적용 대상
Windows Server 2012 Windows Server 2012 R2 ESU Windows 10 Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows Server 2016 Windows 10 Enterprise version 1607 Windows 10 Pro Education, version 1607 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 DO_NOT_USE_Windows 11 IoT Enterprise, version 23H2

원래 게시 날짜: 2023년 4월

KB ID: 5036534

날짜 변경

설명

2025년 4월 8일

  • CVE-2025-26647에 대한 Kerberos 인증을 사용하여 취약성에 대한 보호에 대한 정보가 추가되었습니다.

2025년 2월 19일

  • 소개 섹션 문구를 수정했습니다.

  • 정보가 오래된 경우 "한눈에 변경 내용 강화" 섹션을 제거했습니다.

  • Windows에서 더 이상 개발되지 않는 기능과 기능에 대한 참조를 위한 "Windows의 다른 주요 변경 사항" 섹션이 추가되었습니다.

2025년 1월 30일

  • "월별 변경 내용 강화" 섹션 아래에 2026년 1월 이상 항목이 추가되었습니다.

2025년 1월 17일

  • "월별 변경 내용 강화" 섹션에 2024년 4월, 2025년 1월 및 2025년 4월 항목이 추가되었습니다.

2024년 3월 10일

  • 월간 타임라인 강화 관련 콘텐츠를 더 추가하고 2024년 2월 항목을 타임라인 제거했습니다.

소개

강화는 작업에 집중하는 동안 자산을 보호하는 데 도움이 되는 지속적인 보안 전략의 핵심 요소입니다. 점점 더 창의적인 사이버 위협은 칩에서 클라우드에 이르기까지 가능한 모든 곳에서 약점을 대상으로 합니다.

이 문서에서는 Windows 보안 업데이트를 통해 구현된 강화 변경이 진행 중인 취약한 영역을 검토합니다. 또한 Windows 메시지 센터에 미리 알림을 게시하여 IT 관리자가 접근함에 따라 키 날짜를 강화하는 것에 대해 경고합니다.  

참고: 이 문서는 변경 내용 및 타임라인 강화에 대한 최신 정보를 제공하기 위해 시간이 지남에 따라 업데이트됩니다. 최신 변경 내용을 추적하려면 로그 변경 섹션을 참조하세요.

월별 변경 내용 강화

각 단계 및 최종 적용을 계획하는 데 도움이 되도록 월별 최근 및 예정된 강화 변경에 대한 세부 정보를 참조하세요.

  • Netlogon 프로토콜 변경 KB5021130 | 2 단계 초기 적용 단계. 값 0RequireSeal 레지스트리 하위 키로 설정하여 RPC 봉인을 사용하지 않도록 설정하는 기능을 제거합니다.

  • 인증서 기반 인증 KB5014754 | 2 단계 사용 안 함 모드를 제거합니다.

  • 보안 부팅 바이패스 보호 KB5025885 | 1 단계 초기 배포 단계. 2023년 5월 9일 또는 그 이후에 릴리스된 Windows 업데이트 CVE-2023-24932에서 설명한 취약성, Windows 부팅 구성 요소 변경 및 수동으로 적용할 수 있는 두 개의 해지 파일(코드 무결성 정책 및 업데이트된 DBX(보안 부팅 허용 안 함 목록))을 해결합니다.

  • Netlogon 프로토콜 변경 KB5021130 | 3 단계 기본적으로 적용합니다. RequireSeal 하위 키는 명시적으로 호환 모드로 구성하지 않는 한 적용 모드로 이동됩니다.

  • Kerberos PAC 서명 KB5020805 | 3 단계 세 번째 배포 단계. KrbtgtFullPacSignature 하위 키를 값 0으로 설정하여 PAC 서명 추가를 사용하지 않도록 설정하는 기능을 제거합니다.

  • Netlogon 프로토콜 변경 KB5021130 | 4 단계 최종 적용. 2023년 7월 11일에 릴리스되는 Windows 업데이트에서는 1 값을 RequireSeal 레지스트리 하위 키로 설정하는 기능을 제거합니다. 이렇게 하면 CVE-2022-38023 적용 단계를 사용할 수 있습니다.

  • Kerberos PAC 서명 KB5020805 | 4 단계 초기 적용 모드. KrbtgtFullPacSignature 하위 키에 대해 값 1을 설정하는 기능을 제거하고 명시적 감사 설정으로 재정의할 수 있는 기본값(KrbtgtFullPacSignature = 3)으로 적용 모드로 이동합니다. 

  • 보안 부팅 바이패스 보호 KB5025885 | 2 단계 두 번째 배포 단계. 2023년 7월 11일 또는 그 이후에 릴리스된 Windows용 업데이트 해지 파일의 자동화된 배포, 해지 배포가 성공했는지 여부를 보고하는 새 이벤트 로그 이벤트 및 WinRE용 SafeOS 동적 업데이트 패키지가 포함됩니다.

  • Kerberos PAC 서명 KB5020805 | 5단계

    전체 적용 단계. 레지스트리 하위 키 KrbtgtFullPacSignature에 대한 지원을 제거하고 감사 모드에 대한 지원을 제거하며 새 PAC 서명이 없는 모든 서비스 티켓은 인증이 거부됩니다.

  • AD(Active Directory) 권한 업데이트 KB5008383 | 5 단계 최종 배포 단계. 최종 배포 단계는 KB5008383 "작업 수행" 섹션에 나열된 단계를 완료한 후에 시작할 수 있습니다. 적용 모드로 이동하려면 "배포 지침" 섹션의 지침에 따라 dSHeuristics 특성에 대해 28번째 및 29번째 비트를 설정합니다. 그런 다음 이벤트 3044-3046을 모니터링합니다. 적용 모드가 이전에 감사 모드에서 허용되었을 수 있는 LDAP 추가 또는 수정 작업을 차단한 경우 보고합니다. 

  • 보안 부팅 바이패스 보호 KB5025885 | 3 단계 세 번째 배포 단계. 이 단계에서는 부팅 관리자 완화를 추가합니다. 이 단계는 2024년 4월 9일부터 시작됩니다.

  • PAC 유효성 검사 변경 KB5037754 | 호환성 모드 단계

    초기 배포 단계는 2024년 4월 9일에 릴리스된 업데이트로 시작됩니다. 이 업데이트는 CVE-2024-26248 및 CVE-2024-29056에 설명된 권한 상승 취약성을 방지하지만 환경의 Windows 도메인 컨트롤러와 Windows 클라이언트가 모두 업데이트되지 않는 한 적용하지 않는 새로운 동작을 추가합니다.

    새 동작을 사용하도록 설정하고 취약성을 완화하려면 전체 Windows 환경(도메인 컨트롤러와 클라이언트 모두 포함)이 업데이트되었는지 확인해야 합니다. 감사 이벤트는 업데이트되지 않은 디바이스를 식별하는 데 도움이 되도록 기록됩니다.

  • 보안 부팅 바이패스 보호 KB5025885 | 3 단계 필수 적용 단계. 해지(코드 무결성 부팅 정책 및 보안 부팅 허용 안 함 목록)는 사용하지 않도록 설정할 옵션 없이 영향을 받는 모든 시스템에 Windows용 업데이트를 설치한 후 프로그래밍 방식으로 적용됩니다.

  • PAC 유효성 검사 변경 KB5037754 | 기본 단계별 적용

    2025년 1월 또는 그 이후에 릴리스된 업데이트 환경의 모든 Windows 도메인 컨트롤러 및 클라이언트를 적용 모드로 이동합니다. 이 모드는 기본적으로 보안 동작을 적용합니다. 이전에 설정된 기존 레지스트리 키 설정은 이 기본 동작 변경을 재정의합니다.

    관리자가 기본 적용 모드 설정을 재정의하여 호환성 모드로 되돌리기 수 있습니다.

  • 인증서 기반 인증 KB5014754 | 3 단계 전체 적용 모드. 인증서를 강력하게 매핑할 수 없는 경우 인증이 거부됩니다.

  • PAC 유효성 검사 변경 KB5037754 | 적용 단계 2025년 4월 또는 그 이후에 릴리스된 Windows 보안 업데이트는 레지스트리 하위 키 PacSignatureValidationLevelCrossDomainFilteringLevel에 대한 지원을 제거하고 새로운 보안 동작을 적용합니다. 2025년 4월 업데이트를 설치한 후에는 호환성 모드가 지원되지 않습니다.

  • CVE-2025-26647 KB5057784 대한 Kerberos 인증 보호 | 감사 모드 초기 배포 단계는 2025년 4월 8일에 릴리스된 업데이트로 시작됩니다. 이러한 업데이트는 CVE-2025-26647 에 설명된 권한 상승 취약성을 감지하지만 적용하지 않는 새로운 동작을 추가합니다. 새 동작을 사용하도록 설정하고 취약성으로부터 보호하려면 모든 Windows 도메인 컨트롤러가 업데이트되고 AllowNtAuthPolicyBypass 레지스트리 키 설정이 2로 설정되어 있는지 확인해야 합니다.

  • CVE-2025-26647 KB5057784 대한 Kerberos 인증 보호 | 2025년 7월 또는 그 이후에 릴리스된 기본 단계업데이트 기본적으로 NTAuth Store 검사 적용합니다. AllowNtAuthPolicyBypass 레지스트리 키 설정은 고객이 필요한 경우 감사 모드로 다시 이동할 수 있도록 허용합니다. 그러나 이 보안 업데이트를 완전히 사용하지 않도록 설정하는 기능은 제거됩니다.

  • CVE-2025-26647 KB5057784 대한 Kerberos 인증 보호 | 적용 모드 ​​​​​​​2025년 10월 또는 그 이후에 릴리스된 업데이트 AllowNtAuthPolicyBypass 레지스트리 키에 대한 Microsoft 지원을 중단합니다. 이 단계에서는 NTAuth 저장소의 일부인 기관에서 모든 인증서를 발급해야 합니다.

  • 보안 부팅 바이패스 보호 KB5025885 | 적용 단계 적용 단계는 2026년 1월 이전에 시작되지 않으며 이 단계가 시작되기 전에 이 문서에서 최소 6개월의 사전 경고를 제공합니다. 적용 단계에 대한 업데이트가 릴리스되면 다음이 포함됩니다.

    • "Windows 프로덕션 PCA 2011" 인증서는 지원되는 장치의 보안 부팅 UEFI 금지 목록(DBX)에 추가되어 자동으로 해지됩니다. 이러한 업데이트는 사용하지 않도록 설정할 옵션 없이 영향을 받는 모든 시스템에 Windows용 업데이트를 설치한 후 프로그래밍 방식으로 적용됩니다.

Windows의 기타 주요 변경 내용

각 버전의 Windows 클라이언트 및 Windows Server 새로운 기능과 기능을 추가합니다. 경우에 따라 새 버전도 기능과 기능을 제거합니다. 종종 최신 옵션이 있기 때문입니다. Windows에서 더 이상 개발되지 않는 기능과 기능에 대한 자세한 내용은 다음 문서를 참조하세요.

클라이언트

서버

최신 뉴스 받기

Windows 메시지 센터에 책갈피를 지정하여 최신 업데이트 및 미리 알림을 쉽게 찾을 수 있습니다. 또한 Microsoft 365 관리 센터 액세스할 수 있는 IT 관리자인 경우 Microsoft 365 관리 센터 Email 기본 설정을 설정하여 중요한 알림 및 업데이트를 받습니다.

Facebook LinkedIn 전자 메일
RSS 피드 구독

도움이 더 필요하세요?

더 많은 옵션을 원하세요?

구독 혜택을 살펴보고, 교육 과정을 찾아보고, 디바이스를 보호하는 방법 등을 알아봅니다.

Microsoft 365 구독 혜택

Microsoft 365 교육

Microsoft 보안

접근성 센터