Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows 7 Enterprise ESU Windows 7 Professional ESU Windows 7 Ultimate ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2012 Windows 8.1 Windows RT 8.1 Windows Server 2012 R2 Windows 10 Windows 10 Pro Education, version 1607 Windows 10 Professional Education version 1607 Windows 10 Professional version 1607 Windows Server 2016 Windows 10 Home and Pro, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 Home and Pro, version 21H1 Windows 10 Enterprise and Education, version 21H1 Windows 10 IoT Enterprise, version 21H1 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows Server 2022 Azure Local, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2

소개

Microsoft는 Windows 플랫폼에서 사용할 수 있는 새로운 기능인 EPA(확장된 인증 보호)를 발표합니다. 이 기능은 IWA(Windows 통합 인증)를 사용함으로써 네트워크 연결을 인증할 때 자격 증명 보호 및 처리를 향상합니다. 업데이트 자체가 자격 증명 전달과 같은 특정 공격에 대한 직접적인 보호를 제공하지는 않지만 애플리케이션이 EPA에 옵트인할 수 있도록 허용합니다. 이 권고는 개발자와 시스템 관리자에게 이 새로운 기능을 설명하고, 인증 자격 증명을 보호할 수 있도록 이 기능을 배포하는 방법 또한 간략하게 설명합니다. 자세한 내용은 Microsoft 보안 권고 973811을 참조하세요.

추가 정보

이 보안 업데이트는 Windows 인증 작동 방식을 개선하도록 SSPI(Security Support Provider Interface)를 수정하여 IWA를 사용할 때 자격 증명이 쉽게 전달되지 않게 합니다. EPA가 활성화되면 인증 요청이 클라이언트가 연결을 시도하는 서버의 SPN(Service Principal Names)과 IWA 인증이 발생하는 외부 TLS(Transport Layer Security) 채널에 모두 바인딩됩니다.

이 업데이트는 확장된 보호를 관리하는 새 레지스트리 항목을 추가합니다.

  • 레지스트리 SuppressExtendedProtection값을 설정합니다.

    레지스트리 키

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

    SuppressExtendedProtection

    유형

    REG_DWORD

    데이터

    0 보호 기술을 사용합니다.1 확장된 보호를 사용할 수 없습니다.3 확장된 보호를 사용할 수 없고 Kerberos에서 보낸 채널 바인딩도 사용할 수 없으며, 이는 애플리케이션에서 제공하더라도 마찬가지입니다.

    기본값: 0x0

    참고 기본적으로 EPA를 사용하도록 설정할 때 발생하는 문제는 Microsoft 웹 사이트의 Windows 이외 NTLM 또는 Kerberos 서버에서 인증 실패 항목에 설명되어 있습니다.

  • 레지스트리 LmCompatibilityLevel 값을 설정합니다.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel3으로 설정합니다. 이것은 NTLMv2 인증을 활성화하는 기존 키입니다. EPA는 NTLMv2, Kerberos, 다이제스트 및 협상 인증 프로토콜에만 적용되며 NTLMv1에는 적용되지 않습니다.

참고 Windows 컴퓨터에서 SuppressExtendedProtectionLmCompatibilityLevel 레지스트리 값을 설정한 후 컴퓨터를 다시 시작해야 합니다.

확장된 보호 사용

참고 기본적으로 확장 보호 및 NTLMv2는 지원되는 모든 Windows 버전에서 둘 다 사용하도록 설정됩니다. 이 가이드를 사용하여 이것이 사실인지 확인할 수 있습니다.

중요 이 절, 방법 또는 작업에는 레지스트리를 수정하는 방법에 대한 단계가 포함되어 있습니다. 그러나 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수 있습니다. 따라서 다음 단계를 주의하여 수행해야 합니다. 추가된 보호를 위해 레지스트리를 수정하기 전에 백업하세요. 그런 다음 문제가 발생할 경우 레지스트리를 복원할 수 있습니다. Windows XP 및 Windows Server 2003에서 레지스트리를 백업, 편집 및 복원하는 방법에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료를 참조하세요.

  • KB322756 Windows에서 레지스트리를 백업 및 복원하는 방법

플랫폼에 대한 보안 업데이트를 다운로드하고 설치한 후 확장된 보호를 직접 활성화하려면 다음 단계를 수행합니다.

  1. 레지스트리 편집기를 시작합니다. 이렇게 하려면, 시작, 실행을 차례로 클릭하고 열기 상자에 regedit을 입력한 다음 확인을 클릭합니다.

  2. 다음 레지스트리 하위 키를 찾아서 클릭합니다.

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

  3. 레지스트리 값 SuppressExtendedProtectionLmCompatibilityLevel이 있는지 확인합니다. 레지스트리 값이 없으면 다음 단계를 수행하여 레지스트리 값을 만듭니다.

    1. 2단계에 나열된 레지스트리 하위 키를 선택하고 편집 메뉴에서 새로 만들기를 가리킨 다음 DWORD 값을 클릭합니다.

    2. SuppressExtendedProtection를 입력한 다음 Enter 키를 누릅니다.

    3. 2단계에 나열된 레지스트리 하위 키를 선택하고 편집 메뉴에서 새로 만들기를 가리킨 다음 DWORD 값을 클릭합니다.

    4. LmCompatibilityLevel을 입력한 다음 Enter 키를 누릅니다.

  4. SuppressExtendedProtection 레지스트리 값을 클릭하여 선택합니다.

  5. 편집 메뉴에서 수정을 클릭합니다.

  6. 값 데이터 상자에 0을 입력한 다음 확인을 클릭합니다.

  7. LmCompatibilityLevel 레지스트리 값을 클릭하여 선택합니다.

  8. 편집 메뉴에서 수정을 클릭합니다.참고 이 단계에서는 NTLM 인증 요구 사항을 변경합니다. 이 동작을 숙지할 수 있도록 Microsoft 기술 자료에서 다음 문서를 검토하세요.

    KB239869 NTLM 2 인증 사용 설정 방법

  9. 값 데이터 상자에 3을 입력한 다음 확인을 클릭합니다.

  10. 레지스트리 편집기를 종료하십시오.

  11. Windows 컴퓨터에서 이러한 변경을 수행하는 경우 변경 내용을 적용하려면 컴퓨터를 다시 시작해야 합니다.

도움이 더 필요하세요?

더 많은 옵션을 원하세요?

구독 혜택을 살펴보고, 교육 과정을 찾아보고, 디바이스를 보호하는 방법 등을 알아봅니다.

커뮤니티를 통해 질문하고 답변하고, 피드백을 제공하고, 풍부한 지식을 갖춘 전문가의 의견을 들을 수 있습니다.