현재 오프라인 상태입니다. 인터넷에 다시 연결하기를 기다리고 있습니다.

보안 설정과 사용자 권한 할당을 변경하는 경우 클라이언트, 서비스 및 프로그램 문제가 발생할 수 있음

Windows XP에 대한 지원이 종료되었습니다.

Microsoft는 2014년 4월 8일 Windows XP에 대한 지원을 종료했습니다. 이러한 변경에 따라 해당 소프트웨어 업데이트 및 보안 옵션이 영향을 받습니다. 사용자에게 미치는 영향 및 계속 보호를 받는 방법에 대해 알아보십시오.

2015년 7월 14일 Windows Server 2003 지원 종료

Microsoft는 2015년 7월 14일 Windows Server 2003에 대한 지원을 종료했습니다. 이러한 변경에 따라 해당 소프트웨어 업데이트 및 보안 옵션이 영향을 받습니다. 사용자에게 미치는 영향 및 계속 보호를 받는 방법에 대해 알아보십시오.

요약
로컬 정책과 그룹 정책에서 보안 설정과 사용자 권한 할당을 변경하여 도메인 컨트롤러와 구성원 컴퓨터에서 보안을 강화할 수 있습니다. 하지만 보안을 강화할 경우 단점은 클라이언트, 서비스 및 프로그램에 비호환성 문제가 생긴다는 것입니다.

이 문서에서는 Windows Server 2003 도메인 또는 이전 버전의 Windows Server 도메인에서 특정 보안 설정과 사용자 권한 할당을 수정하는 경우 Windows XP 또는 이전 버전의 Windows가 실행되는 클라이언트 컴퓨터에서 발생할 수 있는 문제에 대해 설명합니다.

Windows 7, Windows Server 2008 R2 및 Windows Server 2008의 그룹 정책에 대한 자세한 내용은 다음 문서를 참조하십시오. 참고: 이 문서의 나머지 내용은 Windows XP, Windows Server 2003 및 이전 버전의 Windows와 관련된 내용입니다.

Windows XP

여기를 클릭하여 Windows XP 관련 정보 참조
잘못 구성된 보안 설정을 쉽게 확인하려면 그룹 정책 개체 편집기를 사용하여 보안 설정을 변경하십시오. 그룹 정책 개체 편집기를 사용하면 다음과 같은 운영 체제에서 사용자 권한 할당이 향상됩니다.
  • Windows XP Professional SP2(서비스 팩 2)
  • Windows Server 2003 서비스 팩 1(SP1)
개선된 기능은 이 문서의 링크가 포함된 대화 상자입니다. 보안 설정 또는 사용자 권한 할당을 덜 호환되고 보다 제한적인 설정으로 변경할 때 이 대화 상자가 나타납니다. 사용자가 레지스트리를 사용하거나 보안 템플릿을 사용하여 동일한 보안 설정 또는 사용자 권한 할당을 직접 변경하는 경우 효과는 그룹 정책 개체 편집기에서 설정을 변경하는 것과 같습니다. 그러나 이 문서에 대한 링크를 포함하는 대화 상자는 나타나지 않습니다.

이 문서에는 특정 보안 설정이나 사용자 권한 할당에 의해 영향을 받는 클라이언트, 프로그램 및 작업의 예가 포함되어 있습니다. 그러나 이러한 예가 영향을 받는 모든 Microsoft 운영 체제, 모든 타사 운영 체제 또는 모든 프로그램 버전에 적용되는 것은 아닙니다. 이 문서에서는 일부 보안 설정과 사용자 권한 할당에 대해서만 다룹니다.

테스트 포리스트에서 모든 보안 관련 구성 변경의 호환성을 확인한 후 프로덕션 환경에 이를 도입하는 것이 좋습니다. 테스트 포리스트는 다음과 같은 사항에서 프로덕션 포리스트를 미러링해야 합니다.
  • 클라이언트 및 서버 운영 체제 버전, 클라이언트 및 서버 프로그램, 서비스 팩 버전, 핫픽스, 스키마 변경, 보안 그룹, 그룹 구성원, 파일 시스템의 개체에 대한 사용 권한, 공유 폴더, 레지스트리, Active Directory 디렉터리 서비스, 로컬 설정과 그룹 정책 설정 및 개체 카운트 형식과 위치
  • 수행되는 관리 작업, 사용되는 관리 도구, 관리 작업 수행에 사용되는 운영 체제
  • 다음과 같은 수행되는 작업:
    • 컴퓨터 및 사용자 로그온 인증
    • 사용자, 컴퓨터 및 관리자의 암호 재설정
    • 찾아보기
    • 모든 계정 또는 리소스 도메인의 모든 클라이언트 운영 체제에서 ACL 편집기를 사용하여 파일 시스템, 공유 폴더, 레지스트리 및 Active Directory 리소스에 대한 사용 권한 설정
    • 관리 계정 및 비관리 계정에서의 인쇄

Windows Server 2003 SP1

여기를 클릭하여 Windows Server SP1 관련 정보 참조

Gpedit.msc의 경고

고객이 네트워크에 부정적인 영향을 줄 수 있는 사용자 권한이나 보안 옵션을 편집할 때 이를 알려 줄 수 있도록 두 가지 경고 메커니즘이 gpedit.msc에 추가되었습니다. 관리자가 기업 전체에 부정적인 영향을 줄 수 있는 사용자 권한을 편집할 경우 양보 표지판과 비슷한 새 아이콘이 표시됩니다. 또한 Microsoft 기술 자료 문서 823659에 대한 링크가 포함된 경고 메시지도 표시됩니다. 이 메시지의 내용은 다음과 같습니다.
이 설정을 수정하면 클라이언트, 서비스 및 응용 프로그램과의 호환성에 영향을 미칠 수 있습니다. 자세한 정보는 <수정되는 사용자 권한 또는 보안 옵션>(Q823659)을 참조하십시오.
Gpedit.msc의 링크를 통해 이 기술 자료 문서로 이동한 경우 제공된 설명과 이 설정을 변경할 때 발생할 수 있는 결과를 읽고 이해해야 합니다. 다음 목록의 사용자 권한을 수정하려고 하면 경고 텍스트가 표시됩니다.
  • 네트워크에서 이 컴퓨터 액세스
  • 로컬로 로그온
  • 트래버스 확인 통과
  • 컴퓨터 및 사용자 계정을 대리인에게 트러스트하도록 허용
다음 목록의 보안 옵션을 수정하려고 하면 경고와 팝업 메시지가 표시됩니다.
  • 도메인 구성원: 보안 채널 데이터를 디지털 암호화 또는 서명(항상)
  • 도메인 구성원: 고급 세션 키 요청(Windows 2000 이상 버전)
  • 도메인 컨트롤러: LDAP 서버 서명 필요
  • Microsoft 네트워크 서버: 디지털 서명 통신(항상)
  • 네트워크 액세스: 익명 SID/이름 변환 허용
  • 네트워크 액세스: SAM 계정과 공유의 익명 열거 허용 안 함
  • 네트워크 보안: LAN Manager 인증 수준
  • 감사: 보안 감사를 로그할 수 없는 경우 즉시 시스템 종료
  • 네트워크 액세스: LDAP 클라이언트 서명 필요
추가 정보
다음 절에서는 Windows NT 4.0 도메인, Windows 2000 도메인 및 Windows Server 2003 도메인에서 특정 설정을 변경할 때 발생할 수 있는 비호환성 문제에 대해 설명합니다.

사용자 권한

여기를 클릭하여 사용자 권한에 대한 정보 참조
다음 목록에서는 사용자 권한에 대해 설명하고, 문제를 발생할 수 있는 구성 설정을 나타내고, 사용자 권한을 적용해야 하는 이유와 사용자 권한을 제거할 이유를 설명하고, 사용자 권한이 구성된 경우 발생할 수 있는 호환성 문제의 예를 제공합니다.
  1. 네트워크에서 이 컴퓨터 액세스
    1. 배경

      원격 Windows 기반 컴퓨터와 상호 작용하려면 네트워크에서 이 컴퓨터 액세스 사용자 권한이 필요합니다. 해당 네트워크 작업의 예는 다음과 같습니다.
      • 일반 도메인 또는 포리스트의 도메인 컨트롤러 간 Active Directory 복제
      • 사용자 및 컴퓨터에서 도메인 컨트롤러로의 인증 요청
      • 네트워크의 원격 컴퓨터에 있는 공유 폴더, 프린터 및 기타 시스템 서비스에 대한 액세스 권한


      사용자, 컴퓨터 및 서비스 계정은 네트워크에서 이 컴퓨터 액세스 사용자 권한이 부여된 보안 그룹에서 명시적 또는 암시적으로 추가되거나 제거됨으로써 이 사용자 권한을 얻거나 잃습니다. 예를 들어, 사용자 계정이나 컴퓨터 계정은 관리자에 의해 사용자 지정 보안 그룹 또는 기본 제공 보안 그룹에 명시적으로 추가되거나, 운영 체제에 의해 Domain Users, Authenticated Users 또는 Enterprise Domain Controllers 같은 계산된 보안 그룹에 암시적으로 추가될 수 있습니다.

      Everyone이나 Authenticated Users(권장) 같은 계산된 그룹과 Enterprise Domain Controllers 그룹(도메인 컨트롤러의 경우)이 기본 도메인 컨트롤러 GPO(그룹 정책 개체)에 정의되어 있으면 사용자 계정과 컴퓨터 계정에는 기본적으로 네트워크에서 이 컴퓨터 액세스 사용자 권한이 부여됩니다.
    2. 위험한 구성

      다음은 해로운 구성 설정입니다.
      • 이 사용자 권한에서 Enterprise Domain Controllers 보안 그룹 제거
      • 사용자, 컴퓨터 및 서비스 계정에 네트워크를 통해 컴퓨터에 연결할 수 있는 사용자 권한을 허용하는 명시적 그룹이나 Authenticated Users 그룹 제거
      • 이 사용자 권한에서 모든 사용자 및 컴퓨터 제거
    3. 이 사용자 권한을 부여하는 이유
      • Enterprise Domain Controllers 그룹에 네트워크에서 이 컴퓨터 액세스 사용자 권한을 부여하면 Active Directory 복제가 동일한 포리스트의 도메인 컨트롤러 간에 일어나야 한다는 인증 요구 사항이 충족됩니다.
      • 이 사용자 권한을 통해 사용자와 컴퓨터가 공유 파일, 프린터 및 Active Directory 같은 시스템 서비스에 액세스할 수 있습니다.
      • 이 사용자 권한은 사용자가 이전 버전의 Microsoft OWA(Outlook Web Access)를 사용하여 메일에 액세스하는 데 필요합니다.
    4. 이 사용자 권한을 제거하는 이유
      • 컴퓨터를 네트워크에 연결할 수 있는 사용자는 원격 컴퓨터에서 사용 권한이 있는 리소스에 액세스할 수 있습니다. 예를 들어, 이 사용자 권한은 사용자가 공유 프린터와 폴더에 연결하는 데 필요합니다. 이 사용자 권한이 Everyone 그룹에 부여되고 Everyone 그룹이 읽기 권한을 갖도록 일부 공유 폴더에서 공유 및 NTFS 파일 시스템 사용 권한이 구성되어 있으면 누구나 이 공유 폴더에 있는 파일을 볼 수 있습니다. 그러나 Windows Server 2003의 기본 공유 및 NTFS 사용 권한에는 Everyone 그룹이 포함되지 않기 때문에 Windows Server 2003을 새로 설치한 경우에는 이러한 상황이 발생하기 어렵습니다. Microsoft Windows NT 4.0이나 Windows 2000에서 업그레이드한 시스템의 경우 이러한 운영 체제의 기본 공유 및 파일 시스템 사용 권한이 Windows Server 2003의 기본 사용 권한만큼 제한적이지 않기 때문에 이러한 취약점으로 인한 위험이 증가할 수 있습니다.
      • 이 사용자 권한에서 Enterprise Domain Controllers 그룹을 제거할 타당한 이유는 없습니다.
      • Everyone 그룹은 일반적으로 Authenticated Users 그룹을 위해 제거됩니다. Everyone 그룹을 제거하면 Authenticated Users 그룹에 이 사용자 권한이 부여되어야 합니다.
      • Windows 2000으로 업그레이드된 Windows NT 4.0 도메인은 Everyone 그룹, Authenticated Users 그룹 또는 Enterprise Domain Controllers 그룹에 네트워크에서 이 컴퓨터 액세스 사용자 권한을 명시적으로 부여하지 않습니다. 따라서 Windows NT 4.0 도메인 정책에서 Everyone 그룹을 제거하면 Windows 2000으로 업그레이드한 후 Active Directory 복제가 "액세스 거부" 오류 메시지와 함께 실패하게 됩니다. Windows Server 2003의 Winnt32.exe는 Windows NT 4.0 PDC(주 도메인 컨트롤러)를 업그레이드할 때 Enterprise Domain Controllers 그룹에 이 사용자 권한을 부여하여 잘못 구성되는 문제를 막습니다. 그룹 정책 개체 편집기에 이 사용자 권한이 나타나지 않으면 Enterprise Domain Controllers 그룹에 이 사용자 권한을 부여하십시오.
    5. 호환성 문제의 예
      • Windows 2000 및 Windows Server 2003: 다음 파티션의 복제가 이벤트 로그의 복제 이벤트나 REPLMON 및 REPADMIN 같은 모니터링 도구가 보고하는 것처럼 "액세스 거부" 오류와 함께 실패합니다.
        • Active Directory 스키마 파티션
        • 구성 파티션
        • 도메인 파티션
        • 글로벌 카탈로그 파티션
        • 응용 프로그램 파티션
      • 모든 Microsoft 네트워크 운영 체제: 사용자가 속한 보안 그룹이나 사용자에게 이 사용자 권한을 부여하지 않으면 원격 네트워크 클라이언트 컴퓨터의 사용자 계정 인증이 실패합니다.
      • 모든 Microsoft 네트워크 운영 체제: 계정이 속한 보안 그룹이나 계정에 이 사용자 권한이 부여되지 않으면 원격 네트워크 클라이언트의 계정 인증이 실패합니다. 이 시나리오는 사용자 계정, 컴퓨터 계정 및 서비스 계정에 적용됩니다.
      • 모든 Microsoft 네트워크 운영 체제: 이 사용자 권한에서 모든 계정을 제거하면 모든 계정이 도메인에 로그온하거나 네트워크 리소스에 액세스하지 못합니다. Enterprise Domain Controllers, Everyone 또는 Authenticated Users 같은 계산된 그룹을 제거하면 네트워크를 통해 원격 컴퓨터에 액세스하기 위해 계정이 속한 보안 그룹이나 계정에 이 사용자 권한을 명시적으로 부여해야 합니다. 이 시나리오는 모든 사용자 계정, 모든 컴퓨터 계정 및 모든 서비스 계정에 적용됩니다.
      • 모든 Microsoft 네트워크 운영 체제: 로컬 관리자 계정은 "빈" 암호를 사용합니다. 도메인 환경에서는 관리자 계정에 빈 암호를 사용한 네트워크 연결이 허용되지 않습니다. 이 구성에서는 "액세스 거부" 오류 메시지가 나타날 수 있습니다.
  2. 로컬 로그온 허용
    1. 배경

      Ctrl+Alt+Del 바로 가기 키를 사용하여 Windows 기반 컴퓨터의 콘솔에 로그온하려는 사용자와 서비스를 시작하려는 계정에는 호스팅 컴퓨터에 대한 로컬 로그온 권한이 있어야 합니다. 로컬 로그온의 예로는 구성원 컴퓨터의 콘솔에 로그온하는 관리자나 권한이 없는 계정을 사용하여 데스크톱에 액세스하기 위해 구성원 컴퓨터에 로그온하는 도메인 사용자와 기업 전체의 도메인 컨트롤러가 있습니다. 원격 데스크톱 연결이나 터미널 서비스를 사용하는 사용자는 이러한 로그온 모드가 호스팅 컴퓨터에 로컬로 간주되기 때문에 Windows 2000이나 Windows XP를 실행하는 대상 컴퓨터에 대해 로컬 로그온 허용 사용자 권한을 갖고 있어야 합니다. 터미널 서버가 설정된 서버에 로그온하는 사용자가 이 사용자 권한을 갖고 있지 않지만 터미널 서비스를 통한 로그온 허용 사용자 권한을 갖고 있으면 Windows Server 2003 도메인에서 원격 대화형 세션을 시작할 수 있습니다.
    2. 위험한 구성

      다음은 해로운 구성 설정입니다.
      • 기본 도메인 컨트롤러 정책에서 Account Operators, Backup Operators, Print Operators 또는 Server Operators 및 기본 제공 Administrators 그룹을 비롯한 관리 보안 그룹 제거
      • 기본 도메인 컨트롤러 정책에서 도메인에 있는 도메인 컨트롤러와 구성원 컴퓨터의 프로그램 및 구성 요소에서 사용되는 서비스 계정 제거
      • 도메인에 있는 구성원 컴퓨터의 콘솔에 로그온하는 사용자 또는 보안 그룹 제거
      • 구성원 컴퓨터나 작업 그룹 컴퓨터의 로컬 SAM(보안 계정 관리자) 데이터베이스에 정의된 서비스 계정 제거
      • 도메인 컨트롤러에서 실행 중인 터미널 서비스를 통해 인증되며 기본 제공되지 않는 관리 계정 제거
      • Everyone 그룹을 통해 명시적으로나 암시적으로 도메인의 모든 사용자 계정을 로컬 로그온 거부 로그온 권한에 추가. 이 구성은 사용자가 도메인에 있는 도메인 컨트롤러나 구성원 컴퓨터에 로그온하지 못하도록 합니다.
    3. 이 사용자 권한을 부여하는 이유
      • 사용자가 작업 그룹 컴퓨터, 구성원 컴퓨터 또는 도메인 컨트롤러의 콘솔이나 데스크톱에 액세스하려면 로컬 로그온 허용 사용자 권한을 갖고 있어야 합니다.
      • 사용자가 Window 2000 기반 구성원 컴퓨터나 도메인 컨트롤러에서 실행되는 터미널 서비스 세션을 통해 로그온하려면 이 사용자 권한을 갖고 있어야 합니다.
    4. 이 사용자 권한을 제거하는 이유
      • 승인된 사용자 계정만 콘솔에 액세스하도록 제한하지 않으면 권한이 없는 사용자가 악의적인 코드를 다운로드하고 실행하여 사용자 권한을 변경할 수 있습니다.
      • 로컬 로그온 허용 사용자 권한을 제거하면 도메인 컨트롤러나 응용 프로그램 서버 같은 컴퓨터의 콘솔에 권한이 없는 사용자가 로그온할 수 없습니다.
      • 이 로그온 권한을 제거하면 도메인에 있는 구성원 컴퓨터의 콘솔에 비도메인 계정이 로그온할 수 없습니다.
    5. 호환성 문제의 예
      • Windows 2000 터미널 서버: 로컬 로그온 허용 사용자 권한은 사용자가 Windows 2000 터미널 서버에 로그온하는 데 필요합니다.
      • Windows NT 4.0, Windows 2000, Windows XP 또는 Windows Server 2003: Windows NT 4.0, Windows 2000, Windows XP 또는 Windows Server 2003을 실행하는 컴퓨터의 콘솔에 로그온하려면 사용자 계정에 이 사용자 권한을 부여해야 합니다.
      • Windows NT 4.0 이상: Windows NT 4.0 이상을 실행하는 컴퓨터에서 로컬 로그온 허용 사용자 권한을 추가하지만 로컬 로그온 거부 로그온 권한도 암시적 또는 명시적으로 부여하는 경우 해당 계정은 도메인 컨트롤러의 콘솔에 로그온할 수 없습니다.
  3. 트래버스 확인 통과
    1. 배경

      트래버스 확인 통과 사용자 권한이 있으면 사용자가 폴더 트래버스 특수 액세스 권한을 확인하지 않고 NTFS 파일 시스템이나 레지스트리에서 폴더를 찾을 수 있습니다. 트래버스 확인 통과 사용자 권한이 있는 사용자는 폴더의 내용을 볼 수는 없으며 폴더를 통과할 수만 있습니다.
    2. 위험한 구성

      다음은 해로운 구성 설정입니다.
      • 파일 시스템의 파일과 폴더에 액세스할 권한이 없는 Windows 2000 기반 터미널 서비스 컴퓨터나 Windows Server 2003 기반 터미널 서비스 컴퓨터에 로그온하는 관리자가 아닌 사용자 계정 제거.
      • 기본적으로 이 사용자 권한을 가진 보안 사용자의 목록에서 Everyone 그룹 제거. Windows 운영 체제 및 대부분의 프로그램은 컴퓨터에 정당하게 액세스할 수 있는 사용자는 누구나 트래버스 확인 통과 사용자 권한을 갖게 된다고 예상하고 설계되었습니다. 따라서 기본적으로 이 사용자 권한을 갖고 있는 보안 사용자의 목록에서 Everyone 그룹을 제거하면 운영 체제가 불안정해지거나 프로그램 작동이 중단될 수 있습니다. 이 설정은 기본값으로 두는 것이 좋습니다.
    3. 이 사용자 권한을 부여하는 이유

      트래버스 확인 통과 사용자 권한의 기본 설정은 모든 사람이 트래버스 확인을 통과하도록 허용하는 것입니다. 숙련된 Windows 시스템 관리자에게 이것은 예상된 동작이며 관리자는 파일 SACL(시스템 액세스 제어 목록)을 이에 따라 구성합니다. 이러한 기본 구성이 문제로 이어질 수 있는 유일한 시나리오는 사용 권한을 구성하는 관리자가 이 동작을 이해하지 못하고 상위 폴더에 액세스할 수 없는 사용자가 모든 하위 폴더의 내용에 액세스할 수 없을 것이라고 예상하는 경우입니다.
    4. 이 사용자 권한을 제거하는 이유

      파일 시스템의 파일이나 폴더에 액세스하지 못하도록 보안에 대해 매우 염려하는 조직은 트래버스 확인 통과 사용자 권한이 있는 그룹 목록에서 Everyone 그룹뿐 아니라 Users 그룹도 제거하려고 할 수 있습니다.
    5. 호환성 문제의 예
      • Windows 2000, Windows Server 2003: 트래버스 확인 통과 사용자 권한이 Windows 2000이나 Windows Server 2003을 실행하는 컴퓨터에서 제거되거나 잘못 구성되어 있으면 SYVOL 폴더의 그룹 정책 설정이 도메인에 있는 도메인 컨트롤러 간에 복제되지 않습니다.
      • Windows 2000, Windows XP Professional, Windows Server 2003: 트래버스 확인 통과 사용자 권한을 제거하거나 잘못 구성한 경우에 필요한 파일 시스템 사용 권한을 SYSVOL 트리에서 제거하면 Windows 2000, Windows XP Professional 또는 Windows Server 2003을 실행하는 컴퓨터는 이벤트 1000 및 1202를 기록하고 컴퓨터 정책과 사용자 정책을 적용하지 못하게 됩니다.

        자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.
        290647 응용 프로그램 이벤트 로그에 이벤트 ID 1000, 1001이 5분마다 기록됨 (영어로 표시될 수 있습니다)
      • Windows 2000, Windows Server 2003: Windows 2000이나 Windows Server 2003을 실행하는 컴퓨터에서 볼륨의 속성을 보면 Windows Explorer의 할당량 탭이 나타나지 않습니다.
      • Windows 2000: 관리자가 아닌 사용자가 Windows 2000 터미널 서버에 로그온하려고 하면 다음과 유사한 오류 메시지가 나타날 수 있습니다.
        Userinit.exe 응용 프로그램 오류. 응용 프로그램을 제대로 초기화하지 못했습니다(0xc0000142). 응용 프로그램을 마치려면 확인을 클릭하십시오.
        자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.
        272142 사용자가 터미널 서비스에 로그온하려고 하면 자동으로 로그오프됨
      • Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: 컴퓨터에서 Windows NT 4.0, Windows 2000, Windows XP 또는 Windows Server 2003을 실행하는 사용자의 경우 트래버스 확인 통과 사용자 권한이 부여되지 않으면 공유 폴더 또는 공유 폴더에 있는 파일에 액세스하지 못할 수 있으며 "액세스 거부" 오류 메시지가 나타날 수 있습니다.

        자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.
        277644 사용자가 공유 폴더에 액세스하려고 하면 "액세스가 거부되었습니다."라는 오류 메시지가 나타남
      • Windows NT 4.0: Windows NT 4.0 기반 컴퓨터에서 트래버스 확인 통과 사용자 권한을 제거하면 파일 복사에서 파일 스트림이 제거됩니다. 이 사용자 권한을 제거하면 Windows 클라이언트나 Macintosh 클라이언트에서 Macintosh용 서비스를 실행하는 Windows NT 4.0 도메인 컨트롤러로 파일을 복사할 때 대상 파일 스트림이 손실되고 파일이 텍스트로 전용 파일로 나타납니다.

        자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.
        172930 "트래버스 확인 통과"를 제거하면 파일 복사에서 스트림이 제거됨
      • Microsoft Windows 95, Microsoft Windows 98: Windows 95나 Windows 98을 실행하는 클라이언트 컴퓨터에서 Authenticated Users 그룹에 트래버스 확인 통과 사용자 권한이 부여되지 않으면 net use * /home 명령이 "액세스 거부" 오류 메시지와 함께 실패합니다.
      • Outlook Web Access: 관리자가 아닌 사용자는 트래버스 확인 통과 사용자 권한이 부여되지 않으면 Microsoft Outlook Web Access에 로그온할 수 없으며 "액세스가 거부되었습니다."라는 오류 메시지가 표시됩니다.

보안 설정

여기를 클릭하여 보안 설정에 대한 정보 참조
다음 목록에는 보안 설정이 나와 있으며, 중첩된 목록에서는 보안 설정에 대한 설명을 제공하고, 문제를 일으킬 수 있는 구성 설정을 나타내고, 보안 설정을 적용해야 하는 이유를 설명하고 보안 설정을 제거할 이유를 설명합니다. 그런 다음 중첩된 목록에서 보안 설정에 대한 심볼 이름 및 보안 설정의 레지스트리 경로를 제공합니다. 마지막으로 보안 설정을 구성할 때 발생할 수 있는 호환성 문제의 예가 제공됩니다.
  1. 감사: 보안 감사를 로그할 수 없는 경우 즉시 시스템 종료
    1. 배경
      • 감사: 보안 감사를 로그할 수 없는 경우 즉시 시스템 종료 설정은 보안 이벤트를 기록할 수 없는 경우 시스템이 종료될지 여부를 결정합니다. 이 설정은 감사 시스템이 감사 가능한 이벤트를 기록할 수 없는 경우 이러한 이벤트를 막기 위해 TCSEC(Trusted Computer Security Evaluation Criteria) 프로그램의 C2 평가와 CCITSE(Common Criteria for Information Technology Security Evaluation)에 필요합니다. 감사 시스템이 실패하면 시스템이 종료되고 Stop 오류 메시지가 나타납니다.
      • 컴퓨터가 보안 로그에 이벤트를 기록할 수 없으면 보안 문제 발생 후 중요한 증거나 문제 해결 정보를 검토하지 못할 수 있습니다.
    2. 위험한 구성

      다음은 해로운 구성 설정입니다. 감사: 보안 감사를 로그할 수 없는 경우 즉시 시스템 종료 설정을 사용하는 상태에서 보안 이벤트 로그의 크기를 이벤트 뷰어의 이벤트 덮어쓰지 않음(수동으로 로그 지우기) 옵션, 필요한 경우 이벤트 덮어쓰기 옵션 또는 다음보다 오래된 이벤트 덮어쓰기: number 옵션으로 제한하는 것은 위험한 구성입니다. Windows 2000, Windows 2000 SP1(서비스 팩 1), Windows 2000 SP2 또는 Windows 2000 SP3의 최초 릴리스 버전을 실행하는 컴퓨터의 특정 위험에 대한 정보는 "호환성 문제의 예" 절을 참조하십시오.
    3. 이 설정을 사용하는 이유

      컴퓨터가 보안 로그에 이벤트를 기록할 수 없으면 보안 문제 발생 후 중요한 증거나 문제 해결 정보를 검토하지 못할 수 있습니다.
    4. 이 설정을 사용하지 않는 이유
      • 감사: 보안 감사를 로그할 수 없는 경우 즉시 시스템 종료 설정을 사용하면 보안 감사가 어떠한 이유로든 기록될 수 없는 경우 시스템이 중지됩니다. 일반적으로 보안 감사 로그가 가득 차고, 보관 방법으로 이벤트 덮어쓰지 않음(수동으로 로그 지우기) 옵션이나 다음보다 오래된 이벤트 덮어쓰기: number 옵션을 지정하면 이벤트가 기록될 수 없습니다.
      • 감사: 보안 감사를 로그할 수 없는 경우 즉시 시스템 종료 설정을 사용할 경우 관리 부담은 특히, 보안 로그의 이벤트 덮어쓰지 않음(수동으로 로그 지우기) 옵션도 설정한 경우 매우 높을 수 있습니다. 이 설정은 운영자 작업의 개별 책임을 고려한 것입니다. 예를 들어, 관리자는 기본으로 제공되는 관리자 계정이나 다른 공유 계정을 사용하여 감사가 설정된 OU(조직 구성 단위)의 모든 사용자, 컴퓨터 및 그룹에 대해 사용 권한을 다시 설정한 다음 이러한 사용 권한을 다시 설정하는 것을 거부할 수 있습니다. 그러나 이러한 설정을 사용하면 보안 로그에 기록되는 로그온 이벤트와 기타 보안 이벤트가 폭주하여 서버가 강제로 종료될 수 있기 때문에 시스템의 견고성이 저하됩니다. 또한 종료가 적절하게 이루어지지 않기 때문에 운영 체제, 프로그램 또는 데이터가 복구 불가능하게 손상될 수 있습니다. NTFS에서는 비정상적으로 시스템이 종료되는 동안 파일 시스템의 무결성이 유지되지만 시스템이 다시 시작될 때 모든 프로그램의 모든 데이터 파일이 사용 가능한 형태로 유지되지는 않습니다.
    5. 기호 이름:

      CrashOnAuditFail

    6. 레지스트리 경로
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail (Reg_DWORD)
    7. 호환성 문제의 예
      • Windows 2000: 버그 때문에 Windows 2000, Windows 2000 SP1, Windows 2000 SP2 또는 Windows Server SP3의 최초 릴리스 버전을 실행하는 컴퓨터는 보안 이벤트 로그의 최대 로그 크기 옵션에서 지정한 크기에 도달하기 전에 이벤트 기록을 중지할 수 있습니다. 이 버그는 Windows 2000 SP4(서비스 팩 4)에서 수정되었습니다. 이 설정을 사용하기 전에 Windows 2000 도메인 컨트롤러에 Windows 2000 서비스 팩 4가 설치되어 있는지 확인하십시오.

        자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.
        312571 최대 로그 크기에 도달하기 전에 이벤트 로그가 이벤트 기록을 중지함
      • Windows 2000, Windows Server 2003: Windows 2000이나 Windows Server 2003을 실행하는 컴퓨터는 감사: 보안 감사를 기록할 수 없는 경우 즉시 시스템 종료 설정이 사용되고 보안 로그가 가득 차고 기존 이벤트 로그 항목을 덮어쓸 수 없는 경우 응답을 중지할 수 있으며 제멋대로 다시 시작될 수 있습니다. 컴퓨터가 다시 시작되면 다음과 같은 Stop 오류 메시지가 나타납니다.
        STOP : C0000244 {감사 실패}
        보안 감사를 만들려고 했으나 만들지 못했습니다.
        복구하려면 관리자가 로그온하여 보안 로그를 보관(선택적)한 다음 보안 로그를 지우고 이 옵션을 다시 설정(필요한 경우 선택적)해야 합니다.
      • MS-DOS용 Microsoft Network Client, Windows 95, Windows 98, Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003: 관리자가 아닌 사용자가 도메인에 로그온하려고 하면 다음 오류 메시지가 나타납니다.
        이 컴퓨터를 사용할 수 없도록 사용자 계정이 구성되어 있습니다. 다른 컴퓨터에서 시도하십시오.
        자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.
        160783 오류 메시지: 사용자가 워크스테이션에 로그온할 수 없음을 나타내는 오류 메시지 발생
      • Windows 2000: Windows 2000 기반 컴퓨터에서 관리자가 아닌 사용자가 원격 액세스 서버에 로그온할 수 없으며 다음과 비슷한 오류 메시지가 나타납니다.
        알 수 없는 사용자 이름이거나 암호가 틀립니다.
        자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.
        285665 오류 메시지: 이 컴퓨터를 사용할 수 없도록 사용자 계정이 구성되어 있습니다
      • Windows 2000: Windows 2000 도메인 컨트롤러에서 사이트 간 메시징 서비스(Ismserv.exe)가 중지되고 다시 시작할 수 없습니다. DCDIAG가 "failed test services ISMserv"로 오류를 보고하고 이벤트 ID 1083이 이벤트 로그에 등록됩니다.
      • Windows 2000: 보안 이벤트 로그가 가득 차면 Windows 2000 도메인 컨트롤러에서 Active Directory 복제가 실패하고 "액세스 거부" 메시지가 나타납니다.
      • Microsoft Exchange 2000: Exchange 2000을 실행하는 서버가 정보 저장소 데이터베이스를 탑재할 수 없고 이벤트 2102가 이벤트 로그에 등록됩니다.

        자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.
        314294 XDAM: SeSecurityPrivilege 권한 및 Policytest 문제로 인해 Exchange 2000 오류 메시지가 생성됨
      • Outlook, Outlook Web Access:관리자가 아닌 사용자가 Microsoft Outlook이나 Microsoft Outlook Web Access를 통해 메일에 액세스할 수 없고 503 오류가 나타납니다.
  2. 도메인 컨트롤러: LDAP 서버 서명 필요
    1. 배경

      도메인 컨트롤러: LDAP 서버 서명 필요 보안 설정은 LDAP(Lightweight Directory Access Protocol) 서버가 클라이언트에서 데이터 서명을 협상하도록 할지 여부를 결정합니다. 이 정책 설정의 가능한 값은 다음과 같습니다.
      • 없음: 서버와 바인딩하는 데 데이터 서명이 필요하지 않습니다. 클라이언트가 데이터 서명을 필요로 하면 서버가 이를 지원합니다.
      • 서명 필요: TLS/SSL(Transport Layer Security/Secure Socket Layer)이 사용되지 않는 경우 LDAP 데이터 서명 옵션이 협상되어야 합니다.
      • 정의되지 않음: 이 설정이 설정 또는 해제되어 있지 않습니다.
    2. 위험한 구성

      다음은 해로운 구성 설정입니다.
      • 클라이언트가 LDAP 서명을 지원하지 않거나 클라이언트 쪽 LDAP 서명이 클라이언트에서 설정되어 있지 않은 환경에서 서명 필요 설정
      • 클라이언트가 LDAP 서명을 지원하지 않거나 클라이언트 쪽 LDAP 서명이 설정되어 있지 않은 환경에서 Windows 2000 또는 Windows Server 2003 Hisecdc.inf 보안 템플릿 적용
      • 클라이언트가 LDAP 서명을 지원하지 않거나 클라이언트 쪽 LDAP 서명이 설정되어 있지 않은 환경에서 Windows 2000 또는 Windows Server 2003 Hisecws.inf 보안 템플릿 적용
    3. 이 설정을 사용하는 이유

      서명되지 않은 네트워크 트래픽은 침입자가 클라이언트와 서버 간의 패킷을 가로채서 수정한 다음 서버로 전달하는 공격(사람이 중간에 개입하는 공격)을 받기 쉽습니다. 이 문제가 LDAP 서버에서 발생하면 공격자는 서버가 LDAP 클라이언트의 허위 쿼리를 기초로 결정하도록 할 수 있습니다. 네트워크 인프라를 보호하는 데 도움이 되는 강력한 물리적 보안 조치를 구현하여 회사 네트워크에서 이 위험을 낮출 수 있습니다. 인터넷 프로토콜 보안(IPSec) 인증 헤더 모드를 사용하면 사람이 중간에 개입하는 공격을 하지 못하게 할 수 있습니다. 인증 헤더 모드는 IP 트래픽에 대한 패킷 무결성과 상호 인증을 수행합니다.
    4. 이 설정을 사용하지 않는 이유
      • LDAP 서명을 지원하지 않는 클라이언트는 NTLM 인증을 협상한 경우 올바른 서비스 팩이 Windows 2000 도메인 컨트롤러에 설치되어 있지 않으면 도메인 컨트롤러와 글로벌 카탈로그에 대해 LDAP 쿼리를 처리할 수 없습니다.
      • 클라이언트와 서버 간의 LDAP 트래픽에 대한 네트워크 추적은 암호화되므로 LDAP 대화를 확인하는 것이 어려워집니다.
      • Windows 2000 기반 서버가 Windows 2000 SP4, Windows XP 또는 Windows Server 2003을 실행하는 클라이언트 컴퓨터에서 실행되는 LDAP 서명을 지원하는 프로그램을 사용하여 관리되는 경우 서버에 Windows 2000 SP3(서비스 팩 3)가 설치되어 있어야 합니다. 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.
        325465 Windows Server 2003 관리 도구를 사용하는 경우 Windows 2000 도메인 컨트롤러에 SP3 이상이 있어야 함
    5. 기호 이름:

      LDAPServerIntegrity
    6. 레지스트리 경로
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD)
    7. 호환성 문제의 예
      • 단순 바인딩이 실패하고 다음 오류 메시지가 나타납니다.
        Ldap_simple_bind_s() 실패: 높은 수준의 인증이 요구됩니다.
      • Windows 2000 서비스 팩 4, Windows XP, Windows Server 2003: Windows 2000 SP4, Windows XP 또는 Windows Server 2003을 실행하는 클라이언트에서 NTLM 인증을 협상할 때 일부 Active Directory 관리 도구가 SP3 이전 버전의 Windows 2000을 실행하는 도메인 컨트롤러에 대해 제대로 작동되지 않습니다.

        자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.
        325465 Windows Server 2003 관리 도구를 사용하는 경우 Windows 2000 도메인 컨트롤러에 SP3 이상이 있어야 함
      • Windows 2000 서비스 팩 4, Windows XP, Windows Server 2003: Windows 2000 SP4, Windows XP 또는 Windows Server 2003을 실행하는 클라이언트에서 SP3 이전 버전의 Windows 2000을 실행하는 도메인 컨트롤러를 대상으로 하는 일부 Active Directory 관리 도구가 "dsa.msc /server=x.x.x.x" 같은 IP 주소를 사용하는 경우 제대로 작동되지 않습니다. 여기서 x.x.x.x는 IP 주소입니다.

        자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.
        325465 Windows Server 2003 관리 도구를 사용하는 경우 Windows 2000 도메인 컨트롤러에 SP3 이상이 있어야 함
      • Windows 2000 서비스 팩 4, Windows XP, Windows Server 2003: Windows 2000 SP4, Windows XP 또는 Windows Server 2003을 실행하는 클라이언트에서 SP3 이전 버전의 Windows 2000을 실행하는 도메인 컨트롤러를 대상으로 하는 일부 Active Directory 관리 도구가 제대로 작동하지 않습니다.

        자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.
        325465 Windows Server 2003 관리 도구를 사용하는 경우 Windows 2000 도메인 컨트롤러에 SP3 이상이 있어야 함
  3. 도메인 구성원: 고급 세션 키 요청(Windows 2000 또는 그 이상)
    1. 배경
      • 도메인 구성원: 고급 세션 키 요청(Windows 2000 또는 그 이상) 설정은 강력한 128비트 세션 키를 사용하여 보안 채널 트래픽을 암호화할 수 없는 도메인 컨트롤러에서 보안 채널이 설정될 수 있는지 여부를 결정합니다. 이 설정을 사용하면 강력한 키로 보안 채널 데이터를 암호화할 수 없는 도메인 컨트롤러에서 보안 채널을 설정하지 못합니다. 이 설정을 해제하면 64비트 세션 키가 허용됩니다.
      • 서버의 구성원 워크스테이션에서 이 설정을 사용할 수 있으려면 이 구성원이 속한 도메인에 있는 모든 도메인 컨트롤러가 강력한 128비트 키를 사용하여 보안 채널 데이터를 암호화할 수 있어야 합니다. 이것은 이러한 도메인 컨트롤러가 모두 Windows 2000 이상을 실행해야 한다는 것을 의미합니다.
    2. 위험한 구성

      도메인 구성원: 고급 세션 키 요청(Windows 2000 또는 그 이상) 설정은 해로운 구성 설정입니다.
    3. 이 설정을 사용하는 이유
      • 구성원 컴퓨터와 도메인 컨트롤러 간에 보안 채널 통신을 설정하는 데 사용되는 세션 키는 이전 버전의 Microsoft 운영 체제보다 Windows 2000에서 훨씬 강력합니다.
      • 도청과 세션 하이재킹 네트워크 공격으로부터 보안 채널 통신을 보호하기 위해 가능하면 항상 이러한 강력한 세션 키를 이용하는 것이 좋습니다. 도청은 전송 중인 네트워크 데이터를 읽거나 변경하는 악의적인 공격의 한 형태입니다. 데이터를 수정하여 숨기거나 보낸 사람을 변경하거나 리디렉션할 수 있습니다.
      중요 Windows Server 2008 R2 또는 Windows 7이 실행되는 컴퓨터는 보안 채널이 사용될 때 강력한 키만 지원합니다. 이러한 제한 때문에 Windows NT 4.0 기반 도메인과 Windows Server 2008 R2 기반 도메인 간에 신뢰 관계가 형성되지 못합니다. 또한 이러한 제한은 Windows 7 또는 Windows Server 2008 R2가 실행되는 컴퓨터의 Windows NT 4.0 기반 도메인 구성원 및 그 반대의 경우를 차단합니다.
    4. 이 설정을 사용하지 않는 이유

      도메인에 Windows 2000, Windows XP 또는 Windows Server 2003 이외의 운영 체제를 실행하는 구성원 컴퓨터가 포함되어 있습니다.
    5. 기호 이름:

      StrongKey
    6. 레지스트리 경로
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey (Reg_DWORD)
    7. 호환성 문제의 예

      Windows NT 4.0: Windows NT 4.0 기반 컴퓨터에서 NLTEST를 사용하여 Windows NT 4.0 및 Windows 2000 도메인 간 트러스트 관계의 보안 채널을 다시 설정하면 실패합니다. "액세스 거부" 오류 메시지가 나타납니다.
      주 도메인과 트러스트된 도메인 사이의 트러스트 관계에 이상이 있습니다.

      Windows 7 및 Server 2008 R2: Windows 7 이상 버전 및 Windows Server 2008 R2 이상 버전의 경우 이 설정이 더 이상 적용되지 않으며 항상 강력한 키가 사용됩니다. 따라서 Windows NT 4.0 도메인과의 트러스트가 더 이상 작동하지 않습니다.
  4. 도메인 구성원: 보안 채널 데이터를 디지털 암호화 또는 서명(항상)
    1. 배경
      • 도메인 구성원: 보안 채널 데이터를 디지털 암호화 또는 서명(항상)을 사용하면 모든 보안 채널 데이터를 서명하거나 암호화하지 못하는 도메인 컨트롤러에서 보안 채널을 설정하지 못합니다. 사람이 중간에 개입하는 공격, 재생 공격 및 기타 종류의 네트워크 공격으로부터 인증 트래픽을 보호하기 위해 Windows 기반 컴퓨터에서는 Net Logon 서비스를 통해 보안 채널이라는 통신 채널을 만들어 컴퓨터 계정을 인증합니다. 한 도메인의 사용자가 원격 도메인의 네트워크 리소스에 연결할 때도 보안 채널이 사용됩니다. 이러한 다중 도메인 인증 또는 창구 인증을 통해 도메인에 속한 Windows 기반 컴퓨터는 해당 도메인과 모든 트러스트된 도메인에서 사용자 계정 데이터베이스에 액세스할 수 있습니다.
      • 도메인 구성원: 보안 채널 데이터를 디지털 암호화 또는 서명(항상) 설정을 구성원 컴퓨터에서 사용하려면 구성원이 속한 도메인의 모든 도메인 컨트롤러가 모든 보안 채널 데이터를 서명하거나 암호화할 수 있어야 합니다. 이것은 이러한 모든 도메인 컨트롤러가 SP6a(서비스 팩 6a) 이상이 설치된 Windows NT 4.0을 실행해야 한다는 것을 의미합니다.
      • 도메인 구성원: 보안 채널 데이터를 디지털 암호화 또는 서명(항상) 설정을 사용하면 도메인 구성원: 보안 채널 데이터를 디지털 암호화 또는 서명(가능하면) 설정이 자동으로 사용됩니다.
    2. 위험한 구성

      도메인 구성원: 보안 채널 데이터를 디지털 암호화 또는 서명(항상) 설정을 일부 도메인 컨트롤러만 보안 채널 데이터를 서명하거나 암호화할 수 있는 도메인에서 사용하는 것은 해로운 구성 설정입니다.
    3. 이 설정을 사용하는 이유

      서명되지 않은 네트워크 트래픽은 침입자가 서버와 클라이언트 간의 패킷을 가로채서 수정한 다음 클라이언트로 전달하는 공격(사람이 중간에 개입하는 공격)을 받기 쉽습니다. 이 문제가 LDAP(Lightweight Directory Access Protocol) 서버에서 발생하면 침입자는 클라이언트가 LDAP 디렉터리의 허위 레코드를 기반으로 결정하도록 할 수 있습니다. 네트워크 인프라를 보호하는 데 도움이 되는 강력한 물리적 보안 조치를 구현하여 회사 네트워크에서 이러한 위험을 낮출 수 있습니다. 또한 인터넷 프로토콜 보안(IPSec) 인증 헤더 모드를 구현하면 사람이 중간에 개입하는 공격을 하지 못하게 할 수 있습니다. 이 모드는 IP 트래픽에 대한 패킷 무결성과 상호 인증을 수행합니다.
    4. 이 설정을 사용하지 않는 이유
      • 로컬 또는 외부 도메인에 있는 컴퓨터가 암호화된 보안 채널을 지원합니다.
      • 도메인에 있는 일부 도메인 컨트롤러에 암호화된 보안 채널을 지원할 수 있는 적절한 서비스 팩 버전 수준이 없습니다.
    5. 기호 이름:

      StrongKey
    6. 레지스트리 경로
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD)
    7. 호환성 문제의 예
      • Windows NT 4.0: Windows 2000 기반의 구성원 컴퓨터가 Windows NT 4.0 도메인에 참여할 수 없으며 다음 오류 메시지가 나타납니다.
        계정이 이 스테이션에서 로그인할 수 있도록 허가되어 있지 않습니다.
        자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.
        281648 오류 메시지: 계정이 이 스테이션에서 로그인할 수 있도록 허가되어 있지 않습니다
      • Windows NT 4.0: Windows NT 4.0 도메인이 Windows 2000 도메인과 하위 수준 트러스트를 설정할 수 없고 다음 오류 메시지가 나타납니다.
        계정이 이 스테이션에서 로그인할 수 있도록 허가되어 있지 않습니다.
        기존 하위 수준 트러스트도 트러스트된 도메인에서 사용자를 인증하지 못할 수 있습니다. 일부 사용자가 도메인에 로그온하는 데 문제를 겪을 수 있으며 클라이언트가 도메인을 찾을 수 없다는 내용의 오류 메시지가 나타날 수 있습니다.
      • Windows XP: Windows NT 4.0 도메인에 속한 Windows XP 클라이언트가 로그온 시도를 인증하지 못하고 다음 오류 메시지가 나타나거나 이벤트 로그에 다음 이벤트가 등록될 수 있습니다.
        도메인 컨트롤러를 사용할 수 없거나 사용자의 계정을 찾을 수 없어 Windows가 도메인에 연결할 수 없습니다.

        이벤트 5723: 컴퓨터 ComputerName의 세션 설정을 인증하지 못했습니다. 보안 데이터베이스에서 참조되는 계정 이름은 ComputerName입니다. 다음 오류가 발생했습니다. 액세스가 거부되었습니다.

        이벤트 3227: Windows NT 또는 Windows 2000 도메인 컨트롤러 Server Name(도메인: Domain Name)(으)로 세션을 설치하지 못했습니다. Server Name이(가) Netlogon 세션 서명 또는 봉인을 지원하지 않기 때문입니다. 도메인 컨트롤러를 업그레이드하거나 이 컴퓨터에 있는 RequireSignOrSeal 레지스트리 항목을 0으로 설정하십시오.

        자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.
        318266 Windows XP 클라이언트가 Windows NT 4.0 도메인에 로그온할 수 없다
      • Microsoft 네트워크: Microsoft 네트워크 클라이언트에 다음 오류 메시지 중 하나가 나타납니다.
        로그온 실패: 알 수 없는 사용자 이름이거나 암호가 틀립니다.
        지정한 로그온 세션에 대한 사용자 세션 키가 없습니다.
  5. Microsoft 네트워크 클라이언트: 디지털 서명 통신(항상)
    1. 배경

      SMB(서버 메시지 블록)는 대부분의 Microsoft 운영 체제에서 지원하는 리소스 공유 프로토콜이며 NetBIOS(네트워크 기본 입/출력 시스템)와 다른 많은 프로토콜의 기본이 됩니다. SMB 서명은 사용자와 데이터를 호스팅하는 서버를 인증합니다. 사용자나 서버에서 인증 프로세스가 실패하면 데이터 전송이 일어나지 않습니다.

      SMB 서명 설정은 SMB 프로토콜 협상 동안 시작됩니다. SMB 서명 정책은 컴퓨터가 항상 클라이언트 통신을 디지털 서명하는지 여부를 결정합니다.

      Windows 2000 SMB 인증 프로토콜은 상호 인증을 지원합니다. 상호 인증은 "사람이 중간에 개입하는" 공격을 막습니다. Windows 2000 SMB 인증 프로토콜은 메시지 인증도 지원합니다. 메시지 인증은 활성 메시지 공격을 방지해 줍니다. 이 메시지 인증을 제공하기 위해 SMB 서명은 각 SMB에 디지털 서명을 추가합니다. 클라이언트와 서버는 제각기 디지털 서명을 확인합니다.

      SMB 서명을 사용하려면 SMB 서버와 SMB 클라이언트 모두에서 SMB 서명을 설정하거나 요청해야 합니다. 서버에서 SMB 서명이 설정되면 SMB 서명에 대해 설정된 클라이언트도 이후의 모든 세션 동안 패킷 서명 프로토콜을 사용합니다. 서버에서 SMB 서명을 요청하는 경우 클라이언트는 SMB 서명에 대해 설정되거나 요청될 때까지 세션을 설정할 수 없습니다.

      보안 수준이 높은 네트워크에서 디지털 서명을 사용하면 클라이언트와 서버의 가장을 막는 데 도움이 됩니다. 이러한 종류의 가장을 세션 하이재킹이라고 합니다. 클라이언트나 서버와 같은 네트워크에 액세스하는 공격자가 세션 하이재킹 도구를 사용하여 진행 중인 세션을 중단하나 끝내거나 가로챌 수 있습니다. 공격자는 서명되지 않은 SMB 패킷을 가로채고 수정할 수 있으며 트래픽을 수정한 다음 전달하여 서버가 원하지 않는 작업을 수행하도록 할 수 있습니다. 또는 공격자가 정당한 인증 후 서버나 클라이언트로 가장하여 데이터에 무단으로 액세스할 수 있습니다.

      Windows 2000 Server, Windows 2000 Professional, Windows XP Professional 또는 Windows Server 2003을 실행하는 컴퓨터에서 파일 공유와 인쇄 공유에 사용되는 SMB 프로토콜은 상호 인증을 지원합니다. 상호 인증은 세션 하이재킹 공격을 차단하고 메시지 인증을 지원하므로 사람이 중간에 개입하는 공격을 막습니다. SMB 서명은 각 SMB에 디지털 서명을 추가하여 상호 인증을 제공합니다. 그런 다음 클라이언트와 서버는 서명을 확인합니다.

      참고
      • 다른 대책으로, 모든 네트워크 트래픽의 보호에 도움이 되도록 IPSec을 사용하여 디지털 서명을 사용하도록 설정할 수 있습니다. 서버의 CPU에서 성능 영향을 최소화하는 데 사용할 수 있는 IPSec 암호화와 서명을 위한 하드웨어 기반 가속기가 있습니다. SMB 서명에는 이러한 가속기를 사용할 수 없습니다.

        자세한 내용은 다음 Microsoft MSDN 웹 사이트에서 서버 쪽 통신에 디지털 서명 장을 참조하십시오.

        우선하는 도메인 정책이 있을 경우 로컬 레지스트리를 변경해도 아무런 효과가 없으므로 그룹 정책 개체 편집기를 통해 SMB 서명을 구성합니다.
      • Windows 95, Windows 98 및 Windows 98 Second Edition에서 디렉터리 서비스 클라이언트가 NTLM 인증을 사용하여 Windows Server 2003와 인증하는 경우 SMB 서명을 사용합니다. 그러나 이러한 클라이언트는 NTLMv2 인증을 사용하여 이러한 서버와 인증하는 경우 SMB 서명을 사용하지 않습니다. 또한 Windows 2000 서버는 이러한 클라이언트의 SMB 서명 요청에 응답하지 않습니다. 자세한 내용은 항목 10: "네트워크 보안: Lan Manager 인증 수준"을 참조하십시오.
    2. 위험한 구성

      다음은 해로운 구성 설정입니다. Microsoft 네트워크 클라이언트: 디지털 서명 통신(항상) 설정과 Microsoft 네트워크 클라이언트: 디지털 서명 통신(서버에서 동의한 경우) 설정이 모두 "정의되지 않음"으로 설정되어 있거나 해제되어 있는 것은 위험한 구성입니다. 이러한 설정에서는 리디렉터가 인증 중 암호의 암호화를 지원하지 않는 타사 SMB 서버에 일반 텍스트 암호를 보낼 수 있습니다.
    3. 이 설정을 사용하는 이유

      Microsoft 네트워크 클라이언트: 디지털 서명 통신(항상)을 사용하면 클라이언트가 SMB 서명이 필요하지 않은 서버에 접속할 때 SMB 트래픽에 서명해야 합니다. 따라서 클라이언트가 세션 하이재킹 공격에 덜 취약해집니다.
    4. 이 설정을 사용하지 않는 이유
      • Microsoft 네트워크 클라이언트: 디지털 서명 통신(항상)을 사용하면 클라이언트가 SMB 서명을 지원하지 않는 대상 서버와 통신하지 못합니다.
      • 서명되지 않은 모든 SMB 통신을 무시하도록 컴퓨터를 구성하면 이전 버전의 프로그램과 운영 체제가 연결되지 못합니다.
    5. 기호 이름:

      RequireSMBSignRdr
    6. 레지스트리 경로
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature
    7. 호환성 문제의 예
      • Windows NT 4.0: NLTEST나 NETDOM을 사용하여 Windows Server 2003 도메인과 Windows NT 4.0 도메인 간 트러스트의 보안 채널을 다시 설정할 수 없으며 "액세스 거부" 오류 메시지가 나타납니다.
      • Windows XP: Windows XP 클라이언트에서 Windows 2000 기반 서버와 Windows Server 2003 기반 서버로 파일을 복사하면 시간이 더 걸릴 수 있습니다.
      • 이 설정을 사용하는 클라이언트에서 네트워크 드라이브를 매핑할 수 없으며 다음 오류 메시지가 나타납니다.
        계정이 이 스테이션에서 로그인할 수 있도록 허가되어 있지 않습니다.
    8. 다시 시작 요구 사항

      컴퓨터를 다시 시작하거나 워크스테이션 서비스를 다시 시작합니다. 이렇게 하려면 명령 프롬프트에서 다음 명령을 입력한 다음 각 명령을 입력하고 Enter 키를 누릅니다.
      net stop workstation
      net start workstation
  6. Microsoft 네트워크 서버: 디지털 서명 통신(항상)
    1. 배경
      • SMB(서버 메시지 블록)는 대부분의 Microsoft 운영 체제에서 지원하는 리소스 공유 프로토콜이며 NetBIOS(네트워크 기본 입/출력 시스템)와 다른 많은 프로토콜의 기본이 됩니다. SMB 서명은 사용자와 데이터를 호스팅하는 서버를 인증합니다. 사용자나 서버에서 인증 프로세스가 실패하면 데이터 전송이 일어나지 않습니다.

        SMB 서명 설정은 SMB 프로토콜 협상 동안 시작됩니다. SMB 서명 정책은 컴퓨터가 항상 클라이언트 통신을 디지털 서명하는지 여부를 결정합니다.

        Windows 2000 SMB 인증 프로토콜은 상호 인증을 지원합니다. 상호 인증은 "사람이 중간에 개입하는" 공격을 막습니다. Windows 2000 SMB 인증 프로토콜은 메시지 인증도 지원합니다. 메시지 인증은 활성 메시지 공격을 방지해 줍니다. 이 메시지 인증을 제공하기 위해 SMB 서명은 각 SMB에 디지털 서명을 추가합니다. 클라이언트와 서버는 제각기 디지털 서명을 확인합니다.

        SMB 서명을 사용하려면 SMB 서버와 SMB 클라이언트 모두에서 SMB 서명을 설정하거나 요청해야 합니다. 서버에서 SMB 서명이 설정되면 SMB 서명에 대해 설정된 클라이언트도 이후의 모든 세션 동안 패킷 서명 프로토콜을 사용합니다. 서버에서 SMB 서명을 요청하는 경우 클라이언트는 SMB 서명에 대해 설정되거나 요청될 때까지 세션을 설정할 수 없습니다.

        보안 수준이 높은 네트워크에서 디지털 서명을 사용하면 클라이언트와 서버의 가장을 막는 데 도움이 됩니다. 이러한 종류의 가장을 세션 하이재킹이라고 합니다. 클라이언트나 서버와 같은 네트워크에 액세스하는 공격자가 세션 하이재킹 도구를 사용하여 진행 중인 세션을 중단하나 끝내거나 가로챌 수 있습니다. 공격자는 서명되지 않은 SBM(Subnet Bandwidth Manager) 패킷을 가로채고 수정할 수 있으며 트래픽을 수정한 다음 전달하여 서버가 원하지 않는 작업을 수행하도록 할 수 있습니다. 또는 공격자가 정당한 인증 후 서버나 클라이언트로 가장하여 데이터에 무단으로 액세스할 수 있습니다.

        Windows 2000 Server, Windows 2000 Professional, Windows XP Professional 또는 Windows Server 2003을 실행하는 컴퓨터에서 파일 공유와 인쇄 공유에 사용되는 SMB 프로토콜은 상호 인증을 지원합니다. 상호 인증은 세션 하이재킹 공격을 차단하고 메시지 인증을 지원하므로 사람이 중간에 개입하는 공격을 막습니다. SMB 서명은 각 SMB에 디지털 서명을 추가하여 상호 인증을 제공합니다. 그런 다음 클라이언트와 서버는 서명을 확인합니다.
      • 다른 대책으로, 모든 네트워크 트래픽의 보호에 도움이 되도록 IPSec을 사용하여 디지털 서명을 사용하도록 설정할 수 있습니다. 서버의 CPU에서 성능 영향을 최소화하는 데 사용할 수 있는 IPSec 암호화와 서명을 위한 하드웨어 기반 가속기가 있습니다. SMB 서명에는 이러한 가속기를 사용할 수 없습니다.
      • Windows 95, Windows 98 및 Windows 98 Second Edition에서 디렉터리 서비스 클라이언트가 NTLM 인증을 사용하여 Windows Server 2003와 인증하는 경우 SMB 서명을 사용합니다. 그러나 이러한 클라이언트는 NTLMv2 인증을 사용하여 이러한 서버와 인증하는 경우 SMB 서명을 사용하지 않습니다. 또한 Windows 2000 서버는 이러한 클라이언트의 SMB 서명 요청에 응답하지 않습니다. 자세한 내용은 항목 10: "네트워크 보안: Lan Manager 인증 수준"을 참조하십시오.
    2. 위험한 구성

      다음은 해로운 구성 설정입니다. Microsoft 네트워크 서버: 디지털 서명 통신(항상) 설정을 로컬 또는 외부 도메인에서 호환되지 않는 Windows 기반 컴퓨터 및 타사 운영 체제 기반 클라이언트 컴퓨터가 액세스하는 도메인 컨트롤러 및 서버에서 사용하는 것은 위험한 구성입니다.
    3. 이 설정을 사용하는 이유
      • 레지스트리나 그룹 정책 설정을 통해 직접 이 설정을 사용하는 모든 클라이언트 컴퓨터가 SMB 서명을 지원합니다. 즉, 이 설정을 사용하는 모든 클라이언트 컴퓨터가 DS 클라이언트가 설치된 Windows 95, Windows 98, Windows NT 4.0, Windows 2000, Windows XP Professional 또는 Windows Server 2003을 실행합니다.
      • Microsoft 네트워크 서버: 디지털 서명 통신(항상)을 해제하면 SMB 서명이 완전히 해제됩니다. 모든 SMB 서명을 완전히 해제하면 컴퓨터가 세션 하이재킹 공격에 더욱 취약해집니다.
    4. 이 설정을 사용하지 않는 이유
      • 이 설정을 사용하면 클라이언트 컴퓨터에서 파일 복사 속도가 느려지고 네트워크 성능이 저하될 수 있습니다.
      • 이 설정을 사용하면 SMB 서명을 협상할 수 없는 클라이언트가 서버 및 도메인 컨트롤러와 통신하지 못합니다. 이렇게 되면 도메인 참가, 사용자 및 컴퓨터 인증 또는 프로그램의 네트워크 액세스 같은 작업이 실패합니다.
    5. 기호 이름:

      RequireSMBSignServer
    6. 레지스트리 경로
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature (REG_DWORD)
    7. 호환성 문제의 예
      • Windows 95: DS(디렉터리 서비스) 클라이언트가 설치되지 않은 Windows 95 클라이언트가 로그온 인증에 실패하고 다음 오류 메시지가 나타납니다.
        제공한 도메인 암호가 틀리거나, 로그온 서버의 액세스가 거부되었습니다.
        자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.
        811497 Windows 95 또는 Windows NT 4.0 클라이언트가 Windows Server 2003 도메인에 로그온할 때 오류 메시지가 나타난다
      • Windows NT 4.0: SP3(서비스 팩 3) 이전 버전의 Windows NT 4.0을 실행하는 클라이언트 컴퓨터가 로그온 인증에 실패하고 다음 오류 메시지가 나타납니다.
        시스템에 로그온할 수 없습니다. 사용자 이름 및 도메인이 올바른지 확인한 후, 암호를 다시 입력하십시오.
        일부 비Microsoft SMB 서버는 인증 동안 암호화되지 않은 암호 교환("일반 텍스트" 교환이라고도 함)만 지원합니다. Windows NT 4.0 SP3 이상 버전의 경우 SMB 리디렉터는 특정 레지스트리 항목을 추가하지 않으면 인증을 수행하는 동안 암호화되지 않은 암호를 SMB 서버로 보내지 않습니다.
        Windows NT 4.0 SP 3 이후 시스템에서 SMB 클라이언트에 대해 암호화되지 않은 암호를 사용하도록 설정하려면 레지스트리를 다음과 같이 수정합니다. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters
        값 이름 : EnablePlainTextPassword
        데이터 형식: REG_DWORD
        데이터: 1

        관련 항목에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
        224287 오류 메시지: 시스템 오류 1240 발생 계정이 이 스테이션에서 로그인...
        166730 암호화되지 않은 암호로 인해 서비스 팩 3에서 SMB 서버에 연결할 수 없음
      • Windows Server 2003:기본적으로 Windows Server 2003을 실행하는 도메인 컨트롤러의 보안 설정은 도메인 컨트롤러 통신을 악의적인 사용자가 가로채거나 방해하지 못하도록 구성됩니다. Windows Server 2003을 실행하는 도메인 컨트롤러와 성공적으로 통신하려면 클라이언트 컴퓨터에서 SMB 서명과 암호화 또는 보안 채널 트래픽 서명을 둘 다 사용해야 합니다. 기본적으로 SP2(서비스 팩 2) 이하가 설치된 Windows NT 4.0을 실행하는 클라이언트와 Windows 95를 실행하는 클라이언트에는 설정된 SMB 패킷 서명이 없습니다. 따라서 이러한 클라이언트는 Windows Server 2003 기반 도메인 컨트롤러를 인증할 수 없습니다.
      • Windows 2000 및 Windows Server 2003 정책 설정:특정 설치 요구 및 구성에 따라 Microsoft Management Console 그룹 정책 편집기 스냅인 계층에서 필요한 범위의 가장 낮은 엔터티에 다음 정책 설정을 설정하는 것이 좋습니다.
        • 컴퓨터 구성\Windows 보안 설정\보안 옵션
        • 타사 SMB 서버에 연결할 때 암호화되지 않은 암호를 보냄(Windows 2000)
        • Microsoft 네트워크 클라이언트: 타사 SMB 서버에 암호화되지 않은 암호를 보냄(Windows Server 2003)

        참고 이전 Samba 버전 같은 일부 타사 CIFS 서버에서는 암호화된 암호를 사용할 수 없습니다.
      • 다음 클라이언트는 Microsoft 네트워크 서버: 디지털 서명 통신(항상) 설정과 호환되지 않습니다.
        • Apple Computer, Inc., Mac OS X 클라이언트
        • Microsoft MS-DOS 네트워크 클라이언트(예: Microsoft LAN Manager)
        • Microsoft Windows for Workgroups 클라이언트
        • DS 클라이언트가 설치되지 않은 Microsoft Windows 95 클라이언트
        • SP3 이상이 설치되지 않은 Microsoft Windows NT 4.0 기반 컴퓨터
        • Novell Netware 6 CIFS 클라이언트
        • SMB 서명을 지원하지 않는 SAMBA SMB 클라이언트
    8. 다시 시작 요구 사항

      컴퓨터를 다시 시작하거나 서버 서비스를 다시 시작합니다. 이렇게 하려면 명령 프롬프트에서 다음 명령을 입력한 다음 각 명령을 입력하고 Enter 키를 누릅니다.
      net stop server
      net start server
  7. 네트워크 액세스: 익명 SID/이름 변환 허용
    1. 배경

      네트워크 액세스: 익명 SID/이름 변환 허용 보안 설정은 익명 사용자가 다른 사용자의 SID(보안 ID 번호) 특성을 요청할 수 있는지 여부를 결정합니다.
    2. 위험한 구성

      네트워크 액세스: 익명 SID/이름 변환 허용 설정을 사용하는 것은 해로운 구성 설정입니다.
    3. 이 설정을 사용하는 이유

      네트워크 액세스: 익명 SID/이름 변환 허용 설정을 해제하면 이전 버전의 운영 체제나 응용 프로그램이 Windows Server 2003 도메인과 통신하지 못할 수 있습니다. 예를 들어, 다음 운영 체제, 서비스 또는 응용 프로그램이 작동하지 않을 수 있습니다.
      • Windows NT 4.0 기반 원격 액세스 서비스 서버
      • Windows NT 3.x 기반 컴퓨터나 Windows NT 4.0 기반 컴퓨터에서 실행되는 Microsoft SQL Server
      • Windows NT 3.x 도메인이나 Windows NT 4.0 도메인에 있는 Windows 2000 기반 컴퓨터에서 실행되는 원격 액세스 서비스
      • Windows NT 3.x 도메인이나 Windows NT 4.0 도메인에 있는 Windows 2000 기반 컴퓨터에서 실행되는 SQL Server
      • Windows Server 2003 도메인 컨트롤러가 포함된 계정 도메인의 사용자 계정에 파일, 공유 폴더 및 레지스트리 개체에 대한 사용 권한을 부여하려는 Windows NT 4.0 리소스 도메인의 사용자
    4. 이 설정을 사용하지 않는 이유

      이 설정을 사용하면 Administrator 계정의 이름을 변경한 경우에도 악의적인 사용자가 잘 알려진 Administrator SID를 사용하여 기본으로 제공되는 Administrator 계정의 실제 이름을 얻을 수 있습니다. 그런 다음 이 계정 이름을 사용하여 암호 추측 공격을 시작할 수 있습니다.
    5. 기호 이름: N/A
    6. 레지스트리 경로: 없음. 경로는 UI 코드로 지정됩니다.
    7. 호환성 문제의 예

      Windows NT 4.0: 공유 폴더, 공유 파일 및 레지스트리 개체와 같은 리소스가 Windows Server 2003 도메인 컨트롤러가 포함된 계정 도메인에 있는 보안 사용자로 보호되는 경우 Windows NT 4.0 리소스 도메인에 있는 컴퓨터의 ACL 편집기에 "알 수 없는 계정"이라는 오류 메시지가 표시됩니다.
  8. 네트워크 액세스: SAM 계정의 익명 열거 허용 안 함
    1. 배경
      • 네트워크 액세스: SAM 계정의 익명 열거 허용 안 함 설정은 컴퓨터에 대한 익명 연결에 추가 사용 권한을 부여할지 여부를 결정합니다. Windows에서는 익명 사용자가 워크스테이션 및 서버 SAM(보안 계정 관리자) 계정과 네트워크 공유의 이름을 열거하는 등의 특정 활동을 수행할 수 있습니다. 예를 들어 관리자는 이 이름을 사용하여 상호 트러스트를 유지하지 않는 트러스트된 도메인의 사용자에게 액세스 권한을 부여할 수 있습니다. 세션이 작성되면 익명 사용자는 네트워크 액세스: Everyone 사용 권한을 익명 사용자에게 적용 설정 또는 개체의 DACL(임의 액세스 제어 목록)을 기반으로 Everyone 그룹에 부여된 것과 동일한 액세스 권한을 가질 수 있습니다.

        일반적으로 익명 연결은 SMB 세션 설정 동안 이전 버전 클라이언트(하위 클라이언트)에서 요청합니다. 이 경우 네트워크 추적은 SMB PID(프로세스 ID)가 Windows 2000의 경우 클라이언트 리디렉터 0xFEFF이고 Windows NT의 경우 클라이언트 리디렉터 0xCAFE임을 보여 줍니다. RPC에서도 익명 연결을 시도할 수 있습니다.
      • 중요 이 설정은 도메인 컨트롤러에 영향을 주지 않습니다. 도메인 컨트롤러에서 이 동작은 "Windows 2000 이전 버전 호환 액세스"의 "NT AUTHORITY\ANONYMOUS LOGON" 존재 여부에 의해 제어됩니다.
      • Windows 2000에서는 익명의 연결에 추가적인 제한이라는 비슷한 설정이
        RestrictAnonymous
        레지스트리 값을 관리합니다. 이 값의 위치는 다음과 같습니다.
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
        RestrictAnonymous 레지스트리 값에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
        246261 Windows 2000에서 RestrictAnonymous 레지스트리 값을 사용하는 방법
        143474 익명 로그온 사용자가 사용할 수 있는 정보 제한
    2. 위험한 구성

      네트워크 액세스: SAM 계정과 공유의 익명 열거 허용 안 함 설정을 사용하는 것은 호환성 측면에서 해로운 구성 설정입니다. 이 설정을 사용하지 않는 것은 보안 측면에서 해로운 구성 설정입니다.
    3. 이 설정을 사용하는 이유

      권한이 없는 사용자가 계정 이름 목록을 익명으로 표시한 다음 이 정보를 사용하여 암호를 추측하거나 사회 공학적 기술 공격을 수행합니다. 사회 공학적 기술은 다른 사람을 속여 암호나 특정 형태의 보안 정보를 드러내도록 하는 것을 의미하는 전문 용어입니다.
    4. 이 설정을 사용하지 않는 이유

      이 설정을 사용하면 Windows NT 4.0 도메인과 트러스트를 설정할 수 없습니다. 이 설정은 서버에서 리소스를 사용하려고 하는 Windows NT 3.51 클라이언트와 Windows 95 클라이언트 같은 하위 수준 클라이언트에서도 문제를 일으킵니다.
    5. 기호 이름:


      RestrictAnonymousSAM
    6. 레지스트리 경로
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM (Reg_DWORD)
    7. 호환성 문제의 예
    • SMS Network Discovery가 운영 체제 정보를 얻을 수 없으므로 OperatingSystemNameandVersion 속성에 "Unknown"이라고 씁니다.
    • Windows 95, Windows 98: Windows 95 클라이언트와 Windows 98 클라이언트에서 암호를 변경할 수 없습니다.
    • Windows NT 4.0: Windows NT 4.0 기반 구성원 컴퓨터가 인증될 수 없습니다.
    • Windows 95, Windows 98: Windows 95 기반 및 Windows 98 기반 컴퓨터가 Microsoft 도메인 컨트롤러에서 인증될 수 없습니다.
    • Windows 95, Windows 98: Windows 95 기반 및 Windows 98 기반 컴퓨터의 사용자가 사용자 계정의 암호를 변경할 수 없습니다.
  9. 네트워크 액세스: SAM 계정과 공유의 익명 열거 허용 안 함
    1. 배경
      • 네트워크 액세스: SAM 계정과 공유의 익명 열거 허용 안 함 설정(RestrictAnonymous라고도 함)은 SAM(보안 계정 관리자) 계정과 공유의 익명 열거가 허용되는지 여부를 결정합니다. Windows에서는 익명 사용자가 도메인 계정(사용자, 컴퓨터 및 그룹)과 네트워크 공유의 이름을 열거하는 등의 특정 활동을 수행할 수 있습니다. 이것은 관리자가 상호 트러스트를 유지하지 않는 트러스트된 도메인의 사용자에게 액세스 권한을 부여하려는 경우 등에 편리합니다. SAM 계정과 공유의 익명 열거를 허용하지 않으려면 이 설정을 사용하십시오.
      • Windows 2000에서는 익명의 연결에 추가적인 제한이라는 비슷한 설정이
        RestrictAnonymous
        레지스트리 값을 관리합니다. 이 값의 위치는 다음과 같습니다.
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    2. 위험한 구성

      네트워크 액세스: SAM 계정과 공유의 익명 열거 허용 안 함 설정을 사용하는 것은 해로운 구성입니다.
    3. 이 설정을 사용하는 이유
      • 네트워크 액세스: SAM 계정과 공유의 익명 열거 허용 안 함 설정을 사용하면 익명 계정을 사용하는 컴퓨터와 사용자가 SAM 계정과 공유를 열거하지 못합니다.
    4. 이 설정을 사용하지 않는 이유
      • 이 설정을 사용하면 권한이 없는 사용자가 계정 이름 목록을 익명으로 표시한 다음 이 정보를 사용하여 암호를 추측하거나 사회 공학적 기술 공격을 수행합니다. 사회 공학적 기술은 다른 사람을 속여 암호나 특정 형태의 보안 정보를 드러내도록 하는 것을 의미하는 전문 용어입니다.
      • 이 설정을 사용하면 Windows NT 4.0 도메인과 트러스트를 설정할 수 없습니다. 이 설정은 서버에서 리소스를 사용하려고 하는 Windows NT 3.51 및 Windows 95 클라이언트 같은 하위 수준 클라이언트에서도 문제를 일으킵니다.
      • 트러스팅 도메인의 관리자가 다른 도메인의 계정 목록을 열거할 수 없기 때문에 리소스 도메인의 사용자에게 액세스 권한을 부여할 수 없습니다. 파일과 인쇄 서버에 익명으로 액세스하는 사용자는 이러한 서버에서 공유 네트워크 리소스 목록을 표시할 수 없습니다. 사용자가 공유 폴더와 프린터의 목록을 볼 수 있으려면 먼저 인증을 받아야 합니다.
    5. 기호 이름:

      RestrictAnonymous
    6. 레지스트리 경로
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous
    7. 호환성 문제의 예
      • Windows NT 4.0:사용자의 도메인에 있는 도메인 컨트롤러에서 RestrictAnonymous를 사용하면 사용자가 Windows NT 4.0 워크스테이션에서 암호를 변경할 수 없습니다. 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.
        198941 사용자가 로그온할 때 암호를 변경할 수 없다
      • Windows NT 4.0: 사용자 관리자에서 트러스트된 Windows 2000 도메인의 사용자 또는 글로벌 그룹을 Windows NT 4.0 로컬 그룹에 추가하면 실패하고 다음 오류 메시지와 나타납니다.
        지금은 로그온 요청에 서비스할 수 있는 로그온 서버가 없습니다.
        자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.
        296405 "RestrictAnonymous" 레지스트리 값이 Windows 2000 도메인에 대한 트러스트를 손상시킬 수 있다
      • Windows NT 4.0: Windows NT 4.0 기반 컴퓨터가 설치하는 동안이나 도메인 참가 사용자 인터페이스를 사용하여 도메인에 참가할 수 없습니다.

        자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.
        184538 오류 메시지: A Controller for This Domain Could Not Be Found
      • Windows NT 4.0: Windows NT 4.0 리소스와의 하위 수준 트러스트 설정이 실패합니다. RestrictAnonymous가 트러스트된 도메인에서 사용되도록 설정되면 다음 오류 메시지가 나타납니다.
        이 도메인의 도메인 컨트롤러를 찾을 수 없습니다.
        자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.
        178640 트러스트를 설정할 때 도메인 컨트롤러를 찾을 수 없다
      • Windows NT 4.0: Windows NT 4.0 기반 터미널 서버에 로그온하는 사용자가 사용자 관리자에서 도메인에 대해 정의되어 있는 홈 디렉터리 대신 기본 홈 디렉터리로 매핑됩니다.

        자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.
        236185 서비스 팩 4 이상을 적용한 후 터미널 서버 사용자 프로필 및 홈 폴더 경로가 무시된다
      • Windows NT 4.0: Windows NT 4.0 BDC(백업 도메인 컨트롤러)가 Net Logon 서비스를 시작하거나 백업 브라우저의 목록을 얻거나 같은 도메인에 있는 Windows 2000 또는 Windows Server 2003 도메인 컨트롤러의 SAM 데이터베이스를 동기화할 수 없습니다.

        자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.
        293127 Windows 2000 도메인에서 Windows NT 4.0 BDC의 Net Logon 서비스가 작동하지 않는다
      • Windows 2000: 클라이언트 컴퓨터의 로컬 보안 정책에서 명백한 익명의 사용 권한이 없으면 액세스 못함 설정을 사용하는 경우 Windows NT 4.0 도메인에 있는 Windows 2000 기반의 구성원 컴퓨터가 외부 도메인에 있는 프린터를 볼 수 없습니다.

        자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.
        280329 사용자가 프린터 속성을 관리하거나 볼 수 없다
      • Windows 2000: Windows 2000 도메인 사용자가 Active Directory에서 네트워크 프린터를 추가할 수 없지만 트리 뷰에서 네트워크 프린터를 선택한 후에는 추가할 수 있습니다.

        자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.
        318866 글로벌 카탈로그 서버에 SRP1(보안 롤업 패키지 1)을 설치한 후 Outlook 클라이언트에서 전체 주소 목록을 볼 수 없다
      • Windows 2000: Windows 2000 기반 컴퓨터에서 ACL 편집기가 트러스트된 Windows NT 4.0 도메인의 사용자나 글로벌 그룹을 추가할 수 없습니다.

        자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.
        296403 RestrictAnonymous 값이 혼합 도메인 환경에서 트러스트를 손상시킨다
      • ADMT 버전 2: ADMT(Active Directory 마이그레이션 도구) 버전 2를 사용하여 포리스트 간에 마이그레이션되는 사용자 계정에 대한 암호 마이그레이션이 실패합니다.

        자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.
        322981 ADMTv2를 사용한 포리스트 간 암호 마이그레이션 문제를 해결하는 방법
      • Outlook 클라이언트: Microsoft Exchange Outlook 클라이언트에게 전체 주소 목록이 비어 있는 것으로 나타납니다.

        자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.
        318866 글로벌 카탈로그 서버에 SRP1(보안 롤업 패키지 1)을 설치한 후 Outlook 클라이언트에서 전체 주소 목록을 볼 수 없다
        321169 Windows XP에서 Windows 2000 도메인 컨트롤러로 파일을 복사하면 SMB 성능이 느려진다
      • SMS: Microsoft Systems Management Server(SMS) Network Discovery가 운영 체제 정보를 얻을 수 없으므로 DDR(데이터 레코드 검색)에 대한 SMS DDR 속성의 OperatingSystemNameandVersion 속성에 "Unknown"이라고 씁니다.

        자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.
        229769 SMS: Discovery Data Manager가 클라이언트 구성 요청을 생성할 시기를 결정하는 방법
      • SMS: SMS 관리자 사용자 마법사를 사용하여 사용자와 그룹을 찾을 때 사용자나 그룹이 표시되지 않습니다. 또한 고급 클라이언트에서 관리 지점과 통신할 수 없습니다. 관리 지점에는 익명 액세스가 필요합니다.

        자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.
        302413 SMS: 관리자 사용자 마법사(Administrator User Wizard)에 사용자나 그룹이 표시되지 않는다
      • SMS:토폴로지, 클라이언트 및 클라이언트 운영 체제 네트워크 검색 옵션을 설정하여 SMS 2.0과 원격 클라이언트 설치에서 Network Discovery 기능을 사용할 때 컴퓨터가 검색될 수 있지만 설치되어 있지 않을 수 있습니다.

        자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.
        311257 SMS: 익명 연결이 해제되어 있으면 리소스가 검색되지 않는다
  10. 네트워크 보안: LAN Manager 인증 수준
    1. 배경

      LM(LAN Manager) 인증은 도메인 참가, 네트워크 리소스 액세스 및 사용자 또는 컴퓨터 인증과 같은 네트워크 작업에 대해 Windows 클라이언트를 인증하는 데 사용되는 프로토콜입니다. LM 인증 수준은 클라이언트와 서버 컴퓨터 간에 협상되는 Challenge/Response 인증 프로토콜을 결정합니다. 특히, LM 인증 수준은 클라이언트가 협상하려고 하거나 서버가 받아들이는 인증 프로토콜을 결정합니다. LmCompatibilityLevel에 대해 설정된 값은 네트워크 로그인에 사용되는 Challenge/Response 인증 프로토콜을 결정합니다. 이 값은 클라이언트가 사용하는 인증 프로토콜의 수준, 협상된 세션 보안의 수준 및 서버에서 승인한 인증의 수준에 영향을 줍니다.

      가능한 설정은 다음과 같습니다.
      설정설명
      0 LM 및 NTLM 응답 보내기클라이언트가 LM 및 NTLM 인증을 사용하며 NTLMv2 세션 보안은 사용하지 않습니다. 도메인 컨트롤러가 LM, NTLM 및 NTLMv2 인증을 받아들입니다.
      1LM 및 NTLM 보내기 - 협상되면 NTLMv2 세션 보안 사용클라이언트가 LM 및 NTLM 인증을 사용하고, 서버가 지원하는 경우 NTLMv2 세션 보안을 사용합니다. 도메인 컨트롤러가 LM, NTLM 및 NTLMv2 인증을 받아들입니다.
      2NTLM 응답 보냄클라이언트가 NTLM 인증만 사용하고 서버가 지원하는 경우 NTLMv2 세션 보안을 사용합니다. 도메인 컨트롤러가 LM, NTLM 및 NTLMv2 인증을 받아들입니다.
      3NTLMv2 응답만 보냄클라이언트가 NTLMv2 인증만 사용하고 서버가 지원하는 경우 NTLMv2 세션 보안을 사용합니다. 도메인 컨트롤러가 LM, NTLM 및 NTLMv2 인증을 받아들입니다.
      4NTLMv2 응답만 보냄/LM 거부클라이언트가 NTLMv2 인증만 사용하고 서버가 지원하는 경우 NTLMv2 세션 보안을 사용합니다. 도메인 컨트롤러가 LM을 거부하고 NTLM 및 NTLMv2 인증만 받아들입니다.
      5NTLMv2 응답만 보냄/LM 및 NTLM 거부클라이언트가 NTLMv2 인증만 사용하고 서버가 지원하는 경우 NTLMv2 세션 보안을 사용합니다. 도메인 컨트롤러가 LM 및 NTLM을 거부하고 NTLMv2 인증만 받아들입니다.
      참고 Windows 95, Windows 98 및 Windows 98 Second Edition에서 디렉터리 서비스 클라이언트가 NTLM 인증을 사용하여 Windows Server 2003와 인증하는 경우 SMB 서명을 사용합니다. 그러나 이러한 클라이언트는 NTLMv2 인증을 사용하여 이러한 서버와 인증하는 경우 SMB 서명을 사용하지 않습니다. 또한 Windows 2000 서버는 이러한 클라이언트의 SMB 서명 요청에 응답하지 않습니다.

      LM 인증 수준 확인: NTLM을 허용하도록 서버의 정책을 변경하거나 NTLMv2를 지원하도록 클라이언트 컴퓨터를 구성해야 합니다.

      연결할 대상 컴퓨터에서 정책을 (5) NTLMv2 응답만 보냄\LM 및 NTLM 거부로 설정한 경우 해당 컴퓨터에서 이 설정을 낮추거나 보안을 연결해 온 원본 컴퓨터의 설정과 동일하게 설정해야 합니다.

      LAN Manager 인증 수준을 변경할 수 있는 올바른 위치를 찾아 클라이언트와 서버를 동일한 수준으로 설정합니다. 이전 버전의 Windows를 실행하는 컴퓨터와 연결하려면 LAN Manager 인증 수준을 설정하는 정책을 찾은 후 해당 값을 최소 (1) LM 및 NTLM 보내기 - 협상되면 NTLMv2 세션 보안 사용으로 낮춥니다. 서버가 NTLMv2를 요구하나(값 5) 클라이언트가 LM 및 NTLMv1만 사용하도록 구성된 경우(값 0)와 같이 호환되지 않는 설정을 사용하는 경우 인증을 시도하는 사용자에게 잘못된 암호로 인해 잘못된 암호 카운트를 증가하는 로그온 오류 등의 문제가 발생할 수 있습니다. 계정 잠금이 구성된 경우 사용자가 결국 잠기게 됩니다.

      예를 들어, 도메인 컨트롤러나 도메인 컨트롤러 정책을 확인해야 하는 경우가 있을 수 있습니다.

      도메인 컨트롤러 확인

      참고 모든 도메인 컨트롤러에서 다음 절차를 반복해야 할 수 있습니다.
      1. 시작을 누르고 프로그램을 가리킨 다음 관리 도구를 누릅니다.
      2. 로컬 보안 설정에서 로컬 정책을 확장합니다.
      3. 보안 옵션을 누릅니다.
      4. 네트워크 보안: LAN Manager 인증 수준을 두 번 클릭한 다음 목록에서 값을 클릭합니다.

      실제 설정과 로컬 설정이 같으면 이 수준에서 정책이 변경된 것입니다. 이 두 설정이 다르면 도메인 컨트롤러 정책을 확인하여 네트워크 보안: LAN Manager 인증 수준 설정이 정의되어 있는지 여부를 확인합니다. 이 설정이 정의되어 있지 않으면 도메인 컨트롤러 정책을 확인합니다.

      도메인 컨트롤러 정책 확인
      1. 시작을 누르고 프로그램을 가리킨 다음 관리 도구를 누릅니다.
      2. 도메인 컨트롤러 보안 정책에서 보안 설정을 확장한 다음 로컬 정책을 확장합니다.
      3. 보안 옵션을 누릅니다.
      4. 네트워크 보안: LAN Manager 인증 수준을 두 번 클릭한 다음 목록에서 값을 클릭합니다.

      참고
      • 사이트 수준, 도메인 수준 또는 OU(조직 구성 단위) 수준에서 연결된 정책을 검사하여 LAN Manager 인증 수준을 구성해야 하는지 여부를 확인할 수도 있습니다.
      • 그룹 정책 설정을 기본 도메인 정책으로 구현하면 정책이 도메인에 있는 모든 컴퓨터에 적용됩니다.
      • 그룹 정책 설정을 기본 도메인 컨트롤러 정책으로 구현하면 정책이 도메인 컨트롤러의 OU에 있는 서버에만 적용됩니다.
      • 정책 응용 프로그램 계층에서 필요한 범위의 가장 낮은 엔터티에 LAN Manager 인증 수준을 설정하는 것이 좋습니다.

      Windows Server 2003에는 NTLMv2만 사용하는 기본 설정이 새로 추가되었습니다. 기본적으로 Windows Server 2003 및 Windows 2000 Server SP3 기반 도메인 컨트롤러에서는 "Microsoft 네트워크 서버: 디지털 서명 통신(항상)" 정책이 사용하도록 설정되어 있습니다. 이 설정을 사용하려면 SMB 서버에서 SMB 패킷 서명을 수행해야 합니다.조직에 있는 도메인 컨트롤러, 파일 서버, 네트워크 인프라 서버 및 웹 서버에서 보안을 최대화하기 위해 각기 다른 설정을 필요로 하기 때문에 Windows Server 2003이 변경되었습니다.

      네트워크에서 NTLMv2 인증을 구현하려면 도메인에 있는 모든 컴퓨터가 이 인증 수준을 사용하도록 설정되어 있는지 확인해야 합니다. Windows 95 또는 Windows 98 및 Windows NT 4.0용 Active Directory 클라이언트 확장을 적용하면 클라이언트 확장에서 NTLMv2에서 사용할 수 있는 향상된 인증 기능을 사용합니다. 다음 운영 체제를 실행하는 클라이언트 컴퓨터는 Windows 2000 그룹 정책 개체의 영향을 받지 않으므로 이러한 클라이언트를 수동으로 구성해야 할 수 있습니다.
      • Microsoft Windows NT 4.0
      • Microsoft Windows Millennium Edition
      • Microsoft Windows 98
      • Microsoft Windows 95
      참고 네트워크 보안: 다음 암호 변경 시 LAN Manager 해시 값 저장 안 함 정책이나 NoLMHash 레지스트리 키를 사용하도록 설정한 경우 디렉터리 서비스 클라이언트가 설치되어 있지 않은 Windows 95 기반 및 Windows 98 기반 클라이언트에서는 암호 변경 후 도메인에 로그온할 수 없습니다.

      Novell Netware 6 같은 많은 타사 CIFS 서버에서는 NTLMv2 및 NTLM만 인식하지 못합니다. 따라서 2 이상의 수준에서는 연결이 허용되지 않습니다. 또한 연장된 세션 보안을 사용하지 않는 타사 SMB 클라이언트가 있습니다. 이러한 경우 리소스 서버의 LmCompatiblityLevel은 고려되지 않습니다. 그런 다음 서버는 이 레거시 요청을 모아서 도메인 컨트롤러에 보냅니다. 그런 다음 도메인 컨트롤러의 설정은 요청을 확인하는 데 어떤 해시가 사용되는지 그리고 이러한 해시가 도메인 컨트롤러의 보안 요구 사항을 충족하는지 확인합니다.

      수동으로 LAN Manager 인증 수준을 구성하는 방법에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.
      147706 Windows NT에서 LM 인증을 해제하는 방법
      175641 LMCompatibilityLevel 및 그 영향
      299656 Windows에서 Active Directory 및 로컬 SAM 데이터베이스에 암호의 LAN Manager 해시를 저장하지 못하도록 하는 방법
      312630 Outlook에서 로그온 자격 증명을 계속 요청한다
      2701704감사 이벤트는 NTLMv2 대신 NTLMv1으로 인증 패키지를 표시합니다. (영어로 표시될 수 있습니다)
      LM 인증 수준에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.
      239869 NTLM 2 인증을 사용 가능하게 설정하는 방법
    2. 위험한 구성

      다음은 해로운 구성 설정입니다.
      • 일반 텍스트로 암호를 보내고 NTLMv2 협상을 거부하는 비제한적인 설정
      • 호환되지 않는 클라이언트나 도메인 컨트롤러가 일반 인증 프로토콜을 협상하지 못하게 하는 제한적 설정
      • SP4(서비스 팩 4) 이전 버전의 Windows NT 4.0을 실행하는 구성원 컴퓨터와 도메인 컨트롤러에서 NTLMv2 인증 요청
      • Windows 디렉터리 서비스 클라이언트가 설치되지 않은 Windows 95 클라이언트나 Windows 98 클라이언트에서 NTLMv2 인증 요청
      • Windows Server 2003 또는 Windows 2000 서비스 팩 3 기반 컴퓨터의 Microsoft Management Console 그룹 정책 편집기 스냅인에서 NTLMv2 세션 보안 필요 확인란을 선택하고 LAN Manager 인증 수준을 0으로 낮추면 두 설정이 충돌하므로 Secpol.msc 파일이나 GPEdit.msc 파일에 다음과 같은 오류 메시지가 나타날 수 있습니다.
        로컬 정책 데이터베이스를 열 수 없습니다. 데이터베이스를 여는 동안 알 수 없는 오류가 발생했습니다.
        보안 구성 및 분석 도구에 대한 자세한 내용은 Windows 2000 또는 Windows Server 2003 도움말 파일을 참조하십시오.

        Windows 2000 및 Windows Server 2003에서 보안 수준을 분석하는 방법에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.
        313203 Windows 2000에서 시스템 보안을 분석하는 방법
        816580 Windows Server 2003에서 시스템 보안을 분석하는 방법
    3. 이 설정을 수정하는 이유
      • 조직의 클라이언트와 도메인 컨트롤러가 지원하는 가장 낮은 수준의 일반 인증 프로토콜을 늘리려고 합니다.
      • 보안 인증이 비즈니스 요구 사항인 경우 LM 및 NTLM 프로토콜의 협상을 허용하지 않으려고 합니다.
    4. 이 설정을 사용하지 않는 이유

      클라이언트 인증 요구 사항이나 서버 인증 요구 사항 또는 둘 다 일반 프로토콜을 통한 인증이 수행될 수 없을 만큼 늘어났습니다.
    5. 기호 이름:

      LmCompatibilityLevel
    6. 레지스트리 경로
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel
    7. 호환성 문제의 예
      • Windows Server 2003: 기본적으로 Windows Server 2003 NTLMv2의 NTLM 응답 보냄 설정이 사용하도록 설정되어 있습니다. 따라서 Windows Server 2003에서는 Windows NT 4.0 기반 클러스터나 OS/2 Lanserver 같은 LanManager V2.1 기반 서버에 연결하려고 할 때 초기 설치 후에 "액세스 거부" 오류 메시지가 나타납니다. 이 문제는 이전 버전의 클라이언트에서 Windows Server 2003 기반 서버에 연결하려고 하는 경우에도 발생합니다.
      • Windows 2000 SRP1(보안 롤업 패키지 1)을 설치합니다. SRP1은 NTLMv2(NTLM 버전 2)를 강제로 적용합니다. 이 롤업 패키지는 Windows 2000 SP2(서비스 팩 2) 이후에 출시되었습니다. SRP1에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.

        311401 Windows 2000 SRP1(보안 롤업 패키지 1), 2002년 1월
      • Windows 7 및 Windows Server 2008 R2: Novell Netware 6 또는 Linux 기반 Samba 서버 같은 많은 타사 CIFS 서버에서는 NTLMv2 및 NTLM만 인식하지 못합니다. 따라서 "2" 이상의 수준에서는 연결이 허용되지 않습니다. 이제 이 버전의 운영 체제에서 LmCompatibilityLevel에 대한 기본값이 "3"으로 변경되었습니다. 따라서 Windows를 업그레이드하는 경우 이러한 타사 파일러(filer)가 작동을 멈출 수 있습니다.
      • Microsoft Outlook 클라이언트가 도메인에 이미 로그온한 경우에도 자격 증명을 요청할 수 있습니다. 자격 증명을 제공하면 다음과 같은 오류 메시지가 나타납니다. Windows 7 및 Windows Server 2008 R2
        로그온한 사용자를 확인할 수 없습니다. 사용자 이름과 도메인이 맞는지 확인한 다음 암호를 다시 입력하십시오.
        Outlook을 시작하면 네트워크 보안 로그온 설정이 통과 또는 암호 인증으로 설정된 경우에도 자격 증명을 요청할 수 있습니다. 올바른 자격 증명을 입력하면 다음과 유사한 오류 메시지가 나타날 수 있습니다.
        로그온한 사용자를 확인할 수 없습니다.
        네트워크 모니터 추적이 글로벌 카탈로그에서 0x5 상태와 함께 RPC(원격 프로시저 호출) 오류가 발생했음을 보여 줍니다. 0x5 상태는 "액세스가 거부되었음"을 나타냅니다.
      • Windows 2000: 네트워크 모니터 캡처가 NetBT(NetBIOS over TCP/IP) SMB(서버 메시지 블록) 세션에서 다음과 같은 오류가 발생했음을 보여 줄 수 있습니다.
        SMB R Search Directory Dos error, (5) ACCESS_DENIED (109) STATUS_LOGON_FAILURE (91) Invalid user identifier
      • Windows 2000: NTLMv2 수준 2 이상을 사용하는 Windows 2000 도메인이 Windows NT 4.0 도메인에 의해 트러스트되면 리소스 도메인에 있는 Windows 2000 기반 구성원 컴퓨터에 인증 오류가 발생할 수 있습니다.

        자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.
        305379 Windows NT 4.0 도메인에서 NTLM 수준 2 이상을 사용하는 Windows 2000에서 인증 문제가 발생한다
      • Windows 2000 및 Windows XP: 기본적으로 Windows 2000 및 Windows XP에서는 LAN Manager 인증 수준 로컬 보안 정책 옵션을 0으로 설정합니다. 값 0은 "LM 및 NTLM 응답 보냄"을 의미합니다.

        참고 Windows NT 4.0 기반 클러스터는 관리용 LM을 사용해야 합니다.
      • Windows 2000: 두 노드가 Windows NT 4.0 SP6a(서비스 팩 6a) 도메인에 속해 있으면 Windows 2000 클러스터링이 가입 노드를 인증하지 않습니다.

        자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.
        305379 Windows NT 4.0 도메인에서 NTLM 수준 2 이상을 사용하는 Windows 2000에서 인증 문제가 발생한다
      • IIS Lockdown 도구(HiSecWeb)는 LMCompatibilityLevel 값을 5로 설정하고 RestrictAnonymous 값을 2로 설정합니다.
      • Macintosh용 서비스

        UAM(사용자 인증 모듈): Microsoft UAM(사용자 인증 모듈)을 사용하면 Windows AFP(AppleTalk Filing Protocol) 서버에 로그온하는 데 사용하는 암호를 암호화할 수 있습니다. Apple UAM(사용자 인증 모듈)은 최소 수준의 인증만 제공하거나 인증을 제공하지 않습니다. 따라서 사용자의 암호가 LAN이나 인터넷상에서 쉽게 가로채일 수 있습니다. UAM은 반드시 필요하지는 않지만 Macintosh용 서비스를 실행하는 Windows 2000 Server에 암호화된 인증을 제공합니다. 이 버전에는 128비트로 암호화된 NTLMv2 인증 및 MacOS X 10.1 호환 릴리스에 대한 지원이 포함되어 있습니다.

        기본적으로 Macintosh 서버용 Windows Server 2003 서비스는 Microsoft 인증만 허용합니다.

        자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.
        834498 Macintosh 클라이언트가 Windows Server 2003에서 Mac용 서비스에 연결할 수 없다
        838331 Mac OS X 사용자가 Windows Server 2003 기반 서버에서 Macintosh 공유 폴더를 열 수 없다
      • Windows Server 2008, Windows Server 2003, Windows XP 및 Windows 2000: LMCompatibilityLevel 값을 0 또는 1로 구성하고 NoLMHash 값을 1로 구성하면 응용 프로그램과 구성 요소가 NTLM으로 액세스할 수 없습니다. 컴퓨터에서 LM을 사용할 수 있지만 LM에 저장된 암호를 사용할 수 없기 때문에 이 문제가 발생합니다.

        NoLMHash 값을 1로 구성한 경우 LMCompatibilityLevel 값은 2보다 높은 값으로 구성해야 합니다.
  11. 네트워크 보안: LDAP 클라이언트 서명 필요
    1. 배경

      네트워크 보안: LDAP 클라이언트 서명 필요 설정은 LDAP(Lightweight Directory Access Protocol) BIND 요청을 발행하는 클라이언트를 위해 필요한 데이터 서명의 수준을 다음과 같이 결정합니다.
      • 없음: LDAP BIND 요청은 호출자가 지정한 옵션을 사용하여 발행됩니다.
      • 서명 협상: SSL/TLS(Secure Sockets Layer/Transport Layer Security)가 시작되지 않았으면 LDAP BIND 요청이 호출자가 지정한 옵션뿐 아니라 LDAP 데이터 서명 옵션 집합을 사용하여 시작됩니다. SSL/TLS가 시작되었으면 LDAP BIND 요청은 호출자가 지정한 옵션을 사용하여 시작됩니다.
      • 서명 필요: 이것은 서명 협상과 동일합니다. 그러나 LDAP 서버의 중간 saslBindInProgress 응답이 LDAP 트래픽 서명이 필요하다는 것을 나타내지 않으면 호출자가 LDAP BIND 명령 요청이 실패했다는 통보를 받습니다.
    2. 위험한 구성

      네트워크 보안: LDAP 클라이언트 서명 필요 설정을 사용하는 것은 해로운 구성 설정입니다. LDAP 서명을 요청하도록 서버를 설정하면 클라이언트에서도 LDAP 서명을 구성해야 합니다. LDAP 서명을 사용하도록 클라이언트를 구성하지 않으면 서버와 통신할 수 없습니다. 이렇게 되면 사용자 인증, 그룹 정책 설정, 로그인 스크립트 및 다른 기능이 실패합니다.
    3. 이 설정을 수정하는 이유

      서명되지 않은 네트워크 트래픽은 침입자가 클라이언트와 서버 간의 패킷을 가로채서 수정한 다음 서버로 전달하는 공격(사람이 중간에 개입하는 공격)을 받기 쉽습니다. 이 문제가 LDAP 서버에서 발생하면 공격자는 서버가 LDAP 클라이언트의 허위 쿼리를 기초로 응답하도록 할 수 있습니다. 네트워크 인프라를 보호하는 데 도움이 되는 강력한 물리적 보안 조치를 구현하여 회사 네트워크에서 이 위험을 낮출 수 있습니다. 또한 IPSec 인증 헤더를 통해 모든 네트워크 패킷에서 디지털 서명을 요청하여 사람이 중간에 개입하는 모든 종류의 공격을 방지할 수 있습니다.
    4. 기호 이름:

      LDAPClientIntegrity
    5. 레지스트리 경로
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity
  12. 이벤트 로그: 보안 로그 최대 크기
    1. 배경

      이벤트 로그: 최대 보안 로그 크기 보안 설정은 보안 이벤트 로그의 최대 크기를 지정합니다. 이 로그의 최대 크기는 4GB입니다. 이 설정을 찾으려면 Windows 설정, 보안 설정을 차례로 확장하십시오.
    2. 위험한 구성

      다음은 해로운 구성 설정입니다.
      • 감사: 보안 감사를 로그할 수 없는 경우 즉시 시스템 종료 설정을 사용하는 경우 보안 로그 크기와 보안 로그 보관 방법 제한. 자세한 내용은 이 문서의 "감사: 보안 감사를 로그할 수 없는 경우 즉시 시스템 종료" 절을 참조하십시오.
      • 원하는 보안 이벤트를 덮어쓰도록 보안 로그 크기 제한
    3. 이 설정을 늘리는 이유

      비즈니스 및 보안 요구 사항에 따라 추가 보안 로그 정보를 처리하거나 더 오랫동안 보안 로그를 보관하기 위해 보안 로그 크기를 늘려야 할 수 있습니다.
    4. 이 설정을 줄이는 이유

      이벤트 뷰어 로그는 메모리 매핑 파일입니다. 이벤트 로그의 최대 크기는 로컬 컴퓨터의 실제 메모리 양과 이벤트 로그 프로세스에 사용할 수 있는 가상 메모리에 따라 제한됩니다. 이벤트 뷰어에 사용할 수 있는 가상 메모리의 양보다 크게 로그 크기를 늘려도 유지되는 로그 항목의 수가 늘어나지 않습니다.
    5. 호환성 문제의 예

      Windows 2000: 이벤트 덮어쓰지 않음(수동으로 로그 지우기) 옵션이 설정되어 있는 경우 SP4(서비스 팩 4) 이전 버전의 Windows 2000을 실행하는 컴퓨터에서 이벤트 뷰어의 최대 로그 크기 설정에 지정된 크기에 도달하기 전에 이벤트 로그가 이벤트 기록을 중지할 수 있습니다.

      자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.
      312571 최대 로그 크기에 도달하기 전에 이벤트 로그가 이벤트 기록을 중지함
  13. 이벤트 로그: 보안 로그 보관 기간
    1. 배경

      이벤트 로그: 보안 로그 보관 기간 보안 설정은 보안 로그의 "보관" 방법을 결정합니다. 이 설정을 찾으려면 Windows 설정, 보안 설정을 차례로 확장하십시오.
    2. 위험한 구성

      다음은 해로운 구성 설정입니다.
      • 덮어쓰기 전에 기록된 모든 보안 이벤트 보관 실패
      • 보안 이벤트를 덮어쓰도록 최대 보안 로그 크기 설정을 너무 작게 구성
      • 감사: 보안 감사를 로그할 수 없는 경우 즉시 시스템 종료 보안 설정을 사용하는 상태에서 보안 로그 크기와 보관 방법 제한
    3. 이 설정을 사용하는 이유

      매일 이벤트 덮어쓰기 보존 방법을 선택한 경우만 이 설정을 사용합니다. 이벤트를 폴링하는 이벤트 상관 관계 시스템을 사용하는 경우 일 수는 폴링 빈도의 세 배 이상이 되어야 합니다. 이렇게 하려면 실패한 폴링 주기가 허용됩니다.
  14. 네트워크 액세스: Everyone 사용 권한을 익명 사용자에게 적용
    1. 배경

      기본적으로 네트워크 액세스: Everyone 사용 권한을 익명 사용자에게 적용 설정은 Windows 2000에서 정의되지 않음으로 설정됩니다. 기본적으로 Windows Server 2003에서는 Everyone 그룹에 익명 액세스 토큰이 포함되지 않습니다.
    2. 호환성 문제의 예

      Windows Server 2003 도메인이 계정 도메인이고 Windows NT 4.0 도메인이 리소스 도메인일 경우 다음 레지스트리 키의
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous
      [REG_DWORD]=0x0 값은 Windows Server 2003과 Windows NT 4.0 간의 트러스트 생성을 손상시킵니다. 이는 계정 도메인은 Windows NT 4.0에서 트러스트되고 리소스 도메인은 Windows Server 2003 쪽에 트러스트한다는 의미입니다. 초기 익명 연결 후에 트러스트 관계를 시작하는 프로세스가 Windows NT 4.0에서 익명 SID를 포함하는 Everyone 토큰을 사용하여 ACL로 처리되기 때문에 이러한 문제가 발생합니다.
    3. 이 설정을 수정하는 이유

      값을 0x1로 설정하거나 도메인 컨트롤러의 OU에서 GPO를 사용하여 네트워크 액세스: Everyone 사용 권한을 익명 사용자에게 적용사용으로 설정합니다. 그러면 트러스트를 만들 수 있습니다.

      참고 대부분의 다른 보안 설정은 값이 0x0 이상일 때 가장 안전한 상태입니다. 모든 도메인 컨트롤러에서 레지스트리를 변경하는 것보다 주 도메인 컨트롤러 에뮬레이터에서 레지스트리를 변경하는 것이 더 안전한 방법입니다. 어떤 이유로 주 도메인 컨트롤러 에뮬레이터 역할을 변경한 경우에는 새 서버에서 레지스트리를 업데이트해야 합니다.

      이 값을 설정한 후에는 시스템을 다시 시작해야 합니다.
    4. 레지스트리 경로
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous
  15. NTLMv2 인증

    1. 세션 보안

      세션 보안은 클라이언트와 서버 세션의 최소 보안 표준을 결정합니다. Microsoft Management Console 그룹 정책 편집기 스냅인에서 다음 보안 정책 설정을 확인하는 것이 좋습니다.
      • 컴퓨터 설정\Windows 설정\보안 설정\로컬 정책\보안 옵션
      • 네트워크 보안: NTLM SSP 기반에 대한 최소 세션 보안 (보안 RPC 포함) 서버
      • 네트워크 보안: NTLM SSP 기반에 대한 최소 세션 보안 (보안 RPC 포함) 클라이언트
      이러한 설정의 옵션은 다음과 같습니다.
      • 메시지 무결성 필요
      • 메시지 기밀성 필요
      • NTLMv2 세션 보안 필요
      • 128비트 암호화 필요
      Windows 7 이전 기본 설정은 요구 사항 없음입니다. 보안 향상을 위해 Windows 7부터 기본 설정이 128비트 암호화 필요로 변경되었습니다. 이 기본값으로는 128비트 암호화를 지원하지 않는 레거시 장치를 연결할 수 없습니다.

      이러한 정책은 클라이언트의 서버에서 응용 프로그램 간 통신 세션의 최소 보안 표준을 결정합니다.

      전통적으로 Windows NT는 네트워크 로그온을 위한 Challenge/Response 인증의 다음 두 가지 변종을 지원합니다.
      • LM Challenge/Response
      • NTLM 버전 1 Challenge/Response
      LM을 사용하면 기존에 설치된 클라이언트 및 서버와 상호 작용할 수 있습니다. NTLM은 클라이언트와 서버 사이의 연결에 개선된 보안 기능을 제공합니다.

      해당 레지스트리 키는 다음과 같습니다.
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinServerSec"

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\"NtlmMinClientSec"
    2. 위험한 구성

      이 설정은 NTLM을 사용하여 보호하는 네트워크 세션이 처리되는 방식을 제어하며 예를 들어 NTLM으로 인증된 RPC 기반 세션에 영향을 미칩니다. 다음과 같은 위험이 있습니다.
      • 서명 통신(무결성)은 유선에서 통신을 수정에 취약하게 만들지 않습니다.
      • 암호화 통신(기밀성)은 유선에서 통신을 검사에 취약하게 만들지 않습니다.
      • NTLMv2 이전 인증 방법을 사용하면 더 간단한 해시 방법이 사용되기 때문에 통신을 공격하기가 더 쉬워집니다.
      • 128비트 미만 암호화 키 사용을 통해 공격자는 무차별 암호 대입 공격(brute force attack)을 사용하여 통신을 중단시킬 수 있습니다.

시간 동기화

시간 동기화를 수행하지 못했습니다. 영향을 받는 컴퓨터의 시간이 30분 이상 느립니다. 클라이언트 컴퓨터의 시계가 도메인 컨트롤러의 시계와 동기화되었는지 확인합니다.

SMB 서명 해결 방법

여기를 클릭하여 SMB 서명 문제를 해결하는 방법에 대한 자세한 내용 참조
Windows Server 2003 기반 도메인에서 상호 작용하는 Windows NT 4.0 클라이언트에는 SP6a(서비스 팩 6a)를 설치하는 것이 좋습니다. Windows 98 Second Edition 기반 클라이언트, Windows 98 기반 클라이언트 및 Windows 95 기반 클라이언트에서는 디렉터리 서비스 클라이언트를 실행하여 NTLMv2를 수행해야 합니다. Windows NT 4.0 기반 클라이언트에 Windows NT 4.0 SP6이 설치되어 있지 않거나 Windows 95 기반 클라이언트, Windows 98 기반 클라이언트 및 Windows 98 SE 기반 클라이언트에 디렉터리 서비스 클라이언트가 설치되어 있지 않은 경우 도메인 컨트롤러의 OU에 있는 기본 도메인 컨트롤러의 정책 설정에서 SMB 서명을 해제한 다음 이 정책을 도메인 컨트롤러를 호스팅하는 모든 OU에 연결합니다.

Windows 98 Second Edition, Windows 98 및 Windows 95용 디렉터리 서비스 클라이언트는 NTLMv2 인증이 아닌 NTLM 인증을 사용하여 Windows 2003 서버에서 SMB 서명을 수행합니다. 또한 Windows 2000 서버는 이러한 클라이언트의 SMB 서명 요청에 응답하지 않습니다.

권장하지는 않지만 도메인의 Windows Server 2003을 실행하는 모든 도메인 컨트롤러에서 SMB 서명을 요청하지 못하도록 할 수 있습니다. 이 보안 설정을 구성하려면 다음과 같이 하십시오.
  1. 기본 도메인 컨트롤러 정책을 엽니다.
  2. 컴퓨터 구성\Windows 설정\보안 설정\로컬 정책\보안 옵션 폴더를 엽니다.
  3. Microsoft 네트워크 서버: 디지털 서명 통신(항상) 정책 설정을 찾아 누른 다음 사용 안 함을 누릅니다.
중요 이 절, 방법 또는 작업에는 레지스트리를 수정하는 방법에 대한 단계가 포함되어 있습니다. 그러나 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수도 있으므로 다음 단계를 주의하여 수행해야 합니다. 추가 보호 조치로 레지스트리를 수정하기 전에 해당 레지스트리를 백업하는 것이 좋습니다. 이렇게 하면 문제가 발생하는 경우 레지스트리를 복원할 수 있습니다. 레지스트리 백업 및 복원 방법에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.
322756 Windows에서 레지스트리를 백업, 편집 및 복원하는 방법
또는 레지스트리를 수정하여 서버에서 SMB 서명을 해제합니다. 이렇게 하려면 다음과 같이 하십시오.
  1. 시작, 실행을 차례로 클릭하고 regedit를 입력한 다음 확인을 클릭합니다.
  2. 다음 하위 키를 찾아 클릭합니다.
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters
  3. enablesecuritysignature 항목을 클릭합니다.
  4. 편집 메뉴에서 수정을 클릭합니다.
  5. 값 데이터 상자에 0을 입력한 다음 확인을 클릭합니다.
  6. 레지스트리 편집기를 종료합니다.
  7. 컴퓨터를 다시 시작하거나 서버 서비스를 중지했다가 다시 시작합니다. 이렇게 하려면 명령 프롬프트에서 다음 명령을 입력한 다음 각 명령의 끝에 Enter 키를 누릅니다.
    net stop server
    net start server
참고 클라이언트 컴퓨터의 해당 키는 다음 레지스트리 하위 키에 있습니다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanworkstation\Parameters
다음은 상태 코드와 앞에서 언급한 약어 오류 메시지로 해석된 오류 코드 번호입니다.
오류 5
ERROR_ACCESS_DENIED
액세스가 거부되었습니다.
오류 1326
ERROR_LOGON_FAILURE
로그온 실패: 알 수 없는 사용자 이름이거나 암호가 틀립니다.
오류 1788
ERROR_TRUSTED_DOMAIN_FAILURE
주 도메인과 트러스트된 도메인 사이의 트러스트 관계에 이상이 있습니다.
오류 1789
ERROR_TRUSTED_RELATIONSHIP_FAILURE
워크스테이션과 주 도메인 사이의 트러스트 관계에 이상이 있습니다.
자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.
324802 Windows Server 2003에서 그룹 정책을 구성하여 시스템 서비스의 보안을 설정하는 방법
306771 Windows Server 2003 클러스터를 구성하면 "액세스 거부" 오류 메시지가 나타난다
101747 Macintosh에 Microsoft 인증을 설치하는 방법
161372 Windows NT에서 SMB 서명을 사용하는 방법
236414 NTLM 2 인증만으로 설정된 LMCompatibilityLevel에 공유를 사용할 수 없다
241338 맨 처음 로그온한 Windows NT LAN Manager 버전 3 클라이언트가 이후의 로그온 작업을 방해한다
262890 혼합 환경에서 홈 디렉터리 드라이브에 연결할 수 없다
308580 로그온하는 동안 하위 서버로의 홈 폴더 매핑이 작동하지 않는다
285901 원격 액세스, VPN 및 RIS 클라이언트가 NTLM 버전 2 인증만 받아들이도록 구성된 서버에 세션을 설정할 수 없다
816585 Windows Server 2003에서 미리 정의된 보안 템플릿을 적용하는 방법
820281 HTTP를 통해 Outlook을 사용하여 Exchange Server 2003에 연결하는 경우에는 Windows 계정 자격 증명을 제공해야 한다
user right security setting compat compatibility registry secure group policy acl rights gpedit pdce
속성

문서 ID: 823659 - 마지막 검토: 05/07/2014 16:46:00 - 수정: 23.0

Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows XP Professional, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows NT Server 4.0 Standard Edition, Microsoft Windows NT Workstation 4.0 Developer Edition, Microsoft Windows 98 Standard Edition, Microsoft Windows 95

  • kbinfo KB823659
피드백
html>cript> tml>did=1&t=">"display: none; " src="https://c1.microsoft.com/c.gif?DI=4050&did=1&t="> var varAutoFirePV = 1; var varClickTracking = 1; var varCustomerTracking = 1; var Route = "76500"; var Ctrl = ""; document.write("