Windows 인스턴스용 Credential Guard - Amazon Elastic Compute Cloud

Windows 인스턴스용 Credential Guard

AWS Nitro System은 Amazon Elastic Compute Cloud(Amazon EC2) Windows 인스턴스용 Credential Guard를 지원합니다. Credential Guard는 Windows 커널 보호를 넘어 Windows 사용자 자격 증명 및 코드 무결성 적용과 같은 보안 자산을 보호하기 위해 격리된 환경을 생성할 수 있는 Windows VBS 기능입니다. EC2 Windows 인스턴스를 실행할 때 Credential Guard는 AWS Nitro 시스템을 사용하여 Windows 로그인 자격 증명이 운영 체제 메모리에서 추출되지 않도록 보호합니다.

사전 조건

Credential Guard를 활용하려면 Windows 인스턴스가 다음 사전 조건을 충족해야 합니다.

Amazon 머신 이미지(AMI)

NitroTPM 및 UEFI Secure Boot를 활성화하도록 AMI를 미리 구성해야 합니다. 지원되는 AMI에 대한 자세한 내용은 Amazon EC2 인스턴스에서 NitroTPM을 사용하기 위한 요구 사항 섹션을 참조하세요.

메모리 무결성

하이퍼바이저 보호 코드 무결성(HVCI) 또는 하이퍼바이저 적용 코드 무결성이라고도 하는 메모리 무결성은 지원되지 않습니다. Credential Guard를 켜기 전에 이 기능이 비활성화되었는지 반드시 확인해야 합니다. 자세한 내용은 메모리 무결성 비활성화 단원을 참조하십시오.

인스턴스 유형

달리 명시하지 않는 한 C5, C5d, C5n, C6i, C6id, C6in, C7i, C7i-flex, M5, M5d, M5dn, M5n, M5zn, M6i, M6id, M6idn, M6in, M7i, M7i-flex, R5, R5b, R5d, R5dn, R5n, R6i, R6id, R6idn, R6in R7i, R7iz, T3 인스턴스 유형은 모든 크기에서 Credential Guard를 지원합니다.

참고
  • NitroTPM에는 공통적으로 필요한 몇 가지 인스턴스 유형이 있지만 Credential Guard를 지원하려면 인스턴스 유형이 앞의 인스턴스 유형 중 하나여야 합니다.

  • 다음은 Credential Guard를 지원하지 않습니다.

    • 베어 메탈 인스턴스.

    • C7i.48xlarge, M7i.48xlarge, R7i.48xlarge 인스턴스 유형.

인스턴스 유형에 대한 자세한 내용은 Amazon EC2 Intance Types 설명서를 참조하세요.

지원되는 인스턴스 시작

Amazon EC2 콘솔 또는 AWS Command Line Interface(AWS CLI)를 사용하여 Credential Guard를 지원할 수 있는 인스턴스를 시작할 수 있습니다. 인스턴스를 시작하려면 AWS 리전마다 고유한 호환되는 AMI ID가 필요합니다.

작은 정보

다음 링크를 사용하여 Amazon EC2 콘솔에서 호환되는 Amazon 제공 AMI를 사용하여 인스턴스를 검색하고 시작할 수 있습니다.

https://console.aws.amazon.com/ec2/v2/home?#Images:visibility=public-images;v=3;search=:TPM-Windows_Server;ownerAlias=amazon

Amazon EC2 console
Amazon EC2 콘솔을 사용하여 인스턴스 시작

지원되는 인스턴스 유형과 사전 구성된 Windows AMI를 지정하여 인스턴스를 시작하는 단계를 따르세요.

AWS CLI
AWS CLI를 사용하여 인스턴스 시작

run-instances 명령을 사용하여 지원되는 인스턴스 유형과 미리 구성된 Windows AMI를 사용하여 인스턴스를 시작합니다.

aws ec2 run-instances \ --image-id resolve:ssm:/aws/service/ami-windows-latest/TPM-Windows_Server-2022-English-Full-Base \ --instance-type c6i.large \ --region us-east-1 \ --subnet-id subnet-id --key-name key-name
PowerShell
AWS Tools for PowerShell를 사용하여 인스턴스 시작

New-EC2Instance 명령을 사용하여 지원되는 인스턴스 유형과 미리 구성된 Windows AMI를 사용하여 인스턴스를 시작합니다.

New-EC2Instance ` -ImageId resolve:ssm:/aws/service/ami-windows-latest/TPM-Windows_Server-2022-English-Full-Base ` -InstanceType c6i.large ` -Region us-east-1 ` -SubnetId subnet-id ` -KeyName key-name

메모리 무결성 비활성화

로컬 그룹 정책 편집기를 사용하여 지원되는 시나리오에서 메모리 무결성을 비활성화할 수 있습니다. 가상화 기반 코드 무결성 보호 아래 각 구성 설정에 대해 다음 지침을 적용할 수 있습니다.

  • 잠금 없이 활성화 - 메모리 무결성을 비활성화하려면 설정을 비활성화됨으로 수정하세요.

  • UEFI 잠금으로 활성화 – 메모리 무결성이 UEFI 잠금으로 활성화되었습니다. 메모리 무결성을 UEFI 잠금으로 활성화한 후에는 비활성화할 수 없습니다. 메모리 무결성이 비활성화된 새 인스턴스를 생성하고 지원되지 않는 인스턴스를 사용하지 않는 경우 종료하는 것이 좋습니다.

로컬 그룹 정책 편집기로 메모리 무결성을 비활성화하려면
  1. RDP를 사용하여 관리자 권한이 있는 사용자 계정으로 인스턴스에 연결합니다. 자세한 내용은 RDP 클라이언트를 사용하여 Windows 인스턴스에 연결 단원을 참조하십시오.

  2. 시작 메뉴를 열고 cmd를 검색하여 명령 프롬프트를 시작합니다.

  3. gpedit.msc 명령을 실행하여 로컬 그룹 정책 편집기를 엽니다.

  4. 로컬 그룹 정책 편집기에서 컴퓨터 구성, 관리 템플릿, 시스템디바이스 가드를 선택합니다.

  5. 가상화 기반 보안 켜기를 선택한 다음 정책 설정 편집을 선택합니다.

  6. 가상화 기반 코드 무결성 보호에 대한 설정 드롭다운을 열고 비활성화를 선택한 후 적용을 선택합니다.

  7. 인스턴스를 재부팅하여 변경 사항을 적용합니다.

Credential Guard 켜기

지원되는 인스턴스 유형과 호환되는 AMI로 Windows 인스턴스를 시작하고 메모리 무결성이 비활성화되었음을 확인한 후 Credential Guard를 켤 수 있습니다.

중요

다음 단계를 수행하여 Credential Guard를 켜려면 관리자 권한이 필요합니다.

Credential Guard 켜기
  1. RDP를 사용하여 관리자 권한이 있는 사용자 계정으로 인스턴스에 연결합니다. 자세한 내용은 RDP 클라이언트를 사용하여 Windows 인스턴스에 연결 단원을 참조하십시오.

  2. 시작 메뉴를 열고 cmd를 검색하여 명령 프롬프트를 시작합니다.

  3. gpedit.msc 명령을 실행하여 로컬 그룹 정책 편집기를 엽니다.

  4. 로컬 그룹 정책 편집기에서 컴퓨터 구성, 관리 템플릿, 시스템디바이스 가드를 선택합니다.

  5. 가상화 기반 보안 켜기를 선택한 다음 정책 설정 편집을 선택합니다.

  6. 가상화 기반 보안 켜기 메뉴에서 활성화를 선택합니다.

  7. 플랫폼 보안 수준 선택에서 보안 부팅 및 DMA 보호를 선택합니다.

  8. Credential Guard 구성에서 UEFI 잠금으로 활성화를 선택합니다.

    참고

    나머지 정책 설정은 Credential Guard를 활성화하는 데 필요하지 않으며 구성되지 않음으로 둘 수 있습니다.

    다음 이미지에는 앞서 설명한 대로 구성된 VBS 설정이 표시됩니다.

    가상화 기반 보안 켜기가 활성화된 가상화 기반 보안 그룹 정책 객체 설정
  9. 인스턴스를 재부팅하여 설정을 적용합니다.

Credential Guard가 실행 중인지 확인

Microsoft 시스템 정보(Msinfo32.exe) 도구를 사용하여 Credential Guard가 실행 중인지 확인할 수 있습니다.

중요

먼저 인스턴스를 재부팅하여 Credential Guard를 활성화하는 데 필요한 정책 설정 적용을 마쳐야 합니다.

Credential Guard가 실행 중인지 확인
  1. 원격 데스크톱 프로토콜(RDP)을 사용하여 인스턴스에 연결합니다. 자세한 내용은 RDP 클라이언트를 사용하여 Windows 인스턴스에 연결 단원을 참조하십시오.

  2. 인스턴스에 대한 RDP 세션 내에서 시작 메뉴를 열고 cmd를 검색하여 명령 프롬프트를 시작합니다.

  3. msinfo32.exe 명령을 실행하여 시스템 정보를 엽니다.

  4. Microsoft 시스템 정보 도구는 VBS 구성의 세부 정보를 나열합니다. 가상화 기반 보안 서비스 옆에서 Credential Guard실행 중으로 표시되는지 확인합니다.

    다음 이미지에는 앞서 설명한 대로 VBS가 실행 중임이 표시됩니다.

    Credential Guard가 실행 중임을 나타내는 실행 중 상태가 표시된 가상화 기반 보안 라인이 있는 Microsoft 시스템 정보 도구의 이미지