.
적용 목적은 다음과 같다.
- 로그인 실패 이력 확인
- 계정 관리 이력 추적
- 보안 사고 대응 자료 확보
4. GPO 설계
본 프로젝트에서는 도메인 환경의 운영 효율성과 보안 수준 향상을 위해 GPO를 활용한다. GPO는 사용자 및 컴퓨터에 공통 정책을 일괄 적용할 수 있는 핵심 수단으로, 도메인 환경에서 중앙 관리 체계를 구현하는 데 중요한 역할을 한다.
4.1 GPO 구성 원칙
- 공통 보안 정책은 도메인 단위로 적용한다.
- 조직별 운영 정책은 OU 단위로 구분 적용한다.
- 불필요한 중복 GPO 생성을 지양한다.
- 정책 목적이 명확한 항목만 적용한다.
- 테스트 후 운영 환경에 반영하는 것을 원칙으로 한다.
4.2 적용 예정 GPO 항목
| 구분 | 정책명 | 적용 목적 |
|---|---|---|
| 계정 보안 | 암호 정책 | 비밀번호 복잡도 및 변경 주기 관리 |
| 계정 보안 | 계정 잠금 정책 | 로그인 실패 반복 시 계정 잠금 |
| 장치 통제 | USB 저장장치 차단 | 외부 저장매체를 통한 자료 유출 방지 |
| 운영 관리 | Windows Update 정책 | 업데이트 기준 통일 및 보안 패치 적용 |
| 감사 | 로그온 감사 정책 | 로그인 성공/실패 기록 |
| 운영 관리 | 바탕화면 공지/배경화면 정책 | 사내 공지 및 조직별 환경 통일 |
4.3 GPO 적용 대상 예시
- 도메인 전체 공통 정책: 암호 정책, 계정 잠금 정책
- 본사 OU 정책: 공지사항 배경화면, 파일 서버 접근 관련 설정
- 지사 OU 정책: 지사별 운영 환경에 맞는 정책 적용
- IT 부서 OU 정책: 관리자 도구 사용 환경 및 점검 정책
5. 정책 적용 예시
본 프로젝트에서는 보안 및 운영 목적에 따라 다음과 같은 방식으로 정책을 적용할 수 있다.
5.1 도메인 공통 정책
도메인 전체에 공통적으로 적용되는 정책은 계정 보안과 기본 운영 기준을 중심으로 구성한다.
- 암호 복잡도 사용
- 최소 암호 길이 설정
- 계정 잠금 임계값 설정
- 로그인 감사 정책 적용
5.2 본사 사용자 정책
본사 환경에는 공용 서비스와 핵심 데이터가 집중되므로, 보다 엄격한 보안 기준을 적용할 수 있도록 한다.
- USB 저장장치 차단
- 공용 자료 접근 정책 강화
- 관리자 계정 사용 구분
- 내부 공지 배경화면 또는 시작 화면 설정
5.3 지사 사용자 정책
지사 환경은 독립적인 도메인 운영을 기본으로 하되, 본사 기준과 일관성을 유지하는 방향으로 설계한다.
- 공통 암호 및 계정 잠금 정책 적용
- 지사별 운영 환경에 맞는 추가 정책 적용
- 필요 시 프린터, 공유폴더, 공지 설정 분리
6. 검증 계획
보안 정책과 GPO는 적용 자체보다 정상 동작 여부를 검증하는 과정이 중요하다. 본 프로젝트에서는 실제 사용자 계정 또는 테스트 계정을 이용하여 정책 적용 여부를 확인하고, 명령어와 로그를 통해 결과를 검증할 예정이다.
6.1 검증 항목 예시
- 잘못된 암호 반복 입력 시 계정 잠금 여부 확인
- USB 저장장치 연결 시 차단 여부 확인
gpupdate실행 후 정책 적용 여부 확인gpresult를 통한 적용 정책 확인- 이벤트 뷰어에서 로그온 이벤트 기록 확인
6.2 검증 명령어 예시
gpupdate /forcegpresult /rGet-ADUserGet-WinEventwhoami
7. 기대 효과
본 프로젝트의 보안 정책 및 GPO 설계를 통해 도메인 환경에서 요구되는 기본적인 보안 기준을 중앙에서 일관되게 적용할 수 있다. 또한 사용자 계정 보호, 접근 통제, 운영 기준 통일, 감사 기록 확보를 통해 보다 체계적인 기업 인프라 운영 환경을 구현할 수 있다. 이는 단순한 기능 설정을 넘어 실제 기업 환경에서 보안과 운영 관리가 어떻게 연결되는지를 설명하는 기반이 된다.
8. 향후 작성 예정 항목
- 파일 서버 권한 설계
- 내부 웹 서비스 접근 정책
- 운영 점검 매뉴얼
- 트러블슈팅 정리
- 최종 시방서 통합본