Microsoft로 로그인
로그인하거나 계정을 만듭니다.
안녕하세요.
다른 계정을 선택합니다.
계정이 여러 개 있음
로그인할 계정을 선택합니다.

중요: 이 문서에 이전에 표시된 릴리스 날짜가 변경되었습니다. "조치 취하기" 및 "Windows 업데이트 시기" 섹션의 새 릴리스 날짜를 확인하시기 바랍니다.

요약

KDC(키 배포 센터)Kerberos 제한 위임(KCD)을 통한 위임에 Kerberos 서비스 티켓을 사용할 수 있을지 결정하는 방식에 보안 기능 우회 취약성이 존재합니다. 이 취약성을 악용하기 위해서는 KCD를 사용하도록 구성된 손상된 서비스는 위임에 유효하지 않은 Kerberos 서비스 티켓을 변조하여 KDC가 이를 수락하도록 할 수 있습니다. 이 Windows 업데이트는 KDC가 KCD와 함께 사용되는 Kerberos 서비스 티켓의 유효성을 검사하는 방식을 변경하여 이 취약성을 해결합니다.

이 취약성에 대한 자세한 내용은 CVE-2020-17049를 참조하세요. 

조치 취하기

환경을 보호하고 정전을 방지하려면 다음 모든 단계를 따라야 합니다.

  1. 2020년 12월 8일과 2021년 3월 9일 사이에 Windows 업데이트 중 하나 이상을 설치하여 Active Directory 도메인 컨트롤러 역할을 호스트하는 모든 디바이스를 업데이트합니다. Windows 업데이트를 설치해도 보안 취약성이 완전히 완화되지는 않습니다. 2, 3단계도 수행해야 합니다.

  2. 2021년 4월 13일 Windows 업데이트를 설치하여 Active Directory 도메인 컨트롤러 역할을 호스팅하는 모든 디바이스를 업데이트합니다.

  3. 모든 Active Directory 도메인 컨트롤러에서 적용 모드를 활성화합니다. ⠀

  4. 2021년 7월 13일 적용 단계 업데이트를 시작으로 모든 Windows 도메인 컨트롤러에서 적용 모드가 활성화됩니다.

Windows 업데이트 시기

이러한 Windows 업데이트는 다음 세 단계로 릴리스됩니다.

  • 2020년 12월 8일 이후에 릴리스된 Windows 업데이트의 초기 배포 단계입니다.

  • 2021년 4월 13일 이후에 PerformTicketSignature 설정 0을 제거하고 1 또는 2로 설정해야 하는 두 번째 배포 단계입니다.

  • 2021년 7월 13일 이후에 릴리스되는 Windows 업데이트 적용 단계입니다.

2020년 12월 8일: 초기 배포 단계

초기 배포 단계는 2020년 12월 8일에 릴리스된 Windows 업데이트로 시작되며 이후 Windows 업데이트 적용 단계로 이어집니다. 이 이후의 Windows 업데이트는 Kerberos를 변경합니다. 이 2020년 12월 8일 업데이트에는 CVE-2020-17049의 2020년 11월 10일 릴리스에서 처음 소개된 모든 알려진 문제에 대한 픽스가 포함되어 있습니다. 이 업데이트는 Windows Server 2008 SP2 및 Windows Server 2008 R2에 대한 지원도 추가합니다.

이 릴리스는 다음과 같습니다:

  • CVE-2020-17049를 해결합니다(기본으로 설정된 배포 모드에서).

  • PerformTicketSignature 레지스트리 값에 대한 지원을 추가하여 Active Directory 도메인 컨트롤러 서버에서 보호를 활성화합니다. 기본적으로 이 값은 존재하지 않습니다.

완화는 Active Directory 도메인 컨트롤러 역할과 RODC(읽기 전용 도메인 컨트롤러)를 호스팅하는 모든 디바이스에 Windows 업데이트를 설치한 다음 적용 모드를 활성화하는 것으로 구성됩니다.

2021년 4월 13일: 두 번째 배포 단계

두 번째 배포 단계는 2021년 4월 13일에 릴리스된 Windows 업데이트로 시작됩니다. 이 단계에서는 PerformTicketSignature 설정 0을 제거합니다. 이 업데이트가 설치된 후 PerformTicketSignature0으로 설정하면 PerformTicketSignature1로 설정하는 것과 동일한 효과가 있습니다. DC는 배포 모드가 됩니다.

참고

  • 이 단계는 PerformTicketSignature가 사용자 환경에서 0으로 설정된 적이 없는 경우 필요하지 않습니다. 이 단계는 PerformTicketSignature0으로 설정한 고객이 적용 단계 전에 설정 1로 이동하도록 하는 데 도움이 됩니다.

  • 2021년 4월 13일 업데이트를 배포하면 PerformTicketSignature1로 설정하여 서비스 티켓을 갱신할 수 있습니다. 이는 PerformTicketSignature1로 설정할 때 2021년 4월 이전 Windows 업데이트에서 동작이 변경된 것으로, 서비스 티켓을 갱신할 수 없습니다.

  • 이 업데이트는 모든 도메인 컨트롤러가 2020년 12월 8일 이후 업데이트로 업데이트되었다고 가정합니다.

  • 이 업데이트를 설치하고 수동으로 또는 프로그래밍으로 PerformTicketSignature1 이상으로 설정하고 나면 지원되지 않는 Windows Server 도메인 컨트롤러는 지원되는 도메인 컨트롤러에서 작동하지 않게 됩니다. 여기에는 ESU(추가 보안 업데이트)가 없는 Windows Server 2008과 Windows Server 2008 R2, Windows Server 2003이 포함됩니다.

2021년 7월 13일: 적용 단계

2021년 7월 13일 릴리스를 통해 적용 단계로 전환됩니다. 적용 단계에서는 변경 사항을 적용하여 CVE-2020-17049를 해결합니다. Active Directory 도메인 컨트롤러는 이제 적용 모드를 사용할 수 있습니다. 적용 모드로 전환하려면 모든 Active Directory 도메인 컨트롤러에 2020년 12월 8일 업데이트 또는 이후 Windows 업데이트가 설치되어 있어야 합니다. 이 때 PerformTicketSignature 레지스트리 키 설정은 무시되고 적용 모드를 재정의할 수 없습니다. 

설치 지침

이 업데이트를 설치하기 전에

이 업데이트를 적용하려면 다음 필수 업데이트가 설치되어 있어야 합니다. Windows Update를 사용하는 경우 이러한 필수 업데이트는 필요에 따라 자동으로 제공됩니다.

  • 2019년 9월 23일자 SHA-2 업데이트(KB4474419)가 설치되었거나 그 이후의 SHA-2 업데이트가 설치되어 있어야 하며 이 업데이트를 적용하기 전에 디바이스를 다시 시작해야 합니다. SHA-2 업데이트에 대한 자세한 내용은 2019 SHA-2 Windows 및 WSUS용 코드 서명 지원 요구 사항을 참조하세요.

  • Windows Server 2008 R2 SP1의 경우, 2019년 3월 12일자 SSU(서비스 스택 업데이트)(KB4490628)를 설치해야 합니다. KB4490628 업데이트를 설치한 후 최신 SSU 업데이트를 설치하는 것이 좋습니다. 최신 SSU 업데이트에 대한 자세한 내용은 ADV990001 | 최신 서비스 스택 업데이트를 참조하세요.

  • Windows Server 2008 SP2의 경우, 2019년 4월 9일자 SSU(서비스 스택 업데이트)(KB4493730)를 설치해야 합니다. KB4493730 업데이트를 설치한 후 최신 SSU 업데이트를 설치하는 것이 좋습니다. 최신 SSU 업데이트에 대한 자세한 내용은 ADV990001 | 최신 서비스 스택 업데이트를 참조하세요.

  • 고객은 2020년 1월 14일에 추가 지원이 종료된 후 Windows Server 2008 SP2 또는 Windows Server 2008 R2 SP1의 온-프레미스 버전용 ESU(추가 보안 업데이트)를 구매해야 합니다. ESU를 구매한 고객은 보안 업데이트를 계속 받으려면 KB4522133의 절차를 따라야 합니다. ESU 및 지원되는 버전에 관한 더 자세한 정보는 KB4497181을 확인하세요.

중요 이 필수 업데이트를 설치한 후에는 반드시 디바이스를 다시 시작해야 합니다.

모든 업데이트 설치

보안 취약성을 해결하기 위해서 Windows 업데이트를 설치하고 다음 단계에 따라 적용 모드를 활성화합니다.

  1. 2020년 12월 8일과 2021년 3월 9일 사이의 업데이트 중 하나 이상을 포리스트의 모든 Active Directory 도메인 컨트롤러에 배포합니다.

  2. 2021년 4월 12일 업데이트를 1단계 이후 1주 이상 배포합니다.

  3. 모든 Active Directory 도메인 컨트롤러가 업데이트된 후 모든 미해결 S4U2self(Service for User to Self) Kerberos 서비스 티켓이 만료될 때까지 1주일 이상 기다린 다음 Active Directory 도메인 컨트롤러 적용 모드를 배포하여 전체 보호를 사용할 수 있습니다.

    참고

    • 기본 설정(기본값은 7일)에서 Kerberos 서비스 티켓 만료 시기를 수정한 경우, 최소한 사용자 환경에 구성된 날짜만큼 기다려야만 합니다.

    • 이러한 단계는 PerformTicketSignature가 사용자 환경에서 0으로 설정된 적이 없다고 가정합니다. PerformTicketSignature0으로 설정된 경우 사용자는 설정 2(적용 모드)로 이동하기 전에 설정 1로 이동해야 하며, 모든 미해결 S4U2self(Service for User to Self) Kerberos 서비스 티켓이 만료될 때까지 일주일 이상 기다려야 합니다. 설정 0에서 설정 2(적용 모드)로 바로 이동해서는 안 됩니다.


1단계: Windows 업데이트 설치

읽기 전용 도메인 컨트롤러를 포함하여 포리스트에서 Active Directory 도메인 컨트롤러 역할을 호스팅하는 모든 장치에 적절한 2020년 12월 8일 Windows 업데이트 또는 이후 Windows 업데이트를 설치합니다.

Windows Server 제품

KB #

업데이트 유형

Windows Server 버전 20H2(Server Core 설치)

4592438

보안 업데이트

Windows Server 버전 2004(Server Core 설치)

4592438

보안 업데이트

Windows Server 버전 1909(Server Core 설치)

4592449

보안 업데이트

Windows Server, 버전 1903(Server Core 설치)

4592449

보안 업데이트

Windows Server 2019(Server Core 설치)

4592440

보안 업데이트

Windows Server 2019

4592440

보안 업데이트

Windows Server 2016(Server Core 설치)

4593226

보안 업데이트

Windows Server 2016

4593226

보안 업데이트

Windows Server 2012 R2(Server Core 설치)

4592484

월별 롤업

4592495

보안 전용

Windows Server 2012 R2

4592484

월별 롤업

4592495

보안 전용

Windows Server 2012(Server Core 설치)

4592468

월별 롤업

4592497

보안 전용

Windows Server 2012

4592468

월별 롤업

4592497

보안 전용

Windows Server 2008 R2 서비스 팩 1

4592471

월별 롤업

4592503

보안 전용

Windows Server 2008 Service Pack 2

4592498

월별 롤업

4592504

보안 전용

2단계: 적용 모드 사용

Active Directory 도메인 컨트롤러 역할을 호스팅하는 모든 장치가 업데이트 된 후 모든 미해결 S4U2self Kerberos 서비스 티켓이 만료될 때까지 일주일 이상 기다리세요. 그런 다음 적용 모드를 배포하여 완전한 보호를 활성화합니다. 이렇게 하려면, 적용 모드 레지스트리 키를 활성화합니다.

경고 레지스트리 편집기나 다른 방법을 사용하여 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수 있습니다. 이러한 문제를 해결하기 위해 운영 체제를 다시 설치해야 할 수도 있습니다. Microsoft는 이러한 문제에 대해 해결을 보증하지 않습니다. 레지스트리 수정에 따른 모든 책임은 사용자에게 있습니다.

참고 이 업데이트는 적용 모드를 활성화하기 위해 다음 레지스트리 값에 지원을 도입합니다. 이 레지스트리 값은 이 업데이트를 설치해도 만들어지지 않습니다. 이 레지스트리 값을 수동으로 추가해야 합니다.

레지스트리 하위 키

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc

PerformTicketSignature

데이터 형식

REG_DWORD

데이터

1: 배포 모드 사용 설정. 도메인 컨트롤러에서 픽스를 사용할 수 있지만 Active Directory 도메인 컨트롤러에서는 Kerberos 서비스 티켓이 픽스를 준수할 것을 요구하지는 않습니다. 이 모드는 CVE-2020-17049 업데이트된 도메인 컨트롤러 티켓 서명에 대한 지원을 추가하지만 도메인 컨트롤러는 티켓에 서명할 필요가 없습니다. 이렇게 하면 초기 배포 단계(12월 초기 배포 업데이트로 업데이트된 DC)와 업데이트된 도메인 컨트롤러가 함께 공존할 수 있습니다. 모든 도메인 컨트롤러가 업데이트되면 설정 1에서 모든 새 티켓이 서명됩니다. 이 모드에서는 새 티켓이 갱신 가능으로 표시됩니다.

2: 적용 모드 사용 설정. 모든 도메인을 업데이트하고 모든 Active Directory 도메인 컨트롤러에 서명이 있는 Kerberos 서비스 티켓이 필요한 필수 모드에서 픽스를 활성화합니다. 이 설정에서 유효한 것으로 간주되려면 모든 티켓에 서명해야 합니다. 이 모드에서는 티켓이 다시 갱신 가능으로 표시됩니다.

0: 권장되지 않습니다. Kerberos 서비스 티켓 서명을 비활성화하면 도메인이 보호되지 않습니다.

중요: 설정 0은 적용 설정 2와 호환되지 않습니다. 도메인이 0으로 설정되어 있는 상태에서 적용 모드가 나중에 적용되면 간헐적인 인증 실패가 발생할 수 있습니다. 적용 단계 전에(적어도 적용 1주일 전) 설정 1로 이동하는 것을 권장합니다.

기본값

1(레지스트리 키가 설정되지 않은 경우)

다시 시작이 필요한가요?

아니요
Facebook LinkedIn 전자 메일
RSS 피드 구독

도움이 더 필요하세요?

더 많은 옵션을 원하세요?

검색 커뮤니티

구독 혜택을 살펴보고, 교육 과정을 찾아보고, 디바이스를 보호하는 방법 등을 알아봅니다.

Microsoft 365 구독 혜택

Microsoft 365 교육

Microsoft 보안

접근성 센터

커뮤니티를 통해 질문하고 답변하고, 피드백을 제공하고, 풍부한 지식을 갖춘 전문가의 의견을 들을 수 있습니다.

Microsoft 커뮤니티에 질문하기

Microsoft Tech Community

Windows 참가자

Microsoft 365 참가자

이 정보가 유용한가요?

언어 품질에 얼마나 만족하시나요?
사용 경험에 어떠한 영향을 주었나요?
제출을 누르면 피드백이 Microsoft 제품과 서비스를 개선하는 데 사용됩니다. IT 관리자는 이 데이터를 수집할 수 있습니다. 개인정보처리방침

의견 주셔서 감사합니다!

×