*
Microsoft*
Bing 제공
|프로필 관리|문의처|사이트 맵

Microsoft Windows XP 서비스 팩 2에서의 기능 변화

향상된 컴퓨터 유지 관리

이 단원에서는 사용자에게 보안 기술을 알리고 컴퓨터에서 최신 보안 업데이트를 유지할 수 있도록 만들어 주는 Windows XP 서비스 팩 2에 포함된 기술에 대해 자세히 설명합니다. 이러한 기술은 새로운 보안을 제공하도록 디자인되었거나 이전보다 강력한 보안을 제공하도록 향상되었습니다.

이 페이지의 내용
Resultant Set of Policy정책의 결과 집합
SetupWindows Installer 3.0
정책의 결과 집합

정책의 결과 집합은 어떤 기능을 수행합니까?

그룹 정책의 정책 결과 집합(RSoP)은 사용자나 컴퓨터에 적용되는 그룹 정책 설정을 보고합니다. 그룹 정책 결과, 그룹 정책 관리 콘솔(GPMC)은 대상 컴퓨터로부터 RSoP 데이터를 요청하여 이를 HTML 보고서로 제공합니다. 그룹 정책 모델링은 동일한 유형의 정보를 요청하지만 컴퓨터 및 사용자 조합에 대한 RSoP 시뮬레이션을 반환하는 서비스에 대해 이러한 정보를 요청합니다. 이 시뮬레이션은 Windows Server 2003을 실행하는 도메인 컨트롤러에서 수행된 다음, 표시를 위해 GPMC를 실행하는 컴퓨터로 반환됩니다. 마지막으로 그룹 정책 결과가 일반적으로 선호되는 방법이기는 하지만 RSoP MMC(Microsoft Management Console) 스냅인은 이 정보를 표시하기 위한 대체 방법을 제공합니다.

이 기능은 누구에게 적용됩니까?

Active Directory 도메인 환경의 그룹 정책 관리자에게 적용됩니다. 또한 그룹 정책의 적용을 계획하거나 검증해야 하는 IT 전문가도 RSoP에 관심을 가질 수 있습니다.

Windows XP 서비스 팩 2에서 변경되는 기존 기능은 무엇입니까?

Windows 방화벽이 활성화된 상태에서의 RSoP 사용
자세한 설명

Windows XP 서비스 팩 2에서는 Windows 방화벽이 기본적으로 활성화됩니다. 컴퓨터에서 시작된 요청에 대한 응답과 달리 열리지 않은 포트로 들어오는 요청은 Windows 방화벽에 의해 차단됩니다. 이것은 네트워크에서의 RSoP 사용에 영향을 줍니다.

Windows 방화벽에 대한 자세한 내용은 이 문서의 "Windows 방화벽"을 참조하십시오.

이 변경 사항이 중요한 이유는 무엇이며 이로 인해서 줄어드는 위협은 무엇입니까?

이 변경 사항의 이유와 이로 인해서 완화되는 위협에 대한 내용은 Windows 방화벽 단원에 설명되어 있습니다.

작동하지 않거나 다르게 작동하는 것은 무엇입니까? 어떠한 종속성이 존재합니까?

Windows XP 서비스 팩 2에서 RSoP에 대한 두 가지 주요 변경 사항은 다음과 같습니다.

  • Windows XP 서비스 팩 2 컴퓨터에 Windows 방화벽이 설치되고 나면 이러한 컴퓨터의 RSoP 데이터에 더 이상 원격으로 액세스할 수 없습니다.
  • Windows 방화벽이 활성화된 경우 그룹 정책 결과나 그룹 정책 모델링을 사용하여 RSoP 데이터를 검색하기 위해 GPMC가 실행되는 Windows XP 서비스 팩 2 컴퓨터는 이 데이터를 검색할 수 없습니다.
이러한 문제를 수정하는 방법은 무엇입니까?

다음 표에는 Windows XP 서비스 팩 2를 실행할 때 원격 RSoP를 완전하게 지원하는 데 필요한 변경 사항이 요약되어 있습니다. 자세한 내용은 아래의 참고를 참조하십시오.

필요한 변경관리 컴퓨터의 XP SP2대상 컴퓨터의 XP SP2

Define Custom Open Ports 정책 설정 활성화

변경 불필요

필수 (포트 135 및 3001)

Allow File and Print Sharing 정책 설정 활성화

변경 불필요

필수

DCOM 인증 관리

변경 불필요

필수 (위임된 RSoP의 경우)

GPMC 서비스 팩 1 설치

필수

변경 불필요

Define Custom Open Ports 정책 설정 활성화

들어오는 RSoP 요청을 서비스할 수 있도록 대상 컴퓨터는 적절한 네트워크 포트를 수신 대기해야 합니다. 이것은 다음 새 정책 설정을 사용하여 그룹 정책을 통해 관리할 수 있습니다.

Computer Configuration\Administrative Templates\Network\Network Connections\Windows Firewall\[Domain | Mobile] Profile\Define Custom Open Ports

Computer Configuration\Administrative Templates\Network\Network Connections\Windows Firewall\[Domain | Mobile] Profile\Define Custom Open Ports 원격 RSoP를 지원하려면 포트 135 및 3001을 열어야 합니다.

이 정책 설정을 활성화하면 이러한 포트에서 원치 않는 데이터를 수락할 수 있다는 것에 주의해야 합니다. 따라서 환경에서 이 정책 설정을 활성화하기 전에 충분히 검토해야 합니다.

Allow File and Print Sharing 정책 설정 정의

또한 원격 RSoP를 사용할 때는 대상 컴퓨터에서 이 정책 설정을 활성화해야 합니다. 이 정책 설정의 위치는 다음과 같습니다.

Computer Configuration\Administrative Templates\Network\Network Connections\Windows Firewall\[Domain | Mobile] Profile\Allow File And Print Sharing

DCOM 인증 관리

기본적으로 그룹 정책 결과 및 RSoP 스냅인은 요청을 보내는 사람이 대상 컴퓨터의 로컬 관리자인 경우에만 원격으로 사용할 수 있습니다. Windows Server 2003에서 처음 소개된 위임 모델을 사용하면 대상 컴퓨터에서 관리자가 아닌 사용자에게 이 권한을 위임할 수 있습니다. 일반적으로 지원 센터의 직원이 관리자가 아닌 상태에서 해당 컴퓨터에 액세스해야 하는 경우가 이에 해당합니다.

Windows XP 서비스 팩 2에서는 RSoP가 의존하는 DCOM 인증을 중심으로 보안 모델이 강화되었습니다. 이로 인해서 RSoP 위임이 올바르게 구성된 경우에도 로컬 관리자가 아닌 사람은 대상 컴퓨터에서 RSoP 정보를 검색할 수 없습니다. Windows XP가 아니라 Windows Server 2003을 실행하는 도메인 컨트롤러에 대해 시뮬레이트된 RSoP 데이터가 요청되기 때문에 이 문제는 그룹 정책 모델링에 영향을 주지 않습니다.

Windows XP 서비스 팩 2는 DCOM 인증과 관련된 사용자 및 그룹을 관리하기 위한 방법을 제공합니다. 이 목록은 그룹 정책을 통해 관리할 수 있습니다. 위임된 RSoP를 지속적으로 사용할 수 있게 하려면 이 권한을 허가할 사용자가 또한 DCOM 인증 모델을 통해 액세스 권한을 가져야 합니다.

그룹 정책을 통한 DCOM 인증 관리는 Windows XP 서비스 팩 2의 베타 버전에서 구현되지 않으므로 RSoP의 원격 위임을 이 릴리스에서 사용할 수 없다는 것에 주의하십시오.

Windows XP 서비스 팩 2의 DCOM과 관련된 보안 변경 사항에 대한 자세한 내용은 이 문서의 앞에서 "DCOM"을 참조하십시오.

GPMC 서비스 팩 1 설치

GPMC의 초기 릴리스는 그룹 정책 결과나 모델링 요청의 결과를 기다릴 때 콜백 메커니즘을 사용했습니다. 관리 컴퓨터는 이 응답을 수신 대기 중이어야 합니다. Windows 방화벽이 활성화되므로 Windows XP 서비스 팩 2는 이러한 응답을 차단합니다. 적절한 포트는 열어 이 문제를 차단할 수 있지만 GPMC 서비스 팩 1은 콜백 메커니즘을 전혀 사용하지 않게 만듭니다. 관리 컴퓨터에서 포트를 열 필요 없이 그룹 정책 결과와 모델링이 계속 작동할 수 있다는 점에서 GPMC 서비스 팩 1을 설치하는 것이 좋습니다. GPMC 서비스 팩 1을 설치하려면 Microsoft 다운로드 센터 http://go.microsoft.com/fwlink/?LinkId=23529 를 참조하십시오.

Windows Installer 3.0

Windows Installer 3.0은 어떤 기능을 수행합니까?

Windows Installer 서비스는 응용 프로그램 설치와 업그레이드를 위한 표준 형식을 정의하고 관리합니다. 이 서비스는 파일 그룹, 레지스트리 항목 및 바로 가기와 같은 구성 요소를 추적합니다. Windows Installer는 일관된 배포를 제공하는 시스템 상주 설치 서비스로서, 관리자와 사용자는 이 서비스를 사용하여 공유 리소스 관리, 설치 프로세스 사용자 지정, 응용 프로그램 용도 결정, 구성 문제 해결 등을 수행할 수 있습니다.

Windows Installer 3.0은 Windows XP 서비스 팩 2에 포함되어 있는 새로운 버전의 서비스입니다.

이 기능은 누구에게 적용됩니까?

이 기능은 다음 사용자에게 적용됩니다.

  • 응용 프로그램 개발자
  • 응용 프로그램 설치 프로그램 작성자
  • 소프트웨어 배포에 관련된 시스템 관리자

Windows XP 서비스 팩 2에서 이 기능에 추가된 새로운 기능은 무엇입니까?

패치 관리 지원
자세한 설명

Windows Installer 3.0은 Windows Installer 기반 응용 프로그램에 대한 업데이트를 대상으로 지정하여 설치하기 위한 기본 인프라를 소프트웨어 배포 시스템에 제공합니다. 향상된 인벤터리 함수는 관리자가 사용자 및 설치 컨텍스트에서 제품, 기능, 구성 요소 및 패치를 검색할 수 있게 해줍니다. 전체 패치 페이로드를 대상 컴퓨터에 다운로드하기 전에 패치가 필요한지 확인하기 위한 세 가지의 새로운 함수가 제공됩니다. 이러한 새 함수는 다음과 같습니다.

  • 지정된 컨텍스트에서 현재 보급 또는 설치되는 제품의 특정 또는 모든 인스턴스를 열거하는 MsiEnumProductsEx 함수
  • 특정 컨텍스트 또는 모든 컨텍스트에서 모든 패치를 열거하는 MsiEnumPatchesEx 함수. 이미 제품에 적용된 패치와 등록되었지만 아직 제품에 적용되지 않은 패치가 열거됩니다
  • 패치 파일, XML 파일, XML BLOB 및 .msi 파일로 구성된 집합을 가지며 Windows Installer 패키지에 어떤 패치를 어떤 순서로 적용할지 결정하는 MsiDetermineApplicablePatches 함수. 이 함수는 대체되었거나 폐기된 패치를 설명할 수 있습니다. 해당 집합에 지정되지 않은 시스템에 설치된 제품 또는 패치는 설명하지 않습니다.

이 변경 사항이 중요한 이유는 무엇입니까?

SUS(Software Update Services) 2.0은 패치 관리 인프라를 사용하여 패치를 검색하고 Windows Installer 기반 제품에 적용합니다. 이는 Windows Installer 3.0과 함께 설치된 제품을 이전 버전보다 효율적으로 SUS로 업데이트할 수 있다는 것을 의미합니다.

이로 인해서 줄어드는 위협은 무엇입니까?

Windows Installer 3.0 및 Software Update Services 2.0은 Windows Installer 기반 응용 프로그램에 대한 패치를 컴퓨터에서 더 쉽게 최신 상태로 유지할 수 있게 해줍니다. 최신 패치가 서비스와 응용 프로그램에 적용되도록 하면 알려진 취약성에 대한 공격을 방지하는 데 도움이 됩니다.

작동하지 않거나 다르게 작동하는 것은 무엇입니까?

해당 사항이 없습니다. 이 기능은 Windows Installer 3.0에 포함되어 있는 새 기능입니다.

이러한 문제를 수정하는 방법은 무엇입니까?

해당 사항이 없습니다.

더 작고 안정적인 패치
자세한 설명

설치 프로그램 작성자는 Windows Installer 3.0을 사용하여 Microsoft의 델타 압축 기술을 사용하는 패치 패키지(.msp 파일 확장명을 가짐)를 만들 수 있습니다. 델타 압축은 전체 파일을 사용하는 대신에 이진 파일 차이를 사용하므로 패치 페이로드가 대폭 줄어듭니다. 이전 릴리스의 Windows Installer에서는 델타 압축을 사용할 때 응용 프로그램의 원래 설치 미디어(예: 응용 프로그램의 원본 CD)를 제공할 것을 사용자에게 요청하는 일이 종종 있었는데, 흔히 사용자는 이러한 미디어를 갖고 있지 않았습니다. Windows Installer 3.0은 패치에 의해 수정되는 파일의 기준 버전을 캐시하여 이후의 델타 압축 패치의 대상으로서 해당 기준을 검색합니다. 설치 프로그램 작성자는 기준 제품 버전을 사용하는 패치를 만들어야 합니다. 이렇게 함으로써 사용자는 패치를 성공적으로 적용하기 위해 더 이상 원래 설치 미디어를 제공할 필요가 없게 됩니다.

이 변경 사항이 중요한 이유는 무엇입니까?

패치 패키지가 작고 다운로드가 용이하며 다른 절차를 수행하는 것이 필요하지 않다면 사용자는 응용 프로그램 패치를 최신 상태로 유지하는 것이 더 쉬울 것입니다.

이로 인해서 줄어드는 위협은 무엇입니까?

서비스와 응용 프로그램에 최신 패치가 적용되도록 하면 알려진 취약성에 대한 공격을 방지하는 데 도움이 됩니다.

작동하지 않거나 다르게 작동하는 것은 무엇입니까?

해당 사항이 없습니다. 이 기능은 Windows Installer 3.0에 포함되어 있는 새 기능입니다.

이러한 문제를 수정하는 방법은 무엇입니까?

해당 사항이 없습니다.

패치 제거
자세한 설명

Windows Installer 3.0은 패치 제거를 지원합니다. Windows Installer 기반 응용 프로그램용 패치는 제어판 또는 명령 프롬프트를 사용하거나 새 Windows Installer 3.0 MsiRemovePatches 함수를 직접 호출하여 제거할 수 있습니다. (MsiRemovePatches 함수에 자세한 내용은 이전 단원을 참조하십시오.)

패치를 제거하면 해당 패치는 컴퓨터에 설치한 적이 없던 것처럼 컴퓨터에서 사라집니다. 패치를 설치 및 제거할 때의 컴퓨터(파일, 레지스트리 파일 등을 포함하는)의 상태는 패치를 설치하기 전의 상태와 동일합니다. 패치는 순서에 상관 없이 제거할 수 있지만 주요 업그레이드 패치는 제거할 수 없습니다.

Windows Installer 3.0은 특수한 재설치 모드를 사용하여 패치를 제거합니다. 개념상으로 패치 제거는 패치가 영향을 미치는 항목에 대한 제품 재설치를 의미합니다. 패치 제거 시에 변경되는 파일만 고려되며 제품의 다른 모든 파일은 그대로 유지됩니다. 패치의 영향을 받는 파일은 패치 설치 전에 제품이 예상했던 버전으로 복원됩니다. 새 패치가 기존 패치를 명시적으로 제거한 경우 새 패치를 제거하면 기존 패치가 복원됩니다. 기존 패치를 대체하는 패치를 제거하면 대체된 패치가 복원됩니다.

또한 명시적으로 제거하지 않은 패치는 더 이상 적용할 수 없는 경우에 제거될 수 있습니다. 예를 들어, 부분 업데이트를 대상으로 하는 작업 패치는 부분 업데이트 제거 시에 암시적으로 제거됩니다.

이 변경 사항이 중요한 이유는 무엇입니까?

패치에 의한 변경 사항을 필요에 따라 안정적으로 복원할 수 있다는 확신이 든다면 사용자와 관리자는 패치를 더 수월하게 배포 및 설치할 것입니다.

이로 인해서 줄어드는 위협은 무엇입니까?

이 변경 사항은 잠재적인 응용 프로그램 호환성 문제를 해결하기 위해 패치를 제거할 수 있는 메커니즘을 사용자와 관리자에게 제공함으로써 패치 배포와 관련된 장벽을 제거합니다.

작동하지 않거나 다르게 작동하는 것은 무엇입니까?

해당 사항이 없습니다. 이 기능은 Windows Installer 3.0에 포함되어 있는 새 기능입니다.

이러한 문제를 수정하는 방법은 무엇입니까?

해당 사항이 없습니다.

소스 목록 지원
자세한 설명

Windows Installer 3.0을 사용하여 관리자는 제품 및 패치에 대한 소스 목록을 더 효율적으로 관리할 수 있습니다. 새로운 기능은 네트워크, URL 및 미디어 원본을 비롯한 제품 소스에 대한 완전한 정적 관리를 가능하게 할 뿐만 아니라 외부 프로세스에서 Microsoft Installer 소스 목록의 읽기, 편집 및 대체를 수행할 수 있게 해줍니다. 소스 목록을 관리하기 위한 다음 세 가지 새로운 기능이 Windows Installer 3.0에 포함되어 있습니다.

  • MsiSourceListEnumSources 함수는 제품의 현재 소스를 열거하는 데 사용됩니다. 기존 기능과 함께 이 함수를 사용하면 마지막으로 사용된 소스를 지우고 새 소스를 추가하여 제품과 패치에 대한 소스를 능동적으로 관리함으로써 네트워크에 연결된 사용자가 설치된 제품의 소스 경로를 추적할 필요가 없습니다.
  • MsiSourceListAddMediaDisk 함수는 관리자가 MSI 기반 응용 프로그램을 위한 사용자 지정된 미디어 배포의 볼륨 레이블과 디스크 ID를 변경할 수 있게 해줍니다.
  • MsiSourceListSetInfo 함수는 관리자가 미디어 패키지 경로 특성을 변경하여 여러 응용 프로그램을 가진 사용자 지정된 미디어(CD 또는 DVD)를 작성할 수 있게 해줍니다. 모바일 사용자는 이러한 미디어를 사용하여 설치를 복구할 수 있습니다.

이 변경 사항이 중요한 이유는 무엇입니까?

응용 프로그램 복구, 일부 패치 시나리오, 필요 시 설치 등을 지원하기 위해 Windows Installer는 응용 프로그램의 설치 소스에 액세스해야 할 수 있습니다. 이 변경 사항을 통해 관리자는 제품의 소스 목록을 더 효율적으로 관리할 수 있습니다.

이로 인해서 줄어드는 위협은 무엇입니까?

관리자는 제품 소스 목록을 관리하여 성공적인 패치 배포와 설치를 보장할 수 있습니다. 최신 패치가 서비스와 응용 프로그램에 적용되게 하면 알려진 취약성에 대한 공격을 방지하는 데 도움이 됩니다.

작동하지 않거나 다르게 작동하는 것은 무엇입니까?

해당 사항이 없습니다. 이 기능은 Windows Installer 3.0에 포함되어 있는 새 기능입니다.

이러한 문제를 수정하는 방법은 무엇입니까?

해당 사항이 없습니다.

시퀀스
자세한 설명

새로운 Windows Installer 3.0 패치 시퀀스 테이블을 통해 패치 작성자는 대상 컴퓨터에서 업데이트를 적용해야 하는 순서에 대한 명시적 지침을 제공할 수 있습니다. 업데이트는 컴퓨터에 실제로 제공된 순서에 상관 없이 일관되고 예측 가능한 순서로 대상 응용 프로그램에 적용됩니다. 패치 작성자는 패치 시퀀스 테이블을 사용하여 버전이 지정되지 않은 파일을 안정적으로 업데이트할 수 있습니다. 시퀀스 테이블이 없는 패치는 Windows Installer에 제공된 순서대로 적용됩니다.

이 변경 사항이 중요한 이유는 무엇입니까?

시퀀스는 패치 적용 시에 일관되고 예측 가능한 결과를 보장합니다. 이것은 여러 패치가 동일한 파일 또는 레지스트리 설정에 적용될 때 특히 중요합니다.

이로 인해서 줄어드는 위협은 무엇입니까?

관리자는 시퀀스를 사용하여 성공적인 패치 배포와 설치를 보장할 수 있습니다. 최신 패치가 서비스와 응용 프로그램에 적용되게 하면 알려진 취약성에 대한 공격을 방지하는 데 도움이 됩니다.

작동하지 않거나 다르게 작동하는 것은 무엇입니까?

해당 사항이 없습니다. 이 기능은 Windows Installer 3.0에 포함되어 있는 새 기능입니다.

이러한 문제를 수정하는 방법은 무엇입니까?

해당 사항이 없습니다.

Windows XP 서비스 팩 2에서 변경되는 기존 기능은 무엇입니까?

FTP 및 GOPHER가 더 이상 지원되지 않음
자세한 설명

Windows Installer 3.0은 URL 다운로드를 처리하기 위해 전적으로 WinHTTP를 사용합니다. 이전 버전의 Windows Installer는 WinINet에 의존하여 표준 인터넷 프로토콜에 액세스했습니다. 그러나 WinHTTP는 WinINet과 동일한 프로토콜을 지원하지 않습니다. 결과적으로 Windows Installer 3.0은 더 이상 FTP 및 GOPHER 프로토콜을 지원하지 않습니다. HTTP, HTTPS 및 FILE 프로토콜은 계속 지원됩니다.

WinHTTP 보안에 대한 자세한 내용은 http://go.microsoft.com/fwlink/?LinkId=23097 에서 "WinHTTP 관련 정보"를 참조하십시오.

이 변경 사항이 중요한 이유는 무엇입니까??

WinINet은 서버 구현을 지원하지 않으므로 서비스에서 사용하면 안 됩니다. WinHTTP는 또한 WinINet보다 안전하고 견고합니다.

이로 인해서 줄어드는 위협은 무엇입니까?

WinHTTP는 시스템 서비스와 HTTP 기반의 클라이언트 응용 프로그램 모두에서 사용하도록 디자인되었습니다. WinHTTP는 WinINet보다 안전하고 견고합니다.

작동하지 않거나 다르게 작동하는 것은 무엇입니까?

Windows Installer 3.0에서는 FTP 및 GOPHER 프로토콜을 통한 패키지 다운로드를 수행할 수 없습니다.

이러한 문제를 수정하는 방법은 무엇입니까?

응용 프로그램에서 GOPHER 또는 FTP를 사용하여 URL 패치를 다운로드할 경우 지원되는 다운로드 프로토콜 중 하나를 사용하도록 응용 프로그램을 변경해야 합니다.

Windows Installer 서비스는 더 이상 대화형으로 제공되지 않음
자세한 설명

Windows Installer 서비스는 로컬 컴퓨터 계정의 보안 컨텍스트에서 실행됩니다. 이전 버전의 Windows에서 Windows Installer의 서비스 특성은 SERVICE_INTERACTIVE_PROCESS로 설정되었으며 따라서 Windows Installer 서비스가 대화형이 되었습니다. 대화형 서비스는 고유한 사용자 인터페이스를 표시하고 사용자 입력을 받을 수 있으므로 보안 취약성의 원인이 됩니다.

이러한 이유로 Windows Installer 3.0 서비스는 더 이상 대화형이 아닙니다.

이 변경 사항이 중요한 이유는 무엇입니까?

로컬 컴퓨터 컨텍스트 아래에서 실행되는 대화형 서비스를 통해 사용자는 다른 보안 컨텍스트에서 실행되는 프로그램에 메시지를 게시할 수 있으며 이로 인해 여러 유형의 공격이 발생할 수 있습니다.

이로 인해서 줄어드는 위협은 무엇입니까?

사용자는 Windows Installer 서비스와 상호 작용할 수 없습니다.

작동하지 않거나 다르게 작동하는 것은 무엇입니까?

알려진 응용 프로그램 호환성 문제는 없습니다.

이러한 문제를 수정하는 방법은 무엇입니까?

해당 사항이 없습니다.

Windows XP 서비스 팩 2를 사용하려면 코드를 변경해야 합니까?

아니요. Windows Installer 2.0용으로 작성된 설치 패키지와 패치는 Windows Installer 3.0을 사용하여 설치할 수 있습니다. Windows Installer 3.0은 Windows Installer 2.0용으로 작성된 패키지와 패치를 설치할 때 버전 3.0에서 소개된 새 데이터베이스 테이블을 무시합니다.

**
**

 

최종 수정일 : 2004년 11월 24일



Microsoft