Microsoft로 로그인
로그인하거나 계정을 만듭니다.
안녕하세요.
다른 계정을 선택합니다.
계정이 여러 개 있음
로그인할 계정을 선택합니다.

소개

Microsoft는 Windows 플랫폼에서 사용할 수 있는 새로운 기능인 EPA(확장된 인증 보호)를 발표합니다. 이 기능은 IWA(Windows 통합 인증)를 사용함으로써 네트워크 연결을 인증할 때 자격 증명 보호 및 처리를 향상합니다.

업데이트 자체가 자격 증명 전달과 같은 특정 공격에 대한 직접적인 보호를 제공하지는 않지만 애플리케이션이 EPA에 옵트인할 수 있도록 허용합니다. 이 권고는 개발자와 시스템 관리자에게 이 새로운 기능을 설명하고, 인증 자격 증명을 보호할 수 있도록 이 기능을 배포하는 방법 또한 간략하게 설명합니다.

자세한 내용은 Microsoft 보안 권고 973811을 참조하세요.

추가 정보

이 보안 업데이트는 Windows 인증 작동 방식을 개선하도록 SSPI(Security Support Provider Interface)를 수정하여 IWA를 사용할 때 자격 증명이 쉽게 전달되지 않게 합니다.

EPA가 활성화되면 인증 요청이 클라이언트가 연결을 시도하는 서버의 SPN(Service Principal Names)과 IWA 인증이 발생하는 외부 TLS(Transport Layer Security) 채널에 모두 바인딩됩니다.

이 업데이트는 확장된 보호를 관리하는 새 레지스트리 항목을 추가합니다.

  • 레지스트리 SuppressExtendedProtection값을 설정합니다.

    레지스트리 키

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

    SuppressExtendedProtection

    유형

    REG_DWORD

    데이터

    0 보호 기술을 사용합니다.
    1 확장된 보호를 사용할 수 없습니다.
    3 확장된 보호를 사용할 수 없고 Kerberos에서 보낸 채널 바인딩도 사용할 수 없으며, 이는 애플리케이션에서 제공하더라도 마찬가지입니다.

    기본값: 0x0

    참고 기본적으로 EPA를 사용하도록 설정할 때 발생하는 문제는 Microsoft 웹 사이트의 Windows 이외 NTLM 또는 Kerberos 서버에서 인증 실패 항목에 설명되어 있습니다.

  • 레지스트리 LmCompatibilityLevel 값을 설정합니다.

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel3으로 설정합니다. 이것은 NTLMv2 인증을 활성화하는 기존 키입니다. EPA는 NTLMv2, Kerberos, 다이제스트 및 협상 인증 프로토콜에만 적용되며 NTLMv1에는 적용되지 않습니다.

참고 Windows 컴퓨터에서 SuppressExtendedProtectionLmCompatibilityLevel 레지스트리 값을 설정한 후 컴퓨터를 다시 시작해야 합니다.

확장된 보호 사용

참고 기본적으로 확장 보호 및 NTLMv2는 지원되는 모든 Windows 버전에서 둘 다 사용하도록 설정됩니다. 이 가이드를 사용하여 이것이 사실인지 확인할 수 있습니다.

중요 이 절, 방법 또는 작업에는 레지스트리를 수정하는 방법에 대한 단계가 포함되어 있습니다. 그러나 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수 있습니다. 따라서 다음 단계를 주의하여 수행해야 합니다. 추가된 보호를 위해 레지스트리를 수정하기 전에 백업하세요. 그런 다음 문제가 발생할 경우 레지스트리를 복원할 수 있습니다. Windows XP 및 Windows Server 2003에서 레지스트리를 백업, 편집 및 복원하는 방법에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료를 참조하세요.

  • KB322756 Windows에서 레지스트리를 백업 및 복원하는 방법

플랫폼에 대한 보안 업데이트를 다운로드하고 설치한 후 확장된 보호를 직접 활성화하려면 다음 단계를 수행합니다.

  1. 레지스트리 편집기를 시작합니다. 이렇게 하려면, 시작, 실행을 차례로 클릭하고 열기 상자에 regedit을 입력한 다음 확인을 클릭합니다.

  2. 다음 레지스트리 하위 키를 찾아서 클릭합니다.

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

  3. 레지스트리 값 SuppressExtendedProtectionLmCompatibilityLevel이 있는지 확인합니다.

    레지스트리 값이 없으면 다음 단계를 수행하여 레지스트리 값을 만듭니다.

    1. 2단계에 나열된 레지스트리 하위 키를 선택하고 편집 메뉴에서 새로 만들기를 가리킨 다음 DWORD 값을 클릭합니다.

    2. SuppressExtendedProtection를 입력한 다음 Enter 키를 누릅니다.

    3. 2단계에 나열된 레지스트리 하위 키를 선택하고 편집 메뉴에서 새로 만들기를 가리킨 다음 DWORD 값을 클릭합니다.

    4. LmCompatibilityLevel을 입력한 다음 Enter 키를 누릅니다.

  4. SuppressExtendedProtection 레지스트리 값을 클릭하여 선택합니다.

  5. 편집 메뉴에서 수정을 클릭합니다.

  6. 값 데이터 상자에 0을 입력한 다음 확인을 클릭합니다.

  7. LmCompatibilityLevel 레지스트리 값을 클릭하여 선택합니다.

  8. 편집 메뉴에서 수정을 클릭합니다.

    참고 이 단계에서는 NTLM 인증 요구 사항을 변경합니다. 이 동작을 숙지할 수 있도록 Microsoft 기술 자료에서 다음 문서를 검토하세요.

    KB239869 NTLM 2 인증 사용 설정 방법

  9. 값 데이터 상자에 3을 입력한 다음 확인을 클릭합니다.

  10. 레지스트리 편집기를 종료하십시오.

  11. Windows 컴퓨터에서 이러한 변경을 수행하는 경우 변경 내용을 적용하려면 컴퓨터를 다시 시작해야 합니다.

Facebook LinkedIn 전자 메일
RSS 피드 구독

도움이 더 필요하세요?

더 많은 옵션을 원하세요?

검색 커뮤니티

구독 혜택을 살펴보고, 교육 과정을 찾아보고, 디바이스를 보호하는 방법 등을 알아봅니다.

Microsoft 365 구독 혜택

Microsoft 365 교육

Microsoft 보안

접근성 센터

커뮤니티를 통해 질문하고 답변하고, 피드백을 제공하고, 풍부한 지식을 갖춘 전문가의 의견을 들을 수 있습니다.

Microsoft 커뮤니티에 질문하기

Microsoft Tech Community

Windows 참가자

Microsoft 365 참가자

이 정보가 유용한가요?

언어 품질에 얼마나 만족하시나요?
사용 경험에 어떠한 영향을 주었나요?
제출을 누르면 피드백이 Microsoft 제품과 서비스를 개선하는 데 사용됩니다. IT 관리자는 이 데이터를 수집할 수 있습니다. 개인정보처리방침

의견 주셔서 감사합니다!

×