기술 자료: 239869 - 이 문서가 적용되는 제품 보기.
중요 이 문서에서는 레지스트리 수정 방법을 설명합니다. 레지스트리를 수정하기 전에 해당 레지스트리를 백업하고 문제 발생 시 이를 복원하는 방법을 이해해야 합니다. 레지스트리 백업, 복원 및 편집 방법은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
256986 Microsoft Windows 레지스트리 설명
모두 확대 | 모두 축소

이 페이지에서

요약

전통적으로 Windows NT는 네트워크 로그온을 위한 Challenge/Response 인증의 다음 두 가지 변종을 지원합니다.
  • LAN Manager(LM) Challenge/Response
  • Windows NT Challenge/Response(NTLM 버전 1 Challenge/Response라고도 함)
LM 변종을 사용하면 Windows 95, Windows 98 및 Windows 98 Second Edition 클라이언트와 서버의 설치 기반과 상호 작용할 수 있습니다. NTLM은 Windows NT 클라이언트와 서버 사이의 연결에 개선된 보안 기능을 제공합니다. Windows NT는 메시지 기밀(암호화)과 무결성(서명)을 제공하는 NTLM 세션 보안 메커니즘도 지원합니다.

컴퓨터 하드웨어와 소프트웨어 알고리즘의 최근 개선으로 인해 이러한 프로토콜이 사용자 암호를 얻기 위해 널리 보편화된 공격에 취약해질 수 있습니다. 보다 안전한 제품을 고객에 제공하려는 지속적인 노력의 일환으로 Microsoft는 인증과 세션 보안 메커니즘 모두를 크게 개선하는 NTLM 버전 2라고 하는 향상된 인증 방식을 개발했습니다. NTLM 2는 서비스 팩 4(SP4)가 릴리스된 이후 Windows NT 4.0에 사용할 수 있게 되었으며 Windows 2000에서는 기본적으로 지원됩니다. Active Directory 클라이언트 확장을 설치하여 Windows 98에 NTLM 2 지원을 추가할 수 있습니다.

Windows 95, Windows 98, Windows 98 Second Edition 및 Windows NT 4.0을 기반으로 하는 모든 컴퓨터를 업그레이드한 후에 클라이언트, 서버 및 도메인 컨트롤러를 LM 또는 NTLM이 아닌 NTLM 2만 사용하도록 구성하여 조직의 보안을 크게 개선할 수 있습니다.

추가 정보

적절한 Active Directory 클라이언트 확장을 설치하는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
288358 HOWTO: Active DSClient 설치
Windows 98을 실행하는 컴퓨터에 Active Directory 클라이언트 확장을 설치하면 NTLM 2를 제공하는 시스템 파일도 자동으로 설치됩니다. 이러한 파일은 Secur32.dll, Msnp32.dll, Vredir.vxd 및 Vnetsup.vxd입니다. Active Directory 클라이언트 확장을 제거하는 경우 NTLM 2 시스템 파일은 향상된 보안 기능과 보안 관련 수정 프로그램을 모두 제공하기 때문에 제거되지 않습니다.

기본적으로 NTLM 2 세션 보안 암호화는 최대 키 길이가 56비트로 제한됩니다. 시스템이 미국 수출 규정을 만족하는 경우 128비트 키의 옵션 지원이 자동으로 설치됩니다. 128비트 NTLM 2 세션 보안 지원을 사용 가능하게 설정하려면 Active Directory 클라이언트 확장을 설치하기 전에 Microsoft Internet Explorer 4.x 또는 5를 설치하고 128비트 보안 연결 지원으로 업그레이드해야 합니다.

설치 버전을 확인하려면 다음과 같이 하십시오.
  1. Windows 탐색기를 사용하여 %SystemRoot%\System 폴더에서 Secur32.dll 파일을 찾습니다.
  2. 파일을 마우스 오른쪽 단추로 누른 다음 등록 정보를 누릅니다.
  3. 버전 탭을 누릅니다. 56비트 버전에 해당하는 설명은 "Microsoft Win32 Security Services (Export Version)"입니다. 128비트 버전에 해당하는 설명은 "Microsoft Win32 Security Services (US and Canada Only)"입니다.
Windows 98 클라이언트에 대해 NTLM 2 인증을 사용 가능하도록 설정하기 전에 이러한 클라이언트에서 네트워크에 로그온하는 사용자를 위한 도메인 컨트롤러가 Windows NT 4.0 서비스 팩 4 이상을 실행하고 있는지 확인하십시오. 클라이언트 서버가 다른 도메인에 참가하는 경우 도메인 컨트롤러는 Windows NT 4.0 서비스 팩 6을 실행할 수 있습니다. NTLM 2를 지원하도록 도메인 컨트롤러를 구성할 필요는 없습니다. NTLM 1 또는 LM 인증 지원을 해제할 경우에만 도메인 컨트롤러를 구성해야 합니다. 이러한 프로토콜 변종 간의 차이와 NTLM 2만 사용하도록 업그레이드하는 작업의 중요성에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
147706 Windows NT에서 LM 인증을 해제하는 방법

Windows 95, Windows 98 또는 Windows 98 Second Edition 클라이언트를 위한 NTLM 2 설정

경고 레지스트리 편집기를 잘못 사용하면 심각한 문제가 발생할 수 있으며 문제를 해결하기 위해 운영 체제를 다시 설치해야 할 수도 있습니다. Microsoft는 레지스트리 편집기를 잘못 사용함으로써 발생하는 문제에 대해 해결을 보증하지 않습니다. 레지스트리 편집기의 사용에 따른 모든 책임은 사용자에게 있습니다.
Windows 95, Windows 98 또는 Windows 98 Second Edition 클라이언트에서 NTLM 2 인증을 설정하려면 디렉터리 서비스 클라이언트를 설치하십시오. 클라이언트에서 NTLM 2를 활성화하려면 다음 단계를 수행하십시오.
  1. 레지스트리 편집기(Regedit.exe)를 시작합니다.
  2. 레지스트리에서 다음 키를 찾아 누릅니다.
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control
  3. 위에 나열된 레지스트리 키에 LSA 레지스트리 키를 만듭니다.
  4. 편집 메뉴에서 값 추가를 누른 후 다음 레지스트리 값을 추가합니다.
    값 이름: LMCompatibility
    데이터 형식: REG_DWORD
    값: 3
    유효 범위: 0,3
    설명: 이 매개 변수는 네트워크 로그온에 사용할 인증과 세션 보안 모드를 지정합니다. 대화식 로그온에는 영향을 미치지 않습니다.
    • 수준 0 - LM과 NTLM 응답을 보냅니다. NTLM 2 세션 보안은 사용하지 않습니다. 클라이언트가 LM 및 NTLM 인증을 사용하고 NTLM 2 세션 보안을 사용하지 않습니다. 도메인 컨트롤러가 LM, NTLM 및 NTLM 2 인증을 받아들입니다.
    • 수준 3 - NTLM 2 응답만 보냅니다. 클라이언트가 NTLM 2 인증을 사용하고 서버가 지원하는 경우 NTLM 2 세션 보안을 사용합니다. 도메인 컨트롤러가 LM, NTLM 및 NTLM 2 인증을 받아들입니다.
    참고 Windows 95 클라이언트에 대해 NTLM 2를 설정하려면 DFS(분산 파일 시스템) 클라이언트, WinSock 2.0 업데이트 및 Windows 2000용 Microsoft DUN 1.3을 설치하십시오.

  5. 레지스트리 편집기를 종료합니다.

참고 Windows NT 4.0과 Windows 2000의 경우 레지스트리 키는 LMCompatibilityLevel이며 Windows 95와 Windows 98 기반 컴퓨터의 경우 레지스트리 키는 LMCompatibility입니다.

참조를 위해 Windows NT 4.0과 Windows 2000이 지원하는 LMCompatibilityLevel 값의 전체 범위는 다음과 같습니다.
  • 수준 0 - LM과 NTLM 응답을 보냅니다. NTLM 2 세션 보안은 사용하지 않습니다. 클라이언트가 LM 및 NTLM 인증을 사용하고 NTLM 2 세션 보안을 사용하지 않습니다. 도메인 컨트롤러가 LM, NTLM 및 NTLM 2 인증을 받아들입니다.
  • 수준 1 - 협상된 경우 NTLM 2 세션 보안을 사용합니다. 클라이언트가 LM 및 NTLM 인증을 사용하고 서버가 지원하는 경우 NTLM 2 세션 보안을 사용합니다. 도메인 컨트롤러가 LM, NTLM 및 NTLM 2 인증을 받아들입니다.
  • 수준 2 - NTLM 응답만 보냅니다. 클라이언트가 NTLM 인증만 사용하고 서버가 지원하는 경우 NTLM 2 세션 보안을 사용합니다. 도메인 컨트롤러가 LM, NTLM 및 NTLM 2 인증을 받아들입니다.
  • 수준 3 - NTLM 2 응답만 보냅니다. 클라이언트가 NTLM 2 인증을 사용하고 서버가 지원하는 경우 NTLM 2 세션 보안을 사용합니다. 도메인 컨트롤러가 LM, NTLM 및 NTLM 2 인증을 받아들입니다.
  • 수준 4 - 도메인 컨트롤러가 LM 응답을 거부합니다. 클라이언트가 NTLM 인증을 사용하고 서버가 지원하는 경우 NTLM 2 세션 보안을 사용합니다. 도메인 컨트롤러가 LM 인증을 거부합니다. 즉, NTLM 및 NTLM 2를 받아들입니다.
  • 수준 5 - 도메인 컨트롤러가 LM 및 NTLM 응답을 거부합니다. NTLM 2만 받아들입니다 클라이언트가 NTLM 2 인증을 사용하고 서버가 지원하는 경우 NTLM 2 세션 보안을 사용합니다. 도메인 컨트롤러는 NTLM 및 LM 인증을 거부합니다. NTLM 2만 받아들입니다.
클라이언트 컴퓨터는 모든 서버와 통신하는 데 한 프로토콜만 사용할 수 있습니다. 예를 들어, NTLM v2를 사용하여 Windows 2000 기반 서버에 연결한 다음 NTLM을 사용하여 다른 서버에 연결하도록 구성할 수 없습니다. 이것은 의도적으로 설계된 동작입니다.

다음 레지스트리 키를 수정하여 NTLM SSP(보안 지원 공급자)를 사용하는 프로그램에 사용되는 최소 보안을 구성할 수 있습니다. 이러한 값은 LMCompatibilityLevel 값에 따라 달라집니다.
  1. 레지스트리 편집기(Regedit.exe)를 시작합니다.
  2. 레지스트리 키에서 다음 키를 찾습니다.
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0
  3. 편집 메뉴에서 값 추가를 누른 후 다음 레지스트리 값을 추가합니다.
    값 이름: NtlmMinClientSec
    데이터 형식: REG_WORD
    값: 아래 값 중 하나
    • 0x00000010- 메시지 무결성
    • 0x00000020- 메시지 기밀
    • 0x00080000- NTLM 2 세션 보안
    • 0x20000000- 128비트 암호화
    • 0x80000000- 56비트 암호화

  4. 레지스트리 편집기를 종료합니다.
클라이언트/서버 프로그램이 NTLM SSP를 사용하거나, NTLM SSP를 사용하는 RPC(원격 프로시저 호출)를 사용하여 연결에 대한 세션 보안을 제공하는 경우 사용할 세션 보안의 종류는 다음과 같이 결정됩니다.
  • 클라이언트가 메시지 무결성, 메시지 기밀, NTLM 2 세션 보안 및 128비트나 56비트 암호화 등의 항목 일부나 전부를 요청합니다.
  • 서버가 요청한 집합에서 어느 항목을 원하는지 응답으로 알립니다.
  • 이렇게 하여 결정되는 집합을 "협상"되었다고 합니다.
NtlmMinClientSec 값을 사용하면 클라이언트/서버 연결이 세션 보안의 주어진 기능을 협상하도록 하거나 성공하지 못하도록 할 수 있습니다. 그러나 다음 항목을 알아 두어야 합니다.
  • NtlmMinClientSec 값으로 0x00000010을 사용하면 메시지 무결성이 협상되지 않은 경우 연결이 성공하지 못합니다.
  • NtlmMinClientSec 값으로 0x00000020을 사용하면 메시지 기밀이 협상되지 않은 경우 연결이 성공하지 못합니다.
  • NtlmMinClientSec 값으로 0x00080000을 사용하면 NTLM 2 세션 보안이 협상되지 않은 경우 연결이 성공하지 못합니다.
  • NtlmMinClientSec 값으로 0x20000000을 사용하면 메시지 기밀이 사용되지만 128비트 암호화가 협상되지 않은 경우 연결이 성공하지 못합니다.




Microsoft 제품 관련 기술 전문가들과 온라인으로 정보를 교환하시려면 Microsoft 뉴스 그룹에 참여하시기 바랍니다.

속성

기술 자료: 239869 - 마지막 검토: 2005년 1월 31일 월요일 - 수정: 4.3
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows NT 4.0 서비스 팩 4
  • Microsoft Windows NT 4.0 서비스 팩 5
  • Microsoft Windows 98 Second Edition
  • Microsoft Windows 98 Standard Edition
  • Microsoft Windows 95
키워드:?
kbhowto kbenv KB239869

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com