원래 게시 날짜: 2025년 9월 9일KB ID: 5066913
요약
SMB 서버는 이미 릴레이 공격에 대한 강화를 위한 두 가지 메커니즘을 지원합니다.
-
SMB 서버 서명
-
인증을 위한 SMB 서버 확장 보호(EPA)
일부 고객 환경에서는 일부 레거시 시스템과 타사 구현이 SMB 서버 서명 또는 SMB 서버 EPA를 지원하지 않을 수 있으므로 이러한 강화 메커니즘 중 하나를 적용하면 호환성 위험이 발생합니다.
2025년 9월 9일 이후 릴리스된 Windows 업데이트(CVE-2025-55234)의 일부로 SMB 서버 서명 및 SMB 서버 EPA에 대한 SMB 클라이언트 호환성을 감사할 수 있습니다. 이를 통해 고객은 SMB 서버에서 이미 지원되는 강화 조치를 배포하기 전에 환경을 평가하고 잠재적인 디바이스 또는 소프트웨어 비호환성 문제를 식별할 수 있습니다.
배경
SMB 서버는 구성에 따라 릴레이 공격에 취약할 수 있습니다. 이 취약성을 방지하기 위해 Microsoft는 다음과 같은 완화 방법을 릴리스했습니다.
SMB 서버 EPA
SMB 서버 서명
고객은 SMB 서버 서명을 요구하도록 SMB 서버를 구성하거나 SMB Server EPA가 이 공격 클래스에 대한 시스템을 강화하도록 설정해야 합니다.
암호화를 전역적으로 사용하도록 설정된 SMB 서버와 암호화되지 않은 액세스를 허용하지 않는 SMB 서버도 릴레이 공격으로부터 보호됩니다. 자세한 내용은 SMB 보안 향상을 참조하세요.
SMB 서버 서명에 대한 감사 지원 사용
기본적으로 SMB 서버 서명에 대한 감사는 사용하지 않도록 설정됩니다. 그룹 정책 또는 레지스트리 설정을 통해 SMBv1 서버와 SMB2/3 서버 모두에 대해 사용하도록 설정할 수 있습니다.
그룹 정책
|
정책 위치 |
컴퓨터 구성\관리 템플릿\Network\Lanman 서버 |
|
정책 이름 |
감사 클라이언트는 서명을 지원하지 않습니다. |
|
정책 상태 |
|
레지스트리
|
레지스트리 위치 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters |
|
값 |
AuditClientSpnSupport |
|
Type(종류) |
REG_DWORD |
|
Data(데이터) |
|
SMB 서버 서명 감사 이벤트
|
이벤트 로그 |
Microsoft-Windows-SMBServer/Audit |
|
이벤트 유형 |
경고 |
|
이벤트 소스 |
Microsoft-Windows-SMBServer |
|
이벤트 ID |
3021 |
|
이벤트 텍스트 |
SMB 서버는 클라이언트가 서명을 지원하지 않는 것으로 확인되었습니다. 클라이언트 이름: <> 사용자 이름: <> 서버에 서명 필요: <> |
|
이벤트 로그 |
Microsoft-Windows-SMBServer/Audit |
|
이벤트 유형 |
경고 |
|
이벤트 소스 |
Microsoft-Windows-SMBServer |
|
이벤트 ID |
3027 |
|
이벤트 텍스트 |
SMBv1 서버는 SMBv1 클라이언트에 서명을 사용하도록 설정하지 않은 것으로 확인되었습니다. 클라이언트 이름: <> 서버에 서명 필요: <> |
지침: 이 이벤트는 SMBv1 클라이언트가 SMB 서명에 대한 감사 지원 사용을 지원하지 않을 수 있지만 프로토콜 제한으로 인해 확실하게 확인할 수 없음을 나타냅니다. 클라이언트의 서명 기능을 확인하려면 추가 평가가 권장됩니다.
Windows Vista 이전에는 명시적으로 서명을 사용하도록 설정하지 않은 SMBv1 클라이언트가 SMB 서명에 대한 감사 지원 사용을 수행할 수 없었습니다.
이 동작은 Windows Vista 릴리스와 함께 변경되었으며 업데이트를 통해 Windows XP 및 Windows Server 2003에도 백포트되었습니다. 이러한 변경으로 SMB 클라이언트는 서버에서 요구하는 경우 명시적으로 사용하도록 설정되지 않은 경우에도 서명을 지원할 수 있습니다.
노트
-
서명을 올바르게 구현하지만 이러한 지원을 보급하지 않는 클라이언트는 가양성으로 발생합니다.
-
서명에 대한 지원을 보급하지만 지원을 올바르게 구현하지 않는 클라이언트는 거짓 부정을 초래합니다.
SMB 서버 EPA에 대한 감사 지원 사용
기본적으로 SMB 서버 EPA에 대한 감사는 사용하지 않도록 설정됩니다. 그룹 정책 또는 레지스트리 설정을 통해 SMBv1 서버와 SMB2/3 서버 모두에 대해 사용하도록 설정할 수 있습니다.
그룹 정책
|
정책 위치 |
컴퓨터 구성\관리 템플릿\Network\Lanman 서버 |
|
정책 이름 |
SMB 클라이언트 SPN 지원 감사 |
|
정책 상태 |
|
레지스트리
|
레지스트리 위치 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters |
|
값 |
AuditClientSpnSupport |
|
Type(종류) |
REG_DWORD |
|
Data(데이터) |
|
SMB 서버 EPA 감사 이벤트
|
이벤트 로그 |
Microsoft-Windows-SMBServer/Audit |
|
이벤트 유형 |
경고 |
|
이벤트 소스 |
Microsoft-Windows-SMBServer |
|
이벤트 ID |
3024 |
|
이벤트 텍스트 |
SMB 서버는 클라이언트가 인증 중에 SPN을 보내지 않았음을 관찰하여 클라이언트가 EPA(확장된 인증 보호)를 지원하지 않거나 EPA에 대한 지원을 사용하지 않도록 설정했음을 나타냅니다. 클라이언트 이름: <> SPN 쿼리 상태: <> 인증 정책에 대한 확장된 보호 사용: <> |
|
이벤트 로그 |
Microsoft-Windows-SMBServer/Audit |
|
이벤트 유형 |
경고 |
|
이벤트 소스 |
Microsoft-Windows-SMBServer |
|
이벤트 ID |
3025 |
|
이벤트 텍스트 |
SMB 서버는 클라이언트가 인증 중에 인식할 수 없는 SPN을 보낸 것을 관찰했습니다. 클라이언트 이름: <> SPN: <> 인증 정책에 대한 확장된 보호 사용: <> |
|
이벤트 로그 |
Microsoft-Windows-SMBServer/Audit |
|
이벤트 유형 |
경고 |
|
이벤트 소스 |
Microsoft-Windows-SMBServer |
|
이벤트 ID |
3026 |
|
이벤트 텍스트 |
SMB 서버는 클라이언트가 인증 중에 빈 SPN을 보낸 것을 관찰했습니다. 이는 클라이언트가 SPN을 보낼 수 있지만 SPN을 제공하지 않기로 선택했음을 나타냅니다. 클라이언트 이름: <> 인증 정책에 대한 확장된 보호 사용: <> |
