Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows 10, version 1607, all editions Windows Server 2016 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows Server 2022 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

중요 특정 버전의 Microsoft Windows 지원이 종료되었습니다. 일부 버전의 Windows는 ESU(확장 보안 업데이트)를 사용할 수 있는 최신 OS 종료 날짜 이후 지원될 수 있습니다. ESU를 제공하는 제품 목록은 수명 주기 FAQ - 확장 보안 업데이트를 참조하세요.

날짜 변경

설명 변경

2024년 8월 1일

  • 가독성을 위한 약간의 서식 변경

  • "클라이언트의 모든 액세스 요청 패킷의 메시지-인증자 특성 확인 구성" 구성에서 "패킷" 대신 "메시지"라는 단어가 사용되었습니다.

2024년 8월 5일

  • UDP(User Datagram Protocol)에 대한 링크가 추가됨

  • NPS(네트워크 정책 서버)에 대한 링크가 추가됨

2024년 8월 6일

  • 2024년 7월 9일 또는 그 이후의 Windows 업데이트에 이러한 변경 내용이 포함된다는 걸 나타내도록 "요약" 섹션을 업데이트했습니다.

  • 옵션을 사용하는 것을 권장한다는 걸 나타내도록 "조치" 섹션의 글머리 기호를 업데이트했습니다. 이러한 옵션은 기본적으로 꺼져 있습니다.

  • "이 업데이트에서 추가한 이벤트" 섹션에 2024년 7월 9일 또는 그 이후의 Windows 업데이트에서 NPS 서버에 이벤트 ID를 추가했음을 나타내는 메모를 추가했습니다.

콘텐츠

요약

2024년 7월 9일 또는 그 이후에 업데이트된 Windows 업데이트는 MD5 충돌 문제와 관련된 RADIUS(Remote Authentication Dial-In User Service) 프로토콜의 보안 취약성을 해결합니다. MD5의 약한 무결성 검사로 인해 공격자가 무단 액세스를 얻기 위해 패킷을 변조할 수 있습니다. MD5 취약성으로 인해 인터넷을 통한 UDP(User Datagram Protocol) 기반 RADIUS 트래픽이 전송 중에 패킷 위조 또는 수정에 대해 안전하지 않습니다. 

이 취약성에 대한 자세한 내용은 CVE-2024-3596 및 RADIUS 및 MD5 충돌 공격 백서를 참조하세요.

참고 이 취약성은 RADIUS 네트워크 및 NPS(네트워크 정책 서버)에 물리적으로 액세스해야 합니다. 따라서 안전한 RADIUS 네트워크를 가진 고객은 취약하지 않습니다. 또한 이 취약성은 VPN을 통해 RADIUS 통신이 발생할 때 적용되지 않습니다. 

조치 취하기

환경을 보호하려면 다음 구성을 사용하도록 설정하는 것이 좋습니다. 자세한 내용은 구성 섹션을 참조하세요.

  • Access-Request 패킷에서 Message-Authenticator 특성을 설정합니다. 모든 Access-Request 패킷에 Message-Authenticator 특성이 포함되어 있는지 확인합니다. 기본적으로 Message-Authenticator 특성을 설정하는 옵션은 꺼져 있습니다. 이 옵션을 켜는 것이 좋습니다.

  • Access-Request 패킷에서 Message-Authenticator 특성을 확인합니다. Access-Request 패킷에서 Message-Authenticator 특성의 유효성 검사를 적용하는 것이 좋습니다. 이 특성이 없는 Access-Request 패킷은 처리되지 않습니다. 기본적으로 Access-Request 메시지에는 메시지 인증자 특성이 포함되어야 함 옵션은 꺼져 있습니다. 이 옵션을 켜는 것이 좋습니다.

  • Proxy-State 특성이 있는 경우 Access-Request 패킷에서 Message-Authenticator 특성을 확인합니다. 필요에 따라 모든 Access-Request 패킷에서 Message-Authenticator 특성의 유효성 검사를 수행할 수 없는 경우 limitProxyState 옵션을 사용하도록 설정합니다. limitProxyStateMessage-Authenticator 특성 없이 Proxy-state 특성이 포함된 Access-Request 패킷을 삭제합니다. 기본적으로 limitproxystate 옵션은 꺼져 있습니다. 이 옵션을 켜는 것이 좋습니다.

  • RADIUS 응답 패킷에서 Message-Authenticator 특성을 확인합니다. Access-Accept, Access-RejectAccess-Challenge. requireMsgAuth 옵션을 사용하도록 설정하여 Message-Authenticator 특성 없이 원격 서버에서 RADIUS 응답 패킷을 삭제합니다. 기본적으로 requiremsgauth 옵션은 꺼져 있습니다. 이 옵션을 켜는 것이 좋습니다.

이 업데이트에 의해 추가된 이벤트

자세한 내용은 구성 섹션을 참조하세요.

참고 2024년 7월 9일 또는 그 이후의 Windows 업데이트에서 NPS 서버에 이러한 이벤트 ID를 추가합니다.

Proxy-State 특성을 포함하지만 Message-Authenticator 특성이 없기 때문에 Access-Request 패킷이 삭제되었습니다. Message-Authenticator 특성을 포함하도록 RADIUS 클라이언트를 변경하는 것이 좋습니다. 또는 limitProxyState 구성을 사용하여 RADIUS 클라이언트에 대한 예외를 추가합니다.

이벤트 로그

시스템

이벤트 유형

Error

이벤트 원본

NPS

이벤트 ID

4418

이벤트 텍스트

Proxy-State 특성을 포함하는 RADIUS 클라이언트 <ip/name> 에서 Access-Request 메시지를 받았지만 Message-Authenticator 특성은 포함되지 않았습니다. 결과적으로 요청이 삭제되었습니다. Message-Authenticator 특성은 보안을 위해 필수입니다. 자세한 내용은 https://support.microsoft.com/help/5040268을 참조하세요. 

Proxy-State가 있을때 Message-Authenticator 특성이 없는 Access-Request 패킷에 대한 감사 이벤트입니다. Message-Authenticator 특성을 포함하도록 RADIUS 클라이언트를 변경하는 것이 좋습니다. limitproxystate 구성을 사용하도록 설정하면 RADIUS 패킷이 삭제됩니다.

이벤트 로그

시스템

이벤트 유형

경고

이벤트 원본

NPS

이벤트 ID

4419

이벤트 텍스트

Proxy-State 특성을 포함하는 RADIUS 클라이언트 <ip/name> 에서 Access-Request 메시지를 받았지만 Message-Authenticator 특성은 포함되지 않았습니다. limitProxyState가 감사 모드로 구성되어 있기 때문에 요청이 현재 허용됩니다. 자세한 내용은 https://support.microsoft.com/help/5040268을 참조하세요. 

프록시에서 Message-Authenticator 특성 없이 받은 RADIUS 응답 패킷에 대한 감사 이벤트입니다. Message-Authenticator 특성에 대해 지정된 RADIUS 서버를 변경하는 것이 좋습니다. requiremsgauth 구성을 사용하도록 설정하면 RADIUS 패킷이 삭제됩니다.

이벤트 로그

시스템

이벤트 유형

경고

이벤트 원본

NPS

이벤트 ID

4420

이벤트 텍스트

RADIUS 프록시가 Message-Authenticator 특성이 누락된 서버 <ip/name> 으로부터 응답을 받았습니다. requireMsgAuth가 감사 모드로 구성되어 있기 때문에 응답이 현재 허용됩니다. 자세한 내용은 https://support.microsoft.com/help/5040268을 참조하세요.

이 이벤트는 권장 설정이 구성되지 않은 경우 서비스를 시작하는 동안 기록됩니다. RADIUS 네트워크가 안전하지 않은 경우 설정을 사용하도록 설정하는 것이 좋습니다. 보안 네트워크의 경우 이러한 이벤트를 무시할 수 있습니다.

이벤트 로그

시스템

이벤트 유형

경고

이벤트 원본

NPS

이벤트 ID

4421

이벤트 텍스트

RequireMsgAuth 및/또는 limitProxyState 구성은 <사용 안 함/감사> 모드입니다. 이러한 설정은 보안을 위해 사용 모드로 구성해야 합니다. 자세한 내용은 https://support.microsoft.com/help/5040268을 참조하세요.

구성

이 구성을 사용하면 NPS 프록시가 모든 Access-Request 패킷에서 Message-Authenticator 특성 전송을 시작할 수 있습니다. 이 구성을 사용하려면 다음 방법 중 하나를 사용합니다.

방법 1: NPS Microsoft Management Console(MMC) 사용

NPS MMC를 사용하려면 다음 단계를 수행합니다.

  1. 서버에서 NPS UI(사용자 인터페이스)를 엽니다.

  2. 원격 Radius 서버 그룹을 엽니다.

  3. Radius Server를 선택합니다.

  4. 인증/회계로 이동합니다.

  5. 요청에는 Message-Authenticator 특성이 포함되어야 합니다 확인란을 선택하기 위해 클릭.

방법 2: netsh 명령 사용

netsh를 사용하려면 다음 명령을 실행합니다.

netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes

자세한 내용은 원격 RADIUS 서버 그룹 명령을 참조하세요.

이 구성에서는 모든 액세스 요청 패킷에 메시지 인증자 특성이 필요하며, 이 특성이 없으면 패킷을 삭제합니다.

방법 1: NPS Microsoft Management Console(MMC) 사용

NPS MMC를 사용하려면 다음 단계를 수행합니다.

  1. 서버에서 NPS UI(사용자 인터페이스)를 엽니다.

  2. Radius 클라이언트를 엽니다.

  3. Radius 클라이언트를 선택합니다.

  4. 고급 설정으로 이동합니다.

  5. Access-Request 메시지에는 Message-Authenticator 특성이 포함되어야 합니다 확인란을 선택하기 위해 클릭.

자세한 내용은 RADIUS 클라이언트 구성을 참조하세요.

방법 2: netsh 명령 사용

netsh를 사용하려면 다음 명령을 실행합니다.

netsh nps set client name = <client name> requireauthattrib = yes

자세한 내용은 원격 RADIUS 서버 그룹 명령을 참조하세요.

이 구성을 사용하면 NPS 서버가 Proxy-State 특성을 포함하지만 Message-Authenticator 특성을 포함하지 않는 잠재적인 Access-Request 패킷을 삭제할 수 있습니다. 이 구성은 다음 세 가지 모드를 지원합니다.

  • 감사

  • Enable

  • 비활성화

감사 모드에서는 경고 이벤트(이벤트 ID: 4419)가 기록되지만 요청은 여전히 처리됩니다. 이 모드를 사용하여 요청을 보내는 비준수 엔터티를 식별합니다.

netsh 명령을 사용하여 필요에 따라 예외를 구성, 사용 및 추가합니다.

  1. 감사 모드에서 클라이언트를 구성하려면 다음 명령을 실행합니다.

    netsh nps 설정 limitproxystate 모두 = "감사"

  2. 사용 모드에서 클라이언트를 구성하려면 다음 명령을 실행합니다.

    netsh nps 설정 limitproxystate 모두 = "사용" 

  3. limitProxystate 유효성 검사에서 클라이언트를 제외하는 예외를 추가하려면 다음 명령을 실행합니다.

    netsh nps 설정 limitproxystate 이름 = <클라이언트 이름> 예외 = "예" 

이 구성을 사용하면 NPS 프록시가 Message-Authenticator 특성 없이 잠재적으로 취약한 응답 메시지를 삭제할 수 있습니다. 이 구성은 다음 세 가지 모드를 지원합니다.

  • 감사

  • Enable

  • 비활성화

감사 모드에서, 경고 이벤트(이벤트 ID: 4420)가 기록되지만 요청은 여전히 처리됩니다. 이 모드를 사용하여 응답을 보내는 비준수 엔터티를 식별합니다.

netsh 명령을 사용하여 필요에 따라 예외를 구성, 사용 및 추가합니다.

  1. 감사모드에서 서버를 구성하려면 모드에서 다음 명령을 실행합니다.

    netsh nps set requiremsgauth all = "audit"

  2. 모든 서버에 대해 구성을 사용하도록 설정하려면 다음 명령을 실행합니다.

    netsh nps set requiremsgauth all = "enable"

  3. requireauthmsg에서 서버를 제외하는 예외를 추가하려면 유효성 검사에서 다음 명령을 실행합니다.

    netsh nps set requiremsgauth remoteservergroup = <원격 서버 그룹 이름> 주소 = <서버 주소> 예외 = "예"

질문과 대답

관련 이벤트에 대한 NPS 모듈 이벤트를 확인합니다. 영향을 받는 클라이언트/서버에 대한 예외 또는 구성 조정을 추가하는 것이 좋습니다.

아니요, 이 문서에서 설명하는 구성은 보안되지 않은 네트워크에 권장됩니다. 

참조 문서

Microsoft 소프트웨어 업데이트를 설명하는 데 사용되는 표준 용어에 대한 설명

이 문서에 나와 있는 다른 공급업체 제품은 Microsoft와 무관한 회사에서 제조한 것입니다. Microsoft는 이 제품의 성능이나 신뢰성에 대해 묵시적 또는 명시적으로 어떠한 보증도 하지 않습니다.

Microsoft는 타사 연락처 정보를 제공하여 기술 지원을 받도록 도와줍니다. 이 연락처 정보는 공지 없이 변경될 수 있습니다. Microsoft는 이 타사 정보의 정확성을 보장하지 않습니다.

도움이 더 필요하세요?

더 많은 옵션을 원하세요?

구독 혜택을 살펴보고, 교육 과정을 찾아보고, 디바이스를 보호하는 방법 등을 알아봅니다.

커뮤니티를 통해 질문하고 답변하고, 피드백을 제공하고, 풍부한 지식을 갖춘 전문가의 의견을 들을 수 있습니다.