|
날짜 변경 |
설명 변경 |
|
2026년 2월 3일 |
|
요약
2021년 11월 9일에 릴리스된 CVE-2021-42282용 Windows 업데이트는 AD(Active Directory)의 특성에 대해 다음 확인을 추가합니다.
-
UPN(사용자 계정 이름) 및 SPN(서비스 사용자 이름) 고유성(Windows 8, Windows Server 2012 및 이전 릴리스의 새로운 버전)
-
SPN 별칭 고유성(모든 Windows 버전에 새로운 기능)
사용자 계정 이름 및 서비스 주체 이름 고유성
이 기능은 컴퓨터 및 도메인 컨트롤러가 중복 SPN을 추가하지 못하도록 포리스트에서 SPN이 고유하게 유지되도록 합니다. 이 기능은 이미 Windows 8.1 이상에 있으며 SPN 및 UPN 고유성에 설명되어 있습니다.
SPN 별칭 고유성
기존 AD 특성은 CIFS, HTTP 및 RPC와 같은 서비스에 해당하는 HOST SPN에 대한 많은 공통 서비스 클래스의 별칭을 정의합니다. AD 특성은 Active Directory 포리스트의 구성 명명 컨텍스트에서 목록으로 정의됩니다. 관리자 권한이 없는 사용자는 이 별칭을 사용하여 암시적으로 다른 계정에 할당된 SPN을 다시 할당하지 않을 수 있습니다.
참고 이 확인은 UPN 및 SPN 고유성에 대한 확인 외에도 구현됩니다.
SPN 별칭 고유성 확인은 기본적으로 설정됩니다. 일련의 문자로 해석되는 dSHeuristics 특성의 21st 문자를 수정하여 이러한 확인을 해제할 수 있습니다. dSHeuristics 특성은 기본적으로 존재하지 않지만 "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=support,DC=local"이라는 고유 이름 아래에 추가할 수 있습니다. 가능한 설정 및 해당 비트 값은 다음과 같습니다.
-
값 0 – 모두 적용(비트가 000으로 설정되지 않음) 기본값을 의미합니다.
-
값 1 – UPN 고유성 확인 사용 안 함(비트 0 집합 - 001)을 의미합니다.
-
값 2 - SPN 고유성 확인 사용 안 함(비트 1 집합 - 010)을 의미합니다.
-
값 3 - UPN 고유성 및 SPN 고유성 확인 사용 안 함을 의미합니다. (비트 0 및 1 집합 - 011)
-
값 4 - SPN 별칭 고유성 확인 사용 안 함(비트 2 집합 - 100)을 의미합니다.
-
값 5 – SPN 별칭 및 UPN 고유성 확인 사용 안 함(비트 2 및 비트 0 집합 - 101)을 의미합니다.
-
값 6 - SPN 별칭 및 SPN 고유성 사용 안 함(비트 2 및 비트 1 집합 - 110)을 의미합니다.
-
값 7 - 모두 사용 안 함(모든 비트가 111로 설정됨)을 의미합니다.
예: 포리스트에서 다른 dSHeuristics 설정을 사용하도록 설정하지 않고 SPN 별칭 고유성 확인만 사용하지 않도록 설정하려는 경우 dSHeuristics 특성을 "000000000100000000024"로 설정해야 합니다. 이 경우에 설정된 문자는 다음과 같습니다. 10번째 문자: dSHeuristics 특성이 10자 이상인 경우 1로 설정해야 합니다. 20번째 문자: dSHeuristics 특성이 20자 이상인 경우 2로 설정해야 합니다. 21st char: 위의 목록에서 값으로 설정해야 합니다. 값 4는 SPN 별칭 고유성 사용 안 함을 의미합니다.
참고 dSHeuristics 특성이 이미 설정된 경우 기존 설정을 새 dSHeuristics 특성 문자열에 병합하고 10번째, 20번째 및 21번째 문자가 위와 같이 설정되어 있는지 확인합니다. 이미 설정된 다른 문자는 변경되지 않은 상태로 유지되어야 합니다.
dSHeuristics 문자를 구성하는 방법에 대한 자세한 내용은 다음 문서를 참조하세요.
자세한 내용
서비스 주체 이름이란?
SPN(서비스 사용자 이름)은 서비스 instance 대한 고유 식별자입니다. Kerberos 인증은 SPN을 사용하여 서비스 instance 서비스 로그인 계정과 연결합니다. 이렇게 하면 클라이언트 애플리케이션이 클라이언트에 계정 이름이 없더라도 서비스에서 계정을 인증하도록 요청할 수 있습니다. 자세한 내용은 서비스 주체 이름을 참조하세요.
사용자 계정 이름이란?
UPN(사용자 계정 이름)은 인터넷 표준 RFC 822를 기반으로 하는 사용자의 이메일 스타일 로그인 이름입니다. 자세한 내용은 User-Principal-Name 특성을 참조하세요.
질문과 대답
Q1 계정에 대해 중복된 HOST 별칭 SPN을 등록해야 하는 경우 어떻게 해야 하나요?
A1 필요한 SPN을 Active Directory 엔터프라이즈 관리자로 등록합니다.
Q2 SPN 또는 UPN 고유성을 해제하면 어떻게 되나요?
A2 권장되지 않습니다. SPN이 고유하지 않은 경우 중복된 SPN이 전혀 등록되지 않은 것처럼 표시됩니다. 중복 SPN을 등록하면 원래 SPN의 등록을 취소하는 것과 동일한 효과가 있습니다. UPN이 고유하지 않으면 중복 UPN을 사용하는 사용자 조회가 실패합니다.
Q3 SPN 별칭 고유성을 해제하면 어떻게 되나요?
A3 권장되지 않습니다. 관리자가 아닌 사용자가 기존 별칭 SPN의 해상도를 현재 해상도에서 비관리자의 제어 하에 있는 컴퓨터로 변경할 수 있습니다. Kerberos에서 제공하는 서버 인증은 HOST SPN을 사용하는 원래 계정 대신 서비스에 대한 올바른 호스트로 새 계정을 수락하기 때문에 해당 컴퓨터가 해당 서비스 역할을 할 수 있습니다.
Q4 도메인 관리자는 네트워크에 이미 있는 중복 SPN 또는 UPN을 어떻게 찾을 수 있나요?
A4 도메인의 모든 SPN 및 UPN을 열거하고 중복 항목을 찾기 위해 상호 연결하는 광범위한 스크립팅을 작성하지 않으면 실용적이지 않습니다.
Q5 도메인 컨트롤러 간에 업데이트되고 업데이트되거나 일치하지 않는 도메인 컨트롤러가 혼합되어 있는 경우 어떻게 되나요?
A5 중복된 UPN 또는 SPN으로 인해 복제가 차단되지 않습니다. 따라서 중복된 UPN 또는 SPN이 업데이트가 없는 도메인 컨트롤러에서 만들어진 경우 중복된 항목이 다른 도메인 컨트롤러에 복제할 수 있습니다.
