로그인

Select the product you need help with

Windows Server 2003, Windows XP 및 Windows 2000 캐시된 자격 증명 보안

기술 자료: 913485 - 이 문서가 적용되는 제품 보기.

기계 번역 고지 사항 보기

기계 번역된 문서와 영문 원본 문서 나란히 보기

모두 확대 | 모두 축소

요약

이 문서에서는 Microsoft Windows Server 2003, Microsoft Windows XP 및 Windows 2000이 캐시된 자격 증명을 보안을 방법에 대해 설명합니다. 이 문서에서는 주로 도메인 자격 증명을 설명합니다. 그러나 일반 자격을 증명을 설명이 설명합니다.

위로 가기 | 피드백 보내기

추가 정보

암호 캐싱 이해

Windows 기반 컴퓨터는 두 가지 암호 캐싱 사용: 도메인 자격 증명 및 일반 자격 증명을.

도메인 자격 증명

도메인 자격 증명을 운영 체제 구성 요소가 사용되며 로컬 보안 기관 (LSA) 의해 인증됩니다. 일반적으로 사용자의 로그온 데이터가 등록된 보안 패키지 인증할 때 도메인 자격 증명은 사용하여 사용자에 대해 설정됩니다. 이 등록된 보안 패키지 Kerberos 프로토콜 또는 NTLM 수 있습니다.

일반 자격 증명

일반 자격 증명은 정의 및 권한 부여 및 보안 운영 체제에 이러한 작업 위임 대신 직접 관리 프로그램에 의해 인증된. 예를 들어, 프로그램을 사용자가 사용자 이름 및 프로그램을 제공하는 암호를 입력하도록 요구할 수 있습니다. 또는 사용자가 웹 사이트에 액세스할 수 있는 인증서를 생성하는 프로그램이 필요할 수 있습니다.

프로그램 자격 증명 관리 기능을 사용하여 프로그램에 의해 정의된 자격 증명을 묻습니다. 이러한 자격 증명을 사용자 이름, 암호, 인증서 또는 스마트 카드를 형태의 걸릴 수 있습니다. 사용자가 입력한 자격 증명이 인증에 프로그램이 반환됩니다.

관리 자격 증명 캐시 관리를 사용자 정의할 수 있습니다. 또한 자격 증명 관리 장기 저장소에 일반 자격 증명을 제공합니다. 일반 자격 증명은 읽고 사용자 프로세스에서 작성된.

자격 증명 관리자

Windows XP Professional 및 Windows Server 2003 저장된 사용자 이름 및 자격 증명 관리 기능도 제공합니다 암호 기능이 포함됩니다. 나중에 다시 사용할 수 있도록 인증 유형에 따라 이 기능은 사용자 자격 증명을 저장할 수 있습니다.

자격 증명 관리자 사용자 자격 증명을 안전하게 저장합니다. 이러한 자격 증명을 암호와 X.509 인증서를 포함합니다. 두 로밍 자격 증명 관리자 수 있으며 한 번만 비로밍 사용자에게 자격 증명을 제공합니다. 예를 들어, 사용자가 회사 네트워크에 있는 프로그램을 실행하는 처음 인증이 필요합니다. 따라서 사용자가 자격 증명을 제공하라는 메시지가 있습니다. 사용자가 이러한 자격 증명을 제공하면 프로그램과 연결될 수 계속합니다.

도메인 자격 증명을 캐시할 기능을 제공합니다

캐시된 도메인 자격 증명을 다음과 같은 기능을 제공합니다.

단일 Sign-On
단일 Sign-On (SSO) 사용자가 네트워크에 한 번만 인증할 수 있도록 대화형 도메인 로그온 중에 수집된 자격 증명을 사용합니다. 그 이후에는 사용자가 자격 증명을 다시 입력하지 않고 모든 권한이 있는 네트워크 리소스에 액세스할 수 있습니다. 이러한 네트워크 리소스를 하드웨어 장치에서 프로그램, 파일 및 기타 형식의 데이터 범위에 있습니다. 이러한 모든 리소스는 다양한 유형의 서버에 기업 전체에 걸쳐 분산되어 있을 수 있습니다. 리소스를 다른 도메인에 있거나 서로 다른 운영 체제에서 수 있습니다.
도메인 컨트롤러가 있을 때 컴퓨터 리소스에 액세스
성공적인 도메인 로그온 후 형태의 로그온 정보 캐시합니다. 사용자가 인증된 도메인 컨트롤러를 사용할 수 없는 경우에도 나중에 사용자가 컴퓨터에 도메인 계정을 사용하여 로그온할 수 있습니다. 사용자가 이미 인증된 때문에 Windows 캐시된 자격 증명을 사용자가 로그온할 때 로컬로 사용합니다. 예를 들어, 모바일 사용자가 도메인에 가입되어 랩톱 로그온하는 데 도메인 계정을 사용하는 경우를 가정해 봅니다. 다음, 사용자가 랩톱을 도메인 가능하지 위치로 걸립니다. 이 시나리오에서 Windows 사용자가 로컬로 로그온할 수 있고 로컬 컴퓨터의 리소스에 대한 액세스 권한을 할당할 수 마지막 로그온에서 캐시된 자격 증명을 사용합니다.

캐시된 도메인 자격 증명 보안

Windows 도메인 로그온에 대한 로그온 정보를 캐시에 어떻게 용어는 캐시된 자격 증명을 정확하게 설명하지 않습니다. Windows 2000 및 이후 버전의 Windows 사용자 이름과 암호가 캐시되지 않습니다. 대신 시스템 암호의 암호화된 확인자를 저장합니다. 이 검증 도구를 두 번 계산되는 솔트된 MD4 해시입니다. 이중 계산 효과적으로 검증 사용자 암호의 해시의 해시를 만듭니다. Microsoft Windows NT 4.0 동작 및 이전 버전의 Windows NT와 달리 동작입니다.

공격자는 검증에 대한 cryptanalytic 공격을 수행할 경우 이 암호화는 두 결과를 낳습니다.

각 솔트 미리 컴파일된 테이블을 만들어야 합니다.
검증 위치에 있는 로그 데 사용할 수 없습니다.

캐시된 도메인 자격 증명을 구성 옵션

캐시된 도메인 자격 증명을 수가 저장된 클라이언트
기본적으로 운영 체제는 각 고유 사용자 10개의 가장 최근 유효한 로그온을 위해 검증을 캐시합니다. 이 값은 0에서 50 사이의 값으로 설정할 수 있습니다. 추가 정보는 다음 문서 번호를 클릭하여 Microsoft 기술 자료에서 확인하십시오:
172931
(http://support.microsoft.com/kb/172931/ )
캐시된 도메인 로그온 정보
캐시된 도메인 자격 증명을 사용하여 로그온 알림
에 로그온할 때 Windows 기반 클라이언트 컴퓨터와 도메인 컨트롤러의 도메인에서 사용할 수 없습니다. 그리고 오류 메시지가 나타납니다. 따라서 사용자가 캐싱된 도메인 자격 증명으로 로그온한 알 수 없습니다. 캐시된 자격 증명을 사용하여 로그온할 때 메시지를 표시하는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
242536
(http://support.microsoft.com/kb/242536/ )
로깅을 사용하면 도메인 자격 증명을 캐시할 때 사용자가 경고

캐시된 도메인 자격 증명을 보안 고려 사항

자격 증명 캐시 삭제

어떤 암호화 알고리즘을 암호 확인자를 암호화하는 데 사용되는 관계 없이, 공격자는 누구에게 검증 속한 사용자로 인증할 수 있도록 암호 확인자를 덮어쓸 수 있습니다. 따라서 관리자의 암호를 덮어쓸 수 있습니다. 이 절차는 실제 컴퓨터에 액세스해야 합니다. 유틸리티 존재하는 캐시된 검증 덮어쓸 수 있습니다. 이러한 유틸리티 중 하나를 사용하여 공격자는 덮어쓴된 값을 사용하여 인증할 수 있습니다.

관리자 암호를 덮어쓰지 해당 암호를 사용하여 암호화된 공격자가 액세스 데이터 도움이 되지 않습니다. 또한 암호를 덮어쓰지 해당 컴퓨터의 다른 사용자에게 속한 EFS (파일 시스템 암호화) 데이터 액세스 공격자가 도움이 되지 않습니다. 기본 키 자료를 올바르지 않아 암호를 덮어쓰지 검증, 바꿀 공격자가 도움이 되지 않습니다. 따라서 파일 시스템 암호화를 사용하여 또는 DPAPI (데이터 보호 API)를 사용하여 암호화된 데이터를 해독할 수 없습니다. 추가 정보는 다음 문서 번호를 클릭하여 Microsoft 기술 자료에서 확인하십시오:

818200

(http://support.microsoft.com/kb/818200/ )

공격자가 사용자 컴퓨터에 물리적으로 액세스할 파일과 다른 데이터에 액세스할 수 있습니다.

위로 가기 | 피드백 보내기

속성

기술 자료: 913485 - 마지막 검토: 2007년 10월 11일 목요일 - 수정: 1.4

본 문서의 정보는 다음의 제품에 적용됩니다.

Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
Microsoft Windows Server 2003, Web Edition
Microsoft Windows Server 2003, Standard x64 Edition
Microsoft Windows Server 2003, Enterprise x64 Edition
Microsoft Windows Server 2003, Datacenter x64 Edition
Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
Microsoft Windows Server 2003 R2 Standard x64 Edition
Microsoft Windows Server 2003 R2 Enterprise x64 Edition
Microsoft Windows Server 2003 R2 Datacenter x64 Edition
Microsoft Windows XP Home Edition
Microsoft Windows XP Professional
Microsoft Windows XP Professional x64 Edition
Microsoft Windows 2000 Professional Edition
Microsoft Windows 2000 Server
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Datacenter Server

kbmt kbhowto kbexpertiseinter KB913485 KbMtko

기계 번역된 문서

중요: 본 문서는 전문 번역가가 번역한 것이 아니라 Microsoft 기계 번역 소프트웨어로 번역한 것입니다. Microsoft는 번역가가 번역한 문서 및 기계 번역된 문서를 모두 제공하므로 Microsoft 기술 자료에 있는 모든 문서를 한글로 접할 수 있습니다. 그러나 기계 번역 문서가 항상 완벽한 것은 아닙니다. 따라서 기계 번역 문서에는 마치 외국인이 한국어로 말할 때 실수를 하는 것처럼 어휘, 구문 또는 문법에 오류가 있을 수 있습니다. Microsoft는 내용상의 오역 또는 Microsoft 고객이 이러한 오역을 사용함으로써 발생하는 부 정확성, 오류 또는 손해에 대해 책임을 지지 않습니다. Microsoft는 이러한 문제를 해결하기 위해 기계 번역 소프트웨어를 자주 업데이트하고 있습니다.

이 문서의 영문 버전 보기.

위로 가기 | 피드백 보내기