보안 설정 및 사용자 권한 할당을 변경하는 경우 클라이언트, 서비스 및 프로그램 문제가 발생할 수 있습니다.

Windows XP

잘못 구성된 보안 설정에 대한 인식을 높이려면 그룹 정책 개체 편집기 도구를 사용하여 보안 설정을 변경합니다. 그룹 정책 개체 편집기를 사용하면 다음 운영 체제에서 사용자 권한 할당이 향상됩니다.

• Windows XP SP2(Professional Service Pack 2)

• Windows Server 2003 SP1(서비스 팩 1)

향상된 기능은 이 문서에 대한 링크가 포함된 대화 상자입니다. 보안 설정 또는 사용자 권한 할당을 호환성이 낮고 더 제한적인 설정으로 변경하면 대화 상자가 나타납니다. 레지스트리를 사용하거나 보안 템플릿을 사용하여 동일한 보안 설정 또는 사용자 권한 할당을 직접 변경하는 경우 효과는 그룹 정책 개체 편집기에서 설정을 변경하는 것과 같습니다. 그러나 이 문서에 대한 링크가 포함된 대화 상자는 표시되지 않습니다.

이 문서에는 특정 보안 설정 또는 사용자 권한 할당의 영향을 받는 클라이언트, 프로그램 및 작업의 예가 포함되어 있습니다. 그러나 이 예제는 모든 Microsoft 운영 체제, 모든 타사 운영 체제 또는 영향을 받는 모든 프로그램 버전에 대해 신뢰할 수 없습니다. 이 문서에는 모든 보안 설정 및 사용자 권한 할당이 포함되지 않습니다.

프로덕션 환경에서 도입하기 전에 테스트 포리스트의 모든 보안 관련 구성 변경 내용의 호환성을 확인하는 것이 좋습니다. 테스트 포리스트는 다음과 같은 방법으로 프로덕션 포리스트를 미러링해야 합니다.

• 클라이언트 및 서버 운영 체제 버전, 클라이언트 및 서버 프로그램, 서비스 팩 버전, 핫픽스, 스키마 변경, 보안 그룹, 그룹 멤버 자격, 파일 시스템의 개체에 대한 권한, 공유 폴더, 레지스트리, Active Directory 디렉터리 서비스, 로컬 및 그룹 정책 설정, 개체 개수 유형 및 위치

• 수행되는 관리 작업, 사용되는 관리 도구 및 관리 작업을 수행하는 데 사용되는 운영 체제

• 다음과 같이 수행되는 작업:

  • 컴퓨터 및 사용자 로그온 인증

  • 사용자, 컴퓨터 및 관리자가 암호 재설정

  • 검색

  • 모든 계정 또는 리소스 도메인의 모든 클라이언트 운영 체제에서 모든 계정 또는 리소스 도메인의 모든 클라이언트 운영 체제에서 ACL 편집기를 사용하여 파일 시스템, 공유 폴더, 레지스트리 및 Active Directory 리소스에 대한 사용 권한 설정

  • 관리 계정 및 비사용 계정에서 인쇄

Windows Server 2003 SP1

사용자 권한

다음 목록에서는 사용자 권한에 대해 설명하고, 문제를 일으킬 수 있는 구성 설정을 식별하고, 사용자 권한을 적용해야 하는 이유와 사용자 권한을 제거할 수 있는 이유를 설명하고, 사용자 권한이 구성될 때 발생할 수 있는 호환성 문제의 예를 제공합니다.

1. 네트워크에서 이 컴퓨터에 액세스

   1. 배경
      
      원격 Windows 기반 컴퓨터와 상호 작용하는 기능을 사용하려면 네트워크 사용자 권한에서 이 컴퓨터에 액세스해야 합니다. 이러한 네트워크 작업의 예는 다음과 같습니다.

      • 공용 도메인 또는 포리스트의 도메인 컨트롤러 간에 Active Directory 복제

      • 사용자 및 컴퓨터에서 도메인 컨트롤러에 대한 인증 요청

      • 네트워크의 원격 컴퓨터에 있는 공유 폴더, 프린터 및 기타 시스템 서비스에 대한 액세스

      
      
      사용자, 컴퓨터 및 서비스 계정은 이 사용자에게 권한이 부여된 보안 그룹에서 명시적으로 또는 암시적으로 추가되거나 제거되어 네트워크 사용자 권한에서 이 컴퓨터 액세스 권한을 얻거나 잃게 됩니다. 예를 들어 사용자 계정 또는 컴퓨터 계정은 관리자가 사용자 지정 보안 그룹 또는 기본 제공 보안 그룹에 명시적으로 추가하거나 운영 체제에서 도메인 사용자, 인증된 사용자 또는 엔터프라이즈 도메인 컨트롤러와 같은 계산된 보안 그룹에 암시적으로 추가될 수 있습니다.
      
      기본적으로 사용자 계정 및 컴퓨터 계정에는 모든 사용자 또는 인증된 사용자와 같은 컴퓨팅 그룹이 기본 도메인 컨트롤러 그룹 정책 개체(GPO)에 정의되어 있는 경우 네트워크 사용자로부터 이 컴퓨터에 액세스 권한이 부여됩니다.

   2. 위험한 구성
      
      다음은 유해한 구성 설정입니다.

      • 이 사용자 권한에서 엔터프라이즈 도메인 컨트롤러 보안 그룹 제거

      • 사용자, 컴퓨터 및 서비스 계정에서 네트워크를 통해 컴퓨터에 연결할 수 있는 권한을 허용하는 인증된 사용자 그룹 또는 명시적 그룹을 제거합니다.

      • 이 사용자 권한에서 모든 사용자 및 컴퓨터 제거

   3. 이 사용자에게 권한을 부여하는 이유

      • 네트워크 사용자 권한에서 엔터프라이즈 도메인 컨트롤러 그룹에 이 컴퓨터에 액세스 권한을 부여하면 Active Directory 복제가 동일한 포리스트의 도메인 컨트롤러 간에 복제가 발생하도록 해야 하는 인증 요구 사항을 충족합니다.

      • 이 사용자 권한은 사용자와 컴퓨터가 Active Directory를 포함한 공유 파일, 프린터 및 시스템 서비스에 액세스할 수 있도록 허용합니다.

      • 이 사용자 권한은 사용자가 초기 버전의 OWA(Microsoft Outlook Web Access)를 사용하여 메일에 액세스하는 데 필요합니다.

   4. 이 사용자 권한을 제거하는 이유

      • 네트워크에 컴퓨터를 연결할 수 있는 사용자는 권한이 있는 원격 컴퓨터의 리소스에 액세스할 수 있습니다. 예를 들어 사용자가 공유 프린터 및 폴더에 연결하려면 이 사용자 권한이 필요합니다. 모든 사용자 그룹에 이 사용자 권한이 부여되고 일부 공유 폴더에 공유 및 NTFS 파일 시스템 권한이 모두 구성된 경우 동일한 그룹에 읽기 권한이 있도록 구성된 경우 누구나 해당 공유 폴더의 파일을 볼 수 있습니다. 그러나 Windows Server 2003의 기본 공유 및 NTFS 권한에는 모든 사용자 그룹이 포함되지 않으므로 Windows Server 2003의 새로 설치할 가능성은 거의 없습니다. Microsoft Windows NT 4.0 또는 Windows 2000에서 업그레이드된 시스템의 경우 이러한 운영 체제에 대한 기본 공유 및 파일 시스템 권한이 Windows Server 2003의 기본 권한만큼 제한적이지 않으므로 이 취약성은 더 높은 수준의 위험을 초래할 수 있습니다.

      • 이 사용자 권한에서 엔터프라이즈 도메인 컨트롤러 그룹을 제거할 유효한 이유가 없습니다.

      • 모든 사용자 그룹은 일반적으로 인증된 사용자 그룹에 찬성하여 제거됩니다. 모든 사용자 그룹이 제거되면 인증된 사용자 그룹에 이 사용자에게 권한이 부여되어야 합니다.

      • Windows 2000으로 업그레이드된 Windows NT 4.0 도메인은 네트워크 사용자 권한에서 모든 사용자 그룹, 인증된 사용자 그룹 또는 엔터프라이즈 도메인 컨트롤러 그룹에 대한 액세스 권한을 명시적으로 부여하지 않습니다. 따라서 Windows NT 4.0 도메인 정책에서 Everyone 그룹을 제거하면 Windows 2000으로 업그레이드한 후 "액세스 거부" 오류 메시지와 함께 Active Directory 복제가 실패합니다. Windows Server 2003의 Winnt32.exe 4.0 PDC(주 도메인 컨트롤러)Windows NT 업그레이드할 때 엔터프라이즈 도메인 컨트롤러 그룹에 이 사용자에게 권한을 부여하여 이러한 잘못된 구성을 방지합니다. 그룹 정책 개체 편집기에서 이 사용자가 없는 경우 엔터프라이즈 도메인 컨트롤러 그룹에 이 사용자를 권한을 부여합니다.

   5. 호환성 문제의 예

      • Windows 2000 및 Windows Server 2003: 다음 파티션의 복제는 REPLMON 및 REPADMIN과 같은 모니터링 도구 또는 이벤트 로그의 복제 이벤트에 의해 보고된 "액세스 거부" 오류로 인해 실패합니다.

        • Active Directory 스키마 파티션

        • 구성 파티션

        • 도메인 파티션

        • 글로벌 카탈로그 파티션

        • 애플리케이션 파티션

      • 모든 Microsoft 네트워크 운영 체제: 사용자가 구성원인 사용자 또는 보안 그룹에 이 사용자 권한이 부여되지 않은 한 원격 네트워크 클라이언트 컴퓨터의 사용자 계정 인증이 실패합니다.

      • 모든 Microsoft 네트워크 운영 체제: 계정이 구성원인 계정 또는 보안 그룹이 이 사용자에게 권한을 부여하지 않으면 원격 네트워크 클라이언트의 계정 인증이 실패합니다. 이 시나리오는 사용자 계정, 컴퓨터 계정 및 서비스 계정에 적용됩니다.

      • 모든 Microsoft 네트워크 운영 체제: 이 사용자 권한에서 모든 계정을 제거하면 모든 계정이 도메인에 로그온하거나 네트워크 리소스에 액세스하지 못하게 됩니다. 엔터프라이즈 도메인 컨트롤러, 모든 사용자 또는 인증된 사용자와 같은 계산된 그룹이 제거된 경우 이 사용자에게 네트워크를 통해 원격 컴퓨터에 액세스하기 위한 구성원인 계정 또는 보안 그룹에 대한 권한을 명시적으로 부여해야 합니다. 이 시나리오는 모든 사용자 계정, 모든 컴퓨터 계정 및 모든 서비스 계정에 적용됩니다.

      • 모든 Microsoft 네트워크 운영 체제: 로컬 관리자 계정은 "빈" 암호를 사용합니다. 도메인 환경의 관리자 계정에는 빈 암호를 사용하는 네트워크 연결이 허용되지 않습니다. 이 구성을 사용하면 "액세스 거부됨" 오류 메시지가 표시될 수 있습니다.

2. 로컬로 로그온 허용

   1. 배경
      
      Windows 기반 컴퓨터의 콘솔에서 로그온하려는 사용자(Ctrl+Alt+DELETE 바로 가기 키 사용) 및 서비스를 시작하려는 계정에는 호스팅 컴퓨터에 대한 로컬 로그온 권한이 있어야 합니다. 로컬 로그온 작업의 예로는 구성원 컴퓨터의 콘솔에 로그온하는 관리자 또는 엔터프라이즈 및 도메인 사용자 전체에서 권한 없는 계정을 사용하여 데스크톱에 액세스하기 위해 멤버 컴퓨터에 로그온하는 도메인 사용자가 있습니다. 원격 데스크톱 연결 또는 터미널 서비스를 사용하는 사용자는 Windows 2000 또는 Windows XP를 실행하는 대상 컴퓨터에서 로컬로 로그온 허용 권한이 있어야 합니다. 이러한 로그온 모드는 호스팅 컴퓨터에 로컬로 간주되기 때문입니다. 터미널 서버가 사용하도록 설정된 서버에 로그온하고 있고 이 사용자 권한이 없는 사용자는 터미널 서비스를 통해 로그온 허용 권한이 있는 경우 Windows Server 2003 도메인에서 원격 대화형 세션을 시작할 수 있습니다.

   2. 위험한 구성
      
      다음은 유해한 구성 설정입니다.

      • 기본 도메인 컨트롤러 정책에서 계정 연산자, 백업 연산자, 인쇄 연산자 또는 서버 운영자 및 기본 제공 관리자 그룹을 비롯한 관리 보안 그룹을 제거합니다.

      • 기본 도메인 컨트롤러 정책에서 구성원 컴퓨터 및 도메인 컨트롤러의 구성 요소 및 프로그램에서 사용하는 서비스 계정을 제거합니다.

      • 도메인에 있는 멤버 컴퓨터의 콘솔에 로그온하는 사용자 또는 보안 그룹을 제거합니다.

      • 구성원 컴퓨터 또는 작업 그룹 컴퓨터의 로컬 SAM(보안 계정 관리자) 데이터베이스에 정의된 서비스 계정을 제거합니다.

      • 도메인 컨트롤러에서 실행되는 터미널 서비스를 통해 인증하는 기본 제공이 아닌 관리 계정 제거

      • 모든 사용자 그룹을 통해 도메인의 모든 사용자 계정을 명시적으로 또는 암시적으로 로컬로 로그온하는 거부 로그온에 추가합니다. 이 구성은 사용자가 도메인의 모든 구성원 컴퓨터 또는 도메인 컨트롤러에 로그온하는 것을 방지합니다.

   3. 이 사용자에게 권한을 부여하는 이유

      • 사용자는 작업 그룹 컴퓨터, 멤버 컴퓨터 또는 도메인 컨트롤러의 콘솔 또는 데스크톱에 액세스할 수 있는 로컬 사용자 권한에 로그온 허용 권한이 있어야 합니다.

      • 사용자는 Window 2000 기반 멤버 컴퓨터 또는 도메인 컨트롤러에서 실행되는 터미널 서비스 세션을 통해 로그온할 권한이 있어야 합니다.

   4. 이 사용자 권한을 제거하는 이유

      • 합법적인 사용자 계정에 대한 콘솔 액세스를 제한하지 않으면 권한이 없는 사용자가 악성 코드를 다운로드하고 실행하여 사용자 권한을 변경할 수 있습니다.

      • 로컬로 로그온 허용 권한을 제거하면 도메인 컨트롤러 또는 애플리케이션 서버와 같은 컴퓨터 콘솔에서 무단 로그온을 방지할 수 있습니다.

      • 이 로그온 권한을 제거하면 도메인에 있는 구성원 컴퓨터의 콘솔에서 도메인이 아닌 계정이 로그온되지 않습니다.

   5. 호환성 문제의 예

      • Windows 2000 터미널 서버: 사용자가 Windows 2000 터미널 서버에 로그온하려면 로컬로 로그온 허용 권한이 필요합니다.

      • Windows NT 4.0, Windows 2000, Windows XP 또는 Windows Server 2003: Windows NT 4.0, Windows 2000, Windows XP 또는 Windows Server 2003을 실행하는 컴퓨터의 콘솔에서 로그온할 수 있는 권한이 사용자에게 부여되어야 합니다.

      • Windows NT 4.0 이상: Windows NT 4.0 이상을 실행하는 컴퓨터에서 로컬 사용자 권한으로 로그온 허용을 추가하지만 로컬로 로그온 거부 권한을 암시적으로 또는 명시적으로 부여하면 계정은 도메인 컨트롤러의 콘솔에 로그온할 수 없습니다.

3. 트래버스 검사 무시

   1. 배경
      
      바이패스 트래버스 검사 사용자 권한을 사용하면 트래버스 폴더 특수 액세스 권한을 확인하지 않고 NTFS 파일 시스템 또는 레지스트리의 폴더를 탐색할 수 있습니다. 바이패스 트래버스 검사 사용자 권한은 사용자가 폴더의 내용을 나열할 수 없습니다. 사용자가 해당 폴더만 트래버스할 수 있습니다.

   2. 위험한 구성
      
      다음은 유해한 구성 설정입니다.

      • Windows 2000 기반 터미널 서비스 컴퓨터 또는 파일 시스템의 파일 및 폴더에 액세스할 수 있는 권한이 없는 Windows Server 2003 기반 터미널 서비스 컴퓨터에 로그온하는 비관리 계정을 제거합니다.

      • 기본적으로 이 사용자가 있는 보안 주체 목록에서 모든 사용자 그룹을 제거합니다. Windows 운영 체제 및 많은 프로그램은 컴퓨터에 합법적으로 액세스할 수 있는 모든 사용자가 사용자 권한을 검사하는 바이패스 트래버스를 갖게 될 것이라는 기대로 설계되었습니다. 따라서 기본적으로 이 사용자가 있는 보안 주체 목록에서 Everyone 그룹을 제거하면 운영 체제가 불안정해지거나 프로그램 오류가 발생할 수 있습니다. 이 설정을 기본값으로 두는 것이 좋습니다.

   3. 이 사용자에게 권한을
      
      부여하는 이유 사용자 권한의 바이패스 트래버스 검사에 대한 기본 설정은 누구나 트래버스 검사를 우회할 수 있도록 하는 것입니다. 숙련된 Windows 시스템 관리자의 경우 예상되는 동작이며 그에 따라 파일 시스템 ACL(액세스 제어 목록)을 구성합니다. 기본 구성으로 인해 오류가 발생할 수 있는 유일한 시나리오는 권한을 구성하는 관리자가 동작을 이해하지 못하고 부모 폴더에 액세스할 수 없는 사용자가 자식 폴더의 내용에 액세스할 수 없을 것으로 예상하는 경우입니다.

   4. 이 사용자 권한을
      
      제거하는 이유 파일 또는 파일 시스템의 폴더에 대한 액세스를 방지하기 위해 보안에 대해 매우 우려하는 조직은 바이패스 트래버스 확인 사용자 권한이 있는 그룹 목록에서 모든 사용자 그룹 또는 사용자 그룹을 제거하려고 할 수 있습니다.

   5. 호환성 문제의 예

      • Windows 2000, Windows Server 2003: 바이패스 트래버스 검사 사용자 권한이 제거되거나 Windows 2000 또는 Windows Server 2003을 실행하는 컴퓨터에서 잘못 구성된 경우 SYVOL 폴더의 그룹 정책 설정은 도메인의 도메인 컨트롤러 간에 복제되지 않습니다.

      • Windows 2000, Windows XP Professional, Windows Server 2003: Windows 2000, Windows XP Professional 또는 Windows Server 2003을 실행하는 컴퓨터는 이벤트 1000 및 1202를 기록하며 사용자 권한의 바이패스 트래버스 확인이 제거되거나 잘못 구성된 경우 필요한 파일 시스템 권한이 SYSVOL 트리에서 제거될 때 컴퓨터 정책 및 사용자 정책을 적용할 수 없습니다.
        
         

      • Windows 2000, Windows Server 2003: Windows 2000 또는 Windows Server 2003을 실행하는 컴퓨터에서는 볼륨의 속성을 볼 때 Windows 탐색기의 할당량 탭이 사라집니다.

      • Windows 2000: Windows 2000 터미널 서버에 로그온하는 비관리자는 다음과 같은 오류 메시지를 받을 수 있습니다.

        Userinit.exe 애플리케이션 오류입니다. 애플리케이션이 제대로 초기화되지 0xc0000142 확인을 클릭하여 앱을 종료합니다.

      • Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: 컴퓨터가 Windows NT 4.0, Windows 2000, Windows XP 또는 Windows Server 2003을 실행하는 사용자는 공유 폴더의 공유 폴더 또는 파일에 액세스하지 못할 수 있으며 사용자 권한 우회 통과 확인 권한이 부여되지 않은 경우 "액세스 거부" 오류 메시지를 받을 수 있습니다.
        
        
         

      • Windows NT 4.0: Windows NT 4.0 기반 컴퓨터에서 사용자 권한을 검사하는 바이패스 트래버스를 제거하면 파일 복사본이 파일 스트림을 삭제합니다. 이 사용자 권한을 제거하면 Windows 클라이언트 또는 Macintosh 클라이언트에서 Macintosh용 서비스를 실행하는 Windows NT 4.0 도메인 컨트롤러로 파일이 복사되면 대상 파일 스트림이 손실되고 파일이 텍스트 전용 파일로 표시됩니다.

      • Microsoft Windows 95, Microsoft Windows 98: Windows 95 또는 Windows 98을 실행하는 클라이언트 컴퓨터에서 인증된 사용자 그룹에 사용자 권한 바이패스 트래버스 확인 권한이 부여되지 않은 경우 순 사용 * /home 명령이 "액세스 거부" 오류 메시지와 함께 실패합니다.

      • Outlook Web Access: 관리자가 아닌 사용자는 Microsoft Outlook Web Access에 로그온할 수 없으며 사용자 권한의 바이패스 트래버스 확인 권한이 부여되지 않은 경우 "액세스 거부됨" 오류 메시지가 표시됩니다.

보안 설정

다음 목록에서는 보안 설정을 식별하고, 중첩된 목록은 보안 설정에 대한 설명을 제공하고, 문제를 일으킬 수 있는 구성 설정을 식별하고, 보안 설정을 적용해야 하는 이유를 설명한 다음, 보안 설정을 제거하려는 이유를 설명합니다. 그런 다음 중첩된 목록은 보안 설정 및 보안 설정의 레지스트리 경로에 대한 기호 이름을 제공합니다. 마지막으로, 보안 설정이 구성될 때 발생할 수 있는 호환성 문제에 대한 예제가 제공됩니다.

1. 감사: 보안 감사를 기록할 수 없는 경우 즉시 시스템 종료

   1. Background

      • 감사: 보안 감사 설정을 기록할 수 없는 경우 시스템을 즉시 종료하면 보안 이벤트를 기록할 수 없는 경우 시스템이 종료되는지 여부가 결정됩니다. 이 설정은 TCSEC(신뢰할 수 있는 컴퓨터 보안 평가 기준) 프로그램의 C2 평가 및 감사 시스템에서 해당 이벤트를 기록할 수 없는 경우 감사 가능 이벤트를 방지하기 위한 정보 기술 보안 평가에 대한 공통 기준에 필요합니다. 감사 시스템이 실패하면 시스템이 종료되고 중지 오류 메시지가 나타납니다.

      • 컴퓨터가 보안 로그에 이벤트를 기록할 수 없는 경우 보안 인시던트 후 중요한 증거 또는 중요한 문제 해결 정보를 검토하지 못할 수 있습니다.

   2. 위험한 구성
      
      다음은 유해한 구성 설정입니다. 감사: 보안 감사 설정을 기록할 수 없는 경우 시스템을 즉시 종료하고, 보안 이벤트 로그의 크기는 이벤트 덮어쓰기(수동으로 로그 지우기) 옵션, 필요한 경우 이벤트 덮어쓰기 옵션 또는 이벤트 뷰어 1일보다 오래된 이벤트 덮어쓰기 옵션으로 제한됩니다. Windows 2000, Windows 2000 SP1(서비스 팩 1), Windows 2000 SP2 또는 Windows 2000 SP3 버전을 실행하는 컴퓨터의 특정 위험에 대한 자세한 내용은 "호환성 문제 예" 섹션을 참조하세요.

   3. 이 설정을
      
      사용하도록 설정하는 이유 컴퓨터가 보안 로그에 이벤트를 기록할 수 없는 경우 보안 인시던트 후 중요한 증거 또는 중요한 문제 해결 정보를 검토하지 못할 수 있습니다.

   4. 이 설정을 사용하지 않도록 설정하는 이유

      • 감사 사용: 보안 감사 설정을 기록할 수 없는 경우 즉시 시스템 종료는 어떤 이유로든 보안 감사를 기록할 수 없는 경우 시스템을 중지합니다. 일반적으로 보안 감사 로그가 가득 차고 지정된 보존 방법이 이벤트를 덮어쓰지 않음(수동으로 로그 지우기) 옵션 또는 일 수 보다 오래된 이벤트 덮어쓰기 옵션인 경우 이벤트를 기록할 수 없습니다.

      • 감사를 사용하도록 설정하는 관리 부담: 보안 감사 설정을 기록할 수 없는 경우 시스템 즉시 종료는 매우 높을 수 있습니다. 특히 보안 로그에 대해 이벤트를 덮어쓰지 않음(로그를 수동으로 지우기) 옵션도 켜는 경우 매우 높을 수 있습니다. 이 설정은 운영자 작업의 개별 책임을 제공합니다. 예를 들어 관리자는 기본 제공 관리자 계정 또는 기타 공유 계정을 사용하여 감사를 사용하도록 설정한 OU(조직 구성 단위)의 모든 사용자, 컴퓨터 및 그룹에 대한 권한을 다시 설정한 다음, 이러한 권한을 다시 설정하는 것을 거부할 수 있습니다. 그러나 이 설정을 사용하도록 설정하면 로그온 이벤트 및 보안 로그에 기록된 다른 보안 이벤트로 인해 서버가 강제로 종료될 수 있으므로 시스템의 견고성이 줄어듭니다. 또한 종료가 정상적이지 않으므로 운영 체제, 프로그램 또는 데이터에 돌이킬 수 없는 손상이 발생할 수 있습니다. NTFS는 비정상 시스템 종료 중에 파일 시스템의 무결성이 유지되도록 보장하지만 시스템이 다시 시작될 때 모든 프로그램의 모든 데이터 파일이 계속 사용 가능한 형식으로 유지되도록 보장할 수는 없습니다.

   5. 기호 이름:
      
      CrashOnAuditFail

   6. 레지스트리 경로:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail(Reg_DWORD)

   7. 호환성 문제의 예

      • Windows 2000: 버그로 인해 원래 릴리스된 버전의 Windows 2000, Windows 2000 SP1, Windows 2000 SP2 또는 Windows Server SP3을 실행하는 컴퓨터는 보안 이벤트 로그에 대한 최대 로그 크기 옵션에 지정된 크기에 도달하기 전에 로깅 이벤트를 중지할 수 있습니다. 이 버그는 Windows 2000 SP4(서비스 팩 4)에서 수정되었습니다. 이 설정을 사용하도록 설정하기 전에 Windows 2000 도메인 컨트롤러에 Windows 2000 서비스 팩 4가 설치되어 있는지 확인합니다.
        
         

      • Windows 2000, Windows Server 2003: Windows 2000 또는 Windows Server 2003을 실행하는 컴퓨터는 응답을 중지한 다음 감사: 보안 감사 설정을 기록할 수 없는 경우 즉시 시스템 종료, 보안 로그가 가득 차서 기존 이벤트 로그 항목을 덮어쓸 수 없는 경우 자발적으로 다시 시작할 수 있습니다. 컴퓨터를 다시 시작하면 다음 중지 오류 메시지가 나타납니다.

        중지: C0000244 {감사 실패}
        보안 감사를 생성하지 못했습니다.

        복구하려면 관리자가 로그온하고, 보안 로그를 보관하고(선택 사항), 보안 로그를 지우고, 이 옵션을 다시 설정해야 합니다(선택 사항 및 필요에 따라).

      • MS-DOS, Windows 95, Windows 98, Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003용 Microsoft 네트워크 클라이언트: 도메인에 로그온하려는 관리자가 아닌 사용자는 다음 오류 메시지를 받습니다.

        계정이 이 컴퓨터를 사용할 수 없도록 구성되었습니다. 다른 컴퓨터를 사용해 보세요.

      • Windows 2000: Windows 2000 기반 컴퓨터에서는 관리자가 아닌 사용자가 원격 액세스 서버에 로그온할 수 없으며 다음과 유사한 오류 메시지가 표시됩니다.

        알 수 없는 사용자 또는 잘못된 암호

      • Windows 2000: Windows 2000 도메인 컨트롤러에서 사이트 간 메시징 서비스(Ismserv.exe)가 중지되고 다시 시작할 수 없습니다. DCDIAG는 오류를 "실패한 테스트 서비스 ISMserv"로 보고하고 이벤트 ID 1083이 이벤트 로그에 등록됩니다.

      • Windows 2000: Windows 2000 도메인 컨트롤러에서 Active Directory 복제가 실패하고 보안 이벤트 로그가 가득 차면 "액세스 거부됨" 메시지가 표시됩니다.

      • Microsoft Exchange 2000: Exchange 2000을 실행하는 서버는 정보 저장소 데이터베이스를 탑재할 수 없으며 이벤트 2102는 이벤트 로그에 등록됩니다.

      • Outlook, Outlook Web Access: 관리자가 아닌 사용자는 Microsoft Outlook 또는 Microsoft Outlook Web Access를 통해 메일에 액세스할 수 없으며 503 오류가 발생합니다.

2. 도메인 컨트롤러: LDAP 서버 서명 요구 사항

   1. 배경
      
      도메인 컨트롤러: LDAP 서버 서명 요구 사항 보안 설정은 LDAP(Lightweight Directory Access Protocol) 서버에 데이터 서명을 협상하기 위해 LDAP 클라이언트가 필요한지 여부를 결정합니다. 이 정책 설정에 사용할 수 있는 값은 다음과 같습니다.

      • 없음: 서버와 바인딩하는 데 데이터 서명이 필요하지 않습니다. 클라이언트가 데이터 서명을 요청하는 경우 서버는 이를 지원합니다.

      • 서명 필요: 전송 계층 보안/보안 소켓 계층(TLS/SSL)을 사용하지 않는 한 LDAP 데이터 서명 옵션을 협상해야 합니다.

      • 정의되지 않음: 이 설정은 사용하거나 사용하지 않도록 설정되지 않았습니다.

   2. 위험한 구성
      
      다음은 유해한 구성 설정입니다.

      • 클라이언트가 LDAP 서명을 지원하지 않거나 클라이언트 쪽 LDAP 서명이 클라이언트에서 사용하도록 설정되지 않은 환경에서 로그인 필요 사용

      • 클라이언트가 LDAP 서명을 지원하지 않거나 클라이언트 쪽 LDAP 서명을 사용할 수 없는 환경에서 Windows 2000 또는 Windows Server 2003 Hisecdc.inf 보안 템플릿 적용

      • 클라이언트가 LDAP 서명을 지원하지 않거나 클라이언트 쪽 LDAP 서명을 사용할 수 없는 환경에서 Windows 2000 또는 Windows Server 2003 Hisecws.inf 보안 템플릿 적용

   3. 이 설정을
      
      사용하도록 설정하는 이유 서명되지 않은 네트워크 트래픽은 침입자가 클라이언트와 서버 간의 패킷을 캡처하고 패킷을 수정한 다음 서버로 전달하는 중간자 공격에 취약합니다. LDAP 서버에서 이 동작이 발생하면 공격자가 LDAP 클라이언트의 잘못된 쿼리를 기반으로 하는 결정을 내릴 수 있습니다. 네트워크 인프라를 보호하는 데 도움이 되는 강력한 물리적 보안 조치를 구현하여 회사 네트워크에서 이러한 위험을 줄일 수 있습니다. IPSec(인터넷 프로토콜 보안) 인증 헤더 모드는 중간 사용자 공격을 방지하는 데 도움이 될 수 있습니다. 인증 헤더 모드는 IP 트래픽에 대한 상호 인증 및 패킷 무결성을 수행합니다.

   4. 이 설정을 사용하지 않도록 설정하는 이유

      • LDAP 서명을 지원하지 않는 클라이언트는 NTLM 인증이 협상되고 올바른 서비스 팩이 Windows 2000 도메인 컨트롤러에 설치되지 않은 경우 도메인 컨트롤러 및 글로벌 카탈로그에 대해 LDAP 쿼리를 수행할 수 없습니다.

      • 클라이언트와 서버 간의 LDAP 트래픽 네트워크 추적이 암호화됩니다. 따라서 LDAP 대화를 검사하기가 어렵습니다.

      • Windows 2000 기반 서버에는 Windows 2000 SP3(서비스 팩 3)이 있거나 Windows 2000 SP4, Windows XP 또는 Windows Server 2003을 실행하는 클라이언트 컴퓨터에서 실행되는 LDAP 서명을 지원하는 프로그램으로 관리될 때 설치되어 있어야 합니다.  

   5. 기호 이름:
      
      LDAPServerIntegrity

   6. 레지스트리 경로:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity(Reg_DWORD)

   7. 호환성 문제의 예

      • 간단한 바인딩이 실패하면 다음과 같은 오류 메시지가 표시됩니다.

        Ldap_simple_bind_s() 실패: 강력한 인증이 필요합니다.

      • Windows 2000 서비스 팩 4, Windows XP, Windows Server 2003: Windows 2000 SP4, Windows XP 또는 Windows Server 2003을 실행하는 클라이언트에서는 NTLM 인증을 협상할 때 SP3 이전 버전의 Windows 2000 버전을 실행하는 도메인 컨트롤러에 대해 일부 Active Directory 관리 도구가 제대로 작동하지 않습니다.
        
         

      • Windows 2000 서비스 팩 4, Windows XP, Windows Server 2003: Windows 2000 SP4, Windows XP 또는 Windows Server 2003을 실행하는 클라이언트에서 SP3 이전 버전의 Windows 2000을 실행하는 도메인 컨트롤러를 대상으로 하는 일부 Active Directory 관리 도구는 IP 주소를 사용하는 경우 제대로 작동하지 않습니다(예: "dsa.msc /server=x.x.x.x"( 여기서
        x.x.x.x 는 IP 주소).
        
        
         

      • Windows 2000 서비스 팩 4, Windows XP, Windows Server 2003: Windows 2000 SP4, Windows XP 또는 Windows Server 2003을 실행하는 클라이언트에서는 SP3 이전 버전의 Windows 2000을 실행하는 도메인 컨트롤러를 대상으로 하는 일부 Active Directory 관리 도구가 제대로 작동하지 않습니다.
        
         

3. 도메인 구성원: 강력한(Windows 2000 이상) 세션 키 필요

   1. Background

      • 도메인 멤버: 강력한(Windows 2000 이상) 세션 키 설정이 필요하면 강력한 128비트 세션 키로 보안 채널 트래픽을 암호화할 수 없는 도메인 컨트롤러를 사용하여 보안 채널을 설정할 수 있는지 여부를 결정합니다. 이 설정을 사용하면 강력한 키로 보안 채널 데이터를 암호화할 수 없는 도메인 컨트롤러로 보안 채널을 설정할 수 없습니다. 이 설정을 사용하지 않도록 설정하면 64비트 세션 키가 허용됩니다.

      • 멤버 워크스테이션 또는 서버에서 이 설정을 사용하도록 설정하려면 먼저 구성원이 속한 도메인의 모든 도메인 컨트롤러가 강력한 128비트 키로 보안 채널 데이터를 암호화할 수 있어야 합니다. 즉, 이러한 모든 도메인 컨트롤러는 Windows 2000 이상을 실행해야 합니다.

   2. 위험한 구성
      
      도메인 멤버 사용: 강력한(Windows 2000 이상) 세션 키 설정이 필요한 것은 유해한 구성 설정입니다.

   3. 이 설정을 사용하도록 설정하는 이유

      • 멤버 컴퓨터와 도메인 컨트롤러 간의 보안 채널 통신을 설정하는 데 사용되는 세션 키는 이전 버전의 Microsoft 운영 체제보다 Windows 2000에서 훨씬 더 강력합니다.

      • 가능한 경우 이러한 강력한 세션 키를 활용하여 도청 및 세션 하이재킹 네트워크 공격으로부터 보안 채널 통신을 보호하는 것이 좋습니다. 도청은 네트워크 데이터를 읽거나 전송 중에 변경되는 악의적인 공격의 한 형태입니다. 데이터를 숨기거나 변경하거나 리디렉션하도록 수정할 수 있습니다.

      중요 Windows Server 2008 R2 또는 Windows 7을 실행하는 컴퓨터는 보안 채널을 사용할 때 강력한 키만 지원합니다. 이 제한은 Windows NT 4.0 기반 도메인과 Windows Server 2008 R2 기반 도메인 간의 트러스트를 방지합니다. 또한 이 제한은 Windows 7 또는 Windows Server 2008 R2를 실행하는 컴퓨터의 Windows NT 4.0 기반 도메인 멤버 자격을 차단하며 그 반대의 경우도 마찬가지입니다.

   4. 이 설정을
      
      사용하지 않도록 설정하는 이유 도메인에는 Windows 2000, Windows XP 또는 Windows Server 2003 이외의 운영 체제를 실행하는 멤버 컴퓨터가 포함되어 있습니다.

   5. 기호 이름:
      
      StrongKey

   6. 레지스트리 경로:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey(Reg_DWORD)

   7. 호환성 문제
      
      Windows NT 4.0의 예: Windows NT 4.0 기반 컴퓨터에서 NLTEST를 사용하는 Windows NT 4.0 도메인과 Windows 2000 도메인 간의 보안 신뢰 관계 채널을 다시 설정하는 데 실패합니다. "액세스 거부됨" 오류 메시지가 나타납니다.

      주 도메인과 신뢰할 수 있는 도메인 간의 트러스트 관계가 실패했습니다.
      
      Windows 7 및 Server 2008 R2: Windows 7 이상 버전 및 Windows Server 2008 R2 이상 버전의 경우 이 설정은 더 이상 적용되지 않으며 항상 강력한 키가 사용됩니다. 따라서 Windows NT 4.0 도메인을 사용하는 트러스트는 더 이상 작동하지 않습니다.

4. 도메인 구성원: 보안 채널 데이터 디지털 암호화 또는 서명(항상)

   1. Background

      • 도메인 구성원 사용: 보안 채널 데이터를 디지털 암호화 또는 서명(항상)하면 모든 보안 채널 데이터에 서명하거나 암호화할 수 없는 도메인 컨트롤러로 보안 채널을 설정할 수 없습니다. Windows 기반 컴퓨터는 중간자 공격, 재생 공격 및 기타 종류의 네트워크 공격으로부터 인증 트래픽을 보호하기 위해 Net Logon 서비스를 통해 보안 채널로 알려진 통신 채널을 만들어 컴퓨터 계정을 인증합니다. 보안 채널은 한 도메인의 사용자가 원격 도메인의 네트워크 리소스에 연결할 때도 사용됩니다. 이 다중 도메인 인증 또는 통과 인증을 사용하면 도메인에 가입된 Windows 기반 컴퓨터가 해당 도메인 및 신뢰할 수 있는 도메인의 사용자 계정 데이터베이스에 액세스할 수 있습니다.

      • 도메인 구성원을 사용하도록 설정하려면 구성원 컴퓨터에서 보안 채널 데이터(항상) 설정을 디지털 방식으로 암호화하거나 서명합니다. 구성원이 속한 도메인의 모든 도메인 컨트롤러는 모든 보안 채널 데이터에 서명하거나 암호화할 수 있어야 합니다. 즉, 이러한 모든 도메인 컨트롤러는 SP6a(서비스 팩 6a) 이상에서 Windows NT 4.0을 실행해야 합니다.

      • 도메인 구성원 사용: 보안 채널 데이터(항상) 설정을 디지털 암호화하거나 서명하면 도메인 구성원이 자동으로 보안 채널 데이터(가능한 경우)를 디지털 암호화하거나 서명할 수 있습니다.

   2. 위험한 구성
      
      도메인 구성원 사용: 모든 도메인 컨트롤러가 보안 채널 데이터에 서명하거나 암호화할 수 없는 도메인에서 보안 채널 데이터(항상) 설정을 디지털 암호화 또는 서명하는 것은 유해한 구성 설정입니다.

   3. 이 설정을
      
      사용하도록 설정하는 이유 서명되지 않은 네트워크 트래픽은 사람이 개입하는 공격에 취약합니다. 여기서 침입자는 서버와 클라이언트 간의 패킷을 캡처한 다음 클라이언트에 전달하기 전에 수정합니다. 이 동작이 LDAP(Lightweight Directory Access Protocol) 서버에서 발생하는 경우 침입자는 클라이언트가 LDAP 디렉터리의 잘못된 레코드를 기반으로 하는 결정을 내릴 수 있습니다. 네트워크 인프라를 보호하는 데 도움이 되는 강력한 물리적 보안 조치를 구현하여 회사 네트워크에 대한 이러한 공격의 위험을 낮출 수 있습니다. 또한 IPSec(인터넷 프로토콜 보안) 인증 헤더 모드를 구현하면 중간 사용자 공격을 방지할 수 있습니다. 이 모드는 IP 트래픽에 대한 상호 인증 및 패킷 무결성을 수행합니다.

   4. 이 설정을 사용하지 않도록 설정하는 이유

      • 로컬 또는 외부 도메인의 컴퓨터는 암호화된 보안 채널을 지원합니다.

      • 도메인의 모든 도메인 컨트롤러에 암호화된 보안 채널을 지원하기 위한 적절한 서비스 팩 수정 수준이 있는 것은 아닙니다.

   5. 기호 이름:
      
      StrongKey

   6. 레지스트리 경로:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal(REG_DWORD)

   7. 호환성 문제의 예

      • Windows NT 4.0: Windows 2000 기반 구성원 컴퓨터는 Windows NT 4.0 도메인에 가입할 수 없으며 다음 오류 메시지가 표시됩니다.

        계정에 이 스테이션에서 로그인할 권한이 없습니다.

        자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료의 문서를 확인합니다.

        281648 오류 메시지: 계정에 이 스테이션에서 로그인할 권한이 없습니다.
         

      • Windows NT 4.0: Windows NT 4.0 도메인은 Windows 2000 도메인과 하위 수준 트러스트를 설정할 수 없으며 다음 오류 메시지가 표시됩니다.

        계정에 이 스테이션에서 로그인할 권한이 없습니다.

        기존 하위 수준 트러스트는 신뢰할 수 있는 도메인의 사용자를 인증하지 않을 수도 있습니다. 일부 사용자는 도메인에 로그온하는 데 문제가 있을 수 있으며 클라이언트가 도메인을 찾을 수 없다는 오류 메시지가 표시될 수 있습니다.

      • Windows XP: Windows NT 4.0 도메인에 가입된 Windows XP 클라이언트는 로그온 시도를 인증할 수 없으며 다음 오류 메시지가 표시되거나 이벤트 로그에 다음 이벤트가 등록될 수 있습니다.

        도메인 컨트롤러가 다운되었거나 사용할 수 없거나 컴퓨터 계정을 찾을 수 없기 때문에 Windows에서 도메인에 연결할 수 없습니다.

      • Microsoft 네트워크: Microsoft 네트워크 클라이언트는 다음 오류 메시지 중 하나를 받게 됩니다.

        로그온 실패: 알 수 없는 사용자 이름 또는 잘못된 암호입니다.

        지정된 로그온 세션에 대한 사용자 세션 키가 없습니다.

5. Microsoft 네트워크 클라이언트: 디지털 서명 통신(항상)

   1. 배경
      
      SMB(서버 메시지 블록)는 많은 Microsoft 운영 체제에서 지원하는 리소스 공유 프로토콜입니다. 네트워크 기본 입력/출력 시스템(NetBIOS) 및 기타 많은 프로토콜의 기초입니다. SMB 서명은 데이터를 호스트하는 사용자와 서버를 모두 인증합니다. 어느 한 쪽이 인증 프로세스에 실패하면 데이터 전송이 발생하지 않습니다.
      
      SMB 프로토콜 협상 중에 SMB 서명 사용이 시작됩니다. SMB 서명 정책은 컴퓨터가 항상 클라이언트 통신에 디지털 서명하는지 여부를 결정합니다.
      
      Windows 2000 SMB 인증 프로토콜은 상호 인증을 지원합니다. 상호 인증은 "man-in-the-middle" 공격을 닫습니다. Windows 2000 SMB 인증 프로토콜도 메시지 인증을 지원합니다. 메시지 인증은 활성 메시지 공격을 방지하는 데 도움이 됩니다. 이 인증을 제공하기 위해 SMB 서명은 각 SMB에 디지털 서명을 넣습니다. 클라이언트와 서버는 각각 디지털 서명을 확인합니다.
      
      SMB 서명을 사용하려면 SMB 서명을 사용하도록 설정하거나 SMB 클라이언트와 SMB 서버 모두에서 SMB 서명이 필요합니다. 서버에서 SMB 서명을 사용하도록 설정하면 SMB 서명에도 사용하도록 설정된 클라이언트는 모든 후속 세션 동안 패킷 서명 프로토콜을 사용합니다. 서버에서 SMB 서명이 필요한 경우 클라이언트가 SMB 서명에 사용하도록 설정되거나 필요한 경우가 아니면 클라이언트가 세션을 설정할 수 없습니다.
      
      
      보안이 높은 네트워크에서 디지털 서명을 사용하도록 설정하면 클라이언트 및 서버의 가장을 방지하는 데 도움이 됩니다. 이러한 종류의 가장을 세션 하이재킹이라고 합니다. 클라이언트 또는 서버와 동일한 네트워크에 액세스할 수 있는 공격자는 세션 하이재킹 도구를 사용하여 진행 중인 세션을 중단, 종료 또는 도용합니다. 공격자는 서명되지 않은 SMB 패킷을 가로채고 수정하고 트래픽을 수정한 다음 전달하여 서버가 원치 않는 작업을 수행할 수 있도록 할 수 있습니다. 또는 공격자가 합법적인 인증 후에 서버 또는 클라이언트로 포즈를 취한 다음 데이터에 대한 무단 액세스를 얻을 수 있습니다.
      
      Windows 2000 Server, Windows 2000 Professional, Windows XP Professional 또는 Windows Server 2003을 실행하는 컴퓨터에서 파일 공유 및 인쇄 공유에 사용되는 SMB 프로토콜은 상호 인증을 지원합니다. 상호 인증은 세션 하이재킹 공격을 닫고 메시지 인증을 지원합니다. 따라서 맨 인 더 미들 공격을 방지합니다. SMB 서명은 각 SMB에 디지털 서명을 배치하여 이 인증을 제공합니다. 그런 다음 클라이언트와 서버가 서명을 확인합니다.
      
      노트

      • 대안으로 IPSec을 사용하여 디지털 서명을 사용하도록 설정하여 모든 네트워크 트래픽을 보호할 수 있습니다. 서버 CPU의 성능 영향을 최소화하는 데 사용할 수 있는 IPSec 암호화 및 서명에 대한 하드웨어 기반 가속기가 있습니다. SMB 서명에 사용할 수 있는 가속기는 없습니다.
        
        자세한 내용은 Microsoft MSDN 웹 사이트의 디지털 서명 서버 통신 장을 참조하세요.
        
        재정의되는 도메인 정책이 있는 경우 로컬 레지스트리 값에 대한 변경 내용이 적용되지 않으므로 그룹 정책 개체 편집기를 통해 SMB 서명을 구성합니다.

      • Windows 95, Windows 98 및 Windows 98 Second Edition에서 디렉터리 서비스 클라이언트는 NTLM 인증을 사용하여 Windows Server 2003 서버로 인증할 때 SMB 서명을 사용합니다. 그러나 이러한 클라이언트는 NTLMv2 인증을 사용하여 이러한 서버로 인증할 때 SMB 서명을 사용하지 않습니다. 또한 Windows 2000 서버는 이러한 클라이언트의 SMB 서명 요청에 응답하지 않습니다. 자세한 내용은 항목 10: "네트워크 보안: Lan Manager 인증 수준"을 참조하세요.

   2. 위험한 구성
      
      다음은 유해한 구성 설정입니다. Microsoft 네트워크 클라이언트: 디지털 서명 통신(항상) 설정 및 Microsoft 네트워크 클라이언트: 디지털 서명 통신(서버가 동의하는 경우) 설정이 "정의되지 않음"으로 설정되거나 사용하지 않도록 설정됩니다. 이러한 설정을 통해 리디렉션자는 인증 중에 암호 암호화를 지원하지 않는 타사 SMB 서버에 일반 텍스트 암호를 보낼 수 있습니다.

   3. 이 설정을
      
      사용하도록 설정하는 이유 Microsoft 네트워크 클라이언트 사용: SMB 서명이 필요하지 않은 서버에 연결할 때 클라이언트가 SMB 트래픽에 서명해야 하는 디지털 서명 통신(항상). 이렇게 하면 클라이언트가 세션 하이재킹 공격에 덜 취약해집니다.

   4. 이 설정을 사용하지 않도록 설정하는 이유

      • Microsoft 네트워크 클라이언트 사용: 디지털 서명 통신(항상)을 사용하면 클라이언트가 SMB 서명을 지원하지 않는 대상 서버와 통신할 수 없습니다.

      • 서명되지 않은 모든 SMB 통신을 무시하도록 컴퓨터를 구성하면 이전 프로그램 및 운영 체제가 연결되지 않습니다.

   5. 기호 이름:
      
      RequireSMBSignRdr

   6. 레지스트리 경로:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature

   7. 호환성 문제의 예

      • Windows NT 4.0: NLTEST 또는 NETDOM을 사용하여 Windows Server 2003 도메인과 Windows NT 4.0 도메인 간에 트러스트의 보안 채널을 다시 설정할 수 없으며 "액세스 거부" 오류 메시지가 표시됩니다.

      • Windows XP: Windows XP 클라이언트에서 Windows 2000 기반 서버 및 Windows Server 2003 기반 서버로 파일을 복사하는 데 더 많은 시간이 걸릴 수 있습니다.

      • 이 설정을 사용하도록 설정된 클라이언트에서 네트워크 드라이브를 매핑할 수 없으며 다음과 같은 오류 메시지가 표시됩니다.

        계정에 이 스테이션에서 로그인할 권한이 없습니다.

   8. 다시 시작 요구 사항
      
      컴퓨터를 다시 시작하거나 워크스테이션 서비스를 다시 시작합니다. 이렇게 하려면 명령 프롬프트에 다음 명령을 입력합니다. 각 명령을 입력한 후 Enter 키를 누릅니다.

      net stop workstation
      net start 워크스테이션

6. Microsoft 네트워크 서버: 디지털 서명 통신(항상)

   1. Background

      • SMB(Server Messenger Block)는 많은 Microsoft 운영 체제에서 지원하는 리소스 공유 프로토콜입니다. 네트워크 기본 입력/출력 시스템(NetBIOS) 및 기타 많은 프로토콜의 기초입니다. SMB 서명은 데이터를 호스트하는 사용자와 서버를 모두 인증합니다. 어느 한 쪽이 인증 프로세스에 실패하면 데이터 전송이 발생하지 않습니다.
        
        SMB 프로토콜 협상 중에 SMB 서명 사용이 시작됩니다. SMB 서명 정책은 컴퓨터가 항상 클라이언트 통신에 디지털 서명하는지 여부를 결정합니다.
        
        Windows 2000 SMB 인증 프로토콜은 상호 인증을 지원합니다. 상호 인증은 "man-in-the-middle" 공격을 닫습니다. Windows 2000 SMB 인증 프로토콜도 메시지 인증을 지원합니다. 메시지 인증은 활성 메시지 공격을 방지하는 데 도움이 됩니다. 이 인증을 제공하기 위해 SMB 서명은 각 SMB에 디지털 서명을 넣습니다. 클라이언트와 서버는 각각 디지털 서명을 확인합니다.
        
        SMB 서명을 사용하려면 SMB 서명을 사용하도록 설정하거나 SMB 클라이언트와 SMB 서버 모두에서 SMB 서명이 필요합니다. 서버에서 SMB 서명을 사용하도록 설정하면 SMB 서명에도 사용하도록 설정된 클라이언트는 모든 후속 세션 동안 패킷 서명 프로토콜을 사용합니다. 서버에서 SMB 서명이 필요한 경우 클라이언트가 SMB 서명에 사용하도록 설정되거나 필요한 경우가 아니면 클라이언트가 세션을 설정할 수 없습니다.
        
        
        보안이 높은 네트워크에서 디지털 서명을 사용하도록 설정하면 클라이언트 및 서버의 가장을 방지하는 데 도움이 됩니다. 이러한 종류의 가장을 세션 하이재킹이라고 합니다. 클라이언트 또는 서버와 동일한 네트워크에 액세스할 수 있는 공격자는 세션 하이재킹 도구를 사용하여 진행 중인 세션을 중단, 종료 또는 도용합니다. 공격자는 서명되지 않은 SBM(서브넷 대역폭 관리자) 패킷을 가로채 수정하고, 트래픽을 수정한 다음, 서버가 원치 않는 작업을 수행할 수 있도록 전달할 수 있습니다. 또는 공격자가 합법적인 인증 후에 서버 또는 클라이언트로 포즈를 취한 다음 데이터에 대한 무단 액세스를 얻을 수 있습니다.
        
        Windows 2000 Server, Windows 2000 Professional, Windows XP Professional 또는 Windows Server 2003을 실행하는 컴퓨터에서 파일 공유 및 인쇄 공유에 사용되는 SMB 프로토콜은 상호 인증을 지원합니다. 상호 인증은 세션 하이재킹 공격을 닫고 메시지 인증을 지원합니다. 따라서 맨 인 더 미들 공격을 방지합니다. SMB 서명은 각 SMB에 디지털 서명을 배치하여 이 인증을 제공합니다. 그런 다음 클라이언트와 서버가 서명을 확인합니다.

      • 대안으로 IPSec을 사용하여 디지털 서명을 사용하도록 설정하여 모든 네트워크 트래픽을 보호할 수 있습니다. 서버 CPU의 성능 영향을 최소화하는 데 사용할 수 있는 IPSec 암호화 및 서명에 대한 하드웨어 기반 가속기가 있습니다. SMB 서명에 사용할 수 있는 가속기는 없습니다.

      • Windows 95, Windows 98 및 Windows 98 Second Edition에서 디렉터리 서비스 클라이언트는 NTLM 인증을 사용하여 Windows Server 2003 서버로 인증할 때 SMB 서명을 사용합니다. 그러나 이러한 클라이언트는 NTLMv2 인증을 사용하여 이러한 서버로 인증할 때 SMB 서명을 사용하지 않습니다. 또한 Windows 2000 서버는 이러한 클라이언트의 SMB 서명 요청에 응답하지 않습니다. 자세한 내용은 항목 10: "네트워크 보안: Lan Manager 인증 수준"을 참조하세요.

   2. 위험한 구성
      
      다음은 유해한 구성 설정입니다. Microsoft 네트워크 서버 사용: 로컬 또는 외부 도메인의 호환되지 않는 Windows 기반 컴퓨터 및 타사 운영 체제 기반 클라이언트 컴퓨터에서 액세스하는 서버 및 도메인 컨트롤러에서 통신(항상) 설정에 디지털 서명합니다.

   3. 이 설정을 사용하도록 설정하는 이유

      • 레지스트리를 통해 직접 또는 그룹 정책 설정을 통해 이 설정을 사용하도록 설정하는 모든 클라이언트 컴퓨터는 SMB 서명을 지원합니다. 즉, 이 설정을 사용하도록 설정된 모든 클라이언트 컴퓨터는 DS 클라이언트가 설치된 Windows 95, Windows 98, Windows NT 4.0, Windows 2000, Windows XP Professional 또는 Windows Server 2003 중 하나를 실행합니다.

      • Microsoft 네트워크 서버: 디지털 서명 통신(항상)을 사용하지 않도록 설정하면 SMB 서명이 완전히 비활성화됩니다. 모든 SMB 서명을 완전히 사용하지 않도록 설정하면 컴퓨터가 세션 하이재킹 공격에 더 취약합니다.

   4. 이 설정을 사용하지 않도록 설정하는 이유

      • 이 설정을 사용하면 클라이언트 컴퓨터에서 파일 복사 및 네트워크 성능이 느려질 수 있습니다.

      • 이 설정을 사용하면 SMB 서명을 협상할 수 없는 클라이언트가 서버 및 도메인 컨트롤러와 통신할 수 없습니다. 이로 인해 도메인 가입, 사용자 및 컴퓨터 인증 또는 프로그램별 네트워크 액세스와 같은 작업이 실패합니다.

   5. 기호 이름:
      
      RequireSMBSignServer

   6. 레지스트리 경로:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature(REG_DWORD)

   7. 호환성 문제의 예

      • Windows 95: DS(Directory Services) 클라이언트가 설치되지 않은 Windows 95 클라이언트는 로그온 인증에 실패하고 다음 오류 메시지가 표시됩니다.

        제공한 도메인 암호가 올바르지 않거나 로그온 서버에 대한 액세스가 거부되었습니다.

      • Windows NT 4.0: SP3(서비스 팩 3) 이전 버전의 Windows NT 4.0을 실행하는 클라이언트 컴퓨터는 로그온 인증에 실패하고 다음 오류 메시지가 표시됩니다.

        시스템에서 로그온할 수 없습니다. 사용자 이름과 도메인이 올바른지 확인한 다음 암호를 다시 입력합니다.

        일부 타사 SMB 서버는 인증 중에 암호화되지 않은 암호 교환만 지원합니다. (이러한 교환은 "일반 텍스트" 교환이라고도 합니다.) Windows NT 4.0 SP3 이상 버전의 경우 특정 레지스트리 항목을 추가하지 않는 한 SMB 리디렉터에서 인증 중에 암호화되지 않은 암호를 SMB 서버에 보내지 않습니다.
        Windows NT 4.0 SP 3 이상 시스템에서 SMB 클라이언트에 대해 암호화되지 않은 암호를 사용하도록 설정하려면 다음과 같이 레지스트리를 수정합니다. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters
        
        값 이름: EnablePlainTextPassword
        
        데이터 형식: REG_DWORD
        
        데이터: 1
        
         

      • Windows Server 2003: 기본적으로 Windows Server 2003을 실행하는 도메인 컨트롤러의 보안 설정은 도메인 컨트롤러 통신이 악의적인 사용자에 의해 가로채거나 변조되는 것을 방지하도록 구성됩니다. 사용자가 Windows Server 2003을 실행하는 도메인 컨트롤러와 성공적으로 통신하려면 클라이언트 컴퓨터에서 SMB 서명 및 암호화 또는 보안 채널 트래픽 서명을 모두 사용해야 합니다. 기본적으로 SP2(서비스 팩 2) 이하가 설치된 Windows NT 4.0을 실행하는 클라이언트와 Windows 95를 실행하는 클라이언트에는 SMB 패킷 서명이 사용되지 않습니다. 따라서 이러한 클라이언트는 Windows Server 2003 기반 도메인 컨트롤러에 인증하지 못할 수 있습니다.

      • Windows 2000 및 Windows Server 2003 정책 설정: 특정 설치 요구 사항 및 구성에 따라 Microsoft 관리 콘솔 그룹 정책 편집기 스냅인 계층에서 필요한 범위의 가장 낮은 엔터티로 다음 정책 설정을 설정하는 것이 좋습니다.

        • 컴퓨터 구성\Windows 보안 설정\보안 옵션

        • 암호화되지 않은 암호를 보내 타사 SMB 서버에 연결합니다(이 설정은 Windows 2000용).

        • Microsoft 네트워크 클라이언트: 타사 SMB 서버에 암호화되지 않은 암호 보내기(이 설정은 Windows Server 2003용)

        
        참고 이전 Samba 버전과 같은 일부 타사 CIFS 서버에서는 암호화된 암호를 사용할 수 없습니다.

      • 다음 클라이언트는 Microsoft 네트워크 서버와 호환되지 않습니다. 디지털 서명 통신(항상) 설정:

        • Apple Computer, Inc., Mac OS X 클라이언트

        • Microsoft MS-DOS 네트워크 클라이언트(예: Microsoft LAN 관리자)

        • Microsoft Windows for Workgroups 클라이언트

        • DS 클라이언트가 설치되지 않은 Microsoft Windows 95 클라이언트

        • MICROSOFT Windows NT SP3 이상이 설치되지 않은 4.0 기반 컴퓨터

        • Novell Netware 6 CIFS 클라이언트

        • SMB 서명을 지원하지 않는 SAMBA SMB 클라이언트

   8. 다시 시작 요구 사항
      
      컴퓨터를 다시 시작하거나 서버 서비스를 다시 시작합니다. 이렇게 하려면 명령 프롬프트에 다음 명령을 입력합니다. 각 명령을 입력한 후 Enter 키를 누릅니다.

      net stop 서버
      net start server

7. 네트워크 액세스: 익명 SID/이름 변환 허용

   1. 배경
      
      네트워크 액세스: 익명 SID/이름 변환 보안 설정 허용은 익명 사용자가 다른 사용자에 대한 SID(보안 식별 번호) 특성을 요청할 수 있는지 여부를 결정합니다.

   2. 위험한 구성
      
      네트워크 액세스 사용: 익명 SID/이름 변환 설정 허용은 유해한 구성 설정입니다.

   3. 이 설정을
      
      사용하도록 설정하는 이유 네트워크 액세스: 익명 SID/이름 변환 허용 설정을 사용하지 않도록 설정하면 이전 운영 체제 또는 애플리케이션이 Windows Server 2003 도메인과 통신하지 못할 수 있습니다. 예를 들어 다음 운영 체제, 서비스 또는 애플리케이션이 작동하지 않을 수 있습니다.

      • 4.0 기반 원격 액세스 서비스 서버 Windows NT

      • Windows NT 3.x 기반 컴퓨터 또는 Windows NT 4.0 기반 컴퓨터에서 실행되는 Microsoft SQL Server

      • Windows NT 3.x 도메인 또는 Windows NT 4.0 도메인에 있는 Windows 2000 기반 컴퓨터에서 실행되는 원격 액세스 서비스

      • Windows NT 3.x 도메인 또는 Windows NT 4.0 도메인에 있는 Windows 2000 기반 컴퓨터에서 실행되는 SQL Server

      • Windows Server 2003 도메인 컨트롤러를 포함하는 계정 도메인의 사용자 계정에 파일, 공유 폴더 및 레지스트리 개체에 액세스할 수 있는 권한을 부여하려는 Windows NT 4.0 리소스 도메인의 사용자

   4. 이 설정을
      
      사용하지 않도록 설정하는 이유 이 설정을 사용하도록 설정하면 악의적인 사용자가 잘 알려진 Administrators SID를 사용하여 계정 이름이 변경된 경우에도 기본 제공 관리자 계정의 실명을 가져올 수 있습니다. 그런 다음, 해당 사용자가 계정 이름을 사용하여 암호 추측 공격을 시작할 수 있습니다.

   5. 기호 이름: 해당 내용

   6. 레지스트리 경로: 없음. 경로는 UI 코드에 지정됩니다.

   7. 호환성 문제의
      
      예Windows NT 4.0: Windows NT 4.0 리소스 도메인의 컴퓨터는 공유 폴더, 공유 파일 및 레지스트리 개체를 포함한 리소스가 Windows Server 2003 도메인 컨트롤러를 포함하는 계정 도메인에 있는 보안 주체로 보호되는 경우 ACL 편집기에서 "계정 알 수 없음" 오류 메시지를 표시합니다.

8. 네트워크 액세스: SAM 계정의 익명 열거 허용 안 함

   1. Background

      • 네트워크 액세스: SAM 계정 설정의 익명 열거를 허용하지 않으면 컴퓨터에 대한 익명 연결에 대해 부여할 추가 권한이 결정됩니다. Windows를 사용하면 익명 사용자가 워크스테이션 및 SAM(서버 보안 계정 관리자) 계정 및 네트워크 공유의 이름을 열거하는 등의 특정 작업을 수행할 수 있습니다. 예를 들어 관리자는 이를 사용하여 상호 트러스트를 유지하지 않는 신뢰할 수 있는 도메인의 사용자에게 액세스 권한을 부여할 수 있습니다. 세션이 만들어지면 익명 사용자는 네트워크 액세스의 설정에 따라 모든 사용자 그룹에 부여된 것과 동일한 액세스 권한을 가질 수 있습니다. 모든 사용자가 익명 사용자 설정 또는 개체의 DACL(임의 액세스 제어 목록)에 모든 사용자 권한을 적용하도록 허용합니다.
        
        일반적으로 익명 연결은 SMB 세션 설정 중에 이전 버전의 클라이언트(하위 수준 클라이언트)에서 요청됩니다. 이러한 경우 네트워크 추적은 SMB 프로세스 ID(PID)가 Windows 2000의 0xFEFF 또는 Windows NT 0xCAFE 같은 클라이언트 리디렉터임을 보여 줍니다. RPC는 익명 연결을 시도할 수도 있습니다.

      • 중요 이 설정은 도메인 컨트롤러에 영향을 주지 않습니다. 도메인 컨트롤러에서 이 동작은 "Pre-Windows 2000 호환 액세스"에 "NT AUTHORITY\ANONYMOUS LOGON"이 있으면 제어됩니다.

      • Windows 2000에서 익명 연결에 대한 추가 제한이라는 유사한 설정은 RestrictAnonymous 레지스트리 값을 관리합니다. 이 값의 위치는 다음과 같습니다.

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA  

   2. 위험한 구성
      
      네트워크 액세스 사용: SAM 계정 설정의 익명 열거를 허용하지 않는 것은 호환성 관점에서 유해한 구성 설정입니다. 사용하지 않도록 설정하는 것은 보안 관점에서 유해한 구성 설정입니다.

   3. 이 설정을
      
      사용하도록 설정하는 이유 권한이 없는 사용자는 익명으로 계정 이름을 나열한 다음 정보를 사용하여 암호를 추측하거나 소셜 엔지니어링 공격을 수행할 수 있습니다. 사회 공학은 사람들이 자신의 암호 또는 보안 정보의 어떤 형태를 공개로 속이는 것을 의미 전문 용어입니다.

   4. 이 설정을
      
      사용하지 않도록 설정하는 이유 이 설정을 사용하도록 설정하면 Windows NT 4.0 도메인을 사용하여 트러스트를 설정할 수 없습니다. 또한 이 설정으로 인해 서버에서 리소스를 사용하려는 하위 수준 클라이언트(예: Windows NT 3.51 클라이언트 및 Windows 95 클라이언트)에 문제가 발생합니다.

   5. 기호 이름:
      
      
      RestrictAnonymousSAM

   6. 레지스트리 경로:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM(Reg_DWORD)

   7. 호환성 문제의 예

   • SMS 네트워크 검색은 운영 체제 정보를 가져올 수 없으며 OperatingSystemNameandVersion 속성에 "알 수 없음"을 씁니다.

   • Windows 95, Windows 98: Windows 95 클라이언트 및 Windows 98 클라이언트는 암호를 변경할 수 없습니다.

   • Windows NT 4.0: Windows NT 4.0 기반 멤버 컴퓨터를 인증할 수 없습니다.

   • Windows 95, Windows 98: Windows 95 기반 및 Windows 98 기반 컴퓨터는 Microsoft 도메인 컨트롤러에서 인증할 수 없습니다.

   • Windows 95, Windows 98: Windows 95 기반 및 Windows 98 기반 컴퓨터의 사용자는 사용자 계정의 암호를 변경할 수 없습니다.

9. 네트워크 액세스: SAM 계정 및 공유의 익명 열거 허용 안 함

   1. Background

      • 네트워크 액세스: SAM 계정 및 공유 설정의 익명 열거 허용 안 함(RestrictAnonymous라고도 함)은 SAM(보안 계정 관리자) 계정 및 공유의 익명 열거가 허용되는지 여부를 결정합니다. Windows를 사용하면 익명 사용자가 도메인 계정(사용자, 컴퓨터 및 그룹) 및 네트워크 공유의 이름을 열거하는 등의 특정 활동을 수행할 수 있습니다. 예를 들어 관리자가 상호 트러스트를 유지하지 않는 신뢰할 수 있는 도메인의 사용자에게 액세스 권한을 부여하려는 경우 편리합니다. SAM 계정 및 공유의 익명 열거를 허용하지 않으려면 이 설정을 사용하도록 설정합니다.

      • Windows 2000에서 익명 연결에 대한 추가 제한이라는 유사한 설정은 RestrictAnonymous 레지스트리 값을 관리합니다. 이 값의 위치는 다음과 같습니다.

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA

   2. 위험한 구성
      
      네트워크 액세스 사용: SAM 계정 및 공유 설정의 익명 열거를 허용하지 않는 것은 유해한 구성 설정입니다.

   3. 이 설정을 사용하도록 설정하는 이유

      • 네트워크 액세스 사용: SAM 계정 및 공유 설정의 익명 열거를 허용하지 않으면 익명 계정을 사용하는 사용자 및 컴퓨터에서 SAM 계정 및 공유를 열거할 수 없습니다.

   4. 이 설정을 사용하지 않도록 설정하는 이유

      • 이 설정을 사용하도록 설정하면 권한이 없는 사용자가 익명으로 계정 이름을 나열한 다음 정보를 사용하여 암호를 추측하거나 소셜 엔지니어링 공격을 수행할 수 있습니다. 사회 공학은 사람들이 자신의 암호 또는 보안 정보를 공개하는 것을 속이는 것을 의미하는 전문 용어입니다.

      • 이 설정을 사용하도록 설정하면 Windows NT 4.0 도메인을 사용하여 트러스트를 설정할 수 없습니다. 이 설정으로 인해 서버에서 리소스를 사용하려는 Windows NT 3.51 및 Windows 95 클라이언트와 같은 하위 수준 클라이언트에도 문제가 발생합니다.

      • 신뢰할 수 있는 도메인의 관리자가 다른 도메인의 계정 목록을 열거할 수 없으므로 리소스 도메인의 사용자에게 액세스 권한을 부여하는 것은 불가능합니다. 파일 및 인쇄 서버에 익명으로 액세스하는 사용자는 해당 서버의 공유 네트워크 리소스를 나열할 수 없습니다. 사용자가 공유 폴더 및 프린터 목록을 보려면 먼저 인증해야 합니다.

   5. 기호 이름:
      
      Restrictanonymous

   6. 레지스트리 경로:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous

   7. 호환성 문제의 예

      • Windows NT 4.0: 사용자 도메인의 도메인 컨트롤러에서 RestrictAnonymous를 사용하는 경우 사용자는 Windows NT 4.0 워크스테이션에서 암호를 변경할 수 없습니다.

      • Windows NT 4.0: 사용자 관리자의 Windows NT 4.0 로컬 그룹에 신뢰할 수 있는 Windows 2000 도메인의 사용자 또는 전역 그룹을 추가하지 못하면 다음 오류 메시지가 표시됩니다.

        현재 로그온 요청을 서비스하는 데 사용할 수 있는 로그온 서버가 없습니다.

      • Windows NT 4.0: Windows NT 4.0 기반 컴퓨터는 설치 중에 또는 도메인 가입 사용자 인터페이스를 사용하여 도메인에 가입할 수 없습니다.

      • Windows NT 4.0: Windows NT 4.0 리소스 도메인을 사용하여 하위 수준 트러스트를 설정하지 못합니다. 신뢰할 수 있는 도메인에서 RestrictAnonymous를 사용하도록 설정하면 다음 오류 메시지가 표시됩니다.

        이 도메인에 대한 도메인 컨트롤러를 찾을 수 없습니다.

      • Windows NT 4.0: Windows NT 4.0 기반 터미널 서버 컴퓨터에 로그온하는 사용자는 도메인에 대한 사용자 관리자에 정의된 홈 디렉터리 대신 기본 홈 디렉터리에 매핑됩니다.

      • Windows NT 4.0: Windows NT 4.0 백업 도메인 컨트롤러(BDC)는 Net Logon 서비스를 시작하거나, 백업 브라우저 목록을 가져오거나, Windows 2000 또는 동일한 도메인의 Windows Server 2003 도메인 컨트롤러에서 SAM 데이터베이스를 동기화할 수 없습니다.

      • Windows 2000: 클라이언트 컴퓨터의 로컬 보안 정책에서 명시적으로 익명 사용 권한 설정 없이 액세스할 수 없는 경우 Windows NT 4.0 도메인의 Windows 2000 기반 멤버 컴퓨터는 외부 도메인에서 프린터를 볼 수 없습니다.

      • Windows 2000: Windows 2000 도메인 사용자는 Active Directory에서 네트워크 프린터를 추가할 수 없습니다. 그러나 트리 보기에서 선택한 후 프린터를 추가할 수 있습니다.

      • Windows 2000: Windows 2000 기반 컴퓨터에서 ACL 편집기에서 신뢰할 수 있는 Windows NT 4.0 도메인의 사용자 또는 전역 그룹을 추가할 수 없습니다.

      • ADMT 버전 2: ADMT(Active Directory 마이그레이션 도구) 버전 2를 사용하여 포리스트 간에 마이그레이션되는 사용자 계정에 대한 암호 마이그레이션이 실패합니다.
        
        자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료의 문서를 확인합니다.

        322981 ADMTv2를 사용하여 포리스트 간 암호 마이그레이션 문제를 해결하는 방법

      • Outlook 클라이언트: Microsoft Exchange Outlook 클라이언트에 전역 주소 목록이 비어 있는 것으로 표시됩니다.

      • SMS: Microsoft Systems Management Server(SMS) 네트워크 검색은 운영 체제 정보를 가져올 수 없습니다. 따라서 검색 데이터 레코드(DDR)의 SMS DDR 속성의 OperatingSystemNameandVersion 속성에 "Unknown"을 씁니다.

      • SMS: SMS 관리자 사용자 마법사를 사용하여 사용자 및 그룹을 검색하는 경우 사용자 또는 그룹이 나열되지 않습니다. 또한 고급 클라이언트는 관리 지점과 통신할 수 없습니다. 관리 지점에서 익명 액세스가 필요합니다.

      • SMS: 토폴로지, 클라이언트 및 클라이언트 운영 체제 네트워크 검색 옵션이 켜져 있는 SMS 2.0 및 원격 클라이언트 설치에서 네트워크 검색 기능을 사용하는 경우 컴퓨터가 검색될 수 있지만 설치되지 않을 수 있습니다.

10. 네트워크 보안: Lan Manager 인증 수준

    1. 배경
       
       LM(LAN Manager) 인증은 도메인 조인, 네트워크 리소스 액세스, 사용자 또는 컴퓨터 인증 등 네트워크 작업을 위해 Windows 클라이언트를 인증하는 데 사용되는 프로토콜입니다. LM 인증 수준은 클라이언트와 서버 컴퓨터 간에 협상되는 챌린지/응답 인증 프로토콜을 결정합니다. 특히 LM 인증 수준은 클라이언트가 협상하려고 하거나 서버에서 허용할 인증 프로토콜을 결정합니다. LmCompatibilityLevel에 대해 설정된 값은 네트워크 로그온에 사용되는 챌린지/응답 인증 프로토콜을 결정합니다. 이 값은 클라이언트가 사용하는 인증 프로토콜 수준, 협상된 세션 보안 수준 및 서버에서 허용하는 인증 수준에 영향을 줍니다.
       
       가능한 설정에는 다음이 포함됩니다.

       값	설정	설명
       0	LM & NTLM 응답 보내기	클라이언트는 LM 및 NTLM 인증을 사용하며 NTLMv2 세션 보안을 사용하지 않습니다. 도메인 컨트롤러는 LM, NTLM 및 NTLMv2 인증을 허용합니다.
       1	LM & NTLM 보내기 - 협상된 경우 NTLMv2 세션 보안 사용	클라이언트는 LM 및 NTLM 인증을 사용하고 서버에서 지원하는 경우 NTLMv2 세션 보안을 사용합니다. 도메인 컨트롤러는 LM, NTLM 및 NTLMv2 인증을 허용합니다.
       2	NTLM 응답만 보내기	클라이언트는 NTLM 인증만 사용하고 서버에서 지원하는 경우 NTLMv2 세션 보안을 사용합니다. 도메인 컨트롤러는 LM, NTLM 및 NTLMv2 인증을 허용합니다.
       3	NTLMv2 응답만 보내기	클라이언트는 NTLMv2 인증만 사용하고 서버에서 지원하는 경우 NTLMv2 세션 보안을 사용합니다. 도메인 컨트롤러는 LM, NTLM 및 NTLMv2 인증을 허용합니다.
       4	NTLMv2 응답만 보내기/LM 거부	클라이언트는 NTLMv2 인증만 사용하고 서버에서 지원하는 경우 NTLMv2 세션 보안을 사용합니다. 도메인 컨트롤러는 LM을 거부하고 NTLM 및 NTLMv2 인증만 허용합니다.
       5	NTLMv2 응답만 보내기/LM & NTLM 거부	클라이언트는 NTLMv2 인증만 사용하고 서버에서 지원하는 경우 NTLMv2 세션 보안을 사용합니다. 도메인 컨트롤러는 LM 및 NTLM을 거부하고 NTLMv2 인증만 허용합니다.

       참고: Windows 95, Windows 98 및 Windows 98 Second Edition에서 디렉터리 서비스 클라이언트는 NTLM 인증을 사용하여 Windows Server 2003 서버로 인증할 때 SMB 서명을 사용합니다. 그러나 이러한 클라이언트는 NTLMv2 인증을 사용하여 이러한 서버로 인증할 때 SMB 서명을 사용하지 않습니다. 또한 Windows 2000 서버는 이러한 클라이언트의 SMB 서명 요청에 응답하지 않습니다.
       
       LM 인증 수준을 확인합니다. NTLM을 허용하도록 서버의 정책을 변경하거나 NTLMv2를 지원하도록 클라이언트 컴퓨터를 구성해야 합니다.
       
       정책이 (5) 연결하려는 대상 컴퓨터에서 LM & NTLM만 보내기로 설정된 경우 해당 컴퓨터의 설정을 낮추거나 연결하는 원본 컴퓨터에 있는 것과 동일한 설정으로 보안을 설정해야 합니다.
       
       LAN 관리자 인증 수준을 변경하여 클라이언트와 서버를 동일한 수준으로 설정할 수 있는 올바른 위치를 찾습니다. LAN 관리자 인증 수준을 설정하는 정책을 찾은 후 이전 버전의 Windows를 실행하는 컴퓨터와 연결하려는 경우 값을 최소한 (1) NTLM & 보내기로 낮춥니다. 협상된 경우 NTLM 버전 2 세션 보안을 사용합니다. 호환되지 않는 설정의 한 가지 효과는 서버에 NTLMv2(값 5)가 필요하지만 클라이언트가 LM 및 NTLMv1만(값 0)을 사용하도록 구성된 경우 인증을 시도하는 사용자에게 잘못된 암호가 있는 로그온 오류가 발생하며 잘못된 암호 수가 증가한다는 것입니다. 계정 잠금이 구성된 경우 사용자는 결국 잠글 수 있습니다.
       
       예를 들어 도메인 컨트롤러를 살펴보거나 도메인 컨트롤러의 정책을 검사해야 할 수 있습니다.
       
       도메인 컨트롤러
       
       살펴보기 참고: 모든 도메인 컨트롤러에서 다음 절차를 반복해야 할 수 있습니다.

       1. 시작을 클릭하고 프로그램을 가리킨 다음 관리 도구를 클릭합니다.

       2. 로컬 보안 설정에서 로컬 정책을 확장합니다.

       3. 보안 옵션을 클릭합니다.

       4. 네트워크 보안: LAN 관리자 인증 수준을 두 번 클릭한 다음 목록에서 값을 클릭합니다.

       
       유효 설정과 로컬 설정이 동일한 경우 이 수준에서 정책이 변경되었습니다. 설정이 다른 경우 도메인 컨트롤러의 정책을 확인하여 네트워크 보안: LAN 관리자 인증 수준 설정이 정의되어 있는지 여부를 확인해야 합니다. 정의되지 않은 경우 도메인 컨트롤러의 정책을 검사합니다.
       
       도메인 컨트롤러의 정책 검사

       1. 시작을 클릭하고 프로그램을 가리킨 다음 관리 도구를 클릭합니다.

       2. 도메인 컨트롤러 보안 정책에서 보안 설정을 확장한 다음 로컬 정책을 확장합니다.

       3. 보안 옵션을 클릭합니다.

       4. 네트워크 보안: LAN 관리자 인증 수준을 두 번 클릭한 다음 목록에서 값을 클릭합니다.

       
       참고

       • 또한 사이트 수준, 도메인 수준 또는 OU(조직 구성 단위) 수준에서 연결된 정책을 확인하여 LAN 관리자 인증 수준을 구성해야 하는 위치를 결정해야 할 수도 있습니다.

       • 그룹 정책 설정을 기본 도메인 정책으로 구현하는 경우 도메인의 모든 컴퓨터에 정책이 적용됩니다.

       • 그룹 정책 설정을 기본 도메인 컨트롤러의 정책으로 구현하는 경우 정책은 도메인 컨트롤러의 OU에 있는 서버에만 적용됩니다.

       • 정책 애플리케이션 계층 구조에서 필요한 범위의 가장 낮은 엔터티에서 LAN 관리자 인증 수준을 설정하는 것이 좋습니다.

       Windows Server 2003에는 NTLMv2만 사용하는 새로운 기본 설정이 있습니다. 기본적으로 Windows Server 2003 및 Windows 2000 Server SP3 기반 도메인 컨트롤러는 "Microsoft 네트워크 서버: 디지털 서명 통신(항상)" 정책을 사용하도록 설정했습니다. 이 설정을 사용하려면 SMB 서버가 SMB 패킷 서명을 수행해야 합니다. 모든 조직의 도메인 컨트롤러, 파일 서버, 네트워크 인프라 서버 및 웹 서버에서 보안을 최대화하기 위해 다른 설정이 필요하기 때문에 Windows Server 2003이 변경되었습니다.
       
       네트워크에서 NTLMv2 인증을 구현하려면 도메인의 모든 컴퓨터가 이 인증 수준을 사용하도록 설정되어 있는지 확인해야 합니다. Windows 95 또는 Windows 98 및 Windows NT 4.0용 Active Directory 클라이언트 확장을 적용하는 경우 클라이언트 확장은 NTLMv2에서 사용할 수 있는 향상된 인증 기능을 사용합니다. 다음 운영 체제를 실행하는 클라이언트 컴퓨터는 Windows 2000 그룹 정책 Objects의 영향을 받지 않으므로 이러한 클라이언트를 수동으로 구성해야 할 수 있습니다.

       • Microsoft Windows NT 4.0

       • Microsoft Windows Millennium Edition

       • Microsoft Windows 98

       • Microsoft Windows 95

       참고 네트워크 보안을 사용하도록 설정하는 경우 : 다음 암호 변경 정책에 LAN 관리자 해시 값을 저장하거나NoLMHash 레지스트리 키를 설정하지 마세요. 디렉터리 서비스 클라이언트가 설치되지 않은 Windows 95 기반 및 Windows 98 기반 클라이언트는 암호 변경 후 도메인에 로그온할 수 없습니다.
       
       Novell Netware 6과 같은 많은 타사 CIFS 서버는 NTLMv2를 인식하지 못하며 NTLM만 사용합니다. 따라서 2보다 큰 수준은 연결을 허용하지 않습니다. 확장 세션 보안을 사용하지 않는 타사 SMB 클라이언트도 있습니다. 이러한 경우 리소스 서버의 LmCompatiblityLevel은 고려되지 않습니다. 그런 다음 서버는 이 레거시 요청을 압축하고 사용자 도메인 컨트롤러로 보냅니다. 그런 다음 도메인 컨트롤러의 설정은 요청을 확인하는 데 사용되는 해시와 도메인 컨트롤러의 보안 요구 사항을 충족하는지 여부를 결정합니다.
       
        

       299656 Windows에서 Active Directory 및 로컬 SAM 데이터베이스에 암호의 LAN 관리자 해시를 저장하지 못하도록 방지하는 방법
        

       2701704감사 이벤트는 인증 패키지를 NTLMv2 대신 NTLMv1로 표시합니다. LM 인증 수준에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료에서 문서를 확인합니다.

       239869 NTLM 2 인증을 사용하도록 설정하는 방법
        

    2. 위험한 구성
       
       다음은 유해한 구성 설정입니다.

       • 일반 텍스트로 암호를 보내고 NTLMv2 협상을 거부하는 비리적 설정

       • 호환되지 않는 클라이언트 또는 도메인 컨트롤러가 일반적인 인증 프로토콜을 협상하지 못하도록 하는 제한 설정

       • SP4(서비스 팩 4) 이전 버전의 Windows NT 4.0을 실행하는 구성원 컴퓨터 및 도메인 컨트롤러에서 NTLMv2 인증 필요

       • Windows 95 클라이언트 또는 Windows Directory Services 클라이언트가 설치되지 않은 Windows 98 클라이언트에서 NTLMv2 인증을 요구합니다.

       • Windows Server 2003 또는 Windows 2000 서비스 팩 3 기반 컴퓨터의 Microsoft 관리 콘솔 그룹 정책 편집기 스냅인에서 NTLMv2 세션 보안 필요 확인란을 클릭하여 선택하고 LAN 관리자 인증 수준을 0으로 낮추면 두 설정이 충돌하며 Secpol.msc 파일 또는 GPEdit.msc 파일에서 다음 오류 메시지가 표시될 수 있습니다.

         Windows에서 로컬 정책 데이터베이스를 열 수 없습니다. 데이터베이스를 열려고 할 때 알 수 없는 오류가 발생했습니다.

         보안 구성 및 분석 도구에 대한 자세한 내용은 Windows 2000 또는 Windows Server 2003 도움말 파일을 참조하세요.

    3. 이 설정을 수정하는 이유

       • 조직의 클라이언트 및 도메인 컨트롤러에서 지원하는 가장 낮은 일반 인증 프로토콜을 늘리려고 합니다.

       • 보안 인증이 비즈니스 요구 사항인 경우 LM 및 NTLM 프로토콜의 협상을 허용하지 않습니다.

    4. 이 설정을
       
       사용하지 않도록 설정하는 이유 클라이언트 또는 서버 인증 요구 사항 또는 둘 다 일반 프로토콜에 대한 인증이 발생할 수 없는 지점까지 증가했습니다.

    5. 기호 이름:
       
       LmCompatibilityLevel

    6. 레지스트리 경로:

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel

    7. 호환성 문제의 예

       • Windows Server 2003: 기본적으로 Windows Server 2003 NTLMv2 보내기 NTLM 응답 설정이 사용됩니다. 따라서 Windows Server 2003은 Windows NT 4.0 기반 클러스터 또는 OS/2 Lanserver와 같은 LanManager V2.1 기반 서버에 연결하려고 할 때 초기 설치 후 "액세스 거부" 오류 메시지를 받습니다. 이 문제는 이전 버전 클라이언트에서 Windows Server 2003 기반 서버로 연결하려는 경우에도 발생합니다.

       • Windows 2000 SRP1(보안 롤업 패키지 1)을 설치합니다. SRP1은 NTLMv2(NTLM 버전 2)를 강제합니다. 이 롤업 패키지는 Windows 2000 SP2(서비스 팩 2) 릴리스 후에 릴리스되었습니다.
          

       • Windows 7 및 Windows Server 2008 R2: Novell Netware 6 또는 Linux 기반 Samba 서버와 같은 많은 타사 CIFS 서버는 NTLMv2를 인식하지 못하며 NTLM만 사용합니다. 따라서 "2"보다 큰 수준은 연결을 허용하지 않습니다. 이제 이 버전의 운영 체제에서 LmCompatibilityLevel의 기본값이 "3"으로 변경되었습니다. 따라서 Windows를 업그레이드하면 이러한 타사 파일러의 작동이 중지됩니다.

       • Microsoft Outlook 클라이언트는 이미 도메인에 로그온한 경우에도 자격 증명을 묻는 메시지가 표시될 수 있습니다. 사용자가 자격 증명을 제공하면 Windows 7 및 Windows Server 2008 R2 오류 메시지가 표시됩니다.

         제공된 로그온 자격 증명이 잘못되었습니다. 사용자 이름과 도메인이 올바른지 확인한 다음 암호를 다시 입력합니다.

         Outlook을 시작하면 로그온 네트워크 보안 설정이 통과 또는 암호 인증으로 설정된 경우에도 자격 증명을 묻는 메시지가 표시될 수 있습니다. 올바른 자격 증명을 입력하면 다음과 같은 오류 메시지가 표시될 수 있습니다.

         제공된 로그인 자격 증명이 잘못되었습니다.

         네트워크 모니터 추적은 글로벌 카탈로그가 0x5 상태의 RPC(원격 프로시저 호출) 오류를 실행했음을 표시할 수 있습니다. 0x5 상태는 "액세스 거부됨"을 의미합니다.

       • Windows 2000: 네트워크 모니터 캡처는 NetBT(TCP/IP) SMB(서버 메시지 블록) 세션을 통해 NetBIOS에서 다음 오류를 표시할 수 있습니다.

         SMB R Search Directory Dos 오류, (5) ACCESS_DENIED (109) STATUS_LOGON_FAILURE (91) 잘못된 사용자 식별자

       • Windows 2000: NTLMv2 수준 2 이상이 있는 Windows 2000 도메인이 Windows NT 4.0 도메인에서 신뢰할 수 있는 경우 리소스 도메인의 Windows 2000 기반 멤버 컴퓨터에서 인증 오류가 발생할 수 있습니다.

       • Windows 2000 및 Windows XP: 기본적으로 Windows 2000 및 Windows XP는 LAN 관리자 인증 수준 로컬 보안 정책 옵션을 0으로 설정합니다. 0 설정은 "LM 및 NTLM 응답 보내기"
         
         를 의미합니다. Windows NT 4.0 기반 클러스터는 관리에 LM을 사용해야 합니다.

       • Windows 2000: 두 노드가 모두 Windows NT 4.0 SP6a(서비스 팩 6a) 도메인의 일부인 경우 Windows 2000 클러스터링에서 조인 노드를 인증하지 않습니다.

       • IIS 잠금 도구(HiSecWeb)는 LMCompatibilityLevel 값을 5로 설정하고 RestrictAnonymous 값을 2로 설정합니다.

       • Macintosh
         
         용 서비스 UAM(사용자 인증 모듈): Microsoft UAM(사용자 인증 모듈)은 Windows AFP(AppleTalk 파일링 프로토콜) 서버에 로그온하는 데 사용하는 암호를 암호화하는 방법을 제공합니다. Apple UAM(사용자 인증 모듈)은 최소한의 암호화만 제공하거나 암호화하지 않습니다. 따라서 LAN 또는 인터넷에서 암호를 쉽게 가로챌 수 있습니다. UAM은 필요하지 않지만 Macintosh용 서비스를 실행하는 Windows 2000 서버에 암호화된 인증을 제공합니다. 이 버전에는 NTLMv2 128비트 암호화 인증 및 MacOS X 10.1 호환 릴리스에 대한 지원이 포함됩니다.
         
         기본적으로 Macintosh용 Windows Server 2003 서비스는 Microsoft 인증만 허용합니다.
          

       • Windows Server 2008, Windows Server 2003, Windows XP 및 Windows 2000: LMCompatibilityLevel 값을 0 또는 1로 구성한 다음 NoLMHash 값을 1로 구성하면 NTLM을 통해 애플리케이션 및 구성 요소에 대한 액세스가 거부될 수 있습니다. 이 문제는 컴퓨터가 LM을 사용하도록 구성되었지만 LM 저장 암호를 사용하지 않도록 구성되어 있기 때문에 발생합니다.
         
         NoLMHash 값을 1로 구성하는 경우 LMCompatibilityLevel 값을 2 이상으로 구성해야 합니다.

11. 네트워크 보안: LDAP 클라이언트 서명 요구 사항

    1. 배경
       
       네트워크 보안: LDAP 클라이언트 서명 요구 사항 설정은 다음과 같이 LDAP(Lightweight Directory Access Protocol) BIND 요청을 발급하는 클라이언트를 대신하여 요청되는 데이터 서명 수준을 결정합니다.

       • 없음: 호출자가 지정한 옵션으로 LDAP BIND 요청이 발급됩니다.

       • 서명 협상: SSL/TLS(Secure Sockets Layer/Transport Layer Security)가 시작되지 않은 경우 LDAP BIND 요청은 호출자가 지정한 옵션 외에 설정된 LDAP 데이터 서명 옵션으로 시작됩니다. SSL/TLS가 시작된 경우 호출자가 지정한 옵션을 사용하여 LDAP BIND 요청이 시작됩니다.

       • 서명 필요: 협상 서명과 동일합니다. 그러나 LDAP 서버의 중간 saslBindInProgress 응답이 LDAP 트래픽 서명이 필요하다는 것을 나타내지 않는 경우 호출자는 LDAP BIND 명령 요청이 실패했음을 알 수 있습니다.

    2. 위험한 구성
       
       네트워크 보안 사용: LDAP 클라이언트 서명 요구 사항 설정은 유해한 구성 설정입니다. LDAP 서명이 필요하도록 서버를 설정하는 경우 클라이언트에서 LDAP 서명도 구성해야 합니다. LDAP 서명을 사용하도록 클라이언트를 구성하지 않으면 서버와의 통신이 차단됩니다. 이로 인해 사용자 인증, 그룹 정책 설정, 로그온 스크립트 및 기타 기능이 실패합니다.

    3. 이 설정을
       
       수정하는 이유 서명되지 않은 네트워크 트래픽은 침입자가 클라이언트와 서버 간의 패킷을 캡처하고 수정한 다음 서버로 전달하는 중간 사용자 공격에 취약합니다. LDAP 서버에서 이 문제가 발생하면 공격자가 LDAP 클라이언트의 잘못된 쿼리에 따라 서버가 응답하도록 할 수 있습니다. 네트워크 인프라를 보호하는 데 도움이 되는 강력한 물리적 보안 조치를 구현하여 회사 네트워크에서 이러한 위험을 줄일 수 있습니다. 또한 IPSec 인증 헤더를 통해 모든 네트워크 패킷에 디지털 서명을 요구하여 모든 종류의 중간자 공격을 방지할 수 있습니다.

    4. 기호 이름:
       
       LDAPClientIntegrity

    5. 레지스트리 경로:

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity

12. 이벤트 로그: 최대 보안 로그 크기

    1. 배경
       
       이벤트 로그: 최대 보안 로그 크기 보안 설정은 보안 이벤트 로그의 최대 크기를 지정합니다. 이 로그의 최대 크기는 4GB입니다. 이 설정을 찾으려면Windows 설정을 확장
       한 다음 보안 설정을 확장합니다.

    2. 위험한 구성
       
       다음은 유해한 구성 설정입니다.

       • 감사: 보안 감사 설정을 기록할 수 없는 경우 즉시 시스템 종료 시 보안 로그 크기 및 보안 로그 보존 방법 제한 자세한 내용은 이 문서의 "감사: 보안 감사를 기록할 수 없는 경우 즉시 시스템 종료" 섹션을 참조하세요.

       • 관심 있는 보안 이벤트를 덮어쓰도록 보안 로그 크기를 제한합니다.

    3. 이 설정을
       
       늘려야 하는 이유 비즈니스 및 보안 요구 사항에 따라 보안 로그 크기를 늘려 추가 보안 로그 세부 정보를 처리하거나 더 오랜 기간 동안 보안 로그를 유지하도록 지시할 수 있습니다.

    4. 이 설정을
       
       줄이는 이유이벤트 뷰어 로그는 메모리 매핑된 파일입니다. 이벤트 로그의 최대 크기는 로컬 컴퓨터의 실제 메모리 양과 이벤트 로그 프로세스에 사용할 수 있는 가상 메모리에 의해 제한됩니다. 이벤트 뷰어 사용할 수 있는 가상 메모리 양을 초과하여 로그 크기를 늘리면 유지 관리되는 로그 항목 수가 증가하지 않습니다.

    5. 호환성 문제의
       
       예 Windows 2000: SP4(서비스 팩 4) 이전 버전의 Windows 2000 버전을 실행하는 컴퓨터는 이벤트 덮어쓰기(수동으로 로그 지우기) 옵션을 설정하면 이벤트 뷰어 최대 로그 크기 설정에 지정된 크기에 도달하기 전에 이벤트 로그의 로깅 이벤트를 중지할 수 있습니다.
       
       
        

13. 이벤트 로그: 보안 로그 유지

    1. 배경
       
       이벤트 로그: 보안 로그 보안 유지 설정은 보안 로그에 대한 "래핑" 방법을 결정합니다. 이 설정을 찾으려면 Windows 설정을 확장한 다음 보안 설정을 확장합니다.

    2. 위험한 구성
       
       다음은 유해한 구성 설정입니다.

       • 기록된 모든 보안 이벤트를 덮어쓰기 전에 보존하지 못

       • 보안 이벤트를 덮어쓰도록 최대 보안 로그 크기 설정을 너무 작게 구성

       • 감사하는 동안 보안 로그 크기 및 보존 방법 제한: 보안 감사를 기록할 수 없는 경우 즉시 시스템 종료 보안 설정이 활성화됨

    3. 이 설정을
       
       사용하도록 설정하는 이유 일 보존 방법으로 이벤트를 덮어쓰 는 경우에만 이 설정을 사용하도록 설정합니다. 이벤트를 폴링하는 이벤트 상관 관계 시스템을 사용하는 경우 일 수가 설문 조사 빈도의 3배 이상인지 확인합니다. 실패한 폴링 주기를 허용하려면 이 작업을 수행합니다.

14. 네트워크 액세스: 모든 사용자가 익명 사용자에게 권한을 적용할 수 있도록 허용

    1. 배경
       
       기본적으로 네트워크 액세스: 익명 사용자 설정에 모든 사용자 권한을 적용할 수 있도록 설정은 Windows Server 2003에서 정의되지 않음으로 설정됩니다. 기본적으로 Windows Server 2003에는 모든 사용자 그룹에 익명 액세스 토큰이 포함되지 않습니다.

    2. 호환성 문제의
       
       예 의 값은 다음과 입니다.

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous [REG_DWORD]=0x0 Windows Server 2003 도메인이 계정 도메인이고 Windows NT 4.0 도메인이 리소스 도메인인 경우 Windows Server 2003과 Windows NT 4.0 간에 트러스트 만들기를 중단합니다. 즉, 계정 도메인은 Windows NT 4.0에서 신뢰할 수 있으며 리소스 도메인은 Windows Server 2003 쪽에서 신뢰할 수 있습니다. 이 동작은 초기 익명 연결 후 트러스트를 시작하는 프로세스가 Windows NT 4.0의 익명 SID를 포함하는 모든 사용자 토큰과 ACL이므로 발생합니다.

    3. 이 설정을
       
       수정하는 이유 도메인 컨트롤러의 OU에서 GPO를 사용하여 값을 0x1 설정하거나 설정해야 합니다. 네트워크 액세스: 모든 사용자가 익명 사용자에게 권한을 적용할 수 있도록 허용 - 트러스트를 만들 수 있도록 설정.
       
       참고 대부분의 다른 보안 설정은 가장 보안 상태가 0x0 대신 값이 올라갑니다. 더 안전한 방법은 모든 도메인 컨트롤러 대신 주 도메인 컨트롤러 에뮬레이터의 레지스트리를 변경하는 것입니다. 어떤 이유로든 주 도메인 컨트롤러 에뮬레이터 역할이 이동되면 새 서버에서 레지스트리를 업데이트해야 합니다.
       
       이 값을 설정한 후에 다시 시작해야 합니다.

    4. 레지스트리 경로

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous

15. NTLMv2 인증

    1. 세션 보안
       
       세션 보안은 클라이언트 및 서버 세션에 대한 최소 보안 표준을 결정합니다. Microsoft 관리 콘솔 그룹 정책 편집기 스냅인에서 다음 보안 정책 설정을 확인하는 것이 좋습니다.

       • 컴퓨터 설정\Windows 설정\보안 설정\로컬 정책\보안 옵션

       • 네트워크 보안: NTLM SSP 기반(보안 RPC 포함) 서버에 대한 최소 세션 보안

       • 네트워크 보안: NTLM SSP 기반(보안 RPC 포함) 클라이언트에 대한 최소 세션 보안

       이러한 설정에 대한 옵션은 다음과 같습니다.

       • 메시지 무결성 필요

       • 메시지 기밀성 필요

       • NTLM 버전 2 세션 보안 필요

       • 128비트 암호화 필요

       Windows 7 이전의 기본 설정은 요구 사항이 없습니다. Windows 7부터 보안 향상을 위해 기본값이 128비트 암호화 필요로 변경되었습니다. 이 기본값을 사용하면 128비트 암호화를 지원하지 않는 레거시 디바이스를 연결할 수 없습니다.
       
       이러한 정책은 클라이언트 서버의 애플리케이션 간 통신 세션에 대한 최소 보안 표준을 결정합니다.
       
       유효한 설정으로 설명되어 있지만 NTLM 세션 보안이 결정되면 메시지 무결성 및 기밀성을 요구하는 플래그가 사용되지 않습니다.
       
       지금까지 Windows NT 네트워크 로그온에 대해 다음과 같은 두 가지 유형의 챌린지/응답 인증을 지원했습니다.

       • LM 챌린지/응답

       • NTLM 버전 1 챌린지/응답

       LM을 사용하면 설치된 클라이언트 및 서버 기반과의 상호 운용성을 허용합니다. NTLM은 클라이언트와 서버 간의 연결에 대한 향상된 보안을 제공합니다.
       
       해당 레지스트리 키는 다음과 같습니다.

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinServerSec"
       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinClientSec"

    2. 위험한 구성
       
       이 설정은 NTLM을 사용하여 보호되는 네트워크 세션을 처리하는 방법을 제어합니다. 예를 들어 NTLM을 사용하여 인증된 RPC 기반 세션에 영향을 줍니다. 다음과 같은 위험이 있습니다.

       • NTLMv2보다 오래된 인증 방법을 사용하면 더 간단한 해시 메서드로 인해 통신이 더 쉽게 공격할 수 있습니다.

       • 128비트 미만의 암호화 키를 사용하면 공격자가 무차별 암호 대입 공격을 사용하여 통신을 중단할 수 있습니다.

시간 동기화

시간 동기화에 실패했습니다. 영향을 받는 컴퓨터에서 시간이 30분 이상 꺼져 있습니다. 클라이언트 컴퓨터의 시계가 도메인 컨트롤러의 클록과 동기화되어 있는지 확인합니다.

SMB 서명에 대한 해결 방법

Windows Server 2003 기반 도메인에서 상호 운용되는 Windows NT 4.0 클라이언트에 SP6a(서비스 팩 6a)를 설치하는 것이 좋습니다. Windows 98 Second Edition 기반 클라이언트, Windows 98 기반 클라이언트 및 Windows 95 기반 클라이언트는 NTLMv2를 수행하려면 Directory Services 클라이언트를 실행해야 합니다. Windows NT 4.0 기반 클라이언트에 Windows NT 4.0 SP6이 설치되어 있지 않거나 Windows 95 기반 클라이언트인 경우 Windows 98 기반 클라이언트 및 Windows 98SE 기반 클라이언트에는 Directory Services 클라이언트가 설치되어 있지 않고 도메인 컨트롤러의 OU에 대한 기본 도메인 컨트롤러의 정책 설정에서 SMB 서명을 사용하지 않도록 설정한 다음 이 정책을 도메인 컨트롤러를 호스트하는 모든 OU에 연결합니다.

Windows 98 Second Edition, Windows 98 및 Windows 95용 Directory Services 클라이언트는 NTLM 인증에 따라 Windows 2003 서버로 SMB 서명을 수행하지만 NTLMv2 인증에서는 수행하지 않습니다. 또한 Windows 2000 서버는 이러한 클라이언트의 SMB 서명 요청에 응답하지 않습니다.

권장하지는 않지만 도메인에서 Windows Server 2003을 실행하는 모든 도메인 컨트롤러에서 SMB 서명이 필요하지 않도록 방지할 수 있습니다. 이 보안 설정을 구성하려면 다음 단계를 수행합니다.

1. 기본 도메인 컨트롤러의 정책을 엽니다.

2. 컴퓨터 구성\Windows 설정\보안 설정\로컬 정책\보안 옵션 폴더를 엽니다.

3. Microsoft 네트워크 서버: 통신(항상) 정책 설정에 디지털 서명을 한 다음 사용 안 함으로 클릭합니다.

중요 이 섹션, 메서드 또는 작업에는 레지스트리를 수정하는 방법을 알려주는 단계가 포함되어 있습니다. 그러나 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수 있습니다. 따라서 이러한 단계를 신중하게 수행해야 합니다. 보호를 추가하려면 레지스트리를 수정하기 전에 백업합니다. 그런 다음 문제가 발생하면 레지스트리를 복원할 수 있습니다. 레지스트리를 백업하고 복원하는 방법에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료의 문서를 확인합니다.

322756 Windows에서 레지스트리를 백업하고 복원하는 방법 또는 레지스트리를 수정하여 서버에서 SMB 서명을 해제합니다. 이렇게 하려면 다음 단계를 수행하세요.

1. 시작을 클릭하고 실행을 클릭하고 regedit를 입력한 다음 확인을 클릭합니다.

2. 다음 하위 키를
   찾아 클릭합니다.HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters

3. enablesecuritysignature 항목을 클릭합니다.

4. 편집 메뉴에서 수정을 클릭합니다.

5. 값 데이터 상자에 0을 입력한 다음 확인을 클릭합니다.

6. 레지스트리 편집기를 종료합니다.

7. 컴퓨터를 다시 시작하거나 서버 서비스를 중지한 다음 다시 시작합니다. 이렇게 하려면 명령 프롬프트에서 다음 명령을 입력한 다음 각 명령을
   입력한 후 Enter 키를 누릅니다. net stop 서버
   net start server

참고 클라이언트 컴퓨터의 해당 키는 다음 레지스트리 하위 키에 있습니다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\Parameters 다음은 변환된 오류 코드 번호를 상태 코드 및 앞에서 언급한 축자 오류 메시지로 나열합니다.

자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료의 문서를 확인합니다.

324802 Windows Server 2003에서 시스템 서비스에 대한 보안을 설정하도록 그룹 정책을 구성하는 방법

816585 Windows Server 2003에서 미리 정의된 보안 템플릿을 적용하는 방법