Intune 환경에서 PowerShell 스크립트 실행을 위한 내부 CA 기반 코드 서명 구축 및 배포 가이드

핵심 기술

이 문서는 Microsoft Intune 환경에서 PowerShell 스크립트의 실행을 강화하기 위해 내부 Active Directory 인증 기관(CA)을 구축하고 코드 서명을 적용하는 포괄적인 가이드를 제공합니다. AllSigned 실행 정책 요구사항을 충족하기 위한 실질적인 단계를 상세히 설명합니다.

기술적 세부사항

• 목표: Intune을 통해 배포되는 PowerShell 스크립트에 대한 디지털 서명 요구사항 충족
• 솔루션: 내부 AD CA를 활용한 코드 서명 인증서 발급 및 관리
• AD CA 구축: Active Directory Certificate Services 역할 설치 및 Enterprise CA 구성
• 인증서 템플릿 생성: 'Code Signing' 템플릿을 복제하여 'ForIntune'과 같은 사용자 정의 템플릿 생성. 일반, 요청 처리, 주체 이름, 보안(Authenticated Users에 Read/Write 권한 부여), 암호화 탭 설정.
• 템플릿 발행: 생성된 'ForIntune' 템플릿을 발행 대상으로 지정.
• 인증서 발급: AD DC에서 Current User 개인 저장소에 'ForIntune' 템플릿 기반 새 인증서 요청 및 발급.
• PowerShell 스크립트 서명: Get-ChildItem 및 Set-AuthenticodeSignature cmdlet을 사용하여 발급받은 인증서로 스크립트에 서명.
• PowerShell 실행 정책 강제: 그룹 정책(GPO)을 통해 MachinePolicy를 AllSigned로 설정하여 서명되지 않은 스크립트 실행 차단.
• 인증서 배포: AD GPO를 사용하여 클라이언트 장치에 내부 CA의 루트 인증서 및 코드 서명 인증서를 'Trusted Root Certification Authorities' 및 'Trusted Publishers' 저장소에 배포.
• Intune 적용: Intune 스크립트 설정에서 'Enforce script signature check' 옵션을 활성화하여 서명된 스크립트만 실행되도록 구성.
• 문제 해결: 서명된 스크립트가 인증서 누락으로 실행되지 않는 경우, GPO를 통한 인증서 배포 확인.

개발 임팩트

• PowerShell 스크립트의 보안 강화 및 무단 변경 방지.
• Intune 관리 환경에서의 스크립트 실행 신뢰성 향상.
• 외부 인증 기관 비용 절감 및 자체 관리 가능한 코드 서명 솔루션 구축.

커뮤니티 반응

원문에는 명시적인 커뮤니티 반응이 언급되지 않았으나, 코드 서명 및 Intune 스크립트 관리는 IT 관리자 및 보안 전문가들 사이에서 매우 중요한 주제로 다루어지고 있습니다.