요약

2022년 1월 11일, Windows 업데이트 및 이후 Windows 업데이트는 CVE-2022-21913에 보호 기능을 추가합니다.

2022년 1월 11일 Windows 업데이트 또는 이후 Windows 업데이트를 설치한 후, 네트워크를 통해 전송되는 트러스트된 도메인 개체 암호 작업을 위한 레거시 로컬 보안 기관(도메인 정책)(MS-LSAD) 프로토콜을 사용할 때 Windows 클라이언트에서 AES(Advanced Encryption Standard) 암호화가 기본 암호화 방법으로 설정됩니다. 이는 서버에서 AES 암호화를 지원하는 경우에만 해당됩니다. AES 암호화가 서버에서 지원되지 않는 경우 시스템은 레거시 RC4 암호화로의 대체를 허용합니다.

CVE-2022-21913 변경 사항은 MS-LSAD 프로토콜에만 해당됩니다. 이는 다른 프로토콜과는 무관합니다. MS-LSAD는 RPC
(원격 프로시저 호출) 및 명명된 파이프를 통해 SMB(서버 메시지 블록)를 사용합니다. SMB는 암호화도 지원하나 기본적으로 사용하도록 설정되어 있지 않습니다. 기본적으로 CVE-2022-21913 변경 사항은 활성화되고 LSAD 계층에서 추가 보안 기능을 제공합니다. 지원되는 모든 Windows 버전의 2022년 1월 11일 Windows 업데이트 및 이후 Windows 업데이트에 포함된 CVE-2022-21913에 대한 보호 기능을 설치하는 것 외에는 추가 구성 변경이 필요하지 않습니다. 지원되지 않는 Windows 버전은 중단하거나 지원되는 버전으로 업그레이드해야 합니다. 

참고 CVE-2022-21913은 MS-LSAD 프로토콜의 특정 API를 사용할 때 트러스트 암호가 전송 중 암호화되는 방식만 수정하며, 미사용 암호가 저장되는 방식은 따로 수정하지 않습니다. Active Directory 및 SAM 데이터베이스(레지스트리)에서 로컬로 미사용 암호를 암호화하는 방법에 대한 자세한 내용은 암호 기술 개요를 참조하세요. 

추가 정보

2022년 1월 11일 업데이트에 따른 변경 사항 

  • 정책 개체 패턴

    업데이트는 클라이언트와 서버가 AES 지원에 대한 정보를 공유할 수 있도록 하는 새로운 개방형 정책법을 추가하여 프로토콜의 정책 개체 패턴을 수정합니다.

    RC4를 사용하는 기존 방법

    AES를 사용한 새로운 방법

    LsarOpenPolicy2(Opnum 44)

    LsarOpenPolicy3(Opnum 130)

    MS-LSAR 프로토콜 opnum의 전체 목록은 [MS-LSAD]: 메시지 처리 이벤트 및 시퀀싱 규칙을 참조하세요.

  • 트러스트된 도메인 개체 패턴

    업데이트는 AES를 사용하여 인증 데이터를 암호화하는 신뢰를 생성하는 새로운 방법을 추가하여 프로토콜의 트러스트된 도메인 개체 생성 패턴을 수정합니다.

    이제 LsaCreateTrustedDomainEx API는 클라이언트와 서버가 모두 업데이트된 경우 새 메서드를 선호하고 그렇지 않으면 이전 메서드를 대신 사용합니다.

    RC4를 사용하는 기존 방법

    AES를 사용한 새로운 방법

    LsarCreateTrustedDomainEx2(Opnum 59)

    LsarCreateTrustedDomainEx3(Opnum 129) 

    업데이트는 두 개의 새로운 신뢰할 수 있는 정보 클래스를 LsarSetInformationTrustedDomain(Opnum 27), LsarSetTrustedDomainInfoByName(Opnum 49) 메서드에 추가하여 프로토콜의 트러스트된 도메인 개체 집합 패턴을 수정합니다. 다음과 같이 트러스트된 도메인 개체 정보를 설정할 수 있습니다.  

    RC4를 사용하는 기존 방법

    AES를 사용한 새로운 방법

    LsarSetInformationTrustedDomain(Opnum 27)과 TrustedDomainAuthInformationInternal 또는 TrustedDomainFullInformationInternal(RC4를 사용하는 암호화된 트러스트 암호 포함)

    LsarSetInformationTrustedDomain(Opnum 27)과 TrustedDomainAuthInformationInternalAes 또는 TrustedDomainFullInformationAes(AES를 사용하는 암호화된 트러스트 암호 포함)

    LsarSetTrustedDomainInfoByName(Opnum 49)과 TrustedDomainAuthInformationInternal 또는 TrustedDomainFullInformationInternal(RC4 및 기타 특성을 모두 사용하는 암호화된 트러스트 암호 포함)

    LsarSetTrustedDomainInfoByName(Opnum 49)과 TrustedDomainAuthInformationInternalAes 또는 TrustedDomainFullInformationInternalAes(AES 및 기타 특성을 모두 사용하는 암호화된 트러스트 암호 포함)

새로운 동작이 작동하는 방식

기존 LsarOpenPolicy2 메서드는 일반적으로 RPC 서버에 대한 컨텍스트 핸들을 여는 데 사용됩니다. 이것은 로컬 보안 기관(도메인 정책) 원격 프로토콜 데이터베이스에 연결하기 위해 반드시 호출해야 하는 첫 번째 기능입니다. 이러한 업데이트를 설치하면 LsarOpenPolicy2 메서드가 새 LsarOpenPolicy3 메서드로 대체됩니다. 

LsaOpenPolicy API를 호출하는 업데이트된 클라이언트는 이제 LsarOpenPolicy3 메서드를 먼저 호출합니다. 서버가 업데이트되지 않고 LsarOpenPolicy3 메서드를 구현하지 않으면, 클라이언트는 LsarOpenPolicy2 메서드로 대체하고 RC4 암호화를 사용하는 이전 메서드를 사용합니다. 

업데이트된 서버는 LSAPR_REVISION_INFO_V1에 정의된 대로 LsarOpenPolicy3 메서드 응답에서 새 비트를 반환합니다. 자세한 내용은 MS-LSAD의 "AES 암호 사용" 섹션 및 "LSAPR_TRUSTED_DOMAIN_AUTH_INFORMATION_INTERNAL_AES" 섹션을 참조하세요.

서버가 AES를 지원하는 경우에 클라이언트는 후속 트러스트된 도메인 "만들기" 작업 및 "설정" 작업에 대해 새 메서드와 새 정보 클래스를 사용합니다. 서버가 이 플래그를 반환하지 않거나 클라이언트가 업데이트되지 않은 경우 클라이언트는 RC4 암호화를 사용하는 이전 방법을 대신 사용합니다. 

이벤트 로깅

2022년 1월 11일 업데이트는 업데이트되지 않은 디바이스를 식별하고 보안을 개선하는 데 도움이 되도록 보안 이벤트 로그에 새 이벤트를 추가합니다. 

의미

이벤트 원본

Microsoft-Windows-Security 

이벤트 ID

6425

수준

정보

이벤트 메시지 텍스트

트러스트된 도메인 개체에 대한 인증 정보를 수정하기 위해 네트워크 클라이언트가 레거시 RPC 메서드를 사용했습니다. 인증 정보는 레거시 암호화 알고리즘으로 암호화되었습니다. 이 메서드의 최신 보안 버전을 사용하려면 클라이언트 운영 체제 또는 애플리케이션을 업그레이드하는 것이 좋습니다. 

트러스트된 도메인: 

  • 도메인 이름:
    도메인 ID:

수정한 사람: 

  • 보안 ID:
    계정 이름:
    계정 도메인:
    로그온 ID:

클라이언트 네트워크 주소: 
RPC 메서드 이름: 

자세한 내용은 https://go.microsoft.com/fwlink/?linkid=2161080을 참조하세요.

자주 묻는 질문(FAQ) 

Q1: AES에서 RC4로 다운그레이드를 유발하는 시나리오는 무엇인가요? 

대답 1: 서버 또는 클라이언트가 AES를 지원하지 않으면 다운그레이드가 발생합니다.    

Q2: RC4 암호화 또는 AES 암호화가 협상되었는지 어떻게 알 수 있나요? 

A2: 업데이트된 서버는 RC4를 사용하는 레거시 방법을 사용할 때 이벤트 6425를 기록합니다.  

Q3: 서버에서 AES 암호화를 요구할 수 있나요? 향후 Windows 업데이트는 AES를 사용하여 프로그래밍 방식으로 시행하게 될까요? 

A3: 현재는 사용할 수 있는 시행 모드가 없습니다. 그러한 변경은 계획하고 있지 않지만 향후에 있을 수도 있습니다. 

Q4: 타사 클라이언트는 서버에서 지원될 때 AES를 협상하기 위해 CVE-2022-21913에 대한 보호 기능을 지원하나요? 이 질문에 대한 답을 얻으려면 Microsoft 지원이나 타사 지원팀에 문의해야 하나요?   

A4: 타사 디바이스나 응용 프로그램이 MS-LSAD 프로토콜을 사용하지 않는다면 이는 중요하지 않습니다. MS-LSAD 프로토콜을 구현하는 타 공급업체는 이 프로토콜을 구현하기로 선택할 수 있습니다. 자세한 내용은 해당 제조업체에 문의하세요.  

Q5: 추가로 구성을 변경할 필요가 있나요?  

A5: 추가 구성 변경은 필요하지 않습니다.  

Q6: 이 프로토콜은 어디에서 사용되나요?   

A6: MS-LSAD 프로토콜은 Active Directory 및 Active Directory 도메인 및 트러스트 콘솔과 같은 도구를 비롯한 많은 Windows 구성 요소에서 사용됩니다. 응용 프로그램은 LsaOpenPolicy 또는 LsaCreateTrustedDomainEx 등 advapi32 라이브러리 API를 통해 이 프로토콜을 사용할 수도 있습니다.

관련 문서

추가 도움이 필요하신가요?

기술 향상
교육 살펴보기
새로운 기능 우선 가져오기
Microsoft Insider 참가

이 정보가 유용한가요?

언어 품질에 얼마나 만족하시나요?
사용 경험에 어떠한 영향을 주었나요?

의견 주셔서 감사합니다!

×