Microsoft로 로그인
로그인하거나 계정을 만듭니다.
안녕하세요.
다른 계정을 선택합니다.
계정이 여러 개 있음
로그인할 계정을 선택합니다.

요약

특정 TPM (신뢰할 수있는 플랫폼 모듈) 칩셋에 보안 취약점이 존재합니다. 이 취약성은 키 수준을 약화시킵니다.

이 취약성에 대해 자세히 알아보려면 ADV170012를 참조하세요.

추가 정보

개요

다음 절은 Microsoft 보안 권고 ADV170012에 설명된 취약성의 영향을 받는 AD CS(Active Directory 인증서 서비스)에서 발급한 인증서 및 요청을 식별, 완화 및 해결하는 데 도움이 됩니다.

이 완화 프로세스에서는 취약성의 영향을 받는 발급된 인증서를 식별하고 해지하는 데 중점을 두고 있습니다.

엔터프라이즈 내에서 TPM KSP를 지정하는 템플릿을 기반으로 발급되는 x.509 인증서입니까?

엔터프라이즈에서 TPM KSP를 사용하는 경우 이러한 인증서가 사용되는 시나리오에서 보안 권고에 나와 있는 취약성이 발생할 가능성이 있습니다.


완화

  1. 장치에 적절한 펌웨어 업데이트를 사용할 수 있을 때까지 TPM KSP를 사용하도록 설정된 인증서 템플릿이 소프트웨어 기반 KSP를 사용하도록 업데이트합니다. 이렇게 하면 이후에는 TPM KSP를 사용하여 취약한 인증서가 만들어지지 않게 됩니다. 자세한 내용은 이 문서 뒷부분의 펌웨어 업데이트를 참조하세요.

  2. 이전에 만든 인증서 또는 요청:

    1. 포함된 스크립트를 사용하여 취약해질 수 있는 발급된 모든 인증서를 나열합니다. 

      1. 이전 단계에서 확보한 일련 번호 목록을 전달하여 이러한 인증서를 해지합니다.

      2. 이제 소프트웨어 KSP를 지정하는 템플릿 구성을 기반으로 새 인증서를 등록합니다.

      3. 가능한 모든 위치에서 새 인증서를 사용하여 모든 시나리오를 다시 실행합니다.

    2. 포함된 스크립트를 사용하여 취약해질 수 있는 요청된 모든 인증서를 나열합니다.

      1. 이러한 인증서 요청을 모두 거부합니다.

    3. 포함된 스크립트를 사용하여 만료된 모든 인증서를 나열합니다. 이러한 인증서가 여전히 데이터의 암호를 해독하는 데 사용되는 암호화된 인증서가 아닌지 확인합니다. 만료된 인증서가 암호화되어 있나요?

      1. 암호화되어 있는 경우 소프트웨어 KSP를 사용하여 만든 인증서를 기반으로 하는 새 키를 사용하여 데이터를 암호 해독했다가 암호화합니다.

      2. 암호화되어 있지 않은 경우에는 인증서를 무시해도 됩니다.

    4. 이러한 해지된 인증서를 관리자가 실수로 해지 취소하지 못하도록 하는 프로세스가 있는지 확인합니다.


새 KDC 인증서가 모범 사례를 충족하는지 확인합니다.

위험: 도메인 컨트롤러 및 도메인 컨트롤러 인증 확인 조건을 충족하는 서버는 이 외에도 많을 수 있으며, 이로 인해 잘 알려진 사기성 KDC 공격 벡터가 유발될 수 있습니다.


완화

모든 도메인 컨트롤러는 [RFC 4556] 3.2.4 절에 명시된 대로 KDC EKU가 있는 발급된 인증서여야 합니다. AD CS의 경우 Kerberos 인증 템플릿을 사용하고, 이를 발급된 다른 KDC 인증서보다 우선하도록 구성합니다.

자세한 내용은 [RFC 4556] 부록 C에서 Windows의 다양한 KDC 인증서 템플릿 기록을 참조하세요.

모든 도메인 컨트롤러에 RFC 호환 KDC 인증서가 있는 경우 Windows에서는 Windows Kerberos의 엄격한 KDC 유효성 검사를 사용하도록 설정하여 스스로를 보호할 수 있습니다.

참고 기본적으로 최신 Kerberos 공개 키 기능이 필요합니다.


해지된 인증서로 해당하는 시나리오가 실패하는지 확인합니다.

AD CS는 조직의 다양한 시나리오에 사용되며, Wi-Fi, VPN, KDC, System Center Configuration Manager 등에 사용될 수 있습니다.

조직의 모든 시나리오를 식별합니다. 이러한 시나리오에 해지된 인증서가 있는 경우 시나리오가 실패하는지 확인하거나, 해지된 모든 인증서를 유효한 소프트웨어 기반 인증서로 바꾼 후 시나리오가 정상적으로 진행되는지 확인합니다.

OCSP 또는 CRLS를 사용하는 경우에는 만료되는 즉시 업데이트됩니다. 하지만 일반적인 상황에서는 모든 컴퓨터에서 캐시된 CRL을 업데이트해야 합니다. OCSP가 CRLS를 사용하는 경우 최신 CRLS를 바로 가져오는지 확인합니다.

캐시가 삭제되었는지 확인하려면 영향을 받는 모든 컴퓨터에서 다음 명령을 실행합니다.

certutil -urlcache * delete

certutil –setreg chain\ChainCacheResyncFiletime @now


펌웨어 업데이트

OEM에서 TPM의 취약성을 해결하기 위해 릴리스한 업데이트를 설치합니다. 시스템이 업데이트되면 TPM 기반 KSP를 사용하도록 인증서 템플릿을 업데이트할 수 있습니다.

Facebook LinkedIn 전자 메일
RSS 피드 구독

도움이 더 필요하세요?

더 많은 옵션을 원하세요?

검색 커뮤니티

구독 혜택을 살펴보고, 교육 과정을 찾아보고, 디바이스를 보호하는 방법 등을 알아봅니다.

Microsoft 365 구독 혜택

Microsoft 365 교육

Microsoft 보안

접근성 센터

커뮤니티를 통해 질문하고 답변하고, 피드백을 제공하고, 풍부한 지식을 갖춘 전문가의 의견을 들을 수 있습니다.

Microsoft 커뮤니티에 질문하기

Microsoft Tech Community

Windows 참가자

Microsoft 365 참가자

이 정보가 유용한가요?

언어 품질에 얼마나 만족하시나요?
사용 경험에 어떠한 영향을 주었나요?
제출을 누르면 피드백이 Microsoft 제품과 서비스를 개선하는 데 사용됩니다. IT 관리자는 이 데이터를 수집할 수 있습니다. 개인정보처리방침

의견 주셔서 감사합니다!

×