|
중요 이 문서에서 이전에 언급한 적용 모드의 날짜가 2021년 3월 9일로 변경되었습니다. |
요약
보호된 사용자와 RBCD(리소스 기반 제한 위임)를 사용하는 경우 Active Directory 도메인 컨트롤러에 보안 취약성이 있을 수 있습니다. 이 보안 취약성에 대해 자세히 알아보려면 CVE-2020-16996을 참조하세요.
|
조치 취하기 환경을 보호하고 중단을 방지하려면 다음을 수행해야 합니다.
|
업데이트 시기
이 Windows 업데이트는 두 단계로 릴리스됩니다.
-
2020년 12월 8일 이후에 릴리스된 Windows 업데이트의 초기 배포 단계입니다.
-
Windows 업데이트 적용 단계는 2021년 3월 9일 또는 그 이후에 릴리스됩니다.
2020년 12월 8일: 초기 배포 단계
초기 배포 단계는 2020년 12월 8일에 릴리스한 Windows 업데이트에서 시작되며, 이후 Windows 업데이트에서 적용 단계로 이어집니다. 이 이후의 Windows 업데이트는 Kerberos를 변경합니다.
이 릴리스는 다음과 같습니다:
-
CVE-2020-16996을 해결합니다(기본적으로 비활성화됨).
-
NonForwardableDelegation 레지스트리 값에 대한 지원을 추가하여 Active Directory 도메인 컨트롤러 서버에서 보호를 활성화합니다. 기본적으로 이 값은 존재하지 않습니다.
완화 단계는 Active Directory 도메인 컨트롤러 역할과 RODC(읽기 전용 도메인 컨트롤러)를 호스팅하는 모든 디바이스에 Windows 업데이트를 설치한 다음 적용 모드를 활성화하는 것으로 구성됩니다.
2021년 3월 9일 - 적용 단계
2021년 3월 9일 릴리스를 통해 적용 단계로 전환됩니다. 적용 단계는 CVE-2020-16996을 해결하기 위해 변경 사항을 적용합니다. 적용 모드 레지스트리 키가 1(사용 안 함)로 설정되지 않는 한 Active Directory 도메인 컨트롤러는 적용 모드가 됩니다. 적용 모드 레지스트리 키가 설정되면 설정이 적용됩니다. 적용 모드로 전환하려면 모든 Active Directory 도메인 컨트롤러에 2020년 12월 8일 업데이트 또는 이후 업데이트가 설치되어 있어야 합니다.
설치 지침
이 업데이트를 설치하기 전에
이 업데이트를 적용하려면 다음 필수 업데이트가 설치되어 있어야 합니다. Windows Update를 사용하는 경우 이러한 필수 업데이트는 필요에 따라 자동으로 제공됩니다.
-
2019년 9월 23일자 SHA-2 업데이트(KB4474419)가 설치되었거나 그 이후의 SHA-2 업데이트가 설치되어 있어야 하며 이 업데이트를 적용하기 전에 디바이스를 다시 시작해야 합니다. SHA-2 업데이트에 대한 자세한 내용은 2019 SHA-2 Windows 및 WSUS용 SHA-2 코드 서명 지원 요구 사항을 참조하세요.
-
Windows Server 2008 R2 SP1의 경우, 2019년 3월 12일자 SSU(서비스 스택 업데이트)(KB4490628)를 설치해야 합니다. KB4490628 업데이트를 설치한 후 최신 SSU 업데이트를 설치하는 것이 좋습니다. 최신 SSU 업데이트에 대한 자세한 내용은 ADV990001 | 최신 서비스 스택 업데이트를 참조하세요.
-
Windows Server 2008 SP2의 경우, 2019년 4월 9일자 SSU(서비스 스택 업데이트)(KB4493730)를 설치해야 합니다. KB4493730 업데이트를 설치한 후 최신 SSU 업데이트를 설치하는 것이 좋습니다. 최신 SSU 업데이트에 대한 자세한 내용은 ADV990001 | 최신 서비스 스택 업데이트를 참조하세요.
-
고객은 2020년 1월 14일에 추가 지원이 종료된 후 Windows Server 2008 SP2 또는 Windows Server 2008 R2 SP1의 온-프레미스 버전용 ESU(추가 보안 업데이트)를 구매해야 합니다. ESU를 구매한 고객은 보안 업데이트를 계속 받으려면 KB4522133의 절차를 따라야 합니다. ESU 및 지원되는 버전에 관한 더 자세한 정보는 KB4497181을 확인하세요.
중요 이 필수 업데이트를 설치한 후에는 반드시 디바이스를 다시 시작해야 합니다.
업데이트 설치
보안 취약점을 해결하려면 다음 단계에 따라 Windows 업데이트를 설치하고 적용 모드를 활성화하세요.
|
경고 이 Windows 업데이트와 레지스트리 값이 다음 시나리오 중 하나 또는 둘 모두에서 일관되지 않게 적용되면 간헐적인 인증 문제가 발생할 수 있습니다.
중요 Windows 업데이트와 레지스트리 값은 모두 사용자 환경의 '모든' Active Directory 도메인 컨트롤러에 일관되게 적용되어야 합니다. |
1단계: Windows 업데이트 설치
읽기 전용 도메인 컨트롤러를 포함하여 포리스트에서 Active Directory 도메인 컨트롤러 역할을 호스팅하는 모든 디바이스에 2020년 12월 8일 Windows 업데이트나 그 이후 Windows 업데이트를 설치합니다.
|
Windows Server 제품 |
KB # |
업데이트 유형 |
|
Windows Server 버전 20H2(Server Core 설치) |
보안 업데이트 |
|
|
Windows Server 버전 2004(Server Core 설치) |
보안 업데이트 |
|
|
Windows Server 버전 1909(Server Core 설치) |
보안 업데이트 |
|
|
Windows Server, 버전 1903(Server Core 설치) |
보안 업데이트 |
|
|
Windows Server 2019(Server Core 설치) |
보안 업데이트 |
|
|
Windows Server 2019 |
보안 업데이트 |
|
|
Windows Server 2016(Server Core 설치) |
보안 업데이트 |
|
|
Windows Server 2016 |
보안 업데이트 |
|
|
Windows Server 2012 R2(Server Core 설치) |
월별 롤업 |
|
|
보안 전용 |
||
|
Windows Server 2012 R2 |
월별 롤업 |
|
|
보안 전용 |
||
|
Windows Server 2012(Server Core 설치) |
월별 롤업 |
|
|
보안 전용 |
||
|
Windows Server 2012 |
월별 롤업 |
|
|
보안 전용 |
||
|
Windows Server 2008 R2 서비스 팩 1 |
월별 롤업 |
|
|
보안 전용 |
||
|
Windows Server 2008 Service Pack 2 |
월별 롤업 |
|
|
보안 전용 |
2단계: 적용 모드 사용
Active Directory 도메인 컨트롤러 역할을 호스팅하는 모든 디바이스가 업데이트된 후에는 처리되지 않은 모든 S4U2self(Service for User to Self) Kerberos 서비스 티켓이 만료될 때까지 하루 이상 기다립니다. 그런 다음 적용 모드를 배포하여 전체 보호를 활성화합니다. 이렇게 하려면 적용 모드 레지스트리 키를 활성화합니다.
경고 레지스트리 편집기나 다른 방법을 사용하여 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수 있습니다. 이러한 문제를 해결하기 위해 운영 체제를 다시 설치해야 할 수도 있습니다. Microsoft는 이러한 문제에 대해 해결을 보증하지 않습니다. 레지스트리 수정에 따른 모든 책임은 사용자에게 있습니다.
참고 이 레지스트리 값은 이 업데이트를 설치해도 만들어지지 않습니다. 이 레지스트리 값을 수동으로 추가해야 합니다.
|
레지스트리 하위 키 |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
|
값 |
NonForwardableDelegation |
|
데이터 형식 |
REG_DWORD |
|
데이터 |
1: 적용 모드를 사용하지 않도록 설정합니다. 0: 적용 모드를 사용하도록 설정합니다. 이 상태가 보호된 상태입니다. |
|
기본값 |
1 |
|
다시 시작이 필요한가요? |
아니요 |
"NonForwardableDelegation" 레지스트리 값에 대한 참고 사항:
-
레지스트리 값이 설정된 경우, 이 설정은 2021년 3월 9일 Windows 업데이트에 포함된 적용 모드 설정보다 우선합니다.
-
레지스트리 값이 1(사용 안 함)로 설정된 경우, 전달 가능한 것으로 표시되지 '않은' Kerberos 서비스 티켓에서 전달이 허용됩니다.
-
레지스트리 값이 0(사용함)으로 설정된 경우, 전달 가능한 것으로 표시되지 '않은' Kerberos 서비스 티켓에서 전달이 허용되지 '않습니다'.
-
-
도메인에 Windows Server 2008 R2 또는 이전 Active Directory 도메인 컨트롤러가 포함된 경우 이러한 도메인 컨트롤러는 RBCD를 지원하지 않으므로 적용 모드를 설정할 필요가 없습니다.
-
적용 모드를 활성화할 때 모든 Active Directory 도메인 컨트롤러를 일관되게 업데이트하지 못하면 간헐적인 서비스 위임 오류가 발생합니다.
-
적용 모드를 설정하기 전에:
-
모든 Active Directory 도메인 컨트롤러는 2020년 12월 8일 Windows 업데이트 또는 이후 Windows 업데이트로 업데이트해야 합니다.
-
처리되지 않은 모든 S4USelf Kerberos 서비스 티켓이 만료될 수 있도록 모든 Active Directory 도메인 컨트롤러에 Windows 업데이트 배포를 완료한 후 하루를 기다려야 합니다.
-
추가 고려 사항
이 보호가 활성화되면 RBCD(리소스 기반 제한 위임)에 대한 논리가 원래의 제한 위임과 통합됩니다. 이렇게 하면 다음 두 시나리오에서 문제가 발생할 수 있습니다.
-
단일 서비스는 한 대상으로의 프로토콜 전환 없이 원본의 KCD(Kerberos 제한 위임)를 동시에 사용하고, 다른 대상으로의 프로토콜 전환과 함께 RBCD를 사용합니다. 이 변경 이후에는 두 가지 위임 스타일 모두에 프로토콜 전환 거부가 적용됩니다.
-
RBCD는 CVE-2020-16996으로 업데이트되지 않은 도메인 컨트롤러를 사용하거나 CVE-2020-16996에 대한 사용 가능한 업데이트가 없는 이전 버전의 Windows Server(Windows Server 2012 이전)를 실행하는 도메인에서 사용됩니다. 업데이트하지 않은 KDC(Key Distribution Center)는 S4USelf Kerberos 서비스 티켓을 위임에 적합하다고 표시하지 않으며, 프로토콜 전환은 거부됩니다.
