WSHV(Windows 보안 상태 검사기)는 배포 환경의 요구 사항에 따라 구성할 수 있는 설정을 제공합니다.

WSHV 설정

정책에 대해 다음과 같은 WSHV 설정을 구성할 수 있습니다.

방화벽

모든 네트워크 연결에 방화벽 사용 설정을 사용하려면 클라이언트 컴퓨터에서 실행되고 있는 방화벽 소프트웨어가 Windows 방화벽 소프트웨어이거나 Windows 보안 센터와 호환되는 다른 방화벽 소프트웨어여야 합니다.

Windows 보안 센터와 호환되지 않는 방화벽 소프트웨어는 클라이언트 컴퓨터의 WSHA(Windows 보안 상태 에이전트)에서 관리하거나 검색할 수 없습니다.

모든 네트워크 연결에 방화벽 사용을 선택하면 클라이언트 컴퓨터의 WSHA는 클라이언트 컴퓨터에서 방화벽 소프트웨어가 실행되고 있는지 확인하고 다음 작업을 수행합니다.

  • 클라이언트 컴퓨터에서 방화벽 소프트웨어가 실행되고 있지 않으면 방화벽 소프트웨어를 설치하고 실행할 때까지 클라이언트 컴퓨터는 업데이트 관리 네트워크로 제한됩니다.

  • 클라이언트 컴퓨터에서 Windows 보안 센터와 호환되지 않는 방화벽 소프트웨어만 실행되고 있는 경우 WSHA는 방화벽을 사용하지 않는 것으로 NAP(네트워크 액세스 보호) 서비스에 보고하고 클라이언트 컴퓨터는 업데이트 관리 네트워크로 제한됩니다.

중요

모든 네트워크 연결에 방화벽 사용을 선택한 경우 클라이언트 컴퓨터에서 Windows 방화벽이나 Windows 보안 센터와 호환되는 다른 방화벽 소프트웨어를 실행하고 있지 않으면 클라이언트 컴퓨터는 네트워크에 연결할 수 없습니다.

모든 네트워크 연결에 방화벽 사용을 선택하지 않으면 클라이언트 컴퓨터의 WSHA가 검사를 수행하지 않으므로 방화벽 소프트웨어를 실행하지 않는 클라이언트 컴퓨터가 네트워크에 연결할 수 없습니다.

자동 업데이트 관리

모든 네트워크 연결에 방화벽 사용을 선택하고 NAP 자동 업데이트 관리를 사용하는 경우 클라이언트 컴퓨터의 WSHA가 방화벽이 사용되지 않는 것으로 보고하면 WSHV가 클라이언트 컴퓨터의 WSHA에 Windows 방화벽을 켜도록 지시합니다.

중요

자동 업데이트 관리를 사용하고 클라이언트 컴퓨터에서 Windows 보안 센터와 호환되지 않는 방화벽 소프트웨어를 실행하고 있지만 WSHA에서 이 방화벽을 검색하지 못하는 경우 클라이언트 컴퓨터의 WSHA는 클라이언트 컴퓨터에서 Windows 방화벽을 사용하도록 설정하여, 결과적으로 클라이언트 컴퓨터에서 두 개의 다른 방화벽이 동시에 실행됩니다. 비규격 방화벽에 구성되어 있지만 Windows 방화벽에 구성되어 있지 않은 예외는 클라이언트 컴퓨터에서 기능 손실을 유발할 수 있습니다. 이러한 이유로 클라이언트 컴퓨터에서 두 개의 다른 방화벽을 동시에 실행하지 않는 것이 좋습니다.

바이러스 방지

바이러스 백신 응용 프로그램 실행 중을 선택하면 클라이언트 컴퓨터의 WSHA는 클라이언트 컴퓨터에서 바이러스 백신 소프트웨어가 실행되고 있는지 확인합니다. 클라이언트 컴퓨터에서 바이러스 백신 소프트웨어가 실행되고 있지 않으면 바이러스 백신 소프트웨어를 설치하고 실행할 때까지 클라이언트 컴퓨터는 업데이트 관리 네트워크로 제한됩니다.

클라이언트 컴퓨터에서 실행되는 바이러스 백신 소프트웨어는 Windows 보안 센터와 호환되어야 합니다. Windows 보안 센터와 호환되지 않는 바이러스 백신 소프트웨어는 클라이언트 컴퓨터의 WSHA에서 관리하거나 검색할 수 없습니다. 클라이언트 컴퓨터에서 Windows 보안 센터와 호환되지 않는 바이러스 백신 소프트웨어만 실행되고 있는 경우 WSHA는 바이러스 백신을 사용하지 않는 것으로 WSHV에 보고하고 클라이언트 컴퓨터는 업데이트 관리 네트워크로 제한됩니다.

바이러스 백신이 최신 상태임을 선택하면 클라이언트 컴퓨터의 WSHA는 바이러스 백신 응용 프로그램의 바이러스 백신 정의가 가장 최근 버전이고 최신 상태인지 확인합니다.

바이러스 백신 소프트웨어가 실행되고 있고 바이러스 백신 정의가 사용 가능한 가장 최신 업데이트인지 확인하려면 바이러스 백신 응용 프로그램 실행 중바이러스 백신이 최신 상태임을 모두 선택해야 합니다.

바이러스 백신 응용 프로그램 실행 중을 선택하지 않으면 클라이언트 컴퓨터의 WSHA가 검사를 수행하지 않으므로 바이러스 백신 소프트웨어를 실행하지 않는 클라이언트 컴퓨터가 네트워크에 연결할 수 없습니다.

바이러스 백신 응용 프로그램 실행 중바이러스 백신이 최신 상태임을 둘 다 선택하지 않으면 클라이언트 컴퓨터의 WSHA가 검사를 수행하지 않으므로 바이러스 백신 소프트웨어를 실행하지 않거나 바이러스 정의가 최신 상태가 아닌 바이러스 백신 소프트웨어를 실행하는 클라이언트 컴퓨터가 네트워크에 연결할 수 없습니다.

스파이웨어 방지

스파이웨어 방지 응용 프로그램 실행 중을 선택하면 클라이언트 컴퓨터의 WSHA는 클라이언트 컴퓨터에서 스파이웨어 방지 소프트웨어가 실행되고 있는지 확인합니다. 클라이언트 컴퓨터에서 스파이웨어 방지 소프트웨어가 실행되고 있지 않으면 스파이웨어 방지 소프트웨어를 설치하고 실행할 때까지 클라이언트 컴퓨터는 업데이트 관리 네트워크로 제한됩니다.

클라이언트 컴퓨터에서 실행되는 스파이웨어 방지 소프트웨어는 Windows Defender이거나 Windows 보안 센터와 호환되는 다른 스파이웨어 방지 소프트웨어여야 합니다.

Windows 보안 센터와 호환되지 않는 스파이웨어 방지 소프트웨어는 클라이언트 컴퓨터의 WSHA에서 관리하거나 검색할 수 없습니다. 클라이언트 컴퓨터에서 Windows 보안 센터와 호환되지 않는 스파이웨어 방지 소프트웨어만 실행되고 있는 경우 WSHA는 스파이웨어 방지를 사용하지 않는 것으로 WSHV에 보고하고 클라이언트 컴퓨터는 업데이트 관리 네트워크로 제한됩니다.

스파이웨어 방지가 최신 상태임을 선택하면 클라이언트 컴퓨터의 WSHA는 스파이웨어 방지 응용 프로그램의 스파이웨어 방지 정의가 가장 최근 버전이고 최신 상태인지 확인합니다.

스파이웨어 방지 소프트웨어가 실행되고 있고 스파이웨어 방지 정의가 사용 가능한 가장 최신 업데이트인지 확인하려면 스파이웨어 방지 응용 프로그램 실행 중스파이웨어 방지가 최신 상태임을 모두 선택해야 합니다.

스파이웨어 방지 응용 프로그램 실행 중을 선택하지 않으면 클라이언트 컴퓨터의 WSHA가 검사를 수행하지 않으므로 스파이웨어 방지 소프트웨어를 실행하지 않는 클라이언트 컴퓨터가 네트워크에 연결할 수 없습니다.

스파이웨어 방지 응용 프로그램 실행 중스파이웨어 방지가 최신 상태임을 둘 다 선택하지 않으면 클라이언트 컴퓨터의 WSHA가 검사를 수행하지 않으므로 스파이웨어 방지 소프트웨어를 실행하지 않거나 스파이웨어 방지 정의가 최신 상태가 아닌 스파이웨어 방지 소프트웨어를 실행하는 클라이언트 컴퓨터가 네트워크에 연결할 수 없습니다.

자동 업데이트 관리

스파이웨어 방지 응용 프로그램 실행 중을 선택하고 NAP 자동 업데이트 관리를 사용하는 경우 클라이언트 컴퓨터의 WSHA가 스파이웨어 방지 기능이 사용되지 않는 것으로 보고하면 WSHV가 클라이언트 컴퓨터의 WSHA에 Windows Defender를 켜도록 지시합니다.

중요

자동 업데이트 관리를 사용하고 클라이언트 컴퓨터에서 Windows 보안 센터와 호환되지 않는 스파이웨어 방지 소프트웨어를 실행하고 있지만 WSHA에서 이 스파이웨어 방지를 검색하지 못하는 경우 클라이언트 컴퓨터의 WSHA는 클라이언트 컴퓨터에서 Windows Defender를 사용하도록 설정하여, 결과적으로 클라이언트 컴퓨터에서 두 개의 다른 스파이웨어 방지 응용 프로그램이 동시에 실행됩니다.

참고

NAP 클라이언트 관리 MMC(Microsoft Management Console) 스냅인을 사용하여 자동 업데이트 관리를 구성할 수 있습니다.

자동 업데이트

자동 업데이트 켜짐을 선택한 경우 클라이언트 컴퓨터에서 Microsoft Update Services를 사용하도록 설정되어 있지 않으면 WSHA는 Microsoft Update Services를 사용하도록 설정할 때까지 클라이언트 컴퓨터를 업데이트 관리 네트워크로 제한합니다.

Microsoft Update Services는 클라이언트 컴퓨터에서 다음 설정 중 하나를 선택한 경우 사용하도록 설정됩니다.

  • 업데이트 자동 설치(권장)

  • 업데이트를 다운로드하지만 설치 여부는 직접 선택

  • 업데이트를 확인하지만 다운로드 및 설치 여부는 직접 선택

자동 업데이트 관리

자동 업데이트 사용을 선택하고, NAP 자동 업데이트 관리를 사용하도록 설정했으며, 클라이언트 컴퓨터의 WSHA가 Microsoft Update Services를 사용하지 않는 것으로 보고하는 경우 WSHV는 클라이언트 컴퓨터의 WSHA에게 Microsoft Update Services를 사용하도록 설정하고 자동으로 업데이트를 다운로드하고 설치하도록 Microsoft Update Services를 구성할 것을 지시합니다.

참고

NAP 클라이언트 관리 MMC 스냅인을 사용하여 자동 업데이트 관리를 구성할 수 있습니다.

보안 업데이트 보호

WSHV 정책에 보안 업데이트 보호를 구성하려면 네트워크의 클라이언트 컴퓨터에서 Windows Update 에이전트를 실행하고 있어야 합니다. 또한 Windows Update 에이전트를 실행하는 클라이언트 컴퓨터가 WSUS(Windows Server Update Services)를 실행하는 서버에 등록되어 있어야 합니다.

중요

이러한 조건이 충족되지 않은 상태에서 WSHV 정책에 보안 업데이트 보호를 구성하면 클라이언트 컴퓨터의 WSHA가 정책을 적용할 수 없으며 WSHA에서 클라이언트 컴퓨터를 업데이트 관리 네트워크로 제한하여 클라이언트가 네트워크에 연결할 수 없습니다.

클라이언트 컴퓨터에서 Windows Update 에이전트가 실행되고 있고 클라이언트 컴퓨터가 WSUS 서버에 등록되어 있으면 WSHV 정책에 대해 보안 업데이트 보호를 구성할 수 있습니다.

이 경우 보안 업데이트가 누락된 경우 격리 적용을 선택하고 가장 최신 보안 업데이트가 설치되어 있지 않으면 WSHA는 가장 최신 소프트웨어 보안 업데이트를 설치할 때까지 클라이언트 컴퓨터를 업데이트 관리 네트워크로 제한합니다.

MSRC(Microsoft 보안 응답 센터)의 보안 심각도 등급과 일치하는 몇 가지 가능한 값을 사용하여 보안 업데이트 보호를 구성할 수 있습니다. 이러한 값은 다음과 같습니다.

  • 심각. 이 값을 선택한 경우 클라이언트 컴퓨터에는 MSRC 보안 등급이 심각인 모든 보안 업데이트가 있어야 합니다. 클라이언트 컴퓨터에 이러한 업데이트가 없으면 업데이트를 다운로드하여 설치할 때까지 클라이언트 컴퓨터는 업데이트 관리 네트워크로 제한됩니다.

  • 중요 이상. 이것이 기본 설정입니다. 이 값을 선택한 경우 클라이언트 컴퓨터에는 MSRC 보안 등급이 중요 또는 심각인 모든 보안 업데이트가 있어야 합니다. 클라이언트 컴퓨터에 이러한 업데이트가 없으면 업데이트를 다운로드하여 설치할 때까지 클라이언트 컴퓨터는 업데이트 관리 네트워크로 제한됩니다.

  • 보통 이상. 이 값을 선택한 경우 클라이언트 컴퓨터에는 MSRC 보안 등급이 보통, 중요 또는 심각인 모든 보안 업데이트가 있어야 합니다. 클라이언트 컴퓨터에 이러한 업데이트가 없으면 업데이트를 다운로드하여 설치할 때까지 클라이언트 컴퓨터는 업데이트 관리 네트워크로 제한됩니다.

  • 낮음 이상. 이 값을 선택한 경우 클라이언트 컴퓨터에는 MSRC 보안 등급이 낮음, 보통, 중요 또는 심각인 모든 보안 업데이트가 있어야 합니다. 클라이언트 컴퓨터에 이러한 업데이트가 없으면 업데이트를 다운로드하여 설치할 때까지 클라이언트 컴퓨터는 업데이트 관리 네트워크로 제한됩니다.

  • 모두. 이 값을 선택한 경우 클라이언트 컴퓨터에는 MSRC의 보안 등급에 관계없이 모든 보안 업데이트가 있어야 합니다. 클라이언트 컴퓨터에 최신 업데이트가 없으면 업데이트를 다운로드하여 설치할 때까지 클라이언트 컴퓨터는 업데이트 관리 네트워크로 제한됩니다.

보안 업데이트 심각도 등급 수준을 구성한 후에는 클라이언트가 WSUS 서버에서 새 보안 업데이트를 확인한 후 허용되는 최소 시간(시)을 지정할 수 있습니다. 최소 동기화 시간의 기본값은 22시간입니다.

클라이언트 컴퓨터가 NAP 사용 네트워크에 처음 연결을 시도하고 WSHV 정책에 보안 업데이트 보호 설정이 구성되어 있는 경우 WSHA는 클라이언트 컴퓨터가 가장 최근에 WSUS 서버에서 보안 업데이트를 확인한 시간을 기반으로 클라이언트 컴퓨터를 업데이트 관리 네트워크로 제한할지 여부를 결정합니다. WSHA는 다음과 같은 방식으로 클라이언트를 업데이트 관리 네트워크로 제한할지 여부를 결정합니다.

  • 클라이언트가 WSHV에 구성된 허용되는 최소 확인 간격(시)보다 큰 간격으로 업데이트를 확인한 경우 클라이언트 컴퓨터는 업데이트 관리 네트워크로 제한됩니다. 클라이언트가 업데이트를 확인하고 최신 업데이트를 모두 다운로드하여 설치하면 클라이언트에게 전체 네트워크 액세스가 허용됩니다.

  • 클라이언트가 WSHV에 구성된 허용되는 최소 확인 간격(시)과 같거나 작은 간격으로 업데이트를 확인한 경우 클라이언트 컴퓨터는 업데이트 관리 네트워크로 제한되지 않습니다.

참고

클라이언트 컴퓨터의 WSHA는 클라이언트 컴퓨터가 네트워크에 연결을 시도할 때만 이 확인 작업을 수행합니다. 클라이언트 컴퓨터가 구성된 최소 동기화 시간보다 오래 네트워크에 연결되어 있는 경우 WSHA는 보안 업데이트를 확인하도록 하거나 업데이트를 다운로드하도록 하지 않으며 클라이언트 컴퓨터를 업데이트 관리 네트워크로 제한하지 않습니다.

자동 업데이트 관리

WSHV 정책에서 보안 업데이트 보호 설정을 사용하도록 설정하고 구성한 상태에서 자동 업데이트 관리가 작동하도록 하려면 다음 조건을 충족해야 합니다.

  • 네트워크의 클라이언트 컴퓨터에서 Windows Update 에이전트가 실행되고 있어야 합니다.

  • Windows Update 에이전트를 실행하는 클라이언트 컴퓨터가 WSUS 서버에 등록되어 있어야 합니다.

  • 자동 업데이트 관리가 구성 및 사용하도록 설정되어 있어야 합니다.

이러한 조건이 충족되면 클라이언트 컴퓨터의 WSHA는 WSUS 서버를 확인하여 가장 최신 보안 업데이트를 검색합니다. WSHA에서 구성된 MSRC 심각도 등급의 가장 최신 보안 업데이트가 클라이언트 컴퓨터에 설치되어 있지 않은 것을 발견하면 WSHA는 가장 최신 보안 업데이트를 다운로드하여 설치합니다.


목차