KB5005413: AD CS(Active Directory Certificate Services)에 대한 NTLM Relay 공격 완화

기본 완화

EPA를 사용하도록 설정하고 AD CS 서버에서 HTTP를 사용하지 않도록 설정하는 것이 좋습니다. IIS(인터넷 정보 서비스) 관리자를 열고 다음을 수행합니다.

1. 인증 기관 웹 등록에 EPA를 사용하도록 설정합니다. 더 안전하고 권장되는 옵션이 필요합니다 .

   

2. 인증서 등록 웹 서비스에 EPA 사용, 더 안전하고 권장되는 옵션인 필수 옵션:
   
   
   
   UI에서 EPA를 사용하도록 설정한 후 <%windir%>\systemdata\CES\<CA 이름>_CES_Kerberos\web.configCES 역할에서 만든 Web.config 파일은 위의 IIS UI에서 선택한 확장 보호 옵션에 따라 WhenSupported 또는 Always 값으로 설정된 <extendedProtectionPolicy> 추가하여 업데이트해야 합니다.

   참고:  항상 설정은 UI가 필수로 설정된 경우 사용되며, 이는 권장되고 가장 안전한 옵션입니다.

   extendedProtectionPolicy에 사용할 수 있는 옵션에 대한 자세한 내용은 <기본HttpBinding>전송><참조하세요. 가장 자주 사용되는 설정은 다음과 같습니다.

   <binding name="TransportWithHeaderClientAuth">
        <security mode="Transport">
            <transport clientCredentialType="Windows">
            <extendedProtectionPolicy policyEnforcement="Always" />
            </transport>
            <message clientCredentialType="None" establishSecurityContext="false" negotiateServiceCredential="false" />
        </security>
        <readerQuotas maxStringContentLength="131072" />
   </binding>
   

3. HTTPS 연결만 사용하도록 설정하는 SSL 필요를 사용하도록 설정합니다.
   
   

추가 완화

기본 완화 외에도 가능한 경우 NTLM 인증을 사용하지 않도록 설정하는 것이 좋습니다. 다음 완화 방법이 보다 안전한 방법에서 보안이 떨어지는 순서로 나열됩니다.

• Windows 도메인 컨트롤러에서 NTLM 인증을 사용하지 않도록 설정합니다. 이 작업은 네트워크 보안: NTLM 제한: 이 도메인의 NTLM 인증 설명서에 따라 수행할 수 있습니다.

• 그룹 정책 네트워크 보안: NTLM 제한: 들어오는 NTLM 트래픽을 사용하여 도메인의 모든 AD CS 서버에서 NTLM을 사용하지 않도록 설정합니다. 이 GPO를 구성하려면 그룹 정책 열고 컴퓨터 구성 ->Windows 설정 -> 보안 설정 -> 로컬 정책 -> 보안 옵션으로 이동하고 네트워크 보안: NTLM 제한: 들어오는 NTLM 트래픽을 모든 계정 거부 또는 모든도메인 계정 거부로 설정합니다.  필요한 경우 네트워크 보안: NTLM 제한: 이 도메인에서 서버 예외 추가 설정을 사용하여 필요에 따라 예외를 추가할 수 있습니다.

• "인증 기관 웹 등록" 또는 "인증서 등록 웹 서비스" 서비스를 실행하는 도메인의 AD CS 서버에서 IIS(인터넷 정보 서비스)에 대해 NTLM을 사용하지 않도록 설정합니다.

이렇게 하려면 IIS 관리자 UI를 열려면 Windows 인증 Negotiate:Kerberos로 설정합니다. 

자세한 내용은 Microsoft 보안 공지 ADV210003을 참조하세요.