Everyone 그룹에 익명 보안 식별자가 포함되지 않는다

기술 자료 번역 기술 자료 번역
기술 자료: 278259 - 이 문서가 적용되는 제품 보기.
모두 확대 | 모두 축소

이 페이지에서

요약

Microsoft Windows XP와 Microsoft Windows Server 2003에서 Everyone 그룹에는 "익명" SID(보안 식별자)가 포함되지 않습니다. 따라서 개체에 대한 ACL(액세스 제어 목록)에 Everyone 그룹이 포함된 경우 개체에 익명으로 액세스하려는 사용자나 서비스에는 액세스 권한이 부여되지 않습니다. 익명 액세스 권한은 ACL에 익명 SID가 명시적으로 포함된 개체에만 부여됩니다.

추가 정보

Windows를 실행하는 컴퓨터에서는 ACL과 SID에 따라 리소스에 대한 액세스가 제어됩니다. 각 리소스에는 리소스에 대한 액세스 권한이 부여되거나 거부된 모든 사용자와 그룹의 SID가 포함된 ACL이 있습니다.

사용자가 대화형으로나 네트워크를 통해 Windows를 실행하는 컴퓨터에 로그온하면 사용자 계정의 SID와 사용자 계정이 속한 모든 보안 그룹의 SID가 포함된 액세스 토큰이 사용자에게 발급됩니다. 사용자가 리소스에 액세스하려고 하면 Windows에서 사용자의 액세스 토큰에 있는 SID를 리소스의 ACL에 있는 SID와 비교합니다. SID가 일치하면 ACL에 지정된 리소스에 대한 액세스 권한이 사용자에게 부여됩니다. SID가 일치하지 않으면 사용자에게 액세스 권한이 거부됩니다.

익명 사용자(null 사용자 계정 이름, 도메인 및 암호를 사용하여 네트워크 연결을 통해 리소스에 액세스하는 사용자 또는 서비스)는 Anonymous Logon 기본 제공 보안 그룹에 자동으로 추가됩니다. 이전 버전의 Windows에서 Anonymous Logon 보안 그룹의 구성원은 많은 리소스에 액세스할 수 있습니다. 관리자가 Anonymous Logon 보안 그룹의 구성원이 Everyone 보안 그룹의 구성원으로 포함된 것을 모르는 경우 인증된 사용자만 사용해야 하는 리소스에 대한 액세스 권한이 익명 사용자에게 부여될 수 있습니다.

Windows XP 이상에서는 Anonymous Logon 보안 그룹이 Everyone 보안 그룹에서 제거되었습니다. 이러한 수정에 따라 기본적으로 익명 사용자가 사용할 수 있는 네트워크 리소스의 수가 제한되고 네트워크 관리자의 익명 사용자 액세스 제어가 간단해집니다. Everyone 그룹에 익명 사용자가 더 이상 포함되지 않기 때문에 관리자가 다음과 같은 이유로 인해 보안 시스템을 쉽게 구성할 수 있습니다.
  • Everyone 보안 그룹이 리소스에 액세스할 수 있도록 하고 사이트를 공격에 노출시킬 수 있는 이전 Windows 버전(특히 Windows NT 4.0)의 기본 ACL은 컴퓨터가 Windows XP로 업그레이드된 후 익명 사용자에게 액세스 권한을 부여하지 않습니다.
  • 관리자가 인식하지 못하는 리소스에 대한 액세스 권한이 익명 사용자에게 부여되지 않습니다.
  • 명확하게 명명된 Anonymous Logon 보안 그룹을 통해 특정 리소스에 대한 액세스 권한이 익명 사용자에게 명시적으로 부여될 수 있습니다.
참고 이 보안 강화 기능은 Windows XP 이상을 실행하는 컴퓨터에만 있으므로 Windows XP 이상을 실행하는 컴퓨터에 호스트된 리소스에 액세스하려는 익명 사용자만 영향을 받습니다.

구현

이 보안 강화 기능을 구현하려면 익명 사용자에 대해 생성된 액세스 토큰의 내용을 변경해야 합니다. 이전 버전의 Windows에서는 익명 사용자에 대한 액세스 토큰이 다음에 대한 SID를 포함합니다.
  • Everyone 보안 그룹
  • Anonymous Logon 보안 그룹
  • 로그온 유형(대개 네트워크)
Windows XP 이상에서 Everyone 보안 그룹은 익명 사용자에 대한 액세스 토큰에서 제거되었으므로 익명 사용자에 대한 액세스 토큰은 다음에 대한 SID를 포함합니다.
  • Anonymous Logon
  • 로그온 유형(대개 네트워크)
익명 사용자가 Windows XP 이상을 실행하는 컴퓨터에 있는 리소스에 액세스하려고 하면 Everyone 보안 그룹이 사용할 수 있는 사용 권한이나 그룹 구성원 자격이 익명 사용자에게 부여되지 않습니다. Everyone 보안 그룹의 SID는 익명 사용자의 액세스 토큰에 있습니다.

이전 Windows 버전과의 호환성

Windows 2000에서는 권장되는 엄격한 보안 설정을 이전 버전의 운영 체제에서 실행되는 서비스에 필요한 Active Directory 개체에 대한 액세스 권한을 일부 익명 사용자에게 부여하는 보안 설정으로 변경하는 메커니즘이 도입되었습니다. Windows XP의 보안 강화 기능 때문에 Windows 2000 메커니즘의 작동 방식이 약간 변경되었습니다.

Windows 2000에서는 Windows NT 4.0과 이전 버전의 운영 체제에서 사용 가능한 보안 설정보다 엄격한 기본 보안 설정이 도입되었습니다. 특정 도메인 데이터에 대한 익명 액세스가 필요한 서비스와 호환되기 위해 Windows 2000에서는 높은 수준의 보안 설정 및 이전 버전과 호환되는 보안 설정 간을 전환하는 방법을 제공합니다. 높은 수준의 보안 설정은 이전 버전과의 호환성이 필요하지 않은 경우의 기본 구성이며, 이전 버전과 호환되는 보안 설정은 Windows NT 4.0과 이전 버전의 Windows를 실행하는 시스템에 익명 사용자 액세스가 필요하므로 익명 사용자에게 액세스 권한을 부여합니다.

Windows 2000에서 도입된 Pre-Windows 2000 Compatible Access 보안 그룹은 이 보안 선택을 제어합니다. 이전 버전과의 호환성은 Windows 2000을 실행하는 컴퓨터에서 Everyone 보안 그룹을 Pre-Windows 2000 Compatible Access 보안 그룹의 구성원으로 만들어 확보됩니다. Pre-Windows 2000 Compatible Access 그룹에서 모든 구성원을 제거하여 높은 수준의 보안 설정을 구성할 수 있습니다.

Windows Server 2003 도메인 컨트롤러에서는 Everyone 그룹에 더 이상 Anonymous Logon이 포함되지 않으므로 이전 버전과의 호환성 설정을 사용하려면 Everyone 및 Anonymous Logon 보안 그룹이 모두 Pre-Windows 2000 Compatible Access 그룹의 구성원이어야 합니다. 이 요구 사항을 충족하려면 다음 방법 중 하나를 수행하십시오.
  • Active Directory 수준 올리기 마법사(Dcpromo.exe)를 사용하여 Windows Server 2003을 실행하는 컴퓨터의 수준을 도메인 컨트롤러로 올리는 경우 Windows 2000 이전의 서버와 호환되는 사용 권한을 눌러 Anonymous Logon 및 Everyone 보안 그룹을 Pre-Windows 2000 Compatible Access 보안 그룹에 추가합니다.
  • Windows 2000 기반 도메인 컨트롤러를 Windows Server 2003으로 업그레이드하는 경우 업그레이드 중에 Anonymous Logon 보안 그룹이 Pre-Windows 2000 Compatible Access 보안 그룹에 추가됩니다. 이 작업은 Everyone 보안 그룹이 이미 Pre-Windows 2000 Compatible Access 보안 그룹의 구성원인 경우(이전 버전과의 호환성 설정을 나타냄) 수행됩니다.
Active Directory 사용자 및 컴퓨터 스냅인에서 Pre-Windows 2000 Compatible Access 보안 그룹의 구성원을 업데이트하여 Active Directory 개체에 대한 이전 버전과의 호환성 설정과 높은 수준의 보안 설정 간을 수동으로 전환할 수 있습니다.

Windows 2000에서 작동하는 프로그램과의 호환성

Windows 2000을 Windows XP로 업그레이드하는 경우 업그레이드 후 익명 사용자가 Anonymous Logon 그룹에 명시적으로 액세스 권한을 부여하지 않고 Everyone 그룹에 액세스 권한을 부여하는 ACL이 포함된 리소스를 더 이상 사용할 수 없습니다. 대부분의 경우 이것은 익명 액세스에 대한 적절한 제한이지만 기존 프로그램을 지원하기 위해 이러한 리소스에 대한 익명 액세스를 허용해야 할 수 있습니다. 이 경우 Anonymous Logon 보안 그룹을 특정 리소스에 대한 ACL에 명시적으로 추가해야 합니다.

경우에 따라 Windows XP를 실행하는 컴퓨터에서 익명 액세스 권한을 부여해야 하는 리소스를 확인하기가 어려울 수 있습니다. 또한 필요한 모든 리소스에 대한 사용 권한을 수정하기도 어려울 수 있습니다.

이러한 경우에는 Windows XP를 실행하는 컴퓨터에서 Everyone 보안 그룹에 Anonymous Logon 보안 그룹을 포함하도록 설정해야 할 수 있습니다. 이 기능을 지원하기 위해 Windows XP에서는 EveryoneIncludesAnonymous라는 새로운 레지스트리 값이 도입되었습니다. 이 값을 사용하여 기본 Windows XP 동작(Everyone 보안 그룹에 Anonymous Logon 보안 그룹이 포함되지 않음)과 Windows 2000 동작(Everyone 보안 그룹에 Anonymous Logon 보안 그룹이 포함됨) 간을 전환할 수 있습니다.

익명 사용자에 대한 액세스 토큰이 만들어지는 경우 EveryoneIncludesAnonymous 레지스트리 값이 REG_DWORD 0x0 값으로 설정되면 Windows XP를 실행하는 컴퓨터의 LSA(로컬 보안 기관)가 익명 사용자의 액세스 토큰에 Everyone 보안 그룹의 SID를 포함하지 않습니다. 이것이 기본 설정입니다.

EveryoneIncludesAnonymous 레지스트리 값이 REG_DWORD 0x1 값으로 설정되면 LSA는 익명 사용자의 액세스 토큰에 Everyone 보안 그룹의 SID를 포함합니다.

EveryoneIncludesAnonymous 레지스트리 값을 설정하려면 다음 방법 중 하나를 수행하십시오.

중요 이 절, 방법 또는 작업에는 레지스트리를 수정하는 방법에 대한 단계가 포함되어 있습니다. 그러나 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수도 있으므로 다음 단계를 주의하여 수행해야 합니다. 추가 보호 조치로 레지스트리를 수정하기 전에 해당 레지스트리를 백업하는 것이 좋습니다. 이렇게 하면 문제가 발생하는 경우 레지스트리를 복원할 수 있습니다. 레지스트리 백업 및 복원 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
322756 Windows XP 및 Windows Server 2003에서 레지스트리를 백업, 편집 및 복원하는 방법
  • 로컬 보안 설정을 사용하여 EveryoneIncludesAnonymous 레지스트리 값을 설정하려면:
    1. 시작을 누르고 프로그램, 관리 도구를 차례로 가리킨 다음 로컬 보안 정책이나 도메인 보안 정책(도메인 컨트롤러에서만)을 누릅니다.
    2. 보안 설정을 누르고 로컬 정책을 두 번 누른 다음 보안 옵션을 누릅니다.
    3. Everyone 사용 권한을 익명 사용자에게 적용을 마우스 오른쪽 단추로 누른 다음 속성을 누릅니다.
    4. 익명 사용자가 Everyone 보안 그룹의 구성원이 될 수 있도록 하려면 사용을 누릅니다. 익명 사용자의 액세스 토큰에 Everyone 보안 그룹 SID가 포함되지 않게 하려면(Windows XP 기본값) 사용 안 함을 누릅니다.
  • 레지스트리 편집기를 사용하여 EveryoneIncludesAnonymous 레지스트리 값을 설정하려면:
    1. 시작, 실행을 차례로 누르고 regedit를 입력한 다음 확인을 누릅니다.
    2. 다음 레지스트리 키를 찾아 누릅니다.
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
    3. EveryoneIncludesAnonymous를 마우스 오른쪽 단추로 누른 다음 수정을 누릅니다.
    4. 익명 사용자가 Everyone 보안 그룹의 구성원이 될 수 있도록 하려면 값 데이터 상자에 1을 입력합니다. 익명 사용자의 액세스 토큰에 Everyone 보안 그룹 SID가 포함되지 않게 하려면(Windows XP 기본값) 값 데이터 상자에 0을 입력합니다.
    5. 레지스트리 편집기를 종료합니다.
참고 이 변경은 Windows 기반 기술인 Com, Dcom, IIS, 메시지 큐 및 익명 인증이 자주 채택되는 다른 기술에 영향을 미칠 수 있습니다.

속성

기술 자료: 278259 - 마지막 검토: 2008년 5월 13일 화요일 - 수정: 4.5
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
키워드:?
kbacl kbinfo KB278259

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com