로밍 프로파일 또는 폴더 리디렉션 후 리디렉션된 위치의 파일을 여는 경우(예: 인터넷 익스플로러) 다음과 같은 보안 경고 창이 나타날 수 있다. GPO Group Policy VDI Roaming Profile Folder Redirection
이러한 경고 메시지를 제거하기 위해서는 해당 도메인의 이름을 신뢰할 수 있는 사이트에 추가하면 된다.
그룹 정책을 통해 설정하는 경우 아래와 같이 설정한다.
정책 > 관리 템플릿 > Windows 구성 요소 > 인터넷 제어판 > 보안 페이지 > 영역에 대한 사이트 할당 목록
사이트 이름에 file://*.MSFT.Local 과 같은 식으로 입력하고 값을 1로 입력하면 신뢰할 수 있는 사이트로 설정된다.
FCS 에이전트의 관리 그룹 정보 변경 명령(Forefront Client Security)
관리 그룹은 동일하고 관리 서버 이름 변경
MsiExec.exe /I{F692770D-0E27-4D3F-8386-F04C6F434040} /norestart /qn /l*v "C:\MOMReinstall.log" CONFIG_GROUP="SameManagementGroupName" CONFIG_GROUP_OPERATION="ModifyConfigGroup" MANAGEMENT_SERVER="NewServer.contoso.com" AM_CONTROL="Full" REQUIRE_AUTH_COMMN=0 REINSTALL="ALL"
새로운 관리 그룹 및 관리 서버로 변경
- 신규 관리 그룹 추가
MsiExec.exe /I{F692770D-0E27-4D3F-8386-F04C6F434040} /norestart /qn /l*v "C:\MOMAdd.log" CONFIG_GROUP="NewManagementGroupName" CONFIG_GROUP_OPERATION="AddConfigGroup" MANAGEMENT_SERVER="NewServer.contoso.com" AM_CONTROL="Full" REQUIRE_AUTH_COMMN=0 REINSTALL="ALL"
- 기존 관리 그룹 제거
MsiExec.exe /I{F692770D-0E27-4D3F-8386-F04C6F434040} /norestart /qn /l*v "C:\MOMRemove.log" CONFIG_GROUP="OldManagementGroupName" CONFIG_GROUP_OPERATION="RemoveConfigGroup" MANAGEMENT_SERVER="OldServer.contoso.com" AM_CONTROL="Full" REQUIRE_AUTH_COMMN=0 REINSTALL="ALL"
사후 작업
MOM 에이전트의 정상 동작을 위한 서비스 의존성 재구성 및 서비스 재시작
sc config mom depend= rpcSs/eventLog/winmgmt & net stop mom & net start mom
1. (FQDN 생성)TMG 서버의 DNS 접미사 입력 후 재시작
2. (관리자 계정 생성)로컬 사용자 생성 후 관리자(Administrators) 그룹에 추가
3. (서버 인증서 설치)서버 간 통신에 사용되는 LDAPS(LDAP over SSL)에 사용
- http://<CA_Server>/Certsrv 연결
- 인증서 요청 -> 고급 인증서 요청 -> 이 CA에 요청을 만들어 제출합니다
- 유형 -> 서버 인증 인증서 선택
- 이름 항목에 TMG 서버의 FQDN 입력
- 키를 내보낼 수 있게 표시 체크
- 로컬 컴퓨터 저장소에 저장 체크
- 인증 기관 인증서를 로컬 컴퓨터의 신뢰할 수 있는 루트 인증 기관에 저장
- 인증서 제출 및 설치
4. (인증서 내보내기)TMG 서버 설치 시 사용할 인증서 파일
- 시작 -> mmc -> 인증서 스냅인 추가
- 서버 인증서 -> 내보내기
- 개인 키 포함 체크
- 가능하면 인증 경로에 있는 인증서 모두 포함 체크
- 암호 입력 후 인증서 내보내기 완료
ISA 서버와 TMG는 기본적으로 IP Spoofing을 감지해 차단한다.
GUI를 통해 이러한 설정을 해제할 수 기능을 제공하지 않기 때문에 IP 스푸핑 감지 기능을 해제하기 위해서는 다음과 같이 레지스트리 편집을 통해 해제할 수 있다.
1. 레지스트리 편집기 실행
2. HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/FwEng/Parameters로 이동
3. DWORD 값 생성 -> DisableSpoofDetection -> 값을 1로 설정
4. 방화벽 서비스(ISA/TMG) 재시작
* 다시 활성화하려는 경우 DisableSpoofDetection 값을 0으로 설정
TMG 서버의 도메인 참가 고려 사항
- Workgroup 환경에서의 Enterprise 및 Array 배포는 도메인 환경 대비 추가적인 준비 작업이 필요하며 관리를 위해 동일한 계정을 생성/유지해야 한다.
- Workgroup 환경에서는 EMS 복제가 지원되지 않는다.
- Workgroup 환경에서는 자동 웹 프록시 감지가 지원되지 않는다.
- Workgroup 환경에서는 Forefront TMG 서버에 서버 인증서를 설치해야 한다.
- Microsoft Windows가 아닌 운영 체제의 사용자를 도메인 사용자 계정에 매핑하도록 VPN 클라이언트 사용자 매핑을 구성할 수 있다. TMG가 도메인에 참가되어 있는 경우에만 사용자 매핑이 지원된다.
- 도메인 환경에서는 로컬 보안 정책이 아닌 그룹 정책을 이용해 TMG 서버를 잠글 수 있다.
- HTTPS 검사 기능을 사용하려는 경우, 클라이언트로 HTTPS 검사에 대한 루트 인증 기관 인증서 자동 배포가 Workgroup 환경에서는 지원되지 않는다.
TMG 서버 설치 및 구성 절차 요약
1. 설치 요구 사항
- 운영체제: Windows Server 2008 SP2 또는 R2
- 시스템 아키텍처: x64
2. 설치 미디어 삽입 후 '준비 도구 실행'
- 필요한 구성 요소가 자동으로 설치된다.
4. 사전 검사 완료 후 TMG 설치 마법사 실행
5. 설치 완료 후 시작 마법사를 통해 다음 절차를 수행한다.
- 네트워크 설정 구성: 네트워크 관계 및 라우팅 구성
- 시스템 설정 구성: 도메인 또는 작업 그룹
- 배포 옵션 정의: 자동 업데이트 및 NIS(네트워크 검사 시스템) 구성
6. (선택)웹 액세스 정책 구성
독립 실행형 배열 구성
1. TMG 관리 콘솔 실행 -> 방화벽 정책
2. 도구 상자 -> 관리되는 서버 컴퓨터 -> 속성 -> TMG 노드 추가
3. 서버 이름 -> 작업 탭의 배열 가입 클릭 후 배열 가입 절차 진행
Forefront TMG 클라이언트 다운로드
http://www.microsoft.com/DOWNLOADS/details.aspx?displaylang=ko&FamilyID=53010a09-3c5c-4d5d-9ae1-692e7447c5bd
Forefront TMG 클라이언트 무인 설치
msiexec /i ms_fwc.msi <SERVER_NAME_OR_IP=tmgserver> <ENABLE_AUTO_DETECT=0> <REFRESH_WEB_PROXY=0> /qb /L*v c:\fwc_inst.log
TMG 클라이언트의 Active Directory를 통한 자동 웹 프록시 검색 구성
1. TMG 서버는 반드시 도메인 구성원이어야 한다.
2. tmgadconfig.exe 명령줄 도구를 이용해 다음 명령 실행
tmgadconfig add -default -type winsock -url http://TMG.Domain.Com:80/wspad.dat
3. LDP.EXE 명령줄 도구를 이용해 정상적으로 등록되었는지 여부를 확인할 수 있다.
CN=Windock Proxy,CN=Internet Gateway,CN=Services,CN=Configuration,DC=Domain,DC=com
4. fwctool.exe 명령줄 도구를 이용해 TMG 클라이언트에서 확인
fwctool TestAutoDetect
TMG 클라이언트의 DNS/DHCP를 통한 자동 웹 프록시 검색 구성
DNS
* 클라이언트가 도메인에 참가되어 있거나 주 DNS 접미사가 설정되어 있어야 한다.
1. DNS 서버의 BlockList 해제: dnscmd /config /enableglobalqueryblocklist 0
2. WPAD.Domain.Com의 DNS 레코드를 TMG 서버의 IP 또는 CNAME으로 등록
* DNS에서 WPAD 항목을 사용하는 경우, TMG 서버의 포트 80에 게시해야 한다.
DHCP
1. DHCP 관리 콘솔 실행
2. DHCP 서버 마우스 우클릭 -> '미리 정의된 옵션 설정' 클릭
3. '추가' -> 옵션 유형에 다음과 같이 입력 후 확인
- 이름: WPAD
- 데이터 형식: 문자열
- 코드: 252
4. 문자열 항목에 다음과 같이 입력(또는 범위 옵션에서 입력 가능)
http://TMG.Domain.Com:80/wpad.dat
* wpad.dat는 소문자로 입력해야 한다.
5. 적용할 범위 선택 -> 범위 옵션 -> 고급
6. 사용 가능한 옵션에서 '252 WPAD' 선택 -> 확인
FCS 클라이언트의 사전 요구 사항
1. Task Scheduler 서비스 확인
시작 유형 : 자동
로그온 : Local System, '서비스와 데스크탑 상호 작용 허용' 체크
2. 윈도우즈 인스톨러 3.1 설치 (XP SP2)
http://go.microsoft.com/fwlink/?LinkID=62933
3. Forefront Client Security Filter Manager QFE (XP SP2)
http://support.microsoft.com/KB/914882
4. Windows update agent 2.0(엔진/패턴 업데이트를 위해 필요)
- Windows update 사이트에서 한 번이라도 업데이트를 받았다면 설치되어 있음
32비트(X86 기반) 컴퓨터용 Windows Update Agent 독립 실행형 설치 관리자
http://download.windowsupdate.com/v6/windowsupdate/redist/standalone/WindowsUpdateAgent20-x86.exe
x64 기반 컴퓨터용 Windows Update Agent 독립 실행형 설치 관리자
http://download.windowsupdate.com/v6/windowsupdate/redist/standalone/WindowsUpdateAgent20-x64.exe
5. 기존에 설치되어 있는 백신 제거
AD 환경, WORKGROUP 환경 모두 클라이언트의 업데이트 소스를 WSUS(Distribution Server) 변경
'자동 업데이트 구성' -> 사용, '자동 업데이트로 바로 설치' -> 사용
AD 환경의 클라이언트
1. FCS 클라이언트 설치
ClientSetup.exe /CG <MOM Management group> /MS <Collection Server FQDN>
2. MOM 서버에서 Agent를 설치한 클라이언트 승인 (1시간 후 자동으로 승인됨)
3. 관리 서버의 정책 설정 후 배포
그룹 정책을 이용한 배포 (OU, 보안 그룹)
- 클라이언트 컴퓨터 계정이 OU에 있는 경우 재부팅 불필요
- 클라이언트 컴퓨터 계정이 보안 그룹에 속하는 경우 재부팅해야 적용됨
Fcslocalpolicytool을 이용한 정책 배포
- 관리 서버의 정책 설정 후 '파일 추가'를 통해 REG 파일 생성 후 다음 명령을 이용하여 적용
fcslocalpolicytool.exe /f /i <policy.reg>
WORKGROUP 환경의 클라이언트
1. MOM 관리자 콘솔 실행 -> 관리 -> 전역 설정 -> 보안 -> '상호 인증 필요' 체크 해제
2. MOM Agent 설치
MOMAGENT.MSI CONFIG_GROUP=<MOM Management group> MANAGEMENT_SERVER=<Collection Server FQDN> REQUIRE_AUTH_COMMN=0
3. FCS 클라이언트 설치
CLIENTSETUP.EXE /NOMOM
4. MOM 서버에서 Agent를 설치한 클라이언트 승인 (1시간 후 자동으로 승인됨)
WORKGROUP 상태인 ISA 서버의 RADIUS Client 설정
VPN 클라이언트의 인증을 위한 WORKGORUP 상태의 ISA 서버 설정
전체적인 인증의 흐름은 다음과 같다.
- ISA 서버가 VPN 클라이언트로부터 인증 요청을 받는다.
- ISA 서버는 RADIUS 서버(MS의 경우 IAS 서버)로 인증 요청을 전달한다.
- RADIUS 서버는 인증 서버(MS의 경우 DC)로 인증 요청을 전달한다.
- 인증 서버는 응답을 RADIUS 서버로 전달하고 RADIUS 서버는 다시 RADIUS 클라이언트인 ISA 서버로 전달한다.
- 사용자 인증이 유효하고 dial-in 권한이 있으면 VPN 접속이 이루어진다.
- 그렇지 않다면 연결 요청은 drop 된다.
아래 설명은 DC에 IAS 서버가 설치되어 있는 것으로 간주한다.
만약 IAS 서버와 DC가 분리되어 있다면 IAS 서버는 RADIUS Proxy 역할을 하게끔 설정해야 한다.
RADIUS 서버 설정
1. 시작 -> 관리 도구 -> 인터넷 인증 서비스(Internet Authentication Service)
2. IAS 콘솔에서 ‘RADIUS Client’ 우클릭 -> ‘New RADIUS Client’ 클릭
3. 이름(ex: ISA Server), ISA 서버의 내부 IP 주소 입력 -> 다음
4. 추가 정보란에 Vendor는 ‘RADIUS Standard’ 선택, 공유 암호 입력, ‘요청에 인증 속성 포함’ 체크 -> 마침
VPN 클라이언트에 적용될 Remote Access Policy 설정
1. IAS 관리 콘솔에서 ‘Remote Access Policy’ 우클릭 -> ‘New Remote Access Policy’ 클릭
2. 구성 방법 ‘Use the wizard to set up a typical policy for a common scenario’ 선택, 정책 이름 입력 -> 다음
3. Access 방법 페이지에서 VPN 선택 -> 다음
4. 허용 그룹 또는 사용자 입력 (전체 사용은 Domain Users 추가) -> 다음
5. MS-CHAPv2 체크, EAP를 선택하면 추가적인 인증을 제공할 수 있으나 여기선 기본값으로 진행 -> 다음
6. 정책 보안 수준 페이지에서 VPN 클라이언트에 따라 적절한 체크 박스 선택 -> 마침
사용자 계정의 Dial-in 권한 설정
1. 도메인 기능 수준이 Windows 2000 native 모드나 Windows 2003 모드인 경우 기본 Dial-in 권한이 Remote Access Policy에 따라 설정되기 때문에 아래 과정은 생략해도 된다.
2. 도메인 기능 수준이 Windows 2000 Mixed 모드인 경우 개개인의 dial-in 권한을 따로 주어야 한다.
3. ADUC 콘솔에서 사용자 속성 -> Dial-in -> Remote Access Permission -> Allow access 선택 -> 확인
ISA 서버의 VPN 서버 설정
1. ISA 관리 콘솔에서 VPN 노드 클릭
2. 작업 항목에서 ‘Configure VPN Client Access’ 클릭
3. ‘Enable VPN client access’ 체크, 최대 허용 VPN 클라이언트 수 입력
Standard Edition의 ISA 서버는 최대 1000개의 VPN 연결을 지원한다.
4. 그룹 탭 클릭 -> 이 항목은 도메인 기능 수준이 2000 native나 2003일 경우에만 해당되며, ISA 서버가 AD의 구성원이 아니기 때문에 AD 그룹을 가져올 수도 없으므로 현 시나리오에서는 그냥 비워둔 상태로 둔다.
5. 프로토콜 탭 클릭 -> PPTP와 L2TP/IPSec 체크, PPTP만 체크해도 되나 추후 인증서를 통한 보안 강화를 사용할 수 있으므로 L2TP/IPSec도 체크해 둔다.
6. 사용자 매핑 -> ISA 서버가 도메인 구성원이 아닌 경우 절대 사용을 체크해서는 안 된다..
ISA 서버의 RADIUS 서버 설정
1. 작업 항목에서 RADIUS 구성 클릭
2. RADIUS 탭에서 ‘User RADIUS for authentication’ 체크, ‘User RADIUS for accounting (logging)’ 체크
3. ‘RADIUS 서버’ 클릭 -> 추가 클릭
4. 서버 이름에 IAS 서버의 IP 또는 도메인 이름 입력(안전하게 IP 주소 입력 권장)
5. 공유 암호의 변경 클릭 -> IAS 서버에서 설정한 공유 암호 입력
6. ‘Always use message authenticator’ 체크 -> 확인
7. 나머지 창의 확인 버튼을 클릭해 닫는다.
