원래 게시 날짜: 2025년 4월 8일
KB ID: 5057784
|
날짜 변경 |
설명 변경 |
|
2025년 7월 22일 |
|
|
2025년 5월 9일 |
|
이 문서에서
요약
2025년 4월 8일 또는 그 이후에 릴리스된 Windows 보안 업데이트에는 Kerberos 인증을 사용한 취약성에 대한 보호가 포함되어 있습니다. 이 업데이트는 보안 주체의 CBA(인증서 기반 인증)에 사용되는 인증서의 발급 기관이 신뢰할 수 있지만 NTAuth 저장소에는 없는 경우 동작을 변경하고 인증서 기반 인증을 사용하는 보안 주체의 altSecID 특성에 SKI(주체 키 식별자) 매핑이 있는 경우 동작을 변경합니다. 이 취약성에 대한 자세한 내용은 CVE-2025-26647을 참조하세요.
조치 취하기
환경을 보호하고 중단을 방지하려면 다음 단계를 수행하는 것이 좋습니다.
-
2025년 4월 8일 또는 그 이후에 릴리스된 Windows 업데이트로 모든 도메인 컨트롤러를 업데이트합니다.
-
영향을 받는 인증 기관을 식별하기 위해 도메인 컨트롤러에 표시되는 새 이벤트를 모니터링합니다.
-
사용 환경 이후의 적용 모드는 이제 NTAuth 저장소에 있는 기관에서 발급한 로그온 인증서만 사용합니다.
altSecID 특성
다음 표에는 모든 대체 보안 식별자(altSecID) 특성과 이 변경의 영향을 받는 altSecID가 나와 있습니다.
|
altSecID에 매핑할 수 있는 인증서 특성 목록 |
NTAuth 저장소에 연결하는 데 일치하는 인증서가 필요한 AltSecID |
|
X509IssuerSubject X509IssuerSerialNumber X509SKI X509SHA1PublicKey X509RFC822 X509SubjectOnly X509NSubjectOnly X509PublicKeyOnly |
X509IssuerSerialNumber X509SKI X509SHA1PublicKey X509IssuerSubject X509NSubjectOnly |
변경 시간 표시 막대
2025년 4월 8일: 초기 배포 단계 – 감사 모드
초기 배포 단계(감사 모드)는 2025년 4월 8일에 릴리스된 업데이트로 시작됩니다. 이러한 업데이트는 CVE-2025-26647 에 설명된 권한 상승 취약성을 감지하는 동작을 변경하지만 처음에는 적용하지 않습니다.
감사 모드에서 이벤트 ID: 45는 안전하지 않은 인증서가 있는 Kerberos 인증 요청을 받으면 도메인 컨트롤러에 기록됩니다. 인증 요청이 허용되며 클라이언트 오류가 예상되지 않습니다.
동작 변경을 사용하도록 설정하고 취약성으로부터 보호하려면 모든 Windows 도메인 컨트롤러가 2025년 4월 8일 또는 그 이후에 Windows 업데이트 릴리스로 업데이트되고 AllowNtAuthPolicyBypass 레지스트리 키 설정이 적용 모드로 구성되도록 2로 설정되어 있는지 확인해야 합니다.
적용 모드에서 도메인 컨트롤러가 안전하지 않은 인증서로 Kerberos 인증 요청을 받으면 레거시 이벤트 ID: 21을 기록하고 요청을 거부합니다.
이 업데이트에서 제공하는 보호를 켜려면 다음 단계를 수행합니다.
-
2025년 4월 8일 또는 그 이후에 릴리스된 Windows 업데이트를 환경의 모든 도메인 컨트롤러에 적용합니다. 업데이트를 적용한 후 AllowNtAuthPolicyBypass 설정은 기본값을 1(감사)로 설정하여 NTAuth 검사 및 감사 로그 경고 이벤트를 사용하도록 설정합니다.중요하다 이 업데이트에서 제공하는 보호를 적용할 준비가 되지 않은 경우 레지스트리 키를 0 으로 설정하여 이 변경을 일시적으로 사용하지 않도록 설정합니다. 자세한 내용은 레지스트리 키 정보 섹션을 참조하세요.
-
도메인 컨트롤러에 표시되는 새 이벤트를 모니터링하여 NTAuth 저장소에 속하지 않는 영향을 받는 인증 기관을 식별합니다. 모니터링해야 하는 이벤트 ID는 이벤트 ID: 45입니다. 이러한 이벤트에 대한 자세한 내용은 이벤트 감사 섹션을 참조하세요.
-
모든 클라이언트 인증서가 유효하고 NTAuth 저장소의 신뢰할 수 있는 발급 CA에 연결되어 있는지 확인합니다.
-
모든 이벤트 ID: 45개의 이벤트가 해결되면 적용 모드로 진행할 수 있습니다. 이렇게 하려면 AllowNtAuthPolicyBypass 레지스트리 값을 2로 설정합니다. 자세한 내용은 레지스트리 키 정보 섹션을 참조하세요.메모 여러 시나리오에서 사용되는 자체 서명된 인증서 기반 인증을 서비스하는 도메인 컨트롤러에 2025년 5월 이후에 릴리스된 Windows 업데이트를 적용할 때까지 AllowNtAuthPolicyBypass = 2 설정을 일시적으로 지연하는 것이 좋습니다. 여기에는 키 신뢰 및 도메인에 가입된 디바이스 공개 키 인증을 비즈니스용 Windows Hello 도메인 컨트롤러가 포함됩니다.
2025년 7월: 기본 단계에 의해 적용됨
2025년 7월 또는 그 이후에 릴리스된 업데이트 기본적으로 NTAuth Store 검사 적용합니다. AllowNtAuthPolicyBypass 레지스트리 키 설정은 고객이 필요한 경우 감사 모드로 다시 이동할 수 있도록 허용합니다. 그러나 이 보안 업데이트를 완전히 사용하지 않도록 설정하는 기능은 제거됩니다.
2025년 10월: 적용 모드
2025년 10월 또는 그 이후에 릴리스된 업데이트 AllowNtAuthPolicyBypass 레지스트리 키에 대한 Microsoft 지원을 중단합니다. 이 단계에서는 NTAuth 저장소의 일부인 기관에서 모든 인증서를 발급해야 합니다.
레지스트리 설정 및 이벤트 로그
레지스트리 키 정보
다음 레지스트리 키를 사용하면 취약한 시나리오를 감사한 다음 취약한 인증서가 해결되면 변경 사항을 적용할 수 있습니다. 레지스트리 키가 자동으로 추가되지 않습니다. 동작을 변경해야 하는 경우 레지스트리 키를 수동으로 만들고 필요한 값을 설정해야 합니다. 레지스트리 키가 구성되지 않은 경우 OS의 동작은 배포 단계에 따라 달라집니다.
AllowNtAuthPolicyBypass
|
레지스트리 하위 키 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
|
|
값 |
AllowNtAuthPolicyBypass |
|
|
데이터 형식 |
REG_DWORD |
|
|
값 데이터 |
0 |
변경을 완전히 사용하지 않도록 설정합니다. |
|
1 |
NTAuth 저장소(감사 모드)에 속하지 않는 기관에서 발급한 인증서를 나타내는 NTAuth 검사 및 로그 경고 이벤트를 수행합니다. (기본 동작은 2025년 4월 8일 릴리스부터 시작됩니다.) |
|
|
2 |
NTAuth 검사 수행하고 실패하면 로그온을 허용하지 않습니다. NTAuth 검사 실패(강제 모드)를 나타내는 오류 코드와 함께 AS-REQ 오류에 대한 일반 이벤트(기존)를 기록합니다. |
|
|
설명 |
AllowNtAuthPolicyBypass 레지스트리 설정은 2025년 4월 또는 그 이후에 릴리스된 Windows 업데이트를 설치한 Windows KDC에서만 구성해야 합니다. |
|
감사 이벤트
이벤트 ID: 45 | NT 인증 저장소 확인 감사 이벤트
관리자는 2025년 4월 8일 또는 그 이후에 릴리스된 Windows 업데이트를 설치하여 추가된 다음 이벤트에 대해 watch 합니다. 존재하는 경우 인증서가 NTAuth 저장소에 속하지 않는 기관에서 발급되었음을 의미합니다.
|
이벤트 로그 |
로그 시스템 |
|
이벤트 형식 |
경고 |
|
이벤트 소스 |
Kerberos-Key-Distribution-Center |
|
이벤트 ID |
45 |
|
이벤트 텍스트 |
KDC(키 배포 센터)에서 유효하지만 NTAuth 저장소의 루트에 연결되지 않은 클라이언트 인증서가 발견되었습니다. NTAuth 저장소에 연결되지 않는 인증서에 대한 지원은 더 이상 사용되지 않습니다. NTAuth가 아닌 저장소에 연결하는 인증서에 대한 지원은 더 이상 사용되지 않으며 안전하지 않습니다.자세한 내용은 https://go.microsoft.com/fwlink/?linkid=2300705 참조하세요. 사용자: userName>< 인증서 주체: 인증서 주체>< 인증서 발급자: <인증서 발급자> 인증서 일련 번호: 인증서 일련 번호>< 인증서 지문: < CertThumbprint> |
|
설명 |
|
이벤트 ID: 21 | AS-REQ 실패 이벤트
Kerberos-Key-Distribution-Center 이벤트 45를 처리한 후 이 일반 레거시 이벤트의 로깅은 클라이언트 인증서가 여전히 신뢰할 수 없음을 나타냅니다. 이 이벤트는 여러 가지 이유로 기록될 수 있으며, 그 중 하나는 유효한 클라이언트 인증서가 NTAuth 저장소의 발급 CA에 연결되지 않기 때문입니다.
|
이벤트 로그 |
로그 시스템 |
|
이벤트 형식 |
경고 |
|
이벤트 소스 |
Kerberos-Key-Distribution-Center |
|
이벤트 ID |
21 |
|
이벤트 텍스트 |
사용자<Domain\UserName> 대한 클라이언트 인증서가 유효하지 않아 스마트 카드 로그온에 실패했습니다. 스마트 카드 로그온에 사용하려는 인증서에 대한 자세한 내용은 사용자에게 문의하세요. 체인 상태 : 인증 체인이 올바르게 처리되었지만 CA 인증서 중 하나가 정책 공급자가 신뢰할 수 없습니다. |
|
설명 |
|
알려진 문제
고객은 자체 서명된 인증서를 사용하여 인증서 기반 인증에 의해 트리거되는 이벤트 ID: 45 및 이벤트 ID: 21과 관련된 문제를 보고했습니다. 자세한 내용은 Windows 릴리스 상태에 설명된 알려진 문제를 참조하세요.
-
Windows Server 2025: 로그온이 키 신뢰 모드에서 Windows Hello 실패하고 Kerberos 이벤트를 기록할 수 있습니다.
-
Windows Server 2022: 로그온은 키 신뢰 모드에서 Windows Hello 실패하고 Kerberos 이벤트를 기록할 수 있습니다.
-
Windows Server 2019: 로그온이 키 신뢰 모드에서 Windows Hello 실패하고 Kerberos 이벤트를 기록할 수 있습니다.
-
Windows Server 2016: 로그온이 키 신뢰 모드에서 Windows Hello 실패하고 Kerberos 이벤트를 기록할 수 있습니다.
