RDS Security Group 정책 설정은 로컬 관리자의 사용 권한 사용자 지정에 대한 허용 여부를 제어합니다.

Horizon 7 RDS 그룹 정책 설정은 컴퓨터 구성 > 정책 > 관리 템플릿 > Windows 구성 요소 > 원격 데스크톱 서비스 > 원격 데스크톱 세션 호스트 > 보안 폴더에 설치됩니다.

표 1. RDS Security Group 정책 설정

설정

설명

Server Authentication Certificate Template

이 정책 설정을 사용하여 RDS 호스트를 인증하기 위해 자동으로 선택되는 인증서를 결정하는 인증서 템플릿의 이름을 지정합니다.

SSL(TLS 1.0)이 RDP 연결 중에 클라이언트와 RDS 호스트 간의 보안 통신에 사용될 경우 RDS 호스트를 인증하는 데 인증서가 필요합니다.

이 정책 설정을 사용하도록 설정하면 인증서 템플릿 이름을 지정해야 합니다. RDS 호스트를 인증하기 위한 인증서가 자동으로 선택될 경우 지정된 인증서 템플릿을 사용하여 생성한 인증서만 고려됩니다. 특정 인증서가 선택되지 않은 경우에만 자동 인증서 선택이 발생합니다.

지정된 인증서 템플릿으로 생성한 인증서를 찾을 수 없으면 RDS 호스트는 인증서 등록 요청을 실행하고 해당 요청이 완료될 때까지 현재 인증서를 사용합니다. 지정된 인증서 템플릿으로 생성한 인증서가 2개 이상 있으면 곧 만료될 예정이며 RDS 호스트의 현재 이름과 일치하는 인증서가 선택됩니다.

이 정책 설정을 사용하지 않도록 설정하거나 구성하지 않으면 기본적으로 RDS 호스트를 인증하는 데 자체 서명된 인증서가 사용됩니다. 원격 데스크톱 호스트 구성 도구의 [일반] 탭에서 RDS 호스트를 인증하는 데 사용할 수 있는 특정 인증서를 선택할 수 있습니다.

참고:

RDS 호스트를 인증하는 데 사용할 특정 인증서를 선택하는 경우 해당 인증서는 이 정책 설정보다 우선합니다.

Set client connection encryption level

RDP(원격 데스크톱 프로토콜) 연결 동안 클라이언트와 RDS 호스트 간 보안 통신을 위해 특정 암호화 수준을 사용하도록 요구할지 여부를 지정합니다.

이 설정을 사용하도록 설정하면 원격 연결 동안 클라이언트와 RDS 호스트 간의 모든 통신에 이 설정에 지정된 암호화 방법을 사용해야 합니다. 기본적으로 암호화 수준은 [높음]으로 설정됩니다. 다음 암호화 방법을 사용할 수 있습니다.

  • High. [높음] 설정은 강력한 128비트 암호화를 사용하여 클라이언트에서 서버로, 서버에서 클라이언트로 전송되는 데이터를 암호화합니다. 128비트 클라이언트(예: 원격 데스크톱 연결을 실행하는 클라이언트)만 포함하는 환경에서는 이 암호화 수준을 사용합니다. 이 암호화 수준을 지원하지 않는 클라이언트는 RDS 호스트 서버에 연결할 수 없습니다.

  • Client Compatible. [클라이언트 호환 가능] 설정은 클라이언트에서 지원하는 최대 키 강도에서 클라이언트와 서버 간에 전송되는 데이터를 암호화합니다. 128비트 암호화를 지원하지 않는 클라이언트가 포함된 환경에서는 이 암호화 수준을 사용합니다.

  • Low. [낮음] 설정은 56비트 암호화를 사용하여 클라이언트에서 서버로 전송되는 데이터만 암호화합니다.

이 설정을 사용하지 않도록 설정하거나 구성하지 않으면 RDS 호스트와의 원격 연결에 사용할 암호화 수준이 그룹 정책을 통해 적용되지 않습니다. 하지만 원격 데스크톱 세션 호스트 구성 도구를 사용하여 이러한 연결에 필요한 암호화 수준을 구성할 수 있습니다.

중요:

FIPS 규격은 컴퓨터 구성 > Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션 폴더의 "시스템 암호화: 암호화, 해시, 서명에 FIPS 호환 알고리즘 사용" 정책 설정을 통해 또는 원격 데스크톱 세션 호스트 구성의 "FIPS 규격" 설정을 통해 구성할 수 있습니다. FIPS 규격 설정은 Microsoft 암호화 모듈을 사용하여 FIPS(Federal Information Processing Standard) 140-1 암호화 알고리즘을 통해 클라이언트에서 서버로 및 서버에서 클라이언트로 전송된 데이터를 암호화 및 암호 해독합니다. 클라이언트와 RDS 호스트 간에 통신할 때 이 암호화 수준을 사용하면 최고 수준의 암호화가 필요합니다. FIPS 규격이 그룹 정책 "시스템 암호화: 암호화, 해시, 서명에 FIPS 호환 알고리즘 사용" 설정을 통해 이미 사용되도록 설정되면 해당 설정은 그룹 정책 설정 또는 원격 데스크톱 세션 호스트 구성 도구에 지정된 암호화 수준을 재정의합니다.

Always prompt for password upon connection

원격 데스크톱 서비스가 연결 시 항상 클라이언트에 암호를 요구할지 여부를 지정합니다.

이 설정을 사용하여 원격 데스크톱 연결 클라이언트에서 이미 암호를 제공한 경우에도 원격 데스크톱 서비스에 로그온하는 사용자에게 암호를 요구할 수 있습니다.

기본적으로 원격 데스크톱 서비스는 사용자가 원격 데스크톱 연결 클라이언트에서 암호를 입력하여 자동으로 로그온할 수 있도록 합니다.

이 설정을 사용하도록 설정하면 사용자는 원격 데스크톱 연결 클라이언트에서 해당 암호를 제공하여 원격 데스크톱 서비스에 자동으로 로그온할 수 없습니다. 로그온하기 위해 암호를 입력하라는 메시지가 표시됩니다.

이 설정을 사용하지 않도록 설정하면 사용자는 항상 원격 데스크톱 연결 클라이언트에서 해당 암호를 제공하여 원격 데스크톱 서비스에 자동으로 로그온할 수 있습니다.

이 정책 설정을 구성하지 않으면 그룹 정책 수준에서 자동 로그온이 지정되지 않습니다. 하지만 관리자는 원격 데스크톱 세션 호스트 구성 도구를 사용하여 여전히 암호를 입력하도록 요구할 수 있습니다.

Require secure RPC communication

RDS 호스트가 모든 클라이언트와의 보안 RPC 통신을 요구할지 또는 비보안 통신을 허용할지를 지정합니다.

이 설정을 사용하여 인증되고 암호화된 요청만 허용하여 RPC 통신의 보안을 강화할 수 있습니다.

이 설정을 사용하도록 설정하면 원격 데스크톱 서비스는 보안 요청을 지원하는 RPC 클라이언트의 요청을 수락하며 신뢰할 수 없는 클라이언트와의 비보안 통신을 허용하지 않습니다.

이 설정을 사용하지 않도록 설정하면 원격 데스크톱 서비스는 항상 모든 RPC 트래픽에 대한 보안을 요청합니다. 그러나 요청에 응답하지 않는 RPC 클라이언트에 대해 비보안 통신이 허용됩니다.

이 설정을 구성하지 않을 경우 비보안 통신이 허용됩니다.

참고:

원격 데스크톱 서비스를 관리 및 구성하는 데 RPC 인터페이스가 사용됩니다.

Require use of specific security layer for remote (RDP) connections

RDP(원격 데스크톱 프로토콜) 연결 동안 클라이언트와 RDP 호스트 간 보안 통신을 위해 특정 보안 계층을 사용하도록 요구할지 여부를 지정합니다.

이 설정을 사용하도록 설정하면 원격 연결 동안 클라이언트와 RDS 호스트 간의 모든 통신에 이 설정에 지정된 보안 방법이 사용되어야 합니다. 다음 보안 방법을 사용할 수 있습니다.

  • Negotiate. 협상 방법은 클라이언트가 지원하는 가장 안전한 방법을 적용합니다. TLS(전송 계층 보안) 버전 1.0이 지원되는 경우 RDS 호스트를 인증하는 데 사용됩니다. TLS가 지원되지 않으면 기본 RDP(원격 데스크톱 프로토콜) 암호화가 통신 보안 유지에 사용되지만 RDS 호스트는 인증되지 않습니다.

  • RDP. RDP 방법은 기본 RDP 암호화를 사용하여 클라이언트와 RDS 호스트 간 통신의 보안을 유지합니다. 이 설정을 선택하면 RDS 호스트가 인증되지 않습니다.

  • SSL (TLS 1.0). SSL 방법을 사용하려면 TLS 1.0을 통해 RDS 호스트를 인증해야 합니다. TLS가 지원되지 않으면 연결이 실패합니다.

이 설정을 사용하지 않도록 설정하거나 구성하지 않으면 RDS 호스트에 대한 원격 연결에 사용할 보안 방법이 그룹 정책을 통해 적용되지 않습니다. 하지만 원격 데스크톱 세션 호스트 구성 도구를 사용하여 이러한 연결에 필요한 보안 방법을 구성할 수 있습니다.

Require user authentication for remote connections by using Network

이 정책 설정을 사용하여 네트워크 수준 인증을 통해 RDS 호스트에 대한 원격 연결을 위해 사용자 인증을 요구할지 여부를 지정합니다. 이 정책 설정은 사용자 인증이 원격 연결 프로세스의 초반에 발생하도록 하여 보안을 강화합니다.

이 정책 설정을 사용하도록 설정하면 네트워크 수준 인증을 지원하는 클라이언트 컴퓨터만 RDS 호스트에 연결할 수 있습니다.

클라이언트 컴퓨터가 네트워크 수준 인증을 지원하는지 여부를 결정하려면 클라이언트 컴퓨터에서 원격 데스크톱 연결을 시작하고, [원격 데스크톱 연결] 대화 상자의 왼쪽 상단 모서리에 있는 아이콘을 클릭합니다. [원격 데스크톱 연결 정보] 대화 상자에서 “네트워크 수준 인증이 지원됩니다."라는 문구를 찾습니다.

이 정책 설정을 사용하지 않도록 설정하거나 구성하지 않으면 RDS 호스트에 대한 원격 연결을 허용하기 전에 사용자 인증에 네트워크 수준 인증이 필요하지 않습니다.

원격 데스크톱 세션 호스트 구성 도구를 사용하거나 [시스템 속성]의 [원격] 탭에서 사용자 인증에 네트워크 수준 인증이 필요하다고 지정할 수 있습니다.

중요:

이 정책 설정을 사용하지 않도록 설정하거나 구성하지 않으면 사용자 인증이 원격 연결 프로세스의 후반부에 발생하므로 보안이 약화됩니다.

Do not allow local administrators to customize permissions

관리자가 원격 데스크톱 세션 호스트 구성 도구에서 보안 사용 권한을 사용자 지정할 수 없도록 할지 여부를 지정합니다.

이 설정을 사용하여 관리자가 원격 데스크톱 세션 호스트 구성 도구의 사용 권한 탭에서 사용자 그룹을 변경할 수 없도록 할 수 있습니다. 기본적으로 관리자는 이러한 변경을 수행할 수 있습니다.

상태를 사용으로 설정하면 원격 데스크톱 세션 호스트 구성 도구의 사용 권한 탭을 사용하여 연결당 보안 설명자를 사용자 지정하거나 기존 그룹에 대한 기본 보안 설명자를 변경할 수 없습니다. 모든 보안 설명자는 읽기 전용으로 됩니다.

상태를 사용 안 함 또는 구성되지 않음으로 설정하면 서버 관리자에게 원격 데스크톱 세션 호스트 구성 도구의 사용 권한 탭에 있는 사용자 보안 설명자에 대한 모든 읽기/쓰기 권한이 부여됩니다.

참고:

사용자 액세스를 관리하기 위한 기본 방법은 사용자를 원격 데스크톱 사용자 그룹에 추가하는 것입니다.