소개
Microsoft는 Windows 플랫폼에서 사용할 수 있는 새로운 기능인 EPA(확장된 인증 보호)를 발표합니다. 이 기능은 IWA(Windows 통합 인증)를 사용함으로써 네트워크 연결을 인증할 때 자격 증명 보호 및 처리를 향상합니다.Microsoft 보안 권고 973811을 참조하세요.
업데이트 자체가 자격 증명 전달과 같은 특정 공격에 대한 직접적인 보호를 제공하지는 않지만 애플리케이션이 EPA에 옵트인할 수 있도록 허용합니다. 이 권고는 개발자와 시스템 관리자에게 이 새로운 기능을 설명하고, 인증 자격 증명을 보호할 수 있도록 이 기능을 배포하는 방법 또한 간략하게 설명합니다. 자세한 내용은추가 정보
이 보안 업데이트는 Windows 인증 작동 방식을 개선하도록 SSPI(Security Support Provider Interface)를 수정하여 IWA를 사용할 때 자격 증명이 쉽게 전달되지 않게 합니다.
EPA가 활성화되면 인증 요청이 클라이언트가 연결을 시도하는 서버의 SPN(Service Principal Names)과 IWA 인증이 발생하는 외부 TLS(Transport Layer Security) 채널에 모두 바인딩됩니다.이 업데이트는 확장된 보호를 관리하는 새 레지스트리 항목을 추가합니다.
-
레지스트리 SuppressExtendedProtection값을 설정합니다.
레지스트리 키
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
값
SuppressExtendedProtection
유형
REG_DWORD
데이터
0 보호 기술을 사용합니다.
1 확장된 보호를 사용할 수 없습니다. 3 확장된 보호를 사용할 수 없고 Kerberos에서 보낸 채널 바인딩도 사용할 수 없으며, 이는 애플리케이션에서 제공하더라도 마찬가지입니다.기본값: 0x0
참고 기본적으로 EPA를 사용하도록 설정할 때 발생하는 문제는 Microsoft 웹 사이트의 Windows 이외 NTLM 또는 Kerberos 서버에서 인증 실패 항목에 설명되어 있습니다.
-
레지스트리 LmCompatibilityLevel 값을 설정합니다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel을 3으로 설정합니다. 이것은 NTLMv2 인증을 활성화하는 기존 키입니다. EPA는 NTLMv2, Kerberos, 다이제스트 및 협상 인증 프로토콜에만 적용되며 NTLMv1에는 적용되지 않습니다.
참고 Windows 컴퓨터에서 SuppressExtendedProtection 및 LmCompatibilityLevel 레지스트리 값을 설정한 후 컴퓨터를 다시 시작해야 합니다.
확장된 보호 사용
참고 기본적으로 확장 보호 및 NTLMv2는 지원되는 모든 Windows 버전에서 둘 다 사용하도록 설정됩니다. 이 가이드를 사용하여 이것이 사실인지 확인할 수 있습니다.
중요 이 절, 방법 또는 작업에는 레지스트리를 수정하는 방법에 대한 단계가 포함되어 있습니다. 그러나 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수 있습니다. 따라서 다음 단계를 주의하여 수행해야 합니다. 추가된 보호를 위해 레지스트리를 수정하기 전에 백업하세요. 그런 다음 문제가 발생할 경우 레지스트리를 복원할 수 있습니다. Windows XP 및 Windows Server 2003에서 레지스트리를 백업, 편집 및 복원하는 방법에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료를 참조하세요.
-
KB322756 Windows에서 레지스트리를 백업 및 복원하는 방법
플랫폼에 대한 보안 업데이트를 다운로드하고 설치한 후 확장된 보호를 직접 활성화하려면 다음 단계를 수행합니다.
-
레지스트리 편집기를 시작합니다. 이렇게 하려면, 시작, 실행을 차례로 클릭하고 열기 상자에 regedit을 입력한 다음 확인을 클릭합니다.
-
다음 레지스트리 하위 키를 찾아서 클릭합니다.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
-
레지스트리 값 SuppressExtendedProtection 및 LmCompatibilityLevel이 있는지 확인합니다.
레지스트리 값이 없으면 다음 단계를 수행하여 레지스트리 값을 만듭니다.-
2단계에 나열된 레지스트리 하위 키를 선택하고 편집 메뉴에서 새로 만들기를 가리킨 다음 DWORD 값을 클릭합니다.
-
SuppressExtendedProtection를 입력한 다음 Enter 키를 누릅니다.
-
2단계에 나열된 레지스트리 하위 키를 선택하고 편집 메뉴에서 새로 만들기를 가리킨 다음 DWORD 값을 클릭합니다.
-
LmCompatibilityLevel을 입력한 다음 Enter 키를 누릅니다.
-
-
SuppressExtendedProtection 레지스트리 값을 클릭하여 선택합니다.
-
편집 메뉴에서 수정을 클릭합니다.
-
값 데이터 상자에 0을 입력한 다음 확인을 클릭합니다.
-
LmCompatibilityLevel 레지스트리 값을 클릭하여 선택합니다.
-
편집 메뉴에서 수정을 클릭합니다.
참고 이 단계에서는 NTLM 인증 요구 사항을 변경합니다. 이 동작을 숙지할 수 있도록 Microsoft 기술 자료에서 다음 문서를 검토하세요.KB239869 NTLM 2 인증 사용 설정 방법
-
값 데이터 상자에 3을 입력한 다음 확인을 클릭합니다.
-
레지스트리 편집기를 종료하십시오.
-
Windows 컴퓨터에서 이러한 변경을 수행하는 경우 변경 내용을 적용하려면 컴퓨터를 다시 시작해야 합니다.