MS16-101: Windows 인증 방법용 보안 업데이트에 대한 설명: 2016년 8월 9일

요약

이 보안 업데이트는 Microsoft Windows에서 발견된 다양한 취약성을 해결합니다. 이 취약성으로 인해 공격자가 도메인에 연결된 시스템에서 특수 제작된 응용 프로그램을 실행하면 권한 상승이 허용될 수 있습니다.

해당 취약성에 대해 자세히 알아보려면 Microsoft 보안 공지 MS16-101를 참조하십시오.

추가 정보

중요

• Windows 8.1 및 Windows Server 2012 R2의 모든 이후 보안 및 비보안 업데이트를 사용하려면 업데이트 2919355를 설치해야 합니다. 이후 업데이트를 받을 수 있도록 Windows 8.1 기반 또는 Windows Server 2012 R2 기반 컴퓨터에 업데이트 2919355를 설치하는 것이 좋습니다.

• 이 업데이트를 설치한 후에 언어 팩을 설치하는 경우 이 업데이트를 다시 설치해야 합니다. 따라서 이 업데이트를 설치하기 전에 언어 팩을 설치하는 것이 좋습니다. 자세한 내용은 Windows에 언어 팩 추가를 참조하십시오.
  

이 보안 업데이트의 알려진 문제

• 알려진 문제 1
  
  MS16-101에서 제공된 보안 업데이트 및 최신 업데이트로 인해 암호 변경 작업에 대해 STATUS_NO_LOGON_SERVERS(0xc000005e) 오류 코드와 함께 Kerberos 인증이 실패할 경우 Negotiate 프로세스가 NTLM으로 대체되는 기능이 사용하지 않도록 설정됩니다. 이 경우 다음과 같은 오류 코드 중 하나가 나타날 수 있습니다.
  
  

  16진수	10진수	기호화된 코드	친숙한 코드
  0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	시스템에서 보안이 위태로울 수 있는 가능성을 발견했습니다. 사용자를 인증한 서버에 연결할 수 있는지 확인하십시오.
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	시스템에서 보안이 위태로울 수 있는 가능성을 발견했습니다. 사용자를 인증한 서버에 연결할 수 있는지 확인하십시오.

  
  
  해결 방법
  
  MS16-101을 설치한 후 이전에 성공했던 암호 변경 작업 실패하는 경우 Kerberos가 실패하는 것으로 보아 이전에는 호 변경 작업 시 NTLM 대체를 활용했을 것입니다. Kerberos 프로토콜을 사용하여 암호를 올바르게 변경하려면 다음 단계를 수행하십시오.
  
  
  

  1. TCP 포트 464에서 MS16-101이 설치된 클라이언트와 암호 재설정을 처리하는 도메인 컨트롤러 간에 열린 통신을 구성합니다.
     
     사용자가 RODC(읽기 전용 도메인 컨트롤러) 암호 복제 정책에 따라 허용되는 경우 RODC는 셀프 서비스 암호 재설정을 처리할 수 있습니다. RODC 암호 정책에 따라 허용되지 않는 사용자는 사용자 계정 도메인에서 RWDC(읽기/쓰기 도메인 컨트롤러)에 네트워크를 통해 연결해야 합니다.
     
     참고 TCP 포트 464가 열려 있는지 확인하려면 다음 단계를 수행하십시오.
     
     
     

     1. 네트워크 모니터 파서에 대해 해당하는 표시 필터를 만듭니다. 예:
        

        ipv4.address== <ip address of client> && tcp.port==464

     2. 결과에서 "TCP:[SynReTransmit" 프레임을 찾습니다.
        
        

  2. 대상 Kerberos 이름이 유효한지 확인합니다. (IP 주소는 Kerberos 프로토콜에 적합하지 않습니다. Kerberos에서는 짧은 이름과 정규화된 도메인 이름을 지원합니다.)

  3. SPN(서비스 사용자 이름)이 올바르게 등록되어 있는지 확인합니다.
     
     자세한 내용은 Kerberos 및 셀프 서비스 암호 재설정을 참조하십시오.

• 알려진 문제 2
  
  Microsoft는 예상 오류가 다음 중 하나에 해당하는 경우 프로그래밍 방식의 도메인 사용자 계정의 암호 재설정이 실패하고 STATUS_DOWNGRADE_DETECTED(0x800704F1) 오류 코드가 반환되는 문제를 인지하고 있습니다.
  
  

  • ERROR_INVALID_PASSWORD

  • ERROR_PWD_TOO_SHORT(드물게 반환됨)

  • STATUS_WRONG_PASSWORD

  • STATUS_PASSWORD_RESTRICTION

  
  다음 표에는 전체 오류 매핑이 나와 있습니다.
  
  

  16진수	10진수	기호화된 코드	친숙한 코드
  0x56	86	ERROR_INVALID_PASSWORD	지정된 네트워크 암호가 맞지 않습니다.
  0x267	615	ERROR_PWD_TOO_SHORT	제공된 암호가 너무 짧아 사용자 계정의 정책을 충족할 수 없습니다. 더 긴 암호를 제공하십시오.
  0xc000006a	-1073741718	STATUS_WRONG_PASSWORD	암호를 업데이트할 때 이 반환 상태는 현재 암호로 제공한 값이 잘못되었음을 나타냅니다.
  0xc000006c	-1073741716	STATUS_PASSWORD_RESTRICTION	암호를 업데이트할 때 이 반환 상태는 일부 암호 업데이트 규칙을 위반했음을 나타냅니다. 예를 들어 암호 길이가 설정된 기준을 충족하지 않을 수 있습니다.
  0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	시스템이 인증 요청을 처리하기 위해 도메인 컨트롤러에 연결할 수 없습니다. 나중에 다시 시도하십시오.
  0xc0000388	-1073740920	STATUS_DOWNGRADE_DETECTED	시스템이 인증 요청을 처리하기 위해 도메인 컨트롤러에 연결할 수 없습니다. 나중에 다시 시도하십시오.

  
  
  해결 방법
  
  이 문제를 해결하기 위해 MS16-101이 다시 릴리스되었습니다. 이 문제를 해결하려면 이 공지에 해당하는 업데이트의 최신 버전을 설치하십시오.
  
  

• 알려진 문제 3
  
  Microsoft에서는 로컬 사용자 계정 암호 변경을 프로그래밍 방식으로 재설정하면 오류가 발생하고 STATUS_DOWNGRADE_DETECTED(0x800704F1) 오류 코드가 반환될 수 있는 문제를 인지하고 있습니다.
  
  다음 표에는 전체 오류 매핑이 나와 있습니다.
  
  

  16진수	10진수	기호화된 코드	친숙한 코드
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	시스템이 인증 요청을 처리하기 위해 도메인 컨트롤러에 연결할 수 없습니다. 나중에 다시 시도하십시오.

  
  
  해결 방법
  
  이 문제를 해결하기 위해 MS16-101이 다시 릴리스되었습니다. 이 문제를 해결하려면 이 공지에 해당하는 업데이트의 최신 버전을 설치하십시오.
  
  

• 알려진 문제 4
  
  사용하지 않도록 설정되어 잠긴 사용자 계정에 대한 암호를 협상 패키지를 통해 변경할 수 없습니다.
  
  LDAP 수정 작업을 직접 사용하는 경우처럼 다른 방법을 사용해도 사용하지 않도록 설정되어 잠긴 계정에 대한 암호 변경은 계속 작동합니다. 예를 들어 PowerShell cmdlet Set-ADAccountPassword에서는 "LDAP Modify" 작업을 사용하여 암호를 변경하고 영향을 받지 않는 상태로 유지됩니다.
  
  해결 방법
  
  이러한 계정을 사용하려면 관리자가 암호를 재설정해야 합니다. 이는 MS16-101 이상 버전의 수정을 설치한 후 의도된 동작입니다.
  
  

• 알려진 문제 5
  
  NetUserChangePassword API를 사용하고 domainname 매개 변수에 서버 이름을 전달하는 응용 프로그램이 MS16-101 이상 버전의 업데이트를 설치한 후 더 이상 작동하지 않습니다.
  
  Microsoft 설명서에는 NetUserChangePassword 함수의 domainname 매개 변수에 원격 서버 이름을 제공할 수 있는 것으로 명시되어 있습니다. 예를 들어 NetUserChangePassword 함수라는 MSDN 항목에는 다음과 같이 나와 있습니다.
  
  domainname [in]
  

  함수를 실행할 원격 서버 또는 도메인의 DNS 또는 NetBIOS 이름을 지정하는 상수 문자열의 포인터입니다. 이 매개 변수가 NULL인 경우 호출자의 로그온 도메인이 사용됩니다. 하지만 로컬 컴퓨터의 로컬 계정에 대한 암호 재설정이 아닌 경우에는 이 지침보다 MS16-101이 우선했습니다. MS16-101 이전의 경우 도메인 사용자 암호를 변경하려면 유효한 DNS 도메인 이름을 NetUserChangePassword API로 전달해야 합니다.

• 알려진 문제 6
  
  MS16-101에 설명된 보안 업데이트를 설치한 후, 로컬 사용자 계정 암호의 원격 프로그래밍 방식 변경 및 신뢰할 수 없는 포리스트에서의 암호 변경이 실패합니다.
  
  
  이 작업은 MS16-101을 설치한 후 비로컬 계정에 대해 더 이상 지원되지 않는 NTLM 대체를 활용하기 때문에 실패합니다.
  
  
  이 변경 내용을 사용하지 않도록 설정하는 데 활용할 수 있는 레지스트리 항목이 제공됩니다.
  
  경고 이 해결 방법으로 인해 컴퓨터나 네트워크가 악의적인 사용자나 바이러스와 같은 악성 소프트웨어의 공격에 취약해질 수 있습니다. 이 해결 방법을 권장하지는 않지만 사용자 판단에 따라 해결 방법을 구현할 수 있도록 이에 대한 정보를 제공하고 있습니다. 이해결방법의사용에따른모든책임은사용자에게있습니다.
  
  중요
  이 절, 방법 또는 작업에는 레지스트리를 수정하는 방법에 대한 단계가 포함되어 있습니다. 그러나 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수도 있으므로 다음 단계를 주의 깊게 따라야 합니다. 추가 보호 조치로 레지스트리를 수정하기 전에 해당 레지스트리를 백업하는 것이 좋습니다. 이렇게 하면 문제가 발생하더라도 레지스트리를 복원할 수 있습니다. 레지스트리 백업 및 복원 방법에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.

  322756
  Windows에서 레지스트리를 백업 및 복원하는 방법
  
  이 변경 내용을 사용하지 않도록 설정하려면 NegoAllowNtlmPwdChangeFallback DWORD 항목 값을 1로 변경합니다.
  
  
  중요NegoAllowNtlmPwdChangeFallback 레지스트리 항목 값을 1로 설정하면 다음 보안 수정 내용이 사용하지 않도록 설정됩니다.
  

  레지스트리 값	설명
  0	기본값. 대체가 금지됩니다.
  1	대체가 항상 허용됩니다. 보안 수정 내용이 해제되어 있습니다. 원격 로컬 계정 또는 신뢰할 수 없는 포리스트 시나리오에 문제가 있는 고객은 레지스트리를 이 값으로 설정하면 됩니다.

  이러한 레지스트리 값을 추가하려면 다음과 같이 하십시오.
  

  1. 시작, 실행을 차례로 클릭하고 열기 상자에 regedit를 입력한 다음 확인을 클릭합니다.

  2. 레지스트리에서 다음 하위 키를 찾아 누릅니다.
     

     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
     

  3. 편집 메뉴에서 새로 만들기를 가리킨 다음 DWORD 값을 클릭합니다.

  4. DWORD의 이름으로 NegoAllowNtlmPwdChangeFallback을 입력한 다음 Enter 키를 누릅니다.

  5. NegoAllowNtlmPwdChangeFallback을 마우스 오른쪽 단추로 클릭한 다음 수정을 클릭합니다.

  6. 값 데이터 상자에 1을 입력하여 이 변경 내용을 사용하지 않도록 설정한 후 확인을 클릭합니다.
     
     
     참고 기본값을 복원하려면 0을 입력한 후 확인을 클릭합니다.

  상태
  
  이 문제는 현재 근본 원인이 파악된 상태입니다. 이 문서는 세부 정보가 추가로 나오는 대로 업데이트됩니다.

업데이트를 구하고 설치하는 방법

방법 1: Windows Update

이 업데이트는 Windows Update를 통해 제공됩니다. 자동 업데이트를 켜면 이 업데이트가 자동으로 다운로드되고 설치됩니다. 자동 업데이트를 켜는 방법에 대한 자세한 내용은 보안 업데이트 자동으로 받기를 참조하십시오.

방법 2: Microsoft Update 카탈로그

이 업데이트의 독립 실행형 패키지를 얻으려면, Microsoft Update 카탈로그 웹 사이트로 이동하십시오.

추가 정보

파일 정보