연방 데스크톱 코어 구성
Federal Desktop Core Configuration |
Federal Desktop Core Configuration(연방 데스크톱 코어 구성)은 미국 정부 기관의 네트워크에 직접 연결된 범용 마이크로컴퓨터에 대해 미국 국립표준기술연구소가 권장하는 보안 설정 목록입니다.
FDCC는 Microsoft Windows 운영체제의 공통 코어 시스템 기능, 응용 프로그램, 파일 및 서비스에 대해 합의된 목록입니다.이것에 의해, 보다 시큐러티와 시큐러티의 신뢰성이 높은 MS Windows 운영체제를 위한 프레임워크가 작성되었습니다.그 후 2008년 2월 1일부터 모든 연방정부 컴퓨터에 대해 이 표준이 의무화되었습니다.연방 사무실의 컴퓨터 네트워크에 접속하려면 시스템이 FDCC 기준을 충족하거나 초과해야 합니다.그렇지 않으면 접근이 거부되었습니다.
FDCC는 Windows XP 및 Vista 데스크톱 및 노트북 컴퓨터에만 적용되며 Windows 7 및 Red Hat Enterprise Linux 5 설정을 포함하는 미국 정부 구성 기준(USGCB)으로 대체되었습니다.
Windows 7의 경우 NIST는 명명 규칙을 US Government Computer Baseline(USGCB ver 2.0)으로 변경했습니다.NIST는 일반적인 Windows 설정 가이드의 분류를 해제할 뿐만 아니라 Windows 방화벽, Internet Explorer 및 에너지 절약 정책을 준수하는 설정을 캡처하기 위해 작성된 가이드(Vista-Energy 등)도 발행합니다.
역사
2007년 3월 20일 관리예산국은 미국 정부기관에 Microsoft Windows XP 및 Vista 보안 구성 사용 계획을 [1][2]수립하도록 지시하는 각서를 발행했습니다.미 공군의 Windows XP용 공통 보안 구성은 표준 [2]개발이 가능한 초기 모델로 제안되었습니다.
FDCC 기준선은 OMB, DHS, DOI, DISA, NSA, USAF 및 [2]Microsoft와 협력하여 개발(및 유지)되었다.[3]이는 Windows XP Professional 및 Vista 시스템에만 적용됩니다.이러한 보안 정책은 Windows 9x/ME/NT/2000 또는 Windows Server [3]2003에서는 테스트되지 않습니다(NIST에 따르면 작동하지 않습니다).
메이저 버전 1.1(2008년 10월 31일 출시)에서는 새로운 설정이나 변경된 설정은 없었지만 SCAP 보고서 옵션이 [3]확장되었습니다.모든 이전 버전과 마찬가지로 이 표준은 최종 사용자용 범용 워크스테이션 및 노트북에 적용됩니다.서버로서 사용되고 있는 Windows XP 및 Vista 시스템은 이 표준에서 제외됩니다.또, 임베디드 컴퓨터와 「특수 목적」시스템(전문 과학 시스템, 의료 시스템, 프로세스 제어 시스템, 및 실험 시스템으로 정의)도 제외됩니다만, FDCC 의 시큐러티 설정은 「실현 가능하고 적절한 경우」[4]라고 하는 것을 추천합니다.
FDCC 설정(일반적으로 말하면 운영체제에서 열린 접속 차단, 기능 비활성화, SOHO 환경에서 거의 사용되지 않는 애플리케이션 비활성화, 불필요한 서비스 비활성화, 항목 권한 변경, 로그 파일 수집 및 기록 방법 변경, 그룹 정책 개체(GPO) 설정 변경 및 Wi의 엔트리 변경)nd는 시스템레지스트리를 나타냅니다.
InfoWeek는 'Feds Don't Allow It'이라는 제목의 기사로 FDCC를 주로 관리자와 엔지니어들에게 소개했다.Should You?'는 DarkReading.com의 Kelly Jackson Higgins에 의해 쓰여졌고 2008년 2월 4일에 출판되었다.
지침의 복잡성 때문에 처음에는 반응이 느렸다.구현에 시간이 걸렸고, 정부 및 엔터프라이즈 구현 기술자가 내부적으로 설정을 조사했습니다.NIST와 NSA는 수백 페이지의 텍스트로 지침을 발표하고 애플리케이션용 SCAP 파일을 도입했습니다.(Wikipedia SCAP 페이지 참조)
Windows 플랫폼은 상호 운용성과 네트워킹을 용이하게 하기 위해 구축되었기 때문에 운영체제 내에서 다른 컴퓨터에 대한 모든 종류의 자동 및 반자동 접속을 할 수 있는 기회를 남겨두었습니다.이것들은 결점이나 프로그래밍 실수가 아니라 의도적으로 만들어진 것입니다.예를 들어 일반적인 Windows 운영체제 설치 후 기본적으로 활성화되어 있는 Windows 원격연결 프로그램을 보면 알 수 있습니다.예를 들어, FDCC/USGCB 의 설정에서는, 그 설정이 반대로 되어 있기 때문에, 리모트 접속을 허가하기 위해서 수동으로 재이네이블로 할 필요가 있습니다.
요구 사항들
FDCC 컴플라이언스를 문서화해야 하는 조직은 SCAP 도구를 사용하여 이를 수행할 수 있습니다.
일반적인 FDCC/USGCB 문서에는 600개 이상의 설정이 있습니다만, 모든 설정을 일반적인 스몰 오피스 또는 홈 오피스(SOHO) 컴퓨터에서 사용할 수 있는 것은 아닙니다.예를 들어 2008년6월 20일에 출시된 FDCC 메이저버전 1.0에서는 674 [3]의 설정이 지정되어 있습니다.예를 들어 "모든 무선 인터페이스를 비활성화해야 합니다."[5]라고 입력합니다.모든 권장 설정이 모든 시스템에 적용되는 것은 아니라는 것을 인식하기 위해 FDCC 편차 [2][5]보고서에 기재되어 있는 경우 예외('공인 기업 무선 네트워크' 등)가 발생할 수 있습니다.
모든 권장 설정을 엄격하게 구현하면 조작성 문제가 발생하는 것으로 알려져 있습니다.NIST는 이미 알려진 문제의 목록을 공개하고 있으며, 이 목록은 여기에서 확인할 수 있습니다(https://usgcb.nist.gov/usgcb/microsoft_content.html)).SOHO 환경에서 설정을 테스트했다고 주장하는 서드파티 소프트웨어 벤더는 몇 개 있지만, 현시점에서는 일반인들은 여전히 NIST에 의해 개발되어 제시된 FDCC 및 USGCB 보안 설정에 대해 비교적 모르고 있습니다.
외부 링크
- "U.S. Government Configuration Baseline solution". Microsoft Corporation. Retrieved 19 June 2010.
레퍼런스
- ^ "F D C C Additional NIST Frequently Asked Questions – How do I report compliance and deviations?". National Vulnerability Database. National Institute of Standards and Technology. 14 December 2016.
- ^ a b c d Evans, Karen S. (20 March 2007). "Managing Security Risk By Using Common Security Configurations". Archived from the original (DOC) on 21 September 2008. Retrieved 2 March 2009.
{{cite journal}}:Cite 저널 요구 사항journal=(도움말) - ^ a b c d "F D C C download page". National Vulnerability Database. National Institute of Standards and Technology. 14 December 2016.
- ^ "F D C C Additional NIST Frequently Asked Questions – Is FDCC applicable to special purpose (e.g., scientific, medical, process control, and experimental systems) computers?". National Vulnerability Database. National Institute of Standards and Technology. 14 December 2016.
- ^ a b "F D C C Additional NIST Frequently Asked Questions – Are there any conditions under which wireless is allowed?". National Vulnerability Database. National Institute of Standards and Technology. 14 December 2016.
