Active Directory 인증서 서비스 기반 시나리오에 대한 완화 계획

요약

특정 TPM (신뢰할 수있는 플랫폼 모듈) 칩셋에 보안 취약점이 존재합니다. 이 취약성은 키 수준을 약화시킵니다.

이 취약성에 대해 자세히 알아보려면 ADV170012를 참조하세요.

추가 정보

개요

다음 절은 Microsoft 보안 권고 ADV170012에 설명된 취약성의 영향을 받는 AD CS(Active Directory 인증서 서비스)에서 발급한 인증서 및 요청을 식별, 완화 및 해결하는 데 도움이 됩니다.

이 완화 프로세스에서는 취약성의 영향을 받는 발급된 인증서를 식별하고 해지하는 데 중점을 두고 있습니다.

엔터프라이즈 내에서 TPM KSP를 지정하는 템플릿을 기반으로 발급되는 x.509 인증서입니까?

엔터프라이즈에서 TPM KSP를 사용하는 경우 이러한 인증서가 사용되는 시나리오에서 보안 권고에 나와 있는 취약성이 발생할 가능성이 있습니다.


완화

  1. 장치에 적절한 펌웨어 업데이트를 사용할 수 있을 때까지 TPM KSP를 사용하도록 설정된 인증서 템플릿이 소프트웨어 기반 KSP를 사용하도록 업데이트합니다. 이렇게 하면 이후에는 TPM KSP를 사용하여 취약한 인증서가 만들어지지 않게 됩니다. 자세한 내용은 이 문서 뒷부분의 펌웨어 업데이트를 참조하세요.

  2. 이전에 만든 인증서 또는 요청:

    1. 포함된 스크립트를 사용하여 취약해질 수 있는 발급된 모든 인증서를 나열합니다. 

      1. 이전 단계에서 확보한 일련 번호 목록을 전달하여 이러한 인증서를 해지합니다.

      2. 이제 소프트웨어 KSP를 지정하는 템플릿 구성을 기반으로 새 인증서를 등록합니다.

      3. 가능한 모든 위치에서 새 인증서를 사용하여 모든 시나리오를 다시 실행합니다.

    2. 포함된 스크립트를 사용하여 취약해질 수 있는 요청된 모든 인증서를 나열합니다.

      1. 이러한 인증서 요청을 모두 거부합니다.

    3. 포함된 스크립트를 사용하여 만료된 모든 인증서를 나열합니다. 이러한 인증서가 여전히 데이터의 암호를 해독하는 데 사용되는 암호화된 인증서가 아닌지 확인합니다. 만료된 인증서가 암호화되어 있나요?

      1. 암호화되어 있는 경우 소프트웨어 KSP를 사용하여 만든 인증서를 기반으로 하는 새 키를 사용하여 데이터를 암호 해독했다가 암호화합니다.

      2. 암호화되어 있지 않은 경우에는 인증서를 무시해도 됩니다.

    4. 이러한 해지된 인증서를 관리자가 실수로 해지 취소하지 못하도록 하는 프로세스가 있는지 확인합니다.


새 KDC 인증서가 모범 사례를 충족하는지 확인합니다.

위험: 도메인 컨트롤러 및 도메인 컨트롤러 인증 확인 조건을 충족하는 서버는 이 외에도 많을 수 있으며, 이로 인해 잘 알려진 사기성 KDC 공격 벡터가 유발될 수 있습니다.


완화

모든 도메인 컨트롤러는 [RFC 4556] 3.2.4 절에 명시된 대로 KDC EKU가 있는 발급된 인증서여야 합니다. AD CS의 경우 Kerberos 인증 템플릿을 사용하고, 이를 발급된 다른 KDC 인증서보다 우선하도록 구성합니다.

자세한 내용은 [RFC 4556] 부록 C에서 Windows의 다양한 KDC 인증서 템플릿 기록을 참조하세요.

모든 도메인 컨트롤러에 RFC 호환 KDC 인증서가 있는 경우 Windows에서는 Windows Kerberos의 엄격한 KDC 유효성 검사를 사용하도록 설정하여 스스로를 보호할 수 있습니다.

참고 기본적으로 최신 Kerberos 공개 키 기능이 필요합니다.


해지된 인증서로 해당하는 시나리오가 실패하는지 확인합니다.

AD CS는 조직의 다양한 시나리오에 사용되며, Wi-Fi, VPN, KDC, System Center Configuration Manager 등에 사용될 수 있습니다.

조직의 모든 시나리오를 식별합니다. 이러한 시나리오에 해지된 인증서가 있는 경우 시나리오가 실패하는지 확인하거나, 해지된 모든 인증서를 유효한 소프트웨어 기반 인증서로 바꾼 후 시나리오가 정상적으로 진행되는지 확인합니다.

OCSP 또는 CRLS를 사용하는 경우에는 만료되는 즉시 업데이트됩니다. 하지만 일반적인 상황에서는 모든 컴퓨터에서 캐시된 CRL을 업데이트해야 합니다. OCSP가 CRLS를 사용하는 경우 최신 CRLS를 바로 가져오는지 확인합니다.

캐시가 삭제되었는지 확인하려면 영향을 받는 모든 컴퓨터에서 다음 명령을 실행합니다.

certutil -urlcache * delete

certutil –setreg chain\ChainCacheResyncFiletime @now


펌웨어 업데이트

OEM에서 TPM의 취약성을 해결하기 위해 릴리스한 업데이트를 설치합니다. 시스템이 업데이트되면 TPM 기반 KSP를 사용하도록 인증서 템플릿을 업데이트할 수 있습니다.

추가 도움이 필요하신가요?

기술 향상
교육 살펴보기
새로운 기능 우선 가져오기
Microsoft Insider 참가

이 정보가 유용한가요?

소중한 의견에 감사드립니다.

피드백을 주셔서 감사합니다. Office 지원 에이전트와 연락하는 것이 도움이 될 것 같습니다.

×