KB5010265는 CVE-2022-21913용 MS-LSAD 프로토콜에 AES 암호화 보호 기능을 추가합니다.

2022년 1월 11일 업데이트에 따른 변경 사항 

• 정책 개체 패턴
  
  업데이트는 클라이언트와 서버가 AES 지원에 대한 정보를 공유할 수 있도록 하는 새로운 개방형 정책법을 추가하여 프로토콜의 정책 개체 패턴을 수정합니다.

  RC4를 사용하는 기존 방법	AES를 사용한 새로운 방법
  LsarOpenPolicy2(Opnum 44)	LsarOpenPolicy3(Opnum 130)

  MS-LSAR 프로토콜 opnum의 전체 목록은 [MS-LSAD]: 메시지 처리 이벤트 및 시퀀싱 규칙을 참조하세요.

• 트러스트된 도메인 개체 패턴

  업데이트는 AES를 사용하여 인증 데이터를 암호화하는 신뢰를 생성하는 새로운 방법을 추가하여 프로토콜의 트러스트된 도메인 개체 생성 패턴을 수정합니다.

  이제 LsaCreateTrustedDomainEx API는 클라이언트와 서버가 모두 업데이트된 경우 새 메서드를 선호하고 그렇지 않으면 이전 메서드를 대신 사용합니다.

  RC4를 사용하는 기존 방법	AES를 사용한 새로운 방법
  LsarCreateTrustedDomainEx2(Opnum 59)	LsarCreateTrustedDomainEx3(Opnum 129)

  업데이트는 두 개의 새로운 신뢰할 수 있는 정보 클래스를 LsarSetInformationTrustedDomain(Opnum 27), LsarSetTrustedDomainInfoByName(Opnum 49) 메서드에 추가하여 프로토콜의 트러스트된 도메인 개체 집합 패턴을 수정합니다. 다음과 같이 트러스트된 도메인 개체 정보를 설정할 수 있습니다.  

  RC4를 사용하는 기존 방법	AES를 사용한 새로운 방법
  LsarSetInformationTrustedDomain(Opnum 27)과 TrustedDomainAuthInformationInternal 또는 TrustedDomainFullInformationInternal(RC4를 사용하는 암호화된 트러스트 암호 포함)	LsarSetInformationTrustedDomain(Opnum 27)과 TrustedDomainAuthInformationInternalAes 또는 TrustedDomainFullInformationAes(AES를 사용하는 암호화된 트러스트 암호 포함)
  LsarSetTrustedDomainInfoByName(Opnum 49)과 TrustedDomainAuthInformationInternal 또는 TrustedDomainFullInformationInternal(RC4 및 기타 특성을 모두 사용하는 암호화된 트러스트 암호 포함)	LsarSetTrustedDomainInfoByName(Opnum 49)과 TrustedDomainAuthInformationInternalAes 또는 TrustedDomainFullInformationInternalAes(AES 및 기타 특성을 모두 사용하는 암호화된 트러스트 암호 포함)

새로운 동작이 작동하는 방식

기존 LsarOpenPolicy2 메서드는 일반적으로 RPC 서버에 대한 컨텍스트 핸들을 여는 데 사용됩니다. 이것은 로컬 보안 기관(도메인 정책) 원격 프로토콜 데이터베이스에 연결하기 위해 반드시 호출해야 하는 첫 번째 기능입니다. 이러한 업데이트를 설치하면 LsarOpenPolicy2 메서드가 새 LsarOpenPolicy3 메서드로 대체됩니다. 

LsaOpenPolicy API를 호출하는 업데이트된 클라이언트는 이제 LsarOpenPolicy3 메서드를 먼저 호출합니다. 서버가 업데이트되지 않고 LsarOpenPolicy3 메서드를 구현하지 않으면, 클라이언트는 LsarOpenPolicy2 메서드로 대체하고 RC4 암호화를 사용하는 이전 메서드를 사용합니다. 

업데이트된 서버는 LSAPR_REVISION_INFO_V1에 정의된 대로 LsarOpenPolicy3 메서드 응답에서 새 비트를 반환합니다. 자세한 내용은 MS-LSAD의 "AES 암호 사용" 섹션 및 "LSAPR_TRUSTED_DOMAIN_AUTH_INFORMATION_INTERNAL_AES" 섹션을 참조하세요.

서버가 AES를 지원하는 경우에 클라이언트는 후속 트러스트된 도메인 "만들기" 작업 및 "설정" 작업에 대해 새 메서드와 새 정보 클래스를 사용합니다. 서버가 이 플래그를 반환하지 않거나 클라이언트가 업데이트되지 않은 경우 클라이언트는 RC4 암호화를 사용하는 이전 방법을 대신 사용합니다. 

이벤트 로깅

2022년 1월 11일 업데이트는 업데이트되지 않은 디바이스를 식별하고 보안을 개선하는 데 도움이 되도록 보안 이벤트 로그에 새 이벤트를 추가합니다. 

자주 묻는 질문(FAQ) 

Q1: AES에서 RC4로 다운그레이드를 유발하는 시나리오는 무엇인가요? 

대답 1: 서버 또는 클라이언트가 AES를 지원하지 않으면 다운그레이드가 발생합니다.    

Q2: RC4 암호화 또는 AES 암호화가 협상되었는지 어떻게 알 수 있나요? 

A2: 업데이트된 서버는 RC4를 사용하는 레거시 방법을 사용할 때 이벤트 6425를 기록합니다.  

Q3: 서버에서 AES 암호화를 요구할 수 있나요? 향후 Windows 업데이트는 AES를 사용하여 프로그래밍 방식으로 시행하게 될까요? 

A3: 현재는 사용할 수 있는 시행 모드가 없습니다. 그러한 변경은 계획하고 있지 않지만 향후에 있을 수도 있습니다. 

Q4: 타사 클라이언트는 서버에서 지원될 때 AES를 협상하기 위해 CVE-2022-21913에 대한 보호 기능을 지원하나요? 이 질문에 대한 답을 얻으려면 Microsoft 지원이나 타사 지원팀에 문의해야 하나요?   

A4: 타사 디바이스나 응용 프로그램이 MS-LSAD 프로토콜을 사용하지 않는다면 이는 중요하지 않습니다. MS-LSAD 프로토콜을 구현하는 타 공급업체는 이 프로토콜을 구현하기로 선택할 수 있습니다. 자세한 내용은 해당 제조업체에 문의하세요.  

Q5: 추가로 구성을 변경할 필요가 있나요?  

A5: 추가 구성 변경은 필요하지 않습니다.  

Q6: 이 프로토콜은 어디에서 사용되나요?   

A6: MS-LSAD 프로토콜은 Active Directory 및 Active Directory 도메인 및 트러스트 콘솔과 같은 도구를 비롯한 많은 Windows 구성 요소에서 사용됩니다. 응용 프로그램은 LsaOpenPolicy 또는 LsaCreateTrustedDomainEx 등 advapi32 라이브러리 API를 통해 이 프로토콜을 사용할 수도 있습니다.