Silverlight를 설치하려면 여기를 클릭합니다.*
Korea 대한민국변경|Microsoft 전체 사이트
Microsoft
|프로필 관리|문의처|사이트 맵

Microsoft Windows XP 서비스 팩 2에서의 기능 변화

네트워크 보호 기술

이 단원에서는 Windows XP 서비스 팩 2에 포함된 네트워크 보호 기술에 대해 자세히 설명합니다.

이 페이지의 내용
Alerter and Messenger Services경고 및 메신저 서비스
BluetoothBluetooth
Client Administrative Tools클라이언트 관리 도구
DCOM Security EnhancementsDCOM 보안 기능 개선
RPC Interface RestrictionRPC 인터페이스 제한
Windows FirewallWindows 방화벽
Windows Media PlayerWindows Media Player

경고 및 메신저 서비스

경고 및 메신저 서비스는 어떤 기능을 수행합니까?

경고 및 메신저 서비스는 Windows 구성 요소로서 네트워크에 연결된 컴퓨터 사이에서 간단한 메시지를 주고 받을 수 있도록 해줍니다. 메신저 서비스는 여러 응용 프로그램과 서비스의 메시지를 전송하지만 경고 서비스는 특별히 관리 담당자에게 경고 메시지를 전달합니다.

이 기능은 누구에게 적용됩니까?

사용자들과 연락을 주고 받는 관리자는 이러한 서비스의 변화를 알아야 합니다. 또한 이 서비스를 이용하여 사용자에게 이벤트를 통지하거나 네트워크를 통해 메시지를 전송하는 개발자들도 이러한 변경 사항을 인지하고 있어야 합니다. 이 변경 사항은 Windows XP 서비스 팩 2를 실행하는 모든 컴퓨터에 적용되지만 컴퓨터는 네트워크에 연결되어 있어야 합니다.

Windows XP 서비스 팩 2에서 변경되는 기존 기능은 무엇입니까?

경고 및 메신저 서비스의 비활성화
자세한 설명

이전 버전의 Windows에서 메신저 서비스는 자동으로 시작되도록 설정되었고 경고 서비스는 수동으로 시작되도록 지정되었습니다. 그러나 Windows XP 서비스 팩 2에서는 이 두 가지 서비스가 모두 '사용할 수 없음'으로 설정되어 있습니다. 이 외에 이 서비스에서 변경된 내용은 없습니다.

이 변경 사항이 중요한 이유는 무엇이며 이로 인해서 줄어드는 위협은 무엇입니까?

이 두 가지 서비스에는 몇 가지 보안 결함이 있었습니다. 이 두 서비스가 시작되는 동안 외부로부터 네트워크 연결이 가능해져 공격 위험에 노출되고, 이로 인해 보안 위험성이 높아집니다. 하지만 이 서비스는 현재의 컴퓨팅 환경에서 자주 이용되는 서비스는 아닙니다. 보안 결함이 많이 발견되어 보안 공격에 노출될 가능성이 커졌지만, 서비스 사용이 그리 많지 않으므로 '사용하지 않음'으로 기본 설정으로 변경한 것입니다.

중단되거나 다르게 작동하는 것은 무엇입니까? 어떠한 종속성이 존재합니까?

경고 또는 메신저 서비스를 이용하여 사용자와 통신하는 응용 프로그램 또는 서비스는 정상적으로 작동되지 못하게 됩니다.

이러한 문제를 수정하는 방법은 무엇입니까?

이 문제를 해결하는 방법은 두 가지가 있습니다. 바람직한 방법은 사용자와 다른 방식으로 통신하도록 소프트웨어를 수정하는 것입니다. 이렇게 하면 경고 또는 메신저 서비스를 사용할 필요 없이 더욱 안전한 방법으로 사용자와 통신할 수 있습니다.

두 번째 방법은 서비스를 시작하기 전에 해당 응용 프로그램에서 경고 또는 메신저 서비스가 시작하도록 하는 것입니다. 서비스를 시작하는 방법에 관한 설명은 온라인 도움말과 MSDN을 참조하십시오.

Windows XP 서비스 팩 2를 사용하려면 코드를 변경해야 합니까?

메신저 또는 경고 서비스를 이용하는 코드라면 수정해야 할 것입니다. 자세한 사항은 위 "이러한 문제를 수정하는 방법은 무엇입니까?" 단원을 참조하십시오.

Bluetooth

Bluetooth는 어떤 기능을 수행합니까?

Bluetooth는 다양한 장치에서 제공되고 있는 무선 네트워킹 기술입니다. Windows XP 서비스 팩 2에는 Bluetooth 무선 고객 지원 기능이 제공됩니다. 전에는 이 지원 기능이 Microsoft로부터 직접 제공되지 않았는데, 이 기능을 포함시킨 이유는 고객들이 기본 Windows 운영 체제에 이 기술을 포함할 것을 요청했기 때문입니다.

이번 릴리스에 포함된 일부 기능으로는 PAN(Internet Protocol over Bluetooth를 사용하는 개인 영역 네트워킹), 인쇄를 위한 HCRP( Hard Copy Replacement Profile), 전화접속 네트워킹, HID(Host Interface Device), 개체 푸시(object push), 가상 COM 포트 등이 있습니다. 하드웨어를 특별히 구성한 경우 키보드에서 대기 모드와 부팅 모드를 선택하는 기능에 대한 지원도 포함되었습니다.

시스템에 Bluetooth 송수신기가 없는 경우에는 시스템의 동작에는 전혀 변화가 없습니다. WHQL(Windows Hardware Quality Labs)에서 승인한 Bluetooth 장치가 있다면 Bluetooth 지원 기능이 가동됩니다. Bluetooth 지원 기능이 작동되면 '제어판'의 '네트워크 연결'에서 변경 사항을 확인할 수 있습니다. Bluetooth 장치라는 새로운 '제어판 항목'도 추가됩니다. 또한 시작, 보조프로그램, 통신에서 새로운 Bluetooth 파일 전송 마법사를 볼 수 있습니다.

기존의 타사 Bluetooth 네트워크 드라이버가 설치되어 있는 경우에는 Windows XP 서비스 팩 2로 업그레이드해도 기존 드라이버가 교체되지 않습니다. 이것은 나중에 수작업으로 또는 프로그램 방식으로 교체될 수 있습니다.

Windows XP 서비스 팩 2의 Bluetooth에 관한 자세한 설명은 온라인 도움말을 참조하십시오.

클라이언트 관리 도구

클라이언트 관리 도구는 어떤 기능을 수행합니까?

클라이언트 관리 도구는 사용자, 컴퓨터, 서비스 및 기타 시스템 구성 요소를 로컬 및 원격 컴퓨터에서 관리할 수 있도록 해주는 Microsoft Management Console(MMC) 스냅인 집합입니다. 이 스냅인이 관리에 사용하는 두 가지 시스템 생성 대화 상자는 사용자, 컴퓨터 또는 그룹 선택 및 사용자, 연락처, 그룹 찾기 등입니다. 사용자, 컴퓨터 또는 그룹 선택은 공유 폴더에서 액세스 제어 목록(ACL)을 설정하거나 스냅인 변경을 위한 원격 컴퓨터를 지정하거나 로컬 사용자 및 그룹을 관리할 때 사용됩니다. 사용자, 연락처, 그룹 찾기는 '네트워크 환경'에서 Active Directory를 검색하거나 프린터 추가 마법사에서 프린터를 찾거나, Active Directory 사용자 및 컴퓨터 스냅인에 있는 디렉터리에서 개체를 찾을 때 사용됩니다.

두 대화 상자는 Active Directory 또는 로컬 컴퓨터에서 사용자, 컴퓨터, 프린터 및 기타 보안 사용자를 찾고 선택하는 데 사용됩니다. 다른 응용 프로그램도 이 대화 상자들을 사용할 수 있지만 이 단원에서는 여기 나열된 클라이언트 관리 도구에 대한 변경 사항만 다룹니다.

이 기능은 누구에게 적용됩니까?

이 기능은 아래 열거된 관리 도구를 사용하여 원격 위치에서 Windows XP를 관리할 필요가 있는 관리자에게 적용되는 사항입니다. 이 도구를 사용하여 로컬 컴퓨터를 관리하는 관리자와 사용자에게는 아무런 영향이 없습니다.

Windows XP 서비스 팩 2에서 변경되는 기존 기능은 무엇입니까?

원격 연결
자세한 설명

여기에 나열된 관리 도구를 원격 컴퓨터에 연결하려면 해당 컴퓨터가 TCP 포트 445에서 네트워크 트래픽 수신을 허용해야 합니다. 그러나 Windows XP 서비스 팩 2의 Windows 방화벽은 TCP 포트 445로 네트워크 트래픽이 수신되는 것을 차단하도록 기본 설정되어 있습니다. 따라서 아래와 같은 오류 메시지가 나타날 수 있습니다.

  • 컴퓨터_이름 컴퓨터에 액세스할 수 없습니다. 오류: 액세스가 거부되었습니다.
  • 컴퓨터_이름 컴퓨터에 액세스할 수 없습니다. 오류: 네트워크 경로를 찾지 못했습니다.
  • 컴퓨터_이름에서 그룹 정책 개체를 열지 못했습니다. 사용자가 필요한 사용 권한을 가지고 있지 않을 수 있습니다.
  • 자세한 정보: 네트워크 경로를 찾지 못했습니다.
  • 이름이 다음과 같은 개체(컴퓨터)를 찾지 못했습니다: "컴퓨터_이름". 선택한 개체 유형 및 위치가 정확하고 개체 이름을 정확히 입력했는지 확인하십시오. 또는 선택 항목에서 이 개체를 제거하십시오.
  • 컴퓨터_이름 컴퓨터를 관리할 수 없습니다. 네트워크 경로를 찾지 못했습니다. 다른 컴퓨터를 관리하려면 '동작' 메뉴에서 '다른 컴퓨터에 연결'을 선택하십시오.
  • 시스템 오류 53이(가) 발생했습니다. 네트워크 경로를 찾지 못했습니다.

이러한 오류는 다음과 같은 MMC 스냅인 중 하나가 원격 관리에 사용되는 경우에 발생할 수 있습니다.

  • 인증서
  • 컴퓨터 관리
  • 장치 관리자
  • 디스크 관리
  • 이벤트 뷰어
  • 그룹 정책
  • 인덱싱 서비스
  • IP 보안 모니터
  • IP 보안 정책
  • 로컬 사용자 및 그룹
  • 이동식 저장소 관리
  • 정책의 결과 집합
  • 서비스
  • 공유 폴더
  • WMI 컨트롤

MMC 스냅인 외에 다음과 같은 관리 도구와 대화 상자가 영향을 받습니다.

  • 사용자, 컴퓨터 또는 그룹 선택
  • 사용자, 연락처 및 그룹 찾기
  • Net.exe

이러한 문제를 수정하는 방법은 무엇입니까?

이 도구들을 이용하여 Windows 방화벽이 활성화된 Windows XP 운영 컴퓨터에 원격으로 연결하려면 해당 원격 컴퓨터의 방화벽에서 TCP 포트 445를 열어야 합니다. 이렇게 하려면 다음과 같이 하십시오.

1.

시작을 누르고 프로그램, 보조프로그램에서 명령 프롬프트를 누릅니다.

2.

명령 프롬프트에서 netsh firewall set portopening TCP 445 ENABLE을 입력하고 ENTER를 누릅니다.

방화벽 포트가 열려 있으면 보안상 결함이 생길 수도 있다는 점에 유의하십시오. 따라서 그러한 설정 변경은 실행 전에 면밀히 계획하고 테스트해야 합니다.

DCOM 보안 기능 개선

DCOM은 어떤 기능을 수행합니까?

Microsoft 구성 요소 개체 모델(COM)은 상호 작용할 수 있는 이진 소프트웨어 구성 요소를 만들기 위한 플랫폼 독립형, 분산형, 개체 지향형 시스템입니다. DCOM(Distributed Component Object Model)은 여러분과 응용 프로그램에 가장 합리적인 위치에 응용 프로그램을 분산할 수 있게 해줍니다. DCOM 와이어 프로토콜은 COM 구성 요소들 사이의 안정적이고 안전하고 효율적인 통신을 투명하게 지원합니다. 자세한 사항은 Microsoft 웹사이트의 "구성 요소 개체 모델(http://go.microsoft.com/fwlink/?LinkId=20922 )"을 참조하십시오.

이 기능은 누구에게 적용됩니까?

처리 중에 있는 COM 구성 요소에 대해서만 COM을 사용하는 경우에는 이 단원에 해당되지 않습니다.

이 기능은 다음과 같은 기준 중 하나를 만족하는 COM 서버 응용 프로그램이 있는 경우에 적용됩니다.

  • 해당 응용 프로그램에 대한 액세스 권한이 그 실행에 필요한 권한보다 덜 엄격한 경우
  • 일반적으로 해당 응용 프로그램이 관리자 계정을 사용하지 않고 원격 COM 클라이언트에 의해 Microsoft Windows XP 운영 컴퓨터에서 활성화되는 경우.
  • 기본적으로 해당 응용 프로그램이 Windows XP 컴퓨터에서 인증되지 않은 원격 콜백을 사용하는 경우.
  • 해당 응용 프로그램이 로컬 전용인 경우. 즉, COM 서버 응용 프로그램이 원격으로 액세스되지 않도록 제한할 수 있는 경우.

Windows XP 서비스 팩 2에서 이 기능에 추가된 새로운 기능은 무엇입니까?

자세한 설명

컴퓨터에서의 모든 호출, 인증 또는 실행 요청에 대한 액세스를 주관하는 컴퓨터 전반의 접근 통제 기능을 제공하기 위한 변화가 COM에 가해졌습니다. 이러한 접근 통제의 가장 간단한 방법은 컴퓨터의 모든 COM 서버에서 매번 호출, 인증 또는 실행이 이루어질 때마다 컴퓨터 전체 접근 통제 목록(ACL)과 다르게 실행되는 별도의 AccessCheck 호출입니다.

AccessCheck가 실패하면 그 호출, 인증 또는 실행 요청은 거부됩니다. 이것은 해당 서버에 고유한 ACL에 대해 실행되는 AccessCheck와는 별도입니다. 실제로 이것은 해당 컴퓨터의 COM 서버를 액세스할 때 반드시 통과해야 하는 최소의 인증 관문입니다. 인증과 실행을 주관하는 실행 권한 허용을 위한 컴퓨터 전체 ACL이 하나, 그리고 호출을 주관하는 액세스 권한 허용을 위한 컴퓨터 전체 ACL이 하나 있습니다. 이 ACL은 MMC(Microsoft Management Console)라는 구성 요소 서비스를 통해 구성될 수 있습니다.

이러한 컴퓨터 전체 ACL은 CoInitializeSecurity 또는 응용 프로그램 고유 보안 설정을 통해 특정 응용 프로그램이 지정하는 취약한 보안 설정을 무시하는 방법을 제공합니다. 이것은 특정 서버의 설정에 관계 없이 반드시 통과되어야 하는 최소 보안 기준을 제공합니다.

이러한 ACL은 RPCSS에 의해 표현되는 인터페이스가 액세스될 때 확인됩니다. 이것은 이 시스템 서비스를 누가 액세스할 수 있는지를 제어하는 방법을 제공합니다.

이러한 ACL은 해당 컴퓨터의 모든 COM 서버에 적용되는 일반적인 권한 부여 정책을 관리자가 한 곳에서 모두 설정할 수 있게 해줍니다. 기본적으로 Windows XP 컴퓨터의 제한 설정은 다음과 같습니다.

사용 권한AdministratorEveryoneAnonymous

실행

로컬 (실행)

로컬 인증

원격 (실행)

원격 인증

로컬 (실행)

로컬 인증

 

액세스

 

로컬 (호출)

원격 (호출)

로컬 (호출)

이 변경 사항이 중요한 이유는 무엇이며 이로 인해서 줄어드는 위협은 무엇입니까?

많은 COM 응용 프로그램들에는 일부 보안 전용 코드(예: CoInitializeSecurity 호출)가 들어 있지만 설정이 매우 약해서 프로세스에 대해 인증 받지 않은 액세스를 허용하는 경우가 많습니다. 이전 버전의 Windows에서는 관리자가 이러한 설정을 무시하고 더 강한 보안 설정을 강제할 방법이 없습니다.

COM 인프라에는 시스템 시작 시 실행되고 그 후 계속 작동하는 시스템 서비스인 RpcSc 메모리 관리 패키지가 포함되어 있습니다. 이 패키지는 실행 중인 개체 테이블과 COM 개체의 인증을 관리하며, DCOM 원격 기능에 대한 도움 및 지원 서비스를 제공합니다. 그것은 원격으로 호출 가능한 RPC 인터페이스를 표시합니다. 일부 COM 서버들은 인증 받지 않은 원격 액세스를 허용(앞 단원에서 설명한 것처럼)해 이러한 인터페이스가 인증 받지 않은 사용자를 비롯해 누구나 호출할 수도 있습니다. 따라서 RpcSs는 인증 받지 않은 원격 컴퓨터를 사용하는 악의적인 사용자의 공격을 받을 수 있는 것입니다.

이전 버전의 Windows에는 관리자가 컴퓨터의 COM 서버의 노출 수준을 파악할 방법이 없었습니다. 관리자는 해당 컴퓨터에 등록된 모든 COM 응용 프로그램에 구성된 보안 설정을 체계적으로 확인하여 그 노출 수준을 어느 정도 파악할 수 있지만 Windows XP 기본 설치에는 150개의 COM 서버가 있다는 점을 생각할 때 그런 작업은 엄두를 내기 어렵습니다. 소프트웨어의 보안을 반영하고 있는 서버 설정을 볼 수 있는 방법이 없으며 그 소프트웨어의 소스 코드를 검토하는 것도 어렵습니다.

DCOM 컴퓨터 전체 제한 기능은 이러한 세 가지 문제를 방지할 수 있습니다. 이 기능을 통해 관리자는 들어오는 DCOM 인증, 실행 및 호출을 무력화시킬 수 있습니다.

중단되거나 다르게 작동하는 것은 무엇입니까?

기본적으로 모든 사용자에게 로컬 실행, 로컬 인증 및 로컬 호출 권한이 부여됩니다. 이를 통해 소프트웨어 또는 운영 체제를 수정하지 않고 모든 로컬 시나리오를 수행할 수 있습니다.

기본적으로 모든 사용자에게 원격 호출 권한이 부여됩니다. 이를 통해 COM 클라이언트가 로컬 참조를 원격 서버에 전송하는 일반적인 경우를 비롯한 대부분의 COM 클라이언트 시나리오를 가능케 함으로써, 실질적으로 클라이언트를 서버로 전환하게 됩니다. 이로 인해 인증 받지 않은 원격 호출이 요구되는 시나리오는 수행할 수 없습니다.

또한 기본적으로 원격 인증 및 실행 권한은 관리자에게만 허용됩니다. 이것은 관리자가 아닌 사용자가 COM 서버에 대해 원격 인증을 수행할 수 없도록 해줍니다.

이러한 문제를 수정하는 방법은 무엇입니까?

COM 서버를 구현하고 관리자가 아닌 COM 클라이언트에 의한 원격 인증을 지원하기를 원한다면 그것이 적절한 설정인지 생각해 봐야 합니다. 만일 그렇다면 이 기능의 기본 구성을 변경해야 합니다.

COM 서버를 구현하고 인증 받지 않은 원격 호출을 지원하려면, 우선 그것이 적절한 설정인지 생각하고 만일 그렇다면 이 기능의 기본 구성을 변경해야 합니다.

이 ACL은 레지스트리에 다음과 같이 저장됩니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\MachineAccessRestriction= ACL

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\MachineLaunchRestriction= ACL

이것은 해당 컴퓨터의 모든 COM 클래스 또는 COM 개체를 액세스할 수 있는 사용자의 ACL을 설명하는 데이터를 담고 있는데, 이름 지정 값(named-value)이 REG_BINARY 유형으로 설정되야 합니다. 이 ACL의 액세스 권한은 다음과 같습니다.

COM_RIGHTS_EXECUTE 1

COM_RIGHTS_EXECUTE_LOCAL 2

COM_RIGHTS_EXECUTE_REMOTE 4

COM_RIGHTS_ACTIVATE_LOCAL 8

COM_RIGHTS_ACTIVATE_REMOTE 16

이러한 ACL은 일반적인 보안 기능을 이용하여 작성될 수 있습니다.

Administrator 권한을 가진 사용자만 이러한 설정을 수정할 수 있습니다.

Windows XP 서비스 팩 2에서 변경되는 기존 기능은 무엇입니까?

더욱 구체적인 COM 권한
자세한 설명

Windows XP 서비스 팩 2에서는 COM 액세스 권한을 거리를 기준으로 구별하는 것으로 변경했습니다. 거리가 짧은 경우를 로컬(Local)이라 하고 긴 경우를 원격(Remote)이라고 합니다. Local COM 메시지는 LRPC 프로토콜을 경유하여 전송되며 Remote COM 메시지는 TCP와 같은 원격 프로시저 호출(RPC) 호스트 프로토콜을 경유하여 전송됩니다.

그 결과, 로컬과 원격을 구분 짓기 위해 위해 호출 및 인증 권한을 분리합니다. 또한 인증 권한은 액세스 권한 ACL로부터 시작 권한 ACL로 이전됩니다. 인증과 실행은 인터페이스 포인터 획득에 관련되어 있으므로 인증 및 실행 액세스 권한은 논리적으로 하나의 ACL에 속합니다. 또한 인증 권한을 실행 권한 ACL에 두면 (프로그램 방식으로 지정되는 액세스 권한과 달리) 구성을 통해 항상 실행 권한을 지정할 수 있으므로 관리자는 인증을 제어할 수 있게 됩니다.

실행 권한 ACE는 4가지 액세스 권한으로 분류됩니다.

  • 로컬 실행(LL)
  • 원격 실행(RL)
  • 로컬 인증(LA)
  • 원격 인증(RA)

액세스 권한 보안 설명자는 두 개의 액세스 권한으로 나뉩니다.

  • 로컬 호출(LC)
  • 원격 호출(RC)

이 COM 보안을 통해 관리자는 상당히 구체적으로 보안 설정을 적용할 수 있습니다. 예를 들어 로컬 호출은 모든 사용자의 호출을 받아들이되 원격 호출은 관리자 계정으로부터의 호출만 받아 들이도록 COM 서버를 구성할 수 있습니다. 이러한 구분은 COM 권한 보안 서술자를 변경함으로써 구체화됩니다.

이 변경 사항이 중요한 이유는 무엇이며 이로 인해서 줄어드는 위협은 무엇입니까?

이전 버전의 COM 서버 응용 프로그램에서는 응용 프로그램을 제한할 방법이 없으므로 해당 응용 프로그램을 DCOM을 통해 네트워크에서 노출시키지 않고 로컬로만 사용할 수 있습니다. 사용자에게 COM 서버 응용 프로그램에 대한 액세스 권한이 있다면 로컬 및 원격 사용 모두에 액세스할 수 있는 것입니다.

COM 서버 응용 프로그램은 COM 콜백 시나리오를 구현하기 위해 인증 받지 않은 사용자에게 노출될 수 있습니다. 이러한 상황에서는 해당 응용 프로그램이 자신의 인증도 인증 받지 않은 사용자에게 노출시켜야 하는데 그것은 바람직하지 않습니다.

COM 권한을 정확하게 구분함으로써 관리자는 융통성있게 컴퓨터의 COM 허용 정책을 제어할 수 있습니다. 이러한 권한 설정은 위에서 위의 시나리오와 같은 상황에서 보안 유지할 수 있도록 해줍니다.

중단되거나 다르게 작동하는 것은 무엇입니까? 어떠한 종속성이 존재합니까?

이전 버전과의 호환성을 제공하기 위해, 기존 COM 보안 설명자는 로컬 및 원격 액세스 모두를 동시에 허용 또는 거부하도록 움직입니다. 즉, 액세스 제어 항목(ACE)은 로컬과 원격을 모두 허용하거나 로컬과 원격을 모두 거부하게 됩니다.

호출 또는 실행 권한에는 이전 버전과의 호환성 문제가 없습니다. 그러나 인증 권한의 호환성 문제는 있습니다. 만약, COM 서버를 위한 기존 보안 서술자에 설정된 실행 권한이 액세스 권한보다 제한적이고 클라이언트 인증 시나리오에 최소한 있어야 하는 것보다 제한적이라면 실행 권한 ACL은 인증을 받은 클라이언트에게 적절한 권한을 부여하도록 수정되어야만 합니다.

기본 보안 설정을 사용하는 COM 응용 프로그램에게는 호환성 문제가 없습니다. COM 인증을 이용하여 동적으로 시작되는 응용 프로그램의 경우, 대부분은 호환성 문제가 없는데, 그것은 해당 실행 권한에는 개체를 인증할 수 있는 사용자가 이미 포함되어 있어야 하기 때문입니다. 이러한 권한이 올바로 구성되어 있지 않다면 COM 서버가 아직 실행되고 있지 않을 때 실행 권한이 없는 호출자가 어떤 개체를 인증하려 시도하는 경우에는 임의 인증 실패가 발생합니다.

호환성 문제가 가장 염려되는 응용 프로그램은 Windows 탐색기 또는 서비스 컨트롤 관리자 등과 같은 다른 메커니즘을 통해 이미 시작된 COM 응용 프로그램입니다. 또한 기본 액세스 및 실행 권한을 무시하고 호출 권한보다 더 제한적인 실행 권한을 지정하는 예전 COM 인증을 통해 이 응용 프로그램이 시작할 수도 있습니다. 이러한 호환성 문제 해결을 관한 자세한 사항은 다음 단원의 "이러한 문제를 수정하는 방법은 무엇입니까?"를 참조하십시오.

Windows XP 서비스 팩 2로 업그레이드되었던 시스템이 이전 버전의 서비스 팩으로 돌아간다면 로컬 액세스, 원격 액세스 또는 둘 다를 허용하도록 편집되었던 액세스 컨트롤 항목은 로컬 및 원격 액세스를 모두 허용하도록 설정될 것입니다. 로컬 액세스, 원격 액세스 또는 둘 모두를 거부하도록 편집되었던 ACE는 로컬 및 원격 액세스 둘다 거부하도록 설정될 것입니다. 서비스 팩을 설치 제거할 때마다 모든 ACE를 확인하도록 해야 합니다.


이러한 문제를 수정하는 방법은 무엇입니까?

COM 서버를 구현하고 기본 보안 설정을 바꿨다면 응용 프로그램 고유 실행 권한 ACL에서 적절한 사용자에게 인증 권한을 부여했는지 확인하십시오. 적절한 사용자에게 인증 권한을 부여하지 않았다면 적절한 사용자에게 인증 권한을 부여하도록 응용 프로그램 고유 실행 권한을 변경해야 합니다. 이러한 응용 프로그램 고유 실행 권한은 레지스트리에 저장되어 있습니다. 실행 권한에 대한 자세한 사항은 MSDN 웹사이트의 "실행 권한"(http://go.microsoft.com/fwlink/?LinkId=20924 )을 참조하십시오.

COM ACL은 일반적인 보안 기능을 이용하여 생성 또는 수정할 수 있습니다.

Windows XP 서비스 팩 2에서 추가 또는 변경되는 설정은 무엇입니까?

설정 이름 위치 이전 기본 값(해당 사항이 있을 경우)기본 값가능한 값

MachineLaunchRestriction

HKLM\SOFTWARE
\Microsoft\Ole\

Everyone = LL,LA,RL,RA

Anonymous =

LL,LA,RL,RA

(이것은 새로운 레지스트리 키입니다. 기존 동작에 따라 이것들은 유효한 값이 될 것입니다.)

Administrator = LL,LA,RL,RA Everyone = LL,LA

ACL

MachineAccessRestriction

HKLM\SOFTWARE
\Microsoft\Ole\

Everyone = LC, RC

Anonymous = LC, RC

(이것은 새로운 레지스트리 키입니다. 기존 동작에 따라 이것들은 유효한 값이 될 것입니다.)

Everyone = Local, Remote.

Anonymous = Local

ACL

ActivationFailureLoggingLevel

HKLM\SOFTWARE\
Microsoft\Ole\

0

0

0-2

CallFailureLoggingLevel

HKLM\SOFTWARE
\Microsoft\Ole\

해당 없음

2

1, 2

InvalidSecurityDescriptor
LoggingLevel

HKLM\SOFTWARE
\Microsoft\Ole\

해당 없음

1

1,2


RPC 인터페이스 제한

RPC 인터페이스 제한은 어떤 기능을 수행합니까?

Windows XP 서비스 팩 2의 원격 프로시저 호출(RPC)에는 RPC 인터페이스를 기본 설정으로 안전하게 하고 Windows XP의 공격 가능 범위를 줄이는 여러 변화가 이루어졌습니다. 가장 중요한 변화는 RestrictremoteClients 레지스트리 키의 추가입니다. 이 키는 시스템의 모든 RPC 인터페이스의 동작을 변경하고, 일부 예외적인 경우를 빼놓고는 시스템의 RPC 인터페이스에 대한 원격 익명 액세스를 제거하도록 기본 설정됩니다. 이외의 변화로는 EnableAuthEpResolution 레지스트리 키와 세 개의 새로운 인터페이스 등록 플래그가 있습니다.

이 기능은 누구에게 적용됩니까?

이 기능은 RPC 응용 프로그램 개발자에게 적용됩니다. 그러나 시스템 관리자도 RPC의 변경 내용을 알아야 합니다.

Windows XP 서비스 팩 2에서 이 기능에 추가된 새로운 기능은 무엇입니까?

RestrictremoteClients 레지스트리 키
자세한 설명

RpcServerRegisterIf를 이용하여 RPC인터페이스가 등록되면 서버 응용 프로그램이 일반적으로 보안 콜백을 통해 이 인터페이스에 대한 액세스를 제한할 수 있도록 해줍니다. RestrictremoteClients 레지스트리 키로 인해 RPC는 등록된 보안 콜백이 없는 인터페이스까지 포함해 모든 인터페이스에 대해 추가 보안 점검을 수행해야 합니다.

Named Pipe 프로토콜 시퀀스(ncacn_np)를 사용하는 RPC 클라이언트의 경우, 지금까지 언급한 모든 제약 사항으로부터 제외됩니다. Named Pipe 프로토콜 시퀀스는 몇 가지 심각한 이전 버전과의 호환성 문제 때문에 기본값으로 제한을 설정할 수 없습니다. RestrictremoteClients 레지스트리 키는 아래 설명된 세 가지 값을 가질 수 있습니다. 키가 존재하지 않는 경우에는 RPC_REStrICT_REMOTE_CLIENT_DEFAULT 값을 가진 것과 동일합니다.

The RPC_REStrICT_REMOTE_CLIENT_NONE (0) 값은 시스템이 새로운 RPC 인터페이스 제한을 우회하도록 만듭니다. 적절한 RPC 제한을 부과하는 것은 전적으로 서버 응용 프로그램의 책임입니다. 이러한 설정은 기존 버전 Windows의 동작과 동등합니다.

The RPC_REStrICT_REMOTE_CLIENT_DEFAULT (1) 값은 Windows XP 서비스 팩 2의 기본 값입니다. 이 값은 모든 RPC 인터페이스에 대한 액세스를 제한합니다. 모든 익명의 원격 호출은 RPC 런타임에 의해 제한됩니다. 어떤 인터페이스가 보안 콜백을 등록하고
RPC_IF_ALLOW_CALLBACKS_WITH_NO_AUTH플래그를 제공하면 그러한 인터페이스에는 이 제한이 적용되지 않습니다.

The RPC_REStrICT_REMOTE_CLIENT_HIGH (2) 값은 RPC_REStrICT_REMOTE_CLIENT_DEFAULT 값과 동일하며 단, RPC_IF_ALLOW_CALLBACKS_WITH_NO_AUTH플래그는 더 이상 어떤 인터페이스도 제외하지 않게 됩니다. 이 값이 있으면 시스템은 RPC를 사용하는 익명의 원격 호출을 수신할 수 없습니다.

이 변경 사항이 중요한 이유는 무엇이며 이로 인해서 줄어드는 위협은 무엇입니까?

비교적 낮은 수준의 인증이더라도, 호출이 인증을 통해야 한다면 인터페이스를 공격하는 것은 훨씬 어려워집니다. 이것은 익명의 연결을 통해 원격으로 실행되는 버퍼 오버런에 의존하는 악성 프로그램에 대해서는 특히 유용한 방법입니다.

중단되거나 다르게 작동하는 것은 무엇입니까?

RCP 응용 프로그램이 익명의 원격 RPC 클라이언트로부터의 호출 수신을 받을 때, 이 변경으로 인해 응용 프로그램이 중단될 수도 있습니다.

이러한 문제를 수정하는 방법은 무엇입니까?

이 문제를 해결하는 방법은 세 가지가 있습니다. 선호도를 기준으로 보면 아래와 같습니다.

서버 응용 프로그램에 연결할 때 RPC 보안을 사용하도록 RPC 클라이언트에게 요구합니다. 이것은 보안 위협을 완화하는 최선의 방법입니다.

인터페이스 등록 중에 RPC_IF_ALLOW_CALLBACKS_WITH_NO_AUTH 플래그를 설정하여 인증 요청으로부터 해당 인터페이스를 제외합니다. 이렇게 하면 여러분의 응용 프로그램의 인터페이스로만 익명 연결을 허용하도록 RPC가 구성됩니다.

레지스트리 키를 RPC_REStrICT_REMOTE_CLIENT_NONE (0)로 설정하여 RPC가 이전 버전의 Windows와 같은 동작을 보이도록 강제합니다. 그러면 RPC는 모든 인터페이스에 대한 익명 연결을 승인하게 될 것입니다. 이 방법은 컴퓨터의 전반적 보안 수준을 낮추므로 가능하면 피해야 합니다.

EnableAuthEpResolution 레지스트리 키
자세한 설명

Windows XP에서 기본값으로 설정된, 원격 및 익명으로 액세스 가능한 RPC 인터페이스는 공격 받을 가능성이 높습니다. RPC 자체는 동적 종점(endpoints)을 이용한 호출에 대해 종점 분석(Endpoint resolution)을 제공하기 위해 인터페이스를 등록해야 합니다.

RestrictremoteClients 플래그를 추가하면 RPC Endpoint Mapper 인터페이스는 익명 액세스가 불가능하도록 기본 설정됩니다. 이는 상당한 보안 개선이지만 종점 분석 작업에 변화를 초래합니다. 현재 동적 종점을 이용해 호출을 수행하려 시도하는 RPC 클라이언트는 어떤 종점으로 연결해야 할지 결정하기 위해 우선 서버의 RPC Endpoint Mapper에 질의를 요청합니다. RPC 클라이언트 호출 자체는 RPC 보안을 사용하여 수행되지만 이 질의는 익명으로 수행됩니다.

RPC Endpoint Mapper 인터페이스에 대한 익명 호출은 Windows XP 서비스 팩 2에서는 기본값에 의해 차단되는데 그 이유는 새로운 RestrictremoteClients 키의 기본 값 때문입니다. 따라서 Endpoint Mapper에 인증된 질의를 수행하도록 RPC 클라이언트 런타임을 수정하는 것이 필수적입니다. EnableAuthEpResolution 키가 설정되면 RPC 클라이언트 런타임은 NTLM을 사용하여 Endpoint Mapper에 대한 인증을 수행합니다. 이러한 인증 질의는 실제 RPC 클라이언트 호출이 RPC 인증을 사용하는 경우에만 발생합니다.

이 변경 사항이 중요한 이유는 무엇입니까?

이러한 변화는 Windows XP 서비스 팩 2를 실행하는 시스템에서 동적 종점을 등록한 RPC 서버에 대해 RPC 클라이언트가 호출을 수행할 수 있도록 하는 데 필요합니다. 클라이언트 컴퓨터가 이 레지스트리 키를 설정해야만 RPC Endpoint Mapper에서 인증된 쿼리를 수행하게 됩니다.

중단되거나 다르게 작동하는 것은 무엇입니까?

이 키로 인해 아무 것도 중단되지 않습니다. 이 키는 이전 단원에서 설명한 특정 시나리오를 실현하는 데 사용됩니다. 이 키가 켜지면 인증된 호출 대신 수행되는 모든 RPC Endpoint Mapper는 NTLM 인증을 사용하여 수행됩니다.


새로운 RPC 인터페이스 등록 플래그
자세한 설명

새로 만들어진 세 가지 인터페이스 등록 플래그는 응용 프로그램 개발자가 RPC 인터페이스의 보안 유지를 용이하게 해줍니다.

RPC_IF_ALLOW_CALLBACKS_WITH_NO_AUTH

이 플래그가 등록되면 RPC 런타임이 호출 보안 설정에 관계 없이 모든 호출에 대한 등록된 보안 콜백을 불러옵니다. 이 플래그가 없으면 RPC는 인증되지 않은 모든 호출을 보안 콜백에 도달하기 전에 거부합니다. 이 플래그는 보안 콜백이 등록된 경우에만 기능합니다.

RPC_IF_SEC_NO_CACHE

인터페이스에 대한 액세스를 제한하기 위해 보안 콜백이 등록됩니다. 일반적인 보안 콜백은 클라이언트가 인터페이스에 대해 호출을 수행하기에 충분한 권한을 갖고 있는지 파악하기 위해 클라이언트를 가장합니다. 특정 클라이언트 ID가 보안 콜백을 한 번 전달한다면, 일반적으로 그것은 동일한 보안 콜백을 매번 전달합니다.

RPC 런타임은 언제 개별 클라이언트 ID가 보안 콜백을 전달하며 같은 인터페이스로 그 클라이언트가 보내는 후속 호출을 생략하는지를 기억하는 데에 이 패턴을 활용합니다. 이 기능은 보안 콜백 캐싱(security callback caching)이라는 이름으로 Windows 2000부터 있었던 기능입니다.

Windows XP 서비스 팩 2의 경우에는 RPC_IF_SEC_NO_CACHE 플래그를 사용하여 주어진 인터페이스에 대한 보안 콜백 캐싱을 중지할 수 있습니다. 이것은 보안 점검이 변경되어 이전에 허용되었던 클라이언트 ID를 거부할 가능성이 있을 때 유용합니다.

RPC_IF_LOCAL_ONLY

인터페이스가 이 플래그로 등록되면 RPC는 원격 RPC 클라이언트에 의해 수행되는 호출을 거절합니다. 또한 모든 ncadg_* 프로토콜 시퀀스와 모든 ncacn_* 프로토콜 시퀀스(ncacn_np를 사용하는 Named Pipe는 제외)에 대한 로컬 호출 역시 거절됩니다. ncacn_np에서 호출이 이루어지면 RPC는 SVR에서 오지 않은 호출만 허용하는데 이렇게 하면 모든 원격 호출이 걸러집니다. Ncalrpc 호출은 항상 허용됩니다.

이 변경 사항이 중요한 이유는 무엇입니까?

이 변화는 RPC 인터페이스의 보안을 유지하는 데 도움이 되는 추가 보안 도구를 RPC 응용 프로그램 개발자들에게 제공합니다.

중단되거나 다르게 작동하는 것은 무엇입니까?

이 플래그는 기존 Windows 응용 프로그램을 변화시키거나 중단시키지 않습니다. 이 응용 프로그램 개발자는 재량에 따라 새로운 플래그를 사용할 수 있습니다.

Windows XP 서비스 팩 2에서 이 기능에 추가 또는 변경되는 설정은 무엇입니까?

설정 이름위치기본값가능한 값

RestrictremoteClients

\\HKLM\SOFTWARE\
Policies\Microsoft\
Windows NT\RPC

1 - 기본값

0 - 없음

1 - 기본값

2 - 높음

EnableAuthEpResolution

\\HKLM\SOFTWARE\
Policies\Microsoft\
Windows NT\RPC

0 - 사용 안함

0 - 사용 안함

1 - 사용

Windows XP 서비스 팩 2를 사용하려면 코드를 변경해야 합니까?

필요한 응용 프로그램 변경에 대한 자세한 사항은 RestrictremoteClientsEnableAuthEpResolution에 대한 이전 단원을 참조하십시오.

Windows 방화벽

Windows 방화벽은 어떤 기능을 수행합니까?

Windows 방화벽(이전의 인터넷 연결 방화벽 또는 ICF)은 Windows XP 및 Windows Server 2003을 위한 상태 저장 필터링 방화벽(Stateful Filtering Firewall)입니다. Windows 방화벽은 TCP/IP 버전 4(IPv4) 및 TCP/IP 버전 6(IPv6)을 통해 요청하지 않은 인바운드 연결을 차단함으로써, 네트워크에 연결된 PC에 보호 기능을 제공합니다. 구성 옵션은 다음과 같습니다.

  • 인터페이스를 기준으로 실행
  • 고정 포트 열기
  • 기본적인 ICMP 옵션 구성
  • 끊어진 패킷 및 연결 성공 로그 기록

IPv4와 관련하여 Windows 방화벽에 대한 자세한 사항은 Microsoft 웹사이트의 "인터넷 연결 방화벽 기능 개요"(http://go.microsoft.com/fwlink/?LinkId=20927)를 참조하십시오. IPv6 트래픽 필터링 지원 기능은 Windows XP용 Advanced Networking Pack의 IPv6 Windows Firewall 릴리스에 추가되었습니다. Advanced Networking Pack은 Microsoft 웹사이트의 Windows Update(http://go.microsoft.com/fwlink/?linkid=18539)를 통해 제공됩니다.

이 기능은 어디에 적용됩니까?

적용 대상은 다음과 같습니다.

  • 네트워크에 연결된 모든 컴퓨터
  • 네트워크에 연결하여 작동하는 모든 응용 프로그램과 서비스
  • 상태 저장 필터링 기능과 함께 작동하지 않는 모든 응용 프로그램

Windows XP 서비스 팩 2에서 이 기능에 추가된 새로운 기능은 무엇입니까?

기본 사용
자세한 설명

모든 새로운 네트워크 인터페이스에 대해 Windows 방화벽이 기본값에 의해 실행됩니다. 이것은 Windows XP가 새로 설치되거나 업그레이드될 때, 기본값으로 설정되어 네트워크 보호 기능을 강화시킵니다. 또한 시스템에 새로 추가되는 네트워크 연결도 보호합니다. 이것은 IPv4 및 IPv6 트래픽에 모두 적용되며 시스템에 이미 다른 방화벽이 있는 경우에도 적용됩니다.

이 변경 사항이 중요한 이유는 무엇이며 이로 인해서 줄어드는 위협은 무엇입니까?

Windows XP 서비스 팩 2가 공개되기 전에는 Windows XP에 포함된 Windows 방화벽이 기본값으로 설정되지 않았습니다. 사용자는 마법사를 실행하거나 네트워크 연결 폴더를 뒤져서 Windows 방화벽 기능을 직접 실행시켜야 했습니다. 하지만 여러 사용자들이 이 방식에 어려움을 느껴 방화벽 보호 기능은 거의 사용되지 않았습니다.

Windows 방화벽을 기본값으로 사용하도록 설정하면 네트워크를 이용한 여러 공격에 대한 방어 능력이 더욱 강화됩니다. 예를 들어 Windows 방화벽이 기본적으로 작동하도록 설정되었다면 최근의 Blaster 웜 공격의 영향은 사용자의 최신 패치 설치 여부와 관계 없이 크지 않았을 것입니다.

중단되거나 다르게 작동하는 것은 무엇입니까?

Windows XP 서비스 팩 2를 설치한 후에는 Windows 방화벽이 기본값으로 실행됩니다. 상태 저장 필터링을 기본적으로 지원하지 않는 응용 프로그램의 경우에는 호환성 문제가 발생할 수 있습니다. 또한 다른 소프트웨어 및 하드웨어 방화벽과 충돌할 수 있습니다.

이러한 문제를 수정하는 방법은 무엇입니까?

상태 저장 필터링 방화벽과 호환되도록 응용 프로그램을 수정하는 방법은 이 문서의 뒷부분 "Windows XP 서비스 팩 2를 사용하려면 코드를 변경해야 합니까?" 단원을 참조하십시오.

부팅 시의 보안

자세한 설명

기존 버전의 Windows에는 네트워크 스택이 실행 중인 시간과 Windows 방화벽이 보호 기능을 제공하는 시간 사이에 공백이 있습니다. 이렇게 되면 Windows 방화벽 필터링 기능이 없는 서비스로 패킷이 전달 및 수신될 수 있는 여지가 발생하며 컴퓨터의 취약점을 노출시킬 가능성이 있습니다. 이것은 방화벽 서비스가 로딩되어 적절한 정책을 적용할 때까지 방화벽 드라이버가 필터링을 시작하지 않기 때문입니다. 그러한 방화벽 서비스에는 여러 의존 관계가 있는데 서비스는 이 의존 관계들이 없어질 때까지 기다렸다가 정책을 드라이버에 전달합니다. 여기에 걸리는 시간은 컴퓨터의 속도에 따라 다릅니다.

Windows XP 서비스 팩 2의 경우 방화벽 드라이버는 상태 저장 필터링을 수행하는 정적 규칙을 하나 갖고 있습니다. 이 정적 규칙을 부팅 시간 정책(boot-time policy)이라고 부릅니다. 이 정책에 따르면 컴퓨터는 DNS 및 DHCP와 같은 기본적인 네트워킹 작업을 수행할 수 있으며 도메인 컨트롤러와 통신하여 정책을 입수할 수 있습니다. 그러다가 일단 방화벽 서비스가 실행되면 실행 시간 정책을 로딩하여 적용하고 부팅 시간 필터를 제거합니다. 부팅 시간 정책은 사용자 또는 관리자가 구성할 수 없습니다.

Windows 방화벽이 사용되지 않으면 부팅 시 보안이 보장되지 않습니다.

이 변경 사항이 중요한 이유는 무엇이며 이로 인해서 줄어드는 위협은 무엇입니까?

시스템 시작 및 종료 시 발생하는 공격으로부터 컴퓨터를 더욱 안전하게 보호합니다.

중단되거나 다르게 작동하는 것은 무엇입니까?

응용 프로그램 또는 서비스에 영향을 줄 만한 변화는 없습니다.

이러한 문제를 수정하는 방법은 무엇입니까?

응용 프로그램 또는 서비스에 영향을 줄 만한 변화는 없습니다.

글로벌 구성
자세한 설명

이전 버전의 Windows에서는 Windows 방화벽이 인스턴스별로 구성되었습니다. 즉, 각 네트워크 연결이 고유의 방화벽 정책을 갖고 있었다는 뜻입니다(예를 들어, 무선에는 policy1, 이더넷에는 policy2). 따라서 각 연결 사이의 정책을 동기화하는 것이 어려웠습니다. 또한 새로운 연결의 구성 변화는 기존 연결에 전혀 적용되지 않았습니다.

글로벌 구성에서는 구성 변경이 발생하면 모든 네트워크 연결에 적용됩니다. 여기에는 새로 만들어지는 연결도 포함됩니다. 이전과 마찬가지로 구성을 인터페이스별로 수행할 수도 있습니다. 표준이 아닌 네트워크 연결은 글로벌 구성만 갖게 됩니다. 구성 변경은 또한 IPv4 및 IPv6 모두에 적용됩니다.

이 새로운 기능은 IPv4 Windows 방화벽에 적용되며 IPv6 Windows 방화벽은 이미 글로벌 구성을 지원합니다.

이 변경 사항이 중요한 이유는 무엇입니까?

글로벌 정책을 보유하고 있으면 모든 네트워크 연결에 대해 방화벽 정책을 관리하기가 더 쉬워집니다. 또한 하나의 구성 옵션으로 응용 프로그램을 모든 인터페이스에서 동작하도록 할 수도 있습니다.

중단되거나 다르게 작동하는 것은 무엇입니까?

이전 버전의 Windows에서는 Windows 방화벽이 인스턴스별로 구성되었습니다. Windows XP 서비스 팩 2에서는 전역적으로 구성되며 IPv4와 IPv6 모두에 적용됩니다.

이러한 문제를 수정하는 방법은 무엇입니까?

응용 프로그램 또는 서비스를 실행하기 위해 정적 오프닝을 필요하다면 이 문서의 뒷부분 "Windows XP 용 서비스 팩 2를 사용하려면 코드를 변경해야 합니까?"에 설명된 대로 새로운 API를 사용해야 합니다.

로컬 서브넷 제한
자세한 설명

기본적으로, 포트 개방이 이루어지면 전역적으로 개방됩니다. 즉, 로컬 네트워크 또는 인터넷 등 모든 네트워크 위치로부터 트래픽이 진입할 수 있습니다. Windows XP 서비스 팩 2에서는 로컬 서브넷의 소스 주소를 가진 네트워크 트래픽만을 수신하도록 포트를 구성할 수 있습니다.

NetShare API 또는 네트워크 설정 마법사와 함께 Windows 방화벽 사용자 인터페이스를 통해 파일 공유 포트가 열리면 로컬 서브넷 제한이 기본적으로 적용됩니다. 또한 UPnP 포트가 열리면 이들은 로컬 서브넷으로 제한됩니다.

로컬 네트워크에서의 통신에 사용되는 모든 정적 포트에 로컬 서브넷 제한을 적용하는 것이 좋습니다. 이것은 프로그램 방식으로, 또는 Windows Firewall Netsh Helper를 통해 또는 Windows 방화벽 사용자 인터페이스를 통해 수행될 수 있습니다.

이 변경 사항이 중요한 이유는 무엇이며 이로 인해서 줄어드는 위협은 무엇입니까?

일부 응용 프로그램은 인터넷의 호스트가 아니라 로컬 네트워크의 호스트하고만 통신하면 됩니다. 포트가 로컬 서브넷의 트래픽만 수신하도록 허용하면 포트를 액세스할 수 있는 사용자의 범위가 제한됩니다. 이것은 모든 위치의 컴퓨터에 포트가 개방되는 바람에 발생하는 공격의 위험을 줄여 줍니다.

중단되거나 다르게 작동하는 것은 무엇입니까?

파일 및 프린터 공유 기능을 사용하고 있다면 특히 4개의 포트가 로컬 서브넷 제한에 의해 영향을 받습니다. 다음 포트는 로컬 서브넷의 트래픽만을 수신합니다.

  • UDP 포트 137
  • UDP 포트 138
  • TCP 포트 139
  • TCP 포트 445

응용 프로그램 또는 서비스도 이 포트들을 사용하고 있다면 로컬 서브넷의 다른 노드하고만 통신할 수 있게 됩니다.

UPnP 아키텍처가 사용되면 로컬 서브넷 제한의 의해 두 포트가 특히 영향을 받으며 해당 로컬 서브넷의 트래픽만을 수신합니다.

  • UDP 포트 1900
  • TCP 포트 2869

이러한 문제를 수정하는 방법은 무엇입니까?

응용 프로그램 또는 서비스가 이 제한을 지원하지 않는다면 이 문서의 뒷부분 "Windows XP 용 서비스 팩 2를 사용하려면 코드를 변경해야 합니까?"에 설명된 대로 새로운 API를 사용해야 합니다.

명령줄 지원
자세한 설명

Windows Firewall Netsh Helper가 Advanced Networking 팩을 통해 Windows XP에 추가되었습니다. IPv6 Windows 방화벽에만 적용되며 Windows XP 서비스 팩 2에서는 구조가 변경되어 IPv4 구성에 대한 지원 기능도 포함하도록 합니다. Netsh Helper에서는 다음과 같은 기능을 수행할 수 있습니다.

  • Windows 방화벽의 기본 상태(Off, On, On with no exceptions)를 구성합니다.
  • 어떤 포트가 열려야 하는지, 포트가 전역 액세스를 허용해야 하는지 또는 로컬 서브넷으로 액세스가 제한되어야 하는지, 그리고 포트가 모든 인터페이스에서 열려야 하는지 아니면 인터페이스별로 열려야 하는지 등을 구성합니다.
  • 로그 기록 옵션을 구성합니다.
  • ICMP(Internet Control Message Protocol) 처리 옵션을 구성합니다.
  • 예외 목록에 응용 프로그램을 추가하거나 제거합니다.

기능이 Windows 방화벽에 한정된 경우를 제외하고 Windows 방화벽과 IPv6 Windows 방화벽 모두에 적용됩니다.

최종적인 명령줄 구문은 아직 개발 중이므로 여기 제시되지 않았습니다

이 변경 사항이 중요한 이유는 무엇입니까?

명령줄 인터페이스는 그래픽 사용자 인터페이스를 통하지 않고 Windows 방화벽을 구성할 수 있는 방법을 관리자에게 제공합니다. 명령줄 인터페이스는 로그온 스크립트와 원격 관리에서 사용될 수 있습니다.

중단되거나 다르게 작동하는 것은 무엇입니까?

이 기능은 Windows 방화벽의 구성 유연성을 강화합니다. 이를 통해 Windows 방화벽의 기능이 바뀌는 것은 없습니다.

이러한 문제를 수정하는 방법은 무엇입니까?

해당 사항이 없습니다.

"On with no exceptions" 운영 모드
자세한 설명

Windows 방화벽이 정상 작동 시 요청하지 않은 트래픽 수신을 허용하도록 구성합니다. 이것은 파일 및 프린터 공유를 해야 할 필요성 때문인 경우가 대부분입니다. 컴퓨터에서 실행되는 수신 서비스 또는 응용 프로그램 중 하나 이상에서 보안 문제가 발생하면 해당 컴퓨터를 클라이언트 전용 모드로 전환할 필요가 있을 수 있으며 이를 "On with no exceptions"라고 부릅니다. 이 클라이언트 전용 모드로 전환하면 Windows 방화벽을 재구성할 필요 없이 요청하지 않은 트래픽의 수신을 차단할 수 있습니다.

이 모드일 때는 모든 정적 통로가 차단되고 기존 연결은 끊어집니다. 정적 통로를 열라는 모든 API 호출은 허용되고 그 구성은 저장되지만 운영 모드가 정상 모드로 돌아가기 전까지는 적용되지 않습니다. 응용 프로그램의 모든 수신 요청 또한 무시됩니다.

이것은 Windows 방화벽 v4와 IPv6 Windows 방화벽에 모두 적용됩니다.

이 변경 사항이 중요한 이유는 무엇이며 이로 인해서 줄어드는 위협은 무엇입니까?

바이러스, 악성 프로그램 및 공격은 취약점이 보이는 서비스를 찾아 다닙니다. 이 운영 모드에 있을 때 Windows 방화벽은 이러한 유형의 공격 시도를 막아줍니다.

중단되거나 다르게 작동하는 것은 무엇입니까?

이 운영 모드에 있을 때는 컴퓨터가 네트워크에서 보내는 요청을 수신할 수 없습니다. 발신 연결만 정상적으로 운영됩니다.

이러한 문제를 수정하는 방법은 무엇입니까?

이 운영 모드에 있을 때는 엄격한 네트워크 보안이 작동하므로 일부 기능이 작동하지 않을 수 있습니다. 운영 모드를 기본 상태(On)로 돌려 놓음으로써 기능을 복원할 수 있습니다. 이러한 조치를 취하면 컴퓨터의 보안이 느슨해지므로, 보안 위협의 정체를 확인하고 완화한 후에 실행해야 합니다.

Windows 방화벽 예외 목록
자세한 설명

일부 응용 프로그램은 네트워크 클라이언트와 서버의 기능을 모두 수행합니다. 서버로 기능할 때는 상대방이 누가될지 미리 알 수 없으므로 요청하지 않은 트래픽 수신을 허용할 필요가 있습니다.

이전 버전의 Windows에서는 필요한 수신 포트를 열려면 응용 프로그램이 방화벽 API를 호출해야 했습니다. 이것은 해당 포트를 미리 알 수 없는 P2P(Peer to Peer) 상황에서는 어려운 것으로 드러났습니다. 통신이 완료되었을 때 포트를 다시 닫는 것은 응용 프로그램에 달려 있었습니다. 따라서 응용 프로그램이 갑자기 종료되면 방화벽에는 불필요하게 포트가 열려있게 됩니다.

또한 이 포트는 로컬 관리자의 보안 컨텍스트 안에서 실행되는 경우에만 열릴 수 있었습니다. 따라서 이것은 응용 프로그램을 필요한 최소한의 권한으로만 실행하는 것이 아니라 관리자 컨텍스트에서 실행되도록 만듦으로써 최소 권한의 원칙에 위배되는 것이었습니다.

Windows XP 서비스 팩 2에서는 네트워크에 연결되어 수신해야 하는 응용 프로그램을 Windows 방화벽 예외 목록에 추가할 수 있습니다. 응용 프로그램이 Windows 방화벽의 예외 목록에 있는 경우에는 응용 프로그램의 보?SMB/ ..? ..?.. . 沙.? .  . @ . ?

응용 프로그램을 Windows 방화벽 예외 목록에 넣는 방법은 세 가지가 있습니다.

첫째, 응용 프로그램에 의해 프로그램 방식으로 추가될 수 있습니다. ISV는 설치 중에 Windows 방화벽 예외 목록에 응용 프로그램을 넣는 것이 좋습니다.

둘째, 알림 기능을 이용할 수 있습니다. 응용 프로그램이 특정 포트에 대해 TCP 수신 또는 UDP 바인드를 수행하는 경우, 네트워크 스택이 Windows 방화벽에 그 응용 프로그램의 이름과 포트를 전달합니다. Windows 방화벽은 예외 목록에서 그 응용 프로그램의 이름을 조회합니다. 그 응용 프로그램이 예외 목록에 있고 사용하도록 설정되어 있다면 해당 포트가 방화벽에서 열립니다. 그 응용 프로그램이 예외 목록에 있지만 사용하지 않도록 설정되어 있다면 해당 포트는 방화벽에서 열리지 않습니다. 그 응용 프로그램이 예외 목록에 없는 경우에는 사용자에게 선택을 묻습니다. 그 사용자가 관리자라면 해당 네트워크에서 응용 프로그램이 수신을 수행하도록 허용(예외 목록에 '사용 가능'으로 추가하여 포트를 열도록)하거나, 허용하지 않을 수 있으며(예외 목록에 '사용하지 않음'으로 추가하고 포트를 열지 않음) 또는 나중에 다시 묻도록 할 수도 있습니다. 해당 사용자가 관리자가 아니라면, 해당 응용 프로그램은 네트워크에서 수신이 허용되지 않았으며 관리자에게 수신 허용을 요청하라는 메시지가 표시됩니다. 이 시점에서 그 응용 프로그램은 '사용하지 않음'으로 예외 목록에 기재됩니다.

셋째, 사용자가 수동으로 직접 구성할 수 있습니다. 사용자는 시작 메뉴의 응용 프로그램 목록에서 이식된 목록에서 선택하거나 컴퓨터의 하드 디스크에서 그 응용 프로그램을 찾아 해당 프로그램을 사용할 수 있도록 설정할 수 있습니다.

상태 필터링을 지원하는 응용 프로그램은 Windows 방화벽 예외 목록에 등록하지 않아도 됩니다. 관리자만이 Windows 방화벽 예외 목록에 응용 프로그램을 추가할 수 있습니다.

이 변경 사항이 중요한 이유는 무엇입니까 이로 인해서 줄어드는 위협은 무엇입니까?

응용 프로그램이 Windows 방화벽 예외 목록에 있으면 필수 포트만 열리는데 응용 프로그램이 그 포트에서 수신하는 동안에만 열립니다. 응용 프로그램은 사용하지 않는 포트는 열 수 없습니다. 그러한 포트는 고의 또는 실수로 다른 응용 프로그램 또는 서비스를 그 포트를 통해 들어 오는 네트워크 트래픽에 노출시킬 수 있습니다.

이것은 또한 네트워크에 수신하는 응용 프로그램을 일반 사용자 권한으로 실행할 수 있도록 해줍니다. 초기 버전의 Windows에서 사용자는 이 응용 프로그램을 관리자 권한으로 실행해야 했습니다.

중단되거나 다르게 작동하는 것은 무엇입니까?

응용 프로그램이 네트워크에서 수신해야 한다면 Windows 방화벽 예외 목록에 포함되어야 합니다. 그렇지 않다면 Windows 방화벽상에서 필요한 포트는 열리지 않으며 응용 프로그램은 원치 않는 인바운드 트래픽을 수신하지 않습니다.

이러한 문제를 수정하는 방법은 무엇입니까?

자세한 내용은 이 문서의 마지막 단원을 참조하십시오.

다중 프로필
자세한 설명

Windows 방화벽의 다중 프로필 지원 기능은 두 가지 방화벽 정책 체계를 만듭니다. 하나는 컴퓨터가 회사 네트워크에 연결된 경우이고 다른 하나는 연결되지 않은 경우입니다. 컴퓨터가 회사 네트워크에 연결되었을 때 업무용 응용 프로그램이 작동할 수 있도록 덜 엄격한 정책을 지정할 수 있습니다. 컴퓨터가 회사 네트워크에 연결되지 않은 경우, 더욱 적극적인 보안 정책을 설정해 인터넷을 이용한 공격에 대비할 수 있습니다.

Windows 방화벽의 다중 프로필 지원 기능은 도메인에 연결된 컴퓨터에만 적용됩니다. 작업 그룹에 속한 컴퓨터는 하나의 프로필만 갖습니다.

이 변경 사항이 중요한 이유는 무엇이며 이로 인해서 줄어드는 위협은 무엇입니까?

모바일 컴퓨터의 경우, 하나 이상의 방화벽 구성을 갖는 것이 좋습니다. 신뢰할 수 있는 네트워크에서는 안전했던 구성이 인터넷에서는 공격 당할 수 있습니다. 따라서 신뢰할 수 있는 네트워크에서는 포트를 열고 인터넷에서는 열지 않는 기능을 갖추는 것이 해당 시점에서 필요한 포트만 열 수 있도록 하는 데 매우 중요합니다.

중단되거나 다르게 작동하는 것은 무엇입니까?

응용 프로그램은 제대로 작동하기 위해 Windows 방화벽 예외 목록에 등록되어야 하므로, 두 프로필의 정책 체계가 서로 다른 두 개의 네트워크에서 동시에 작동될 수 없습니다. 응용 프로그램이 모든 네트워크에서 작동하려면 두 프로필에 모두 등록되어야 합니다. Windows 방화벽 예외 목록에 관한 자세한 내용은 앞 단원을 참조하십시오.

이러한 문제를 수정하는 방법은 무엇입니까?

컴퓨터가 도메인에 소속되어 있다면 응용 프로그램이 두 프로필에 모두 올라 있도록 해야 합니다.

RPC 지원
자세한 설명

기존 버전의 Windows에서는 Windows 방화벽이 원격 프로시저 호출(RPC) 통신을 차단했습니다. Windows 방화벽은 RPC Endpoint Mapper 안으로 네트워크 트래픽을 허용했지만 RPC가 사용하는 포트가 파악되지 않아 응용 프로그램이 작동하지 않았습니다.

RPC가 네트워크를 통해 통신하지 못하면 많은 엔터프라이즈 응용 프로그램과 구성 요소들이 장애를 일으킵니다. 그 예는 다음 사항이 포함되지만 여기에 제한되지는 않습니다.

  • 파일 및 인쇄 공유
  • 많은 응용 프로그램에서 사용하는 사용자, 컴퓨터 및 그룹 선택 대화 상자와 컴퓨터 관리 기능과 같은 원격 관리 기능
  • 원격 WMI(Windows Management Instrumentation) 구성
  • 원격 클라이언트와 서버를 관리하는 스크립트

RPC는 몇몇 포트를 열어 그 포트에서 각각 다른 여러 서버를 연결합니다. 너무나 많은 RPC 서버들이 Windows XP에 포함되어 있으므로 Windows 방화벽은 RPC에 다른 방식으로 접근합니다. 포트를 열 때, 호출자는 해당 포트를 RPC용으로 설정을 요구할 수 있습니다. Windows 방화벽은 호출자가 로컬 시스템, 네트워크 서비스 또는 로컬 서비스 보안 컨텍스트에서 실행 중인 경우에만 이 요청을 받아 들입니다. Windows 방화벽은 호출자가 Windows 방화벽 예외 목록에 없는 경우에도 RPC가 열릴 수 있게 하는 프로필 수준 플래그를 지원합니다.

그러나 인증된 응용 프로그램 설정은 항상 일반 RPC 설정을 무시합니다. 예를 들어 RPC 설정은 "로컬 허용"인데 RPC 서버 실행 파일이 Windows 방화벽 사용 권한 목록에도 있고 로컬 서브넷이 거짓으로 설정되어 있다면 RPC 서버의 포트는 모든 서브넷에 열려 있게 됩니다.

이 변경 사항이 중요한 이유는 무엇이며 이로 인해서 줄어드는 위협은 무엇입니까?

기업 차원의 배포에서는 Windows 방화벽이 RPC와 제대로 작동하고 있는 것을 확인하는 것이 중요합니다. 그러나 모든 RPC 서비스가 기본적으로 네트워크에 노출되는 것을 원하지는 않을 것입니다. 정확한 설정을 통해 어떤 RPC 서비스가 네트워크에 노출되어야 하는지 제어할 수 있습니다.

중단되거나 다르게 작동하는 것은 무엇입니까?

기본값 설정에 의해, RPC는 Windows 방화벽에 차단되어 있습니다. RPC를 사용하는 모든 서비스와 응용 프로그램이 영향을 받습니다. 그러나 서비스를 사용하기 위해 Windows 방화벽 설정을 변경하여 RPC이 실행되도록 할 수 있습니다.

이러한 문제를 수정하는 방법은 무엇입니까?

이 문서의 뒤 "Windows XP 서비스 팩 2를 사용하려면 코드를 변경해야 합니까?" 단원을 참조하십시오.

기본값 복원
자세한 설명

과거에는 사용자가 Windows 방화벽의 구성을 재설정할 방법이 없었습니다. 시간이 흐름에 따라 응용 프로그램을 추가하거나 Windows 방화벽 예외 목록에 포트를 추가하게 되면서 요청하지 않은 트래픽 수신을 허용하도록 구성될 수가 있습니다. 이렇게 되면 사용자가 기본 구성으로 쉽고 신속하게 되돌아가기가 점점 어려워집니다.

이 옵션은 사용자가 Windows 방화벽의 설정을 원래의 기본 설정으로 되돌릴 수 있게 해줍니다. 또한 Windows 방화벽 기본 설정을 OEM과 기업이 수정하여 사용자 지정 구성 옵션을 제공할 수 있습니다.

이 변경 사항이 중요한 이유는 무엇입니까?

이 옵션은 사용자가 Windows 방화벽의 설정을 처음 구입시의 기본 설정으로 되돌릴 수 있게 해줍니다.

중단되거나 다르게 작동하는 것은 무엇입니까?

이 기능은 Windows 방화벽의 구성 유연성을 높여 줍니다. 이를 통해 Windows 방화벽의 기능이 바뀌는 것은 없습니다.

이러한 문제를 수정하는 방법은 무엇입니까?

해당 사항이 없습니다.

무인 설치 지원
자세한 설명

기존 버전의 Windows에서는 설치 중에 Windows 방화벽을 구성하는 것이 불가능했습니다. 따라서 OEM과 비즈니스가 최종 사용자에게 컴퓨터를 배포하기 전에 Windows 방화벽을 미리 구성하는 것이 어려웠습니다. Windows XP 서비스 팩 2에서는 무인 설치를 통해 Windows 방화벽의 다음과 같은 옵션을 구성할 수 있습니다.

  • 운영 모드
  • Windows 방화벽 예외 목록의 응용 프로그램
  • 예외 목록의 정적 포트
  • ICMP 옵션
  • 로깅 옵션

이 변경 사항이 중요한 이유는 무엇입니까?

Windows 방화벽을 사전 구성할 수 있다면, Windows 판매 파트너와 대기업이 융통성 있게 Windows 방화벽을 이용하고 더 많은 사용자 지정 옵션을 확보할 수 있습니다.

중단되거나 다르게 작동되는 것은 무엇입니까?

이 기능은 Windows 방화벽의 구성 유연성을 높여 줍니다. 이를 통해 Windows 방화벽의 기능이 바뀌는 것은 없습니다.

이러한 문제를 수정하는 방법은 무엇입니까?

해당 사항이 없습니다.

Windows XP 서비스 팩 2에서 변경되는 기존 기능은 무엇입니까?

멀티캐스트 및 브로드캐스트 지원 강화
자세한 설명

멀티캐스트와 브로드캐스트 네트워크 트래픽은 알 수 없는 호스트로부터 응답이 온다는 점에서 유니캐스트 트래픽과 다릅니다. 따라서 상태 저장 필터링이 그러한 응답의 수신을 차단합니다. 그로 인해 스트리밍 미디어에서부터 검색이 이르는 여러 시나리오의 작동이 중단됩니다.

이러한 시나리오를 실행하기 위해 Windows 방화벽은 멀티캐스트 또는 브로드캐스트 트래픽이 발송된 포트에서 모든 소스 주소의 유니캐스트 응답을 3초 동안 허용합니다.

이 변경 사항이 중요한 이유는 무엇이며 이로 인해서 줄어드는 위협은 무엇입니까?

이렇게 하면 사용자 또는 응용 프로그램/서비스가 방화벽 정책을 변경하지 않아도 멀티캐스트 및 브로드캐스트를 통신에 사용하는 응용 프로그램 및 서비스가 작동할 수 있게 됩니다. 이것은 TCP/IP에서 NETBIOS와 같은 것에 중요하며 포트 135와 같은 민감한 포트는 노출되지 않습니다.

중단되거나 다르게 작동하는 것인 무엇입니까? 어떠한 종속성이 존재합니까?

이전 버전의 Windows에서는 Windows 방화벽이 멀티캐스트 또는 브로드캐스트 필터링을 수행하지 않았습니다. Windows XP 서비스 팩 1에서는 Windows 방화벽이 멀티캐스트와 브로드캐스트 트래픽을 필터링했으며 사용자에게 포트를 수작업으로 열어 응답을 수신할 것을 요구했습니다. 서비스 팩 2에서는 멀티캐스트/브로드캐스트 트래픽에 대한 응답의 수신이 허용됩니다.

이러한 문제를 수정하는 방법은 무엇입니까?

해당 사항이 없습니다.

Windows 방화벽과 IPv6 Windows 방화벽의 통합
자세한 설명

Windows XP에 탑재된 Windows 방화벽에서는 IPv4 트래픽만 필터링합니다. IPv6 Windows 방화벽은 Windows XP용 Advanced Networking Pack과 함께 출시되었습니다. 그리고 이때 이 두 방화벽이 분리되었으며 각각은 고유의 구성 옵션을 사용했습니다. Windows XP 서비스 팩 2에서는 Windows 방화벽과 IPv6 Windows 방화벽이 단일 구성 요소로 통합되어 있습니다.

따라서 모든 구성 변경은 IPv4와 IPv6 트래픽 모두에 적용됩니다. 예를 들어 고정 포트가 열리면 IPv4 및 IPv6 트래픽 모두에 열립니다.

이 변경 사항이 중요한 이유는 무엇입니까?

이것은 구성 관리를 쉽게 만들어 주고 응용 프로그램 호환성을 높여 줍니다.

중단되거나 다르게 작동하는 것은 무엇입니까?

IPv6 방화벽 서비스가 시스템으로부터 제거됩니다. Windows XP용 Advanced Networking Pack과 함께 나왔던 모든 API는 Windows XP 서비스 팩 2와 함께 출시된 새로운 API로 바뀝니다.

이러한 문제를 수정하는 방법은 무엇입니까?

자세한 사항은 이 문서 뒷부분의 "Windows XP 서비스 팩 2를 사용하려면 코드를 변경해야 합니까?" 단원을 참조하십시오.

업데이트된 Netsh Helper
자세한 설명

Windows Firewall Netsh Helper는 Windows XP용 Advanced Networking Pack과 함께 도입되었습니다. 이것은 IPv6 Windows 방화벽에만 적용됩니다. Windows 방화벽과 IPv6 Windows 방화벽의 통합과 함께 Firewall Netsh Helper는 더 이상 IPv6 컨텍스트를 갖지 않습니다.

이 변경 사항이 중요한 이유는 무엇입니까?

이것은 Windows 방화벽의 변화를 수용하고 기존 Firewall Netsh Helper의 IPv4 필터링 구성 옵션 통합을 가능하게 만들어 줍니다.

중단되거나 다르게 작동하는 것은 무엇입니까?

Advanced Networking Pack의 추가로 나타나는 방화벽 컨텍스트를 사용하는 모든 기존 스크립트는 더 이상 작동하지 않습니다.

이러한 문제를 수정하는 방법은 무엇입니까?

기존 스크립트에 새로운 방화벽 컨텍스트가 포함되도록 업데이트해야 합니다.

업데이트된 사용자 인터페이스
자세한 설명

Windows XP 서비스 팩의 Windows 방화벽 사용자 인터페이스는 새로운 구성 옵션과 IPv6 Windows 방화벽의 통합을 수용하도록 업데이트 되었습니다. 이것은 사용자가 운영 상태, 글로벌 구성, 로깅 옵션 및 ICMP 옵션 등을 변경할 수 있도록 해줍니다. 최종 인터페이스는 아직 개발 중입니다.

사용자 인터페이스에 대한 기본 엔트리는 해당 연결의 속성 대화 상자로부터 '제어판' 아이콘으로 이동되었습니다. 기존 위치로부터의 링크는 아직 제공됩니다. 또한 Windows XP 서비스 팩 1은 네트워크 연결 폴더로부터 링크를 만듭니다.

이 변경 사항이 중요한 이유는 무엇입니까?

Windows XP 서비스 팩 2에서 추가된 기능은 사용자 인터페이스 업데이트를 수반합니다.

중단되거나 다르게 작동하는 것은 무엇입니까?

사용자 인터페이스는 네트워크 연결의 속성 대화 상자의 고급 탭으로부터 옮겨졌습니다.

이러한 문제를 수정하는 방법은 무엇입니까?

해당 사항이 없습니다.

새로운 그룹 정책 지원
자세한 설명

이전 버전의 Windows에서는 Windows 방화벽이 '사용자의 DNS 도메인에서 인터넷 연결 방화벽의 사용을 금지'라고 하는 단일 그룹 정책 개체(GPO)를 갖고 있었습니다. Windows XP 서비스 팩 2에서는 모든 구성 옵션을 그룹 정책을 통해 설정할 수 있습니다. 새로운 구성 옵션의 예는 아래와 같습니다.

  • 운영 모드 (On, On with no exceptions, Off)
  • 예외 목록의 '허용 프로그램'
  • 열린 고정 포트
  • ICMP 설정
  • RPC 및 DCOM 사용
  • 파일 및 프린터 공유 사용

이 개체를 기업 및 일반 프로필 모두에 대해 설정할 수 있습니다. 그룹 정책 옵션 전체 목록은 Microsoft 다운로드 센터에서 "Microsoft Windows XP와 서비스 팩 2를 위한 인터넷 연결 방화벽 설정 배포"
( http://www.microsoft.com/korea/technet/prodtechnol/winxppro/deploy/wf_xpsp2.asp )를 참조하십시오.

이 변경 사항이 중요한 이유는 무엇입니까?

응용 프로그램과 시나리오를 회사 환경에서 실행할 수 있도록 관리자가 Windows 방화벽 정책을 관리하는 데 중요합니다.

중단되거나 다르게 작동하는 것은 무엇입니까?

이제 IT 관리자는 기본 값에 의한 Windows 방화벽 정책 설정을 결정할 수 있습니다. 응용 프로그램과 시나리오를 사용하거나 사용하지 않도록 설정하는 것입니다. 제어 범위는 커지지만 이러한 정책들이 Window 방화벽의 기본 기능을 바꾸지는 않습니다.

이러한 문제를 수정하는 방법은 무엇입니까?

해당 사항이 없습니다.

Windows XP 서비스 팩 2에서 추가 또는 변경되는 설정은 무엇입니까?

설정 이름위치이전 기본 값(해당 사항이 있는 경우)기본값가능한 값

운영 모드

Group Policy:
Computer
Configuration\
Administrative
Templates\
Network\Windows
Firewall

n/a

사용

설정

해제

실드됨

허용된 프로그램

Group Policy:
Computer
Configuration\
Administrative
Templates\
Network\Windows
Firewall

n/a

구성되지 않음

프로그램 경로

열린 포트

Group Policy:
Computer
Configuration\
Administrative
Templates\
Network\Windows
Firewall

n/a

구성되지 않음

포트 번호: Number

설명: String

프로토콜: TCP/UDP

ICMP 설정

Group Policy:
Computer
Configuration\
Administrative
Templates\
Network\Windows
Firewall

n/a

구성되지 않음

에코 요청: 설정 또는 해제

원본 억제: 설정 또는 해제

리디렉션: 설정 또는 해제

연결할 수 없는 대상: 설정 또는 해제

라우터 요청: 설정 또는 해제

시간 초과: 설정 또는 해제

매개 변수 문제: 설정 또는 해제

마스크 요청: 설정 또는 해제

타임스탬프 요청: 설정 또는 해제

RPC 및 DCOM에 동적으로 할당된 포트

Group Policy:
Computer
Configuration \
Administrative
Templates \ Network \
Windows Firewall

n/a

구성되지 않음

n/a

위 정보는 모두 변경될 수 있습니다.

Windows XP 서비스 팩 2를 사용하려면 코드를 변경해야 합니까?

아웃바운드 연결
설명

일반 사용자 및 사무용 컴퓨터는 네트워크 상에서 대부분 클라이언트입니다. 이 컴퓨터의 소프트웨어는 서버로 연결(아웃바운드 연결)하여 서버로부터 응답을 받습니다. Windows 방화벽은 모든 아웃바운드 연결을 허용하지만 그 컴퓨터로 다시 들어온 통신 유형에만 규칙을 적용합니다. TCP(transmission Control Protocol) 및 UDP(User Data Protocol) 아웃바운드 연결의 일부로, Windows 방화벽이 어떤 네트워크 트래픽을 허용하는지에 대한 자세한 설명은 아래 '참고'를 확인하십시오.

필요한 조치

없습니다. Windows 방화벽은 프로그램과 사용자 컨텍스트에 관계 없이 모든 아웃바운드 연결을 자동으로 허용합니다.

참고

컴퓨터가 대상 컴퓨터에 대해 TCP 세션 요청을 실행하면 그 대상 컴퓨터의 응답만을 수신하게 됩니다. 그 컴퓨터가 UDP 패킷을 전송하는 경우, Windows 방화벽은 IP 주소에 관계 없이 UDP 패킷을 전송해 온 포트로 UDP 응답이 향하는 것을 90초 간 허용합니다.

멀티캐스트 및 브로드캐스트 트래픽에 대한 유니캐스트 응답은 그 응답이 멀티캐스트 트래픽이 전송된 포트로 향하고, 해당 컴퓨터와 동일한 서브넷의 IP 주소로부터 온 것이라면 Windows 방화벽에서 3초간 허용됩니다. 방화벽의 설정이 이러한 동작을 제어하며 이것은 기본 설정에 지정되어 있습니다.

예제
  • Microsoft Internet Explorer를 이용한 웹 서핑
  • Outlook Express에서 전자 메일 확인하기
  • MSN Messenger 또는 Windows Messenger에서 대화하기
응용 프로그램의 요청하지 않은 인바운드 연결
설명

TCP 소켓에서 수신 작업을 완료하거나 Winsock을 통해 특정 UDP 소켓으로 성공적으로 연결된 응용 프로그램이 이에 해당합니다. 이 경우 Windows 방화벽은 응용 프로그램의 필요에 따라 포트를 자동으로 열고 닫을 수 있습니다.

필요한 조치

하나 이상의 포트에서 수신을 수행해야 하는 응용 프로그램이 관리자에 의해 설치되고 있다면 사용자는 그 응용 프로그램에 방화벽에서 포트를 열도록 허용하고자 하는지 의사를 표시해야 합니다.

사용자가 여기에 동의한다면 해당 응용 프로그램은 활성화 상태로서 자신을 AuthorizedApplications 컬렉션에 추가하기 위해 INetFwAuthorizedApplication API를 사용해야 합니다.

사용자가 여기에 동의하지 않는다면 해당 응용 프로그램은 비활성화 상태로서 자신을 AuthorizedApplications 컬렉션에 추가하기 위해 INetFwAuthorizedApplication API를 사용해야 합니다.

INetFwAuthorizedApplication API를 사용하여 응용 프로그램을 AuthorizedApplications 컬렉션에 추가할 때는 다음과 같은 값이 필요합니다.

  • 이미지 파일 이름. 네트워크 트래픽을 수신하도록 Winsock을 호출하는 파일입니다. 전체 경로가 명시되어야 하며 환경 변수를 사용할 수 있습니다.
  • 포트 이름. 이것은 Windows 방화벽 사용자 인터페이스에서 사용자에게 표시될 응용 프로그램의 이름입니다.

옵션 값은 다음과 같습니다.

  • 로컬 서브넷만 사용. 기본적으로 열린 포트를 통해서는 모든 네트워크 트래픽이 허용됩니다. 응용 프로그램이 로컬 서브넷에서 오는 트래픽만을 수신해야 한다면 이 값을 사용하여 로컬 서브넷으로부터 오는 트래픽만 Windows 방화벽을 통과하도록 해야 합니다.
  • 사용. 기본적으로 AuthorizedApplications 컬렉션에서 응용 프로그램을 위한 엔트리가 사용됩니다. 위에 기술한 대로, 사용자가 해당 응용 프로그래밍 포트를 여는 것에 동의하지 않으면 이 값을 사용하여 응용 프로그램의 엔트리를 '사용하지 않음'으로 추가해야 합니다. 이렇게 하면 사용자는 Windows 방화벽 사용자 인터페이스에서 그 응용 프로그램을 볼 수 있으며 나중에 사용 가능하도록 설정할 수 있습니다.

Windows 방화벽은 Winsock을 모니터링하여 응용 프로그램이 언제 포트에서 수신을 시작하고 중단하는지 확인합니다. 따라서 Windows 방화벽 예외 목록에서 응용 프로그램이 설정되면 해당 응용 프로그램에 대해 포트가 자동으로 열리고 닫힙니다. 이것은 포트를 실제로 열고 닫기 위해 Winsock에 의한 어떤 조치도 필요 없음을 의미합니다.

참고

  • 응용 프로그램을 Windows 방화벽 예외 목록에 추가하려면 관리자 권한을 가진 사용자의 컨텍스트에서 해당 응용 프로그램이 실행되어야 합니다.
  • 포트는 허용된 Winsock 응용 프로그램에 대해서는 해당 응용 프로그램이 실행되는 사용자 컨텍스트에 관계 없이 자동으로 열리고 닫힙니다.
  • 응용 프로그램이 AuthorizedApplications 컬렉션에 추가되려면 사용자의 동의를 받아야 합니다.
  • Svchost.exe는 AuthorizedApplications 컬렉션에 추가될 수 없습니다.
예제

다소 다르게 작동할 수 있는 Microsoft 응용 프로그램 관련 작업의 예는 다음과 같습니다.

  • MSN Messenger 또는 Windows Messenger에서 오디오 및 비디오 사용하기
  • MSN Messenger 또는 Windows Messenger에서 파일 전송하기
  • 멀티플레이어 게임 호스팅하기
서비스의 인바운드 연결
설명

다른 시나리오에는 AuthorizedApplication API를 사용하는 것이 좋지만 고정 포트에서 수신하는 서비스의 경우에는 Windows 방화벽의 글로벌 포트 API를 사용하는 것이 좋습니다. 이 포트들은 항상 열려 있으므로 동적으로 포트를 여는 장점은 적어집니다. 대신 사용자는 글로벌 포트 API가 사용되는 경우에는 이러한 고정 포트에 대한 방화벽 설정을 사용자 지정할 수 있게 됩니다.

필요한 조치

고정된 포트에서 수신을 수행해야 하는 경우, 서비스가 방화벽에서 포트를 열도록 허용해야 하는지 사용자에게 물어야 합니다. 이것은 서비스를 설치할 때 수행하는 것이 이상적입니다.

사용자가 이에 동의하면 해당 서비스는 INetFwOpenPort API를 사용하여 서비스가 필요로 하는 고정 포트를 여는 규칙을 Windows 방화벽에 추가해야 합니다. 이 규칙들은 사용되도록 설정되어야 합니다.

사용자가 이에 동의하지 않으면 해당 서비스는 계속 INetFwOpenPort API를 사용하여 서비스가 필요로 하는 고정 포트를 여는 규칙을 Windows 방화벽에 추가해야 합니다. 그러나 이 규칙들은 사용되도록 설정되지 않아야 합니다. INetFwOpenPort API를 사용하여 포트 열기를 Windows 방화벽에 추가할 때는 다음과 같은 값이 필요합니다.

  • 포트. 이것은 열려야 할 포트의 번호입니다. 1부터 65,536까지가 되어야 합니다.
  • 포트 이름. 이것은 Windows 방화벽 사용자 인터페이스에서 사용자에게 표시될 포트 열기의 이름입니다.

옵션 값은 다음과 같습니다.

  • 프로토콜.
  • 로컬 서브넷만 사용. 기본적으로 열린 포트를 통해서는 모든 네트워크 트래픽이 허용됩니다. 이 값은 로컬 서브넷으로부터 온 트래픽만 Windows 방화벽을 통과하도록 포트를 제한하는 데 사용될 수 있습니다. 포트를 여는 경우, 서비스는 가능한 경우에는 언제나 포컬 서브넷 트래픽만 통과하도록 포트를 제한해야 합니다.
  • 사용. 포트 열기가 추가된 경우에는 기본적으로 사용되도록 설정됩니다. 위에 기술한 대로, 사용자가 해당 서비스가 포트를 여는 것에 동의하지 않으면 이 값을 사용하여 포트 열기를 '사용하지 않음'으로 추가해야 합니다. 이렇게 하면 사용자는 Windows 방화벽 사용자 인터페이스에서 그 서비스를 볼 수 있으며 나중에 사용 가능하도록 설정할 수 있습니다.

서비스 사용이 중단되면 INetFwOpenPort API를 다시 사용하여 그것이 열었던 고정 포트를 닫도록 해야 합니다. 그 서비스만 해당 포트를 사용한다면 이 작업은 쉽게 수행될 수 있습니다. 그러나 해당 서비스가 다른 서비스와 그 포트를 공유할 가능성이 있다면 다른 서비스들은 전혀 그 포트를 사용하고 있지 않다는 것을 확인한 후 포트를 닫아야 합니다.

참고

Windows 방화벽에서 포트를 정적으로 열려면 관리자 권한을 가진 사용자의 컨텍스트에서 그 응용 프로그램이 실행되어야 합니다.

  • INetFw API를 통해 포트를 고정적으로 여는 경우, 서비스는 로컬 서브넷으로부터 오는 트래픽으로 제한됩니다.
  • Window 방화벽에서 포트를 정적으로 열려면 서비스는 사용자의 동의를 받아야 합니다. 서비스는 먼저 사용자에게 경고하지 않고 결코 포트를 자동으로 열어서는 안 됩니다.
예제
  • 파일과 프린터 공유
  • UPnP 아키텍처
  • 원격 데스크톱
RPC 및 DCOM 포트의 인바운드 연결
설명

일부 응용 프로그램과 서비스는 인바운드 연결에 대해 DCOM을 통해서 또는 직접 RPC 포트를 사용할 것을 요구합니다. RPC 포트를 여는 것은 보안상 중요한 의미를 갖고 있으므로 이 포트들은 특별한 사례로 취급되어야 하며 개발자들은 절대적으로 필요한 경우에만 Windows 방화벽을 통해 RPC가 사용되도록 해야 합니다.

필요한 조치

Windows 방화벽에는 RPC에 대해 포트를 자동으로 열고 닫을 수 있게 하는 명시적 설정이 포함되어 있습니다. 따라서 응용 프로그램과 서비스는 인바운드 연결에 RPC를 사용하기 위해 특정 포트를 열 필요가 없습니다. 그러나 기본적으로 RPC는 Windows 방화벽에 의해 차단됩니다. 이것은 응용 프로그램 또는 서비스가 Windows 방화벽에서 RPC 포트를 허용해 줘야 한다는 뜻입니다.

RPC 포트가 이미 허용되어 있다면 응용 프로그램 또는 서비스는 아무 것도 하지 않아도 올바로 동작합니다. 사용자가 RPC 포트를 허용하는 데 동의한다면 그 응용 프로그램은 INetFwProfile API를 사용하여 AllowRpcPorts를 trUE로 설정함으로써 RPC 포트로 트래픽이 통과되도록 할 수 있습니다.

사용자가 RPC 포트를 허용하는 것에 동의하지 않는다면 응용 프로그램 또는 서비스는 Windows 방화벽이 RPC 포트를 사용하지 않도록 구성합니다.

참고

Windows 방화벽에서 RPC 포트를 자동으로 여는 것을 허용 또는 금지하려면 관리자 권한을 가진 사용자의 컨텍스트에서 응용 프로그램 또는 서비스를 실행해야 합니다.

Windows 방화벽을 통해 RPC 포트를 사용하도록 하려면 응용 프로그램과 서비스가 사용자의 동의를 얻어야 합니다.

응용 프로그램과 서비스는 꼭 필요한 경우에만 Windows 방화벽을 통해 RPC 포트를 열도록 해야 합니다.

RPC 포트 설정은 로컬 시스템, 네트워크 서비스 또는 로컬 서비스의 컨텍스트에서 실행되는 RPC 서버에 대해서만 작동합니다. 다른 사용자 컨텍스트에서 실행되는 RPC 서버에 의해 열린 포트는 이 설정에 의해 사용이 허용되지 않습니다. 대신 그러한 RPC 서버는 Windows 방화벽 예외 목록을 사용해야 합니다.

Windows Media Player

Windows Media Player는 어떤 기능을 수행합니까?

Windows Media Player(WMP)는 미디어 콘텐트를 제공하고 미디어 파일을 재생하고 사용자가 저장한 미디어 파일을 정리해주는 응용 프로그램입니다.

이 기능은 누구에게 적용됩니까?

Windows Media Player를 사용하는 모든 사용자는 Windows XP 서비스 팩 2에 포함된 변경 내용을 알고 있어야 합니다.

Windows XP 서비스 팩 2에서 이 기능에 추가된 새로운 기능은 무엇입니까?

Windows Media Player 9 Series
자세한 설명

Windows Media Player 9은 Windows XP 서비스 팩 2의 일부로 설치됩니다. 이 버전의 Windows Media Player에는 보안 수정 사항을 비롯한 새로운 기능이 포함되어 있습니다.

Windows XP 서비스 팩 2를 설치하는 중에 파일을 보관하는 옵션을 선택하면 나중에 Windows Media Player 9 시리즈를 제거할 수 있습니다. 그렇게 하려면 프로그램 추가/제거를 통해 서비스 팩을 제거하면 됩니다. Windows Media Player 9 시리즈는 서비스 팩과 함께 제거되며 Windows Media Player와 운영 체제 모두 이전 버전 상태로 복원됩니다.

이전 버전의 Windows를 실행하는 컴퓨터에 Windows XP를 서비스 팩 2와 함께 새로 설치한 경우에는 운영 체제가 교체되므로 Windows Media Player 9 시리즈는 제거할 수 없게 됩니다.

이 변경 사항이 중요한 이유는 무엇이며 이로 인해서 줄어드는 위협은 무엇입니까?

이전 버전의 Windows Media Player에는 보안 결함과 기타 버그가 있습니다. 그것은 소프트웨어 업데이트를 통해 수정되었지만 더 확실한 해결책은 이전 버전을 Windows Media Player 9로 업그레이드하는 것입니다.

또한 Windows Media Player 9은 Windows XP 서비스 팩 2에 포함된 기타 보안 개선 사항과 호환되도록 철저한 테스트 및 업데이트되었습니다.

중단되거나 다르게 작동하는 것은 무엇입니까?

Windows XP 서비스 팩 2의 설치를 제거하면 이전에 라이센스한 콘텐트를 재생하기 위해 일부 라이센스를 다시 구입해야 할 수도 있습니다. 이 사항은 컴퓨터를 Windows 2000 또는 Windows XP에서 Windows XP 서비스 팩 2로 업그레이드한 경우에 해당됩니다. Windows Media Player 9은 이전 버전과 다른 방식으로 디지털 콘텐트 라이센스를 취급하기 때문입니다.

이러한 문제를 수정하는 방법은 무엇입니까?

Windows XP 서비스 팩 2를 제거한 후에도 Windows Media Player에서 기존 콘텐트에 대한 라이센스를 계속 사용하려면 다음 중 한 가지를 수행하면 됩니다.

  • Windows XP 서비스 팩 2로 컴퓨터를 업그레이드하기 전에 디지털 미디어 파일에 대한 라이센스를 백업하십시오. (Windows Media Player의 라이센스 관리를 이용하면 됩니다.) 그리고, 서비스 팩을 제거하기 전에, 구입했던 추가 라이센스들을 백업합니다. 서비스 팩을 제거한 후에 라이센스를 모두 복원하십시오.
  • Windows XP 서비스 팩 2를 제거한 후에는 Microsoft Windows Media 다운로드 센터에서 Windows Media Player 9 시리즈를 설치할 수 있습니다.
**
**

 

최종 수정일 : 2005년 8월 22일



Microsoft