Windows에서 Active Directory 및 로컬 SAM 데이터베이스에 암호의 LAN Manager 해시를 저장하지 못하도록 하는 방법

기술 자료 번역 기술 자료 번역
기술 자료: 299656 - 이 문서가 적용되는 제품 보기.
중요 이 문서에서는 레지스트리 수정 방법을 설명합니다. 레지스트리를 수정하기 전에 해당 레지스트리를 백업하고 문제 발생 시 이를 복원하는 방법을 알고 있어야 합니다. 레지스트리 백업, 복원 및 편집 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
256986 Microsoft Windows 레지스트리 설명
모두 확대 | 모두 축소

이 페이지에서

요약

Windows에서는 일반 텍스트로 사용자 계정 암호를 저장하는 대신 일반적으로 "해시"라고 하는 두 가지 다른 암호 표현을 사용하여 사용자 계정 암호를 저장합니다. 사용자 계정의 암호를 15자 미만인 암호로 설정하거나 변경하면 Windows에서는 암호의 LM 해시(LAN Manager 해시)뿐만 아니라 NT 해시(Windows NT 해시)도 생성합니다. 이러한 해시는 로컬 SAM(보안 계정 관리자) 데이터베이스나 Active Directory에 저장됩니다.

LM 해시는 NT 해시에 비해 비교적 약하므로 빠른 암호 해독 공격에 취약합니다. 따라서 Windows에서 암호의 LM 해시를 저장하지 못하게 할 수 있습니다. 이 문서에서는 Windows에서 암호의 LM 해시를 저장하지 않고 더 강력한 NT 해시만 저장하도록 하는 방법을 설명합니다.

추가 정보

Windows 2000 기반 서버와 Windows Server 2003 기반 서버에서는 모든 이전 버전의 Windows를 실행하는 컴퓨터에서 연결하는 사용자를 인증할 수 있습니다. 그러나 Windows 2000 이전의 Windows 버전에서는 인증에 Kerberos를 사용하지 않습니다. 이전 버전과의 호환성을 위해 Windows 2000과 Windows Server 2003에서는 LM(LAN Manager) 인증, NTLM(Windows NT) 인증 및 NTLMv2(NTLM 버전 2) 인증을 지원합니다. NTLM, NTLMv2 및 Kerberos에서는 모두 유니코드 해시라고도 하는 NT 해시를 사용하고, LM 인증 프로토콜에서는 LM 해시를 사용합니다.

이전 버전과의 호환에 필요하지 않은 경우에는 LM 해시를 저장하지 않는 것이 좋습니다. 네트워크에 Windows 95, Windows 98 또는 Macintosh 클라이언트가 있는 경우 사용자 도메인에 대해 LM 해시를 저장하지 못하게 하면 다음과 같은 문제가 발생할 수 있습니다.
  • Windows 95 및 Windows 98용 디렉터리 서비스 클라이언트가 서버에 설치되어 있지 않으면 LM 해시가 없는 사용자가 서버의 역할을 하는 Windows 95 기반 컴퓨터나 Windows 98 기반 컴퓨터에 연결할 수 없습니다.
  • 디렉터리 서비스 클라이언트가 컴퓨터에 설치되어 있지 않으면 Windows 95 기반 컴퓨터나 Windows 98 기반 컴퓨터의 사용자가 도메인 계정을 사용하여 서버로 인증할 수 없습니다.
  • 디렉터리 서비스 클라이언트가 컴퓨터에 설치되어 있지 않은 경우 LM 해시가 서버에서 사용할 수 없도록 설정되어 있으면 Windows 95 기반 컴퓨터나 Windows 98 기반 컴퓨터의 사용자가 서버에서 로컬 계정을 사용하여 인증할 수 없습니다.
  • 사용자가 Windows 95 기반 컴퓨터나 Windows 98 기반 컴퓨터에서 도메인 암호를 변경하지 못할 수 있거나, 이전 클라이언트에서 암호를 변경하려고 하면 계정 잠금 문제가 발생할 수 있습니다.
  • Macintosh Outlook 2001 클라이언트의 사용자가 Microsoft Exchange 서버의 사서함에 액세스하지 못할 수 있습니다. Outlook에서 다음과 유사한 내용의 오류가 나타날 수 있습니다.
    로그온한 사용자를 확인할 수 없습니다. 사용자 이름과 도메인이 맞는지 확인한 다음 암호를 다시 입력하십시오.
Windows 95 및 Windows 98용 디렉터리 서비스 클라이언트를 구하는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
323455 Windows 98용 디렉터리 서비스 클라이언트 업데이트
Windows에서 암호의 LM 해시를 저장하지 못하게 하려면 다음 방법 중 하나를 사용하십시오.

방법 1: 그룹 정책을 사용하여 NoLMHash 정책 구현

로컬 그룹 정책을 사용하여 로컬 컴퓨터의 SAM 데이터베이스나(Windows XP 또는 Windows Server 2003) Active Directory에서 그룹 정책을 사용하여 Windows Server 2003 Active Directory 환경에(Windows Server 2003) 사용자 암호의 LM 해시를 저장할 수 없도록 설정하려면 다음과 같이 하십시오.
  1. 그룹 정책에서 컴퓨터 구성, Windows 설정, 보안 설정, 로컬 정책을 차례로 확장한 다음 보안 옵션을 누릅니다.
  2. 사용 가능한 정책 목록에서 네트워크 보안: 다음 암호 변경 시 Lan Manager 해시 값 저장 안 함을 두 번 누릅니다.
  3. 사용을 누른 다음 확인을 누릅니다.

방법 2: 레지스트리를 편집하여 NoLMHash 정책 구현

Windows 2000 서비스 팩 2(SP2) 이상에서 다음 절차 중 하나를 사용하여 다음 암호 변경 시 Windows에서 LM 해시 값을 저장하지 못하도록 설정합니다.

Windows 2000 SP2 이상

경고 레지스트리 편집기를 잘못 사용하면 심각한 문제가 발생할 수 있으며 문제를 해결하기 위해 운영 체제를 다시 설치해야 할 수도 있습니다. Microsoft는 레지스트리 편집기를 잘못 사용하여 발생하는 문제에 대해 해결을 보증하지 않습니다. 레지스트리 편집기 사용에 따른 모든 책임은 사용자에게 있습니다.
중요?
NoLMHash
레지스트리 키와 그 기능은 테스트되거나 문서화되지 않았으므로 Windows 2000 SP2 이전의 프로덕션 환경에서 사용하기에 안전하지 않은 것으로 간주해야 합니다.

레지스트리 편집기를 사용하여 이 키를 추가하려면 다음과 같이 하십시오.
  1. 레지스트리 편집기(Regedt32.exe)를 시작합니다.
  2. 다음 키를 찾아 누릅니다.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. 편집 메뉴에서 키 추가를 누르고 NoLMHash를 입력한 다음 Enter 키를 누릅니다.
  4. 레지스트리 편집기를 종료합니다.
  5. 컴퓨터를 다시 시작한 다음 암호를 변경하여 설정을 활성화합니다.
참고
  • 모든 Windows 2000 도메인 컨트롤러에서 이 레지스트리 키를 변경하여 Windows 2000 Active Directory 환경에서 사용자 암호의 LM 해시를 저장할 수 없도록 설정해야 합니다.
  • 이 레지스트리 키는 새 LM 해시가 Windows 2000 기반 컴퓨터에서 만들어지지 못하도록 하지만 저장된 이전 LM 해시의 기록을 지우지는 않습니다. 저장된 기존 LM 해시는 암호를 변경할 때 제거됩니다.

Windows XP 및 Windows Server 2003

경고 레지스트리 편집기를 잘못 사용하면 심각한 문제가 발생할 수 있으며 문제를 해결하기 위해 운영 체제를 다시 설치해야 할 수도 있습니다. Microsoft는 레지스트리 편집기를 잘못 사용하여 발생하는 문제에 대해 해결을 보증하지 않습니다. 레지스트리 편집기 사용에 따른 모든 책임은 사용자에게 있습니다.경고: 레지스트리 편집기를 잘못 사용하면 심각한 문제가 발생할 수 있으며 문제를 해결하기 위해 운영 체제를 다시 설치해야 할 수도 있습니다. Microsoft는 레지스트리 편집기를 잘못 사용하여 발생하는 문제에 대해 해결을 보증하지 않습니다. 레지스트리 편집기 사용에 따른 모든 책임은 사용자에게 있습니다.
레지스트리 편집기를 사용하여 이 DWORD 값을 추가하려면 다음과 같이 하십시오.
  1. 시작, 실행을 차례로 누르고 regedit를 입력한 다음 확인을 누릅니다.
  2. 레지스트리에서 다음 키를 찾아 누릅니다.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. 편집 메뉴에서 새로 만들기를 가리킨 다음 DWORD 값을 누릅니다.
  4. NoLMHash를 입력한 다음 Enter 키를 누릅니다.
  5. 편집 메뉴에서 수정을 누릅니다.
  6. 1을 입력한 다음 확인을 누릅니다.
  7. 컴퓨터를 다시 시작한 다음 암호를 변경합니다.
참고
  • 모든 Windows Server 2003 도메인 컨트롤러에서 이 레지스트리를 변경하여 Windows 2003 Active Directory 환경에서 사용자 암호의 LM 해시를 저장할 수 없도록 설정해야 합니다. 도메인 관리자는 방법 1(그룹 정책을 사용하여 NoLMHash 정책 구현)에서 설명하는 대로 Active Directory 사용자 및 컴퓨터 MMC(Microsoft Management Console)를 사용하여 도메인의 모든 컴퓨터나 모든 도메인 컨트롤러에 이 정책을 배포할 수 있습니다.
  • 이 DWORD 값은 새 LM 해시가 Windows XP 기반 컴퓨터와 Windows Server 2003 기반 컴퓨터에서 만들어지지 못하도록 합니다. 모든 이전 LM 해시의 기록은 위의 단계를 완료하면 지워집니다.
중요 Windows 2000과 Windows XP에서 모두 사용할 수 있거나 Windows Server 2003에서 사용할 수 있는 사용자 지정 정책 템플릿을 만드는 경우 키와 값을 모두 만들 수 있습니다. 이 값은 키와 같은 위치에 있으며 값이 1이면 LM 해시를 만들 수 없도록 설정됩니다. Windows 2000 시스템이 Windows Server 2003으로 업그레이드되면 키가 업그레이드되지만 두 설정이 모두 레지스트리에 있어도 괜찮습니다.

방법 3: 15자 이상인 암호 사용

Windows에서 암호의 LM 해시를 저장하지 못하게 하는 가장 간단한 방법은 15자 이상의 암호를 사용하는 것입니다. 이 경우 Windows에서 사용자를 인증하는 데 사용할 수 없는 LM 해시 값을 저장합니다.



Microsoft 제품 관련 기술 전문가들과 온라인으로 정보를 교환하시려면 Microsoft 뉴스 그룹에 참여하시기 바랍니다.

속성

기술 자료: 299656 - 마지막 검토: 2006년 6월 21일 수요일 - 수정: 9.3
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows XP 64-Bit Edition Version 2002
  • Microsoft Windows XP 64-Bit Edition Version 2003
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows 2000 서비스 팩 4
  • Microsoft Windows 2000 서비스 팩 3
  • Microsoft Windows 2000 서비스 팩 2
  • Microsoft Windows 2000 Advanced Server SP4
  • Microsoft Windows 2000 Advanced Server SP3
  • Microsoft Windows 2000 Advanced Server SP2
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 서비스 팩 3
  • Microsoft Windows 2000 서비스 팩 2
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 서비스 팩 3
  • Microsoft Windows 2000 서비스 팩 2
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
키워드:?
kbenv kbinfo kbnetwork KB299656

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com