Microsoft로 로그인
로그인하거나 계정을 만드세요.
안녕하세요.
다른 계정을 선택하세요.
계정이 여러 개 있습니다.
로그인할 계정을 선택하세요.

업데이트 날짜: 2022년 11월 23일 

  • 요약 섹션 - 모든 새 콘텐츠

  • 강화 변경 내용을 사용하거나 사용하지 않도록 설정하는 레지스트리 설정 - 다섯 번째 참고 사항

요약

DCOM(분산 구성 요소 개체 모델) 원격 프로토콜은 RPC(원격 프로시저 호출)를 사용하여 애플리케이션 개체를 노출하기 위한 프로토콜입니다. DCOM은 네트워크 디바이스의 소프트웨어 구성 요소 간의 통신에 사용됩니다. CVE-2021-26414에는 DCOM의 강화 변경이 필요했습니다. 따라서 DCOM 또는 RPC를 사용하는 환경의 클라이언트 또는 서버 애플리케이션이 강화 변경이 사용하도록 설정된 상태에서 예상대로 작동하는지 확인하는 것이 좋습니다.

DCOM 업데이트의 첫 번째 단계는 2021년 6월 8일에 릴리스되었습니다. 이 업데이트에서 DCOM 강화는 기본적으로 사용하지 않도록 설정되었습니다. 아래의 "강화 변경 내용을 사용하거나 사용하지 않도록 설정하는 레지스트리 설정" 섹션에 설명된 대로 레지스트리를 수정하여 사용하도록 설정할 수 있습니다. DCOM 업데이트의 두 번째 단계는 2022년 6월 14일에 릴리스되었습니다. 따라서 강화가 기본적으로 사용하도록 변경되었지만 레지스트리 키 설정을 사용하여 변경 내용을 사용하지 않도록 설정하는 기능이 유지되었습니다. DCOM 업데이트의 최종 단계는 2023년 3월에 릴리스될 예정입니다. DCOM 강화를 사용하도록 설정하고 사용하지 않도록 설정하는 기능을 제거합니다.

DCOM 강화 변경으로 인해 사용자 환경에서 앱 호환성 문제가 발생할 수 있습니다. 2022년 11월에 릴리스된 최신 보안 업데이트에는 이 마이그레이션을 쉽게 관리하는 다음 기능이 포함되어 있습니다.

  • 새 DCOM 오류 이벤트 - DCOM 보안 강화 변경을 사용하도록 설정한 후 호환성 문제가 있을 수 있는 애플리케이션을 식별하는 데 도움이 되도록 시스템 로그에 새 DCOM 오류 이벤트를 추가했습니다. 릴리스 타임라인과 지원되는 플랫폼에 대한 자세한 내용은 아래를 참조하세요.

  • 모든 비 익명 정품 인증 요청에 대한 인증 수준 – 앱 호환성 문제를 줄이기 위해 Windows 기반 DCOM 클라이언트에서 익명이 아닌 모든 활성화 요청에 대한 인증 수준을 최소한으로 RPC_C_AUTHN_LEVEL_PKT_INTEGRITY. 이 변경으로 인해 대부분의 Windows 기반 DCOM 클라이언트 요청은 DCOM 클라이언트에 대한 추가 수정 없이 서버 쪽에서 사용하도록 설정된 DCOM 강화 변경 내용으로 자동으로 수락됩니다. 자세한 내용은 아래를 참조하세요.

최신 보안 업데이트를 설치하는 것이 좋지만, 사용자 환경에 최신 보안 업데이트가 설치되어 있지 않은 경우 더 많은 제어를 제공하려고 합니다.

  • DCOM 강화를 사용하도록 설정합니다. 2022년 6월 14일 이상 업데이트를 설치하지 않은 경우 모든 DCOM 서버에 대해 RequireIntegrityActivationAuthenticationLevel 레지스트리 키를 1로 설정할 수 있습니다. 이렇게 하면 사용자 환경에서 DCOM을 강화할 수 있습니다.

  • 인증 수준을 높입니다. 2022년 11월 8일 이상 업데이트를 설치하지 않은 경우 모든 Windows 기반 DCOM 클라이언트에 대해 RaiseActivationAuthenticationLevel 레지스트리 키를 2로 설정할 수 있습니다. 이렇게 하면 Windows 기반 DCOM 클라이언트에서 익명이 아닌 모든 활성화 요청에 대한 인증 수준이 RPC_C_AUTHN_LEVEL_PKT_INTEGRITY

환경에서 테스트를 완료하고 가능한 한 빨리 이러한 강화 변경을 사용하도록 설정하는 것이 좋습니다. 테스트 중에 문제가 발견되면 2023년 3월 업데이트가 릴리스되기 전에 영향을 받는 클라이언트 또는 서버 소프트웨어에 대한 공급업체에 문의하여 업데이트 또는 해결 방법을 찾아야 합니다.

참고 사용 가능한 최신 보안 업데이트를 설치하는 것이 좋습니다. 마이그레이션을 지원하기 위해 추가한 기능뿐만 아니라 최신 보안 위협으로부터 고급 보호를 제공합니다. DCOM을 강화하는 방법에 대한 자세한 내용과 컨텍스트는 DCOM 인증 강화: 알아야 할 사항을 참조하세요.

일정

릴리스 업데이트

동작 변경

2021년 6월 8일

강화 변경 내용은 기본적으로 사용하지 않도록 설정되지만 레지스트리 키를 사용하여 사용하도록 설정할 수 있습니다.

2022년 6월 14일

강화 변경 내용은 기본적으로 사용하도록 설정되지만 레지스트리 키를 사용하여 사용하지 않도록 설정할 수 있습니다.

2022년 11월 8일

피드백에 따라 2022년 11월 8일 업데이트에는 클라이언트 쪽(DCOM 클라이언트 역할을 하는 디바이스, 애플리케이션 또는 서비스) 패치가 포함됩니다. 이 패치는 RPC_C_AUTHN_LEVEL_PKT_INTEGRITY 위해 익명이 아닌 모든 활성화 요청의 인증 수준을 자동으로 높입니다. 타사 Windows DCOM 클라이언트 애플리케이션을 사용하고 DCOM 강화 변경을 지원하기 위해 활성화 인증 수준을 높이기 위해 소프트웨어 공급자에 의존하는 경우 이 패치는 종속성을 제거합니다. 이렇게 하면 Windows OS 수준에서 활성화 인증 수준을 자동으로 올릴 수 있습니다. 이렇게 하면 DCOM 강화 변경을 사용하도록 설정한 DCOM 서버에서 활성화 요청이 거부되지 않습니다.

2023년 3월 14일

기본적으로 사용하도록 설정된 변경 내용을 사용하지 않도록 설정하는 기능 없이 강화합니다. 이 시점까지 환경의 강화 변경 사항 및 애플리케이션과의 호환성 문제를 해결해야 합니다.

2022년 11월 8일 DCOM 클라이언트 쪽 패치

이 업데이트는 DCOM 클라이언트에서 익명이 아닌 모든 활성화 요청에 대한 인증 수준을 최소 RPC_C_AUTHN_LEVEL_PKT_INTEGRITY 자동으로 높입니다. 이 변경으로 대부분의 Windows DCOM 클라이언트는 DCOM 클라이언트를 추가로 수정하지 않고도 서버 쪽에서 DCOM 강화 변경 내용으로 자동으로 작동합니다. 이 업데이트는 기본적으로 활성화되지만 레지스트리 키를 1로 설정하여 비활성화할 수 있습니다. 이 패치는 기본적으로 Windows 10 버전 1809 및 1607 및 Windows Server 2016 사용하지 않도록 설정됩니다. 사용하도록 설정하려면 RaiseActivationAuthenticationLevel 의 레지스트리 키 값을 2로 설정합니다.

강화 변경 내용을 사용하거나 사용하지 않도록 설정하는 레지스트리 설정

CVE-2021-26414에 대한 강화 변경 내용을 사용하거나 사용하지 않도록 설정할 수 있는 타임라인 단계에서 다음 레지스트리 키를 사용할 수 있습니다.

  • 경로: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat

  • 값 이름: "RequireIntegrityActivationAuthenticationLevel"

  • 형식: dword

  • 값 데이터: 기본값 = 0x00000000 사용 안 함을 의미합니다. 0x00000001 사용됨을 의미합니다. 이 값이 정의되지 않은 경우 기본적으로 사용으로 설정됩니다.

참고 값 데이터를 16진수 형식으로 입력해야 합니다. 

중요 적용하려면 이 레지스트리 키를 설정한 후 디바이스를 다시 시작해야 합니다.

참고 위의 레지스트리 키를 사용하도록 설정하면 DCOM 서버가 활성화를 위해 RPC_C_AUTHN_LEVEL_PKT_INTEGRITY 이상의 Authentication-Level 적용합니다. 이는 익명 활성화(인증 수준 RPC_C_AUTHN_LEVEL_NONE 사용 활성화)에 영향을 주지 않습니다. DCOM 서버에서 익명 활성화를 허용하는 경우 DCOM 강화 변경이 사용하도록 설정된 경우에도 계속 허용됩니다.

참고 이 레지스트리 값은 기본적으로 존재하지 않습니다. 만들어야 합니다. Windows가 존재하고 덮어쓰지 않는 경우 읽습니다.

참고 이후 업데이트를 설치하면 기존 레지스트리 항목 및 설정이 변경되거나 제거되지 않습니다.

활성화 인증 수준을 높이기 위한 레지스트리 설정

다음 레지스트리 키를 사용하여 활성화 인증 수준을 높일 수 있습니다.

  • 경로: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat

  • 값 이름: "RaiseActivationAuthenticationLevel"

  • 형식: dword

  • 값 데이터: 1은 기본 인증 수준을 RPC_C_AUTHN_LEVEL_PKT_INTEGRITY 높이는 것을 의미합니다.

    2(2)는 모든 익명이 아닌 활성화 요청이 패킷 무결성보다 낮은 경우 RPC_C_AUTHN_LEVEL_PKT_INTEGRITY 인증 수준을 높이는 것을 의미합니다. 여기에는 CoCreateInstanceEx와 같은 활성화 함수에서 명시적으로 설정된 인증 수준이 포함됩니다. 이 값이 정의되지 않은 경우 기본값은 1(2022년 11월 8일 이전) 및 2(2022년 11월 8일 이후) 입니다.

참고 값 데이터를 16진수 형식으로 입력해야 합니다. 

중요 적용하려면 이 레지스트리 키를 설정한 후 디바이스를 다시 시작해야 합니다.

참고 이 레지스트리 값은 기본적으로 존재하지 않습니다. 만들어야 합니다. Windows가 존재하고 덮어쓰지 않는 경우 읽습니다.

새 DCOM 오류 이벤트

DCOM 보안 강화 변경을 사용하도록 설정한 후 호환성 문제가 있을 수 있는 애플리케이션을 식별하는 데 도움이 되도록 시스템 로그에 새 DCOM 오류 이벤트를 추가했습니다. 아래 표를 참조하세요. DCOM 클라이언트 애플리케이션이 RPC_C_AUTHN_LEVEL_PKT_INTEGRITY 미만인 인증 수준을 사용하여 DCOM 서버를 활성화하려고 하는 것을 감지하면 시스템에서 이러한 이벤트를 기록합니다. 서버 쪽 이벤트 로그에서 클라이언트 디바이스로 추적하고 클라이언트 쪽 이벤트 로그를 사용하여 애플리케이션을 찾을 수 있습니다.

서버 이벤트

이벤트 ID

메시지

10036

"서버 쪽 인증 수준 정책은 주소 %4의 사용자 %1\%2 SID(%3)가 DCOM 서버를 활성화하는 것을 허용하지 않습니다. 적어도 클라이언트 애플리케이션에서 RPC_C_AUTHN_LEVEL_PKT_INTEGRITY 활성화 인증 수준을 높이세요."

(%1 – 도메인, %2 – 사용자 이름, %3 – 사용자 SID, %4 – 클라이언트 IP 주소)

클라이언트 이벤트

이벤트 ID

메시지

10037

"PID가 %2인 애플리케이션 %1은 (으)에서 인증 수준을 명시적으로 설정한 컴퓨터 %4에서 CLSID %3을(를) 활성화하도록 요청합니다. DCOM에 필요한 가장 낮은 활성화 인증 수준은 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY)입니다. 활성화 인증 수준을 높이려면 애플리케이션 공급업체에 문의하세요."

10038

"PID가 %2인 애플리케이션 %1은 기본 활성화 인증 수준이 %5인 컴퓨터 %4에서 CLSID %3을(를) 활성화하도록 요청합니다. DCOM에 필요한 가장 낮은 활성화 인증 수준은 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY)입니다. 활성화 인증 수준을 높이려면 애플리케이션 공급업체에 문의하세요."

(%1 – 애플리케이션 경로, %2 – 애플리케이션 PID, %3 – 애플리케이션이 활성화하도록 요청하는 COM 클래스의 CLSID, %4 – 컴퓨터 이름, %5 – 인증 수준 값)

가용성

이러한 오류 이벤트는 Windows 버전의 하위 집합에만 사용할 수 있습니다. 아래 표를 참조하세요.

Windows 버전

이러한 날짜 또는 그 이후에 사용 가능

Windows Server 2022

2021년 9월 27일

KB5005619

Windows 10, 버전 2004, Windows 10, 버전 20H2, Windows 10, 버전 21H1

2021년 9월 1일

KB5005101

Windows 10 버전 1909

2021년 8월 26일

KB5005103

Windows Server 2019, Windows 10, 버전 1809

2021년 8월 26일

KB5005102

Windows Server 2016, Windows 10, 버전 1607

2021년 9월 14일

KB5005573

Windows Server 2012 R2 및 Windows 8.1

2021년 10월 12일

KB5006714

Windows 11 버전 22H2

2022년 9월 30일

KB5017389

추가 도움이 필요하신가요?

기술 향상
교육 살펴보기
새로운 기능 우선 가져오기
Microsoft Insider 참가

이 정보가 유용한가요?

언어 품질에 얼마나 만족하시나요?
사용 경험에 어떠한 영향을 주었나요?

의견 주셔서 감사합니다!

×