암호 변경 이후나 로밍 프로필을 사용할 때 인증서 기능에 액세스할 수 없다

기술 자료 번역 기술 자료 번역
기술 자료: 331333 - 이 문서가 적용되는 제품 보기.
중요 이 문서에서는 레지스트리 수정 방법을 설명합니다. 레지스트리를 수정하기 전에 해당 레지스트리를 백업하고 문제 발생 시 이를 복원하는 방법을 이해해야 합니다. 레지스트리 백업, 복원 및 편집 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
256986 Microsoft Windows 레지스트리 설명
모두 확대 | 모두 축소

이 페이지에서

현상

해당 암호를 변경한 후나 로밍 프로필을 사용할 때 사용자가 인증서 기능을 사용하려고 하면 이 인증서 기능에 액세스할 수 없습니다. 이전처럼 사용할 수 없는 인증서 기능에는 다음이 포함됩니다.
  • 파일 시스템 암호화(EFS)를 사용하여 암호화된 파일 액세스
  • 인증서 인증이 필요한 보안 웹 페이지 액세스
  • S/MIME(Secure/Multipurpose Internet Mail Extensions)를 사용한 전자 메일 서명
보안 웹 사이트에 액세스하려고 하면 다음과 같은 오류 메시지가 기록됩니다.
샤넬 이벤트: 36870
SSL 클라이언트 자격 증명 개인 키를 액세스하려는 동안 치명적인 오류가 발생했습니다. 암호화 모듈로부터 반환된 오류 코드는 0x80090016입니다.

원인

클라이언트 사용자 계정이 Microsoft Windows NT 4.0 도메인에 있고 Microsoft Windows XP Professional 워크스테이션에 로그온되어 있는 경우에만 이 문제가 발생합니다. 데이터 보호 API(DPAPI) 함수의 Windows XP 버전은 EFS 개인 키와 보안을 유지하려는 다른 데이터를 보호해 줍니다. DPAPI의 복구 기능은 사용자가 Microsoft Windows NT 4.0 및 이전 버전을 실행하는 도메인의 구성원인 경우 지원되지 않습니다.

해결 방법

사용자가 해당 암호를 변경한 후에나 로밍 프로필을 사용할 때 인증서 기능에 대한 클라이언트 액세스 권한을 유지 관리하려면 도메인을 Active Directory 디렉터리 서비스로 업그레이드하십시오. Active Directory 도메인은 공용/개인 키 쌍을 사용하여 DPAPI 마스터 키를 보호해주는 메커니즘을 제공합니다. DPAPI 마스터 키는 EFS 개인 키와 다른 인증서 기반 함수를 보호하는 데 사용됩니다.

Windows NT 4.0 도메인에서 인증서 키와 데이터에 대한 액세스 권한을 복원하는 기능은 워크스테이션에 있습니다. Microsoft Windows 2000 도메인의 경우에는 이와 다릅니다. 복구 메커니즘이 워크스테이션에 없으므로 Windows 2000 도메인은 워크스테이션이 실제로 손상되는 경우 인증서에 대해 상당한 추가 수준의 보호를 제공합니다.

DPAPI 도메인 복구 메커니즘을 이용하려면 단일 도메인 컨트롤러만 업그레이드하면 되지만 내결함성을 위해 적어도 두 개 이상의 도메인 컨트롤러를 업그레이드하는 것이 좋습니다.

Active Directory를 구현하기 전에 계획하는 것이 좋습니다. Active Directory 설계에 대한 자세한 내용을 보려면 다음 Microsoft 웹 사이트를 참조하십시오.
http://www.microsoft.com/technet/prodtechnol/windows2000serv/technologies/activedirectory/plan/bpaddsgn.mspx(영문)

해결 과정

이 문제를 해결하려면 클라이언트 워크스테이션에 Windows XP 서비스 팩 1(SP1) 이상을 설치하고 다음 레지스트리 항목을 만들어 Windows 2000 동작을 에뮬레이션합니다.

경고 레지스트리 편집기를 잘못 사용하면 심각한 문제가 발생할 수 있으며 문제를 해결하기 위해 운영 체제를 다시 설치해야 할 수도 있습니다. Microsoft는 레지스트리 편집기를 잘못 사용함으로써 발생하는 문제에 대해 해결을 보증하지 않습니다. 레지스트리 편집기의 사용에 따른 모든 책임은 사용자에게 있습니다. 아래의 단계를 수행한 다음 레지스트리 편집기를 종료하십시오.
  1. 시작, 실행을 차례로 누르고 regedit를 입력한 다음 확인을 누릅니다.
  2. 레지스트리에서 다음 키를 찾아 누릅니다.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Protect\Providers\df9d8cd0-1501-11d1-8c7a-00c04fc297eb
  3. 편집 메뉴에서 새로 만들기를 가리킨 다음 DWORD 값을 누릅니다.
  4. MasterKeyLegacyNt4Domain을 입력한 다음 Enter 키를 누릅니다.
  5. 편집 메뉴에서 수정을 누릅니다.
  6. 1을 입력한 다음 확인을 누릅니다.
이 항목을 만든 후 클라이언트는 사용자가 Windows NT 4.0 도메인의 구성원인지 확인합니다. 구성원인 경우 Windows XP 클라이언트는 Windows 2000 동작을 에뮬레이션하고 DPAPI는 사용자에게 해당 키에 대한 변경된 암호 액세스 권한을 제공합니다.

참고?레지스트리를 편집하여 이 문제를 해결하면 레지스트리를 변경한 이후 현상 절에서 설명하는 동작만 변경해야 합니다. 레지스트리를 변경하기 전에 암호를 변경한 내용은 취소할 수 없으며 EFS 파일을 열면 "액세스 거부" 오류 메시지가 계속해서 나타납니다.

주요 보안 관련 사항

이 레지스트리 항목을 사용하면 실제로 손상된 컴퓨터의 보안이 상당히 약화됩니다. 컴퓨터에 대한 실제 액세스 권한이 있는 공격자는 일부 또는 전체 EFS 암호화 파일 및 컴퓨터의 인증서 개인 키에 액세스할 수 있습니다.

암호 변경 후 파일 복구

암호를 변경한 후 개별 워크스테이션의 인증서 기능에 대한 액세스를 다시 얻으려면 해당 암호를 파일이 마지막으로 암호화되었을 때 사용된 암호로 변경하십시오.

참고 다음 단계에서는 해당 컴퓨터에 로그온하는 데 사용하는 암호만 변경됩니다. 도메인 암호는 변경되지 않습니다.
  1. 현재 암호를 사용하여 사용자로 컴퓨터에 로그온합니다.
  2. 시작을 누른 다음 제어판을 누릅니다.
  3. 사용자 계정을 두 번 누릅니다.
  4. 사용자 이름을 눌러 선택합니다.
  5. 암호 다시 설정을 누릅니다.
  6. 새 암호 텍스트 상자에 원래 암호를 입력한 다음 새 암호 확인 텍스트 상자에 이 암호를 입력합니다. 확인을 누릅니다.
  7. 컴퓨터를 다시 시작합니다.

현재 상태

이것은 의도적으로 설계된 동작입니다.

추가 정보

이 문서의 "현상" 절에서 설명한 동작은 Windows NT 4.0 도메인의 구성원이고 Windows XP를 실행하는 컴퓨터에 로그온하는 사용자에게만 적용됩니다. 작업 그룹의 구성원이거나 Windows 2000 Active Directory 도메인의 구성원인 Windows XP Professional 클라이언트는 이 문서에 나오는 설명과 상당히 다르게 동작합니다.

Windows XP의 DPAPI에 대한 자세한 내용을 보려면 다음 Microsoft 웹 사이트를 방문하십시오.
http://msdn2.microsoft.com/en-us/library/ms995355.aspx(영문)
개인 키나 EFS 파일에 대한 액세스 권한 손실을 포함하는 DPAPI 문제의 자세한 해결 방법은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
309408 DPAPI 문제 해결 방법




Microsoft 제품 관련 기술 전문가들과 온라인으로 정보를 교환하시려면 Microsoft 뉴스 그룹에 참여하시기 바랍니다.

속성

기술 자료: 331333 - 마지막 검토: 2007년 9월 14일 금요일 - 수정: 4.2
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Windows XP Professional
키워드:?
kbprb KB331333

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com