NTLM 2 인증을 사용하도록 설정하는 방법

  • 아티클

이 문서에서는 NTLM 2 인증을 사용하도록 설정하는 방법을 설명합니다.

적용 대상: Windows 10 - 모든 버전
원본 KB 번호: 239869

요약

지금까지 Windows NT 네트워크 로그온에 대한 두 가지 변형의 챌린지/응답 인증을 지원합니다.

  • LAN 관리자(LM) 챌린지/응답
  • Windows NT 챌린지/응답(NTLM 버전 1 챌린지/응답이라고도 함) LM 변형은 설치된 Windows 95, Windows 98 및 Windows 98 Second Edition 클라이언트 및 서버와 상호 운용성을 허용합니다. NTLM은 Windows NT 클라이언트와 서버 간의 연결에 대한 향상된 보안을 제공합니다. Windows NT 메시지 기밀성(암호화) 및 무결성(서명)을 제공하는 NTLM 세션 보안 메커니즘도 지원합니다.

컴퓨터 하드웨어 및 소프트웨어 알고리즘의 최근 개선으로 인해 이러한 프로토콜은 사용자 암호를 얻기 위해 널리 게시된 공격에 취약해졌습니다. 고객에게 보다 안전한 제품을 제공하기 위한 지속적인 노력의 일환으로 Microsoft는 인증 및 세션 보안 메커니즘을 크게 개선하는 NTLM 버전 2라는 향상된 기능을 개발했습니다. NTLM 2는 SP4(서비스 팩 4)가 릴리스된 이후 Windows NT 4.0에 사용할 수 있으며 Windows 2000에서 기본적으로 지원됩니다. Active Directory 클라이언트 확장을 설치하여 Windows 98에 NTLM 2 지원을 추가할 수 있습니다.

Windows 95, Windows 98, Windows 98 Second Edition 및 Windows NT 4.0을 기반으로 하는 모든 컴퓨터를 업그레이드한 후에는 클라이언트, 서버 및 도메인 컨트롤러가 NTLM 2(LM 또는 NTLM 아님)만 사용하도록 구성하여 organization 보안을 크게 향상시킬 수 있습니다.

추가 정보

Windows 98을 실행하는 컴퓨터에 Active Directory 클라이언트 확장을 설치하면 NTLM 2 지원을 제공하는 시스템 파일도 자동으로 설치됩니다. 이러한 파일은 Secur32.dll, Msnp32.dll, Vredir.vxd 및 Vnetsup.vxd입니다. Active Directory 클라이언트 확장을 제거하면 파일이 향상된 보안 기능과 보안 관련 수정 사항을 모두 제공하므로 NTLM 2 시스템 파일은 제거되지 않습니다.

기본적으로 NTLM 2 세션 보안 암호화는 최대 키 길이 56비트로 제한됩니다. 128비트 키에 대한 선택적 지원은 시스템이 미국 내보내기 규정을 충족하는 경우 자동으로 설치됩니다. 128비트 NTLM 2 세션 보안 지원을 사용하도록 설정하려면 Active Directory 클라이언트 확장을 설치하기 전에 Microsoft Internet Explorer 4.x 또는 5를 설치하고 128비트 보안 연결 지원으로 업그레이드해야 합니다.

설치 버전을 확인하려면 다음을 수행합니다.

  1. Windows Explorer 사용하여 %SystemRoot%\System 폴더에서 Secur32.dll 파일을 찾습니다.
  2. 파일을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.
  3. 버전 탭을 클릭합니다. 56비트 버전에 대한 설명은 "Microsoft Win32 Security Services(내보내기 버전)"입니다. 128비트 버전에 대한 설명은 "Microsoft Win32 Security Services(미국 및 캐나다만 해당)"입니다.

Windows 98 클라이언트에 대해 NTLM 2 인증을 사용하도록 설정하기 전에 이러한 클라이언트에서 네트워크에 로그온하는 사용자의 모든 도메인 컨트롤러가 Windows NT 4.0 서비스 팩 4 이상을 실행하고 있는지 확인합니다. (클라이언트와 서버가 다른 도메인에 조인된 경우 도메인 컨트롤러는 Windows NT 4.0 서비스 팩 6을 실행할 수 있습니다.) NTLM 2를 지원하기 위해 도메인 컨트롤러 구성이 필요하지 않습니다. NTLM 1 또는 LM 인증에 대한 지원을 사용하지 않도록 도메인 컨트롤러만 구성해야 합니다.

Windows 95, Windows 98 또는 Windows 98 Second Edition 클라이언트에 대해 NTLM 2 사용

중요

이 절, 방법 또는 작업에는 레지스트리를 수정하는 방법에 대한 단계가 포함되어 있습니다. 그러나 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수 있습니다. 따라서 다음 단계를 주의하여 수행해야 합니다. 추가된 보호를 위해 레지스트리를 수정하기 전에 백업하세요. 그런 다음 문제가 발생할 경우 레지스트리를 복원할 수 있습니다. Windows XP 및 Windows Server 2003에서 레지스트리를 백업, 편집 및 복원하는 방법에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료를 참조하세요.
322756 Windows에서 레지스트리를 백업 및 복원하는 방법

NTLM 2 인증을 위해 Windows 95, Windows 98 또는 Windows 98 Second Edition 클라이언트를 사용하도록 설정하려면 Directory Services 클라이언트를 설치합니다. 클라이언트에서 NTLM 2를 활성화하려면 다음 단계를 수행합니다.

  1. 레지스트리 편집기(Regedit.exe)를 시작합니다.

  2. 레지스트리에서 다음 키를 찾아 클릭합니다. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control

  3. 위에 나열된 레지스트리 키에 LSA 레지스트리 키를 만듭니다.

  4. 편집 메뉴에서 값 추가를 클릭하고 다음 레지스트리 값을 추가합니다.
    값 이름: LM 호환성
    데이터 형식: REG_DWORD
    값: 3
    유효한 범위: 0,3
    설명: 이 매개 변수는 네트워크 로그온에 사용할 인증 및 세션 보안 모드를 지정합니다. 대화형 로그온에는 영향을 주지 않습니다.

    • 수준 0 - LM 및 NTLM 응답 보내기; NTLM 2 세션 보안을 사용하지 않습니다. 클라이언트는 LM 및 NTLM 인증을 사용하며 NTLM 2 세션 보안을 사용하지 않습니다. 도메인 컨트롤러는 LM, NTLM 및 NTLM 2 인증을 허용합니다.

    • 수준 3 - NTLM 2 응답만 보냅니다. 클라이언트는 NTLM 2 인증을 사용하고 서버에서 지원하는 경우 NTLM 2 세션 보안을 사용합니다. 도메인 컨트롤러는 LM, NTLM 및 NTLM 2 인증을 허용합니다.

    참고

    Windows 95 클라이언트에 NTLM 2를 사용하도록 설정하려면 DFS(분산 파일 시스템) 클라이언트, WinSock 2.0 업데이트 및 Windows 2000용 Microsoft DUN 1.3을 설치합니다.

  5. 레지스트리 편집기를 종료합니다.

참고

Windows NT 4.0 및 Windows 2000의 경우 레지스트리 키는 LMCompatibilityLevel이고 Windows 95 및 Windows 98 기반 컴퓨터의 경우 등록 키는 LMCompatibility입니다.

참고로, Windows NT 4.0 및 Windows 2000에서 지원하는 LMCompatibilityLevel 값의 전체 범위는 다음과 같습니다.

  • 수준 0 - LM 및 NTLM 응답 보내기; NTLM 2 세션 보안을 사용하지 않습니다. 클라이언트는 LM 및 NTLM 인증을 사용하며 NTLM 2 세션 보안을 사용하지 않습니다. 도메인 컨트롤러는 LM, NTLM 및 NTLM 2 인증을 허용합니다.
  • 수준 1 - 협상된 경우 NTLM 2 세션 보안을 사용합니다. 클라이언트는 LM 및 NTLM 인증을 사용하고 서버에서 지원하는 경우 NTLM 2 세션 보안을 사용합니다. 도메인 컨트롤러는 LM, NTLM 및 NTLM 2 인증을 허용합니다.
  • 수준 2 - NTLM 응답만 보냅니다. 클라이언트는 NTLM 인증만 사용하고 서버에서 지원하는 경우 NTLM 2 세션 보안을 사용합니다. 도메인 컨트롤러는 LM, NTLM 및 NTLM 2 인증을 허용합니다.
  • 수준 3 - NTLM 2 응답만 보냅니다. 클라이언트는 NTLM 2 인증을 사용하고 서버에서 지원하는 경우 NTLM 2 세션 보안을 사용합니다. 도메인 컨트롤러는 LM, NTLM 및 NTLM 2 인증을 허용합니다.
  • 수준 4 - 도메인 컨트롤러는 LM 응답을 거부합니다. 클라이언트는 NTLM 인증을 사용하고 서버에서 지원하는 경우 NTLM 2 세션 보안을 사용합니다. 도메인 컨트롤러는 LM 인증을 거부합니다(즉, NTLM 및 NTLM 2를 수락).
  • 수준 5 - 도메인 컨트롤러는 LM 및 NTLM 응답을 거부합니다(NTLM 2만 수락). 클라이언트는 NTLM 2 인증을 사용하고 서버에서 지원하는 경우 NTLM 2 세션 보안을 사용합니다. 도메인 컨트롤러는 NTLM 및 LM 인증을 거부합니다(NTLM 2만 허용). 클라이언트 컴퓨터는 모든 서버와 통신할 때 하나의 프로토콜만 사용할 수 있습니다. 예를 들어 NTLM v2를 사용하여 Windows 2000 기반 서버에 연결한 다음 NTLM을 사용하여 다른 서버에 연결하도록 구성할 수 없습니다. 이것은 정상적인 현상입니다.

다음 레지스트리 키를 수정하여 NTLM SSP(보안 지원 공급자)를 사용하는 프로그램에 사용되는 최소 보안을 구성할 수 있습니다. 이러한 값은 LMCompatibilityLevel 값에 따라 달라집니다.

  1. 레지스트리 편집기(Regedit.exe)를 시작합니다.

  2. 레지스트리에서 다음 키를 찾습니다. HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0

  3. 편집 메뉴에서 값 추가를 클릭하고 다음 레지스트리 값을 추가합니다.
    값 이름: NtlmMinClientSec
    데이터 형식: REG_WORD
    값: 아래 값 중 하나입니다.

    • 0x00000010- 메시지 무결성
    • 0x00000020- 메시지 기밀성
    • 0x00080000- NTLM 2 세션 보안
    • 0x20000000- 128비트 암호화
    • 0x80000000- 56비트 암호화

  4. 레지스트리 편집기를 종료합니다.

클라이언트/서버 프로그램이 NTLM SSP를 사용하거나 NTLM SSP를 사용하는 보안 원격 프로시저 호출 [RPC]을 사용하여 연결에 대한 세션 보안을 제공하는 경우 사용할 세션 보안 유형은 다음과 같이 결정됩니다.

  • 클라이언트는 메시지 무결성, 메시지 기밀성, NTLM 2 세션 보안 및 128비트 또는 56비트 암호화 항목을 모두 요청합니다.
  • 서버가 응답하여 요청된 집합의 항목을 표시합니다.
  • 결과 세트는 "협상"된 것으로 전해졌습니다.

NtlmMinClientSec 값을 사용하여 클라이언트/서버 연결이 지정된 세션 보안 품질을 협상하거나 성공하지 않도록 할 수 있습니다. 그러나 다음 항목에 유의해야 합니다.

  • NtlmMinClientSec 값에 0x00000010 사용하는 경우 메시지 무결성이 협상되지 않으면 연결이 성공하지 못합니다.
  • NtlmMinClientSec 값에 0x00000020 사용하는 경우 메시지 기밀성이 협상되지 않으면 연결이 성공하지 못합니다.
  • NtlmMinClientSec 값에 0x00080000 사용하는 경우 NTLM 2 세션 보안이 협상되지 않으면 연결이 성공하지 못합니다.
  • NtlmMinClientSec 값에 0x20000000 사용하는 경우 메시지 기밀성이 사용 중이지만 128비트 암호화가 협상되지 않으면 연결이 성공하지 못합니다.