요약
이 문서는 Microsoft 보안 권고 ADV170012에 설명된 취약성의 영향을 받는 장치의 문제를 식별 및 해결하는 데 도움이 됩니다.
이 프로세스는 다음과 같은 Microsoft에서 제공하는 Azure AD(AAD) 사용 시나리오 및 비즈니스용 Windows Hello(WHFB)에 중점을 두고 있습니다.
-
Azure AD 조인
-
하이브리드 Azure AD 조인
-
Azure AD 등록됨
추가 정보
AAD 사용 시나리오 식별
-
명령 프롬프트 창을 엽니다.
-
다음 명령을 실행하여 장치 상태를 가져옵니다.
dsregcmd.exe /status -
명령 출력에서 다음 표에 나와 있는 속성 값을 검사하여 AAD 사용 시나리오를 확인합니다.
속성
설명
AzureAdJoined
장치가 Azure AD에 조인되어 있는지 여부를 나타냅니다.
EnterpriseJoined
장치가 AD FS에 조인되어 있는지 여부를 나타냅니다. 이는 비즈니스용 Windows Hello를 온-프레미스에서 배포 및 관리하는 온-프레미스 전용 고객 시나리오의 일부입니다.
DomainJoined
장치가 기존 Active Directory 도메인에 조인되어 있는지 여부를 나타냅니다.
WorkplaceJoined
현재 사용자가 자신의 현재 프로필에 회사 또는 학교 계정을 추가했는지 여부를 나타냅니다. 이를 Azure AD 등록됨이라고 합니다. 장치가 AzureAdJoined인 경우에는 이 설정이 무시됩니다.
하이브리드 Azure AD 조인
DomainJoined 및 AzureAdJoined가 yes인 경우 장치는 하이브리드 Hybrid Azure AD 조인입니다. 따라서 장치가 Azure Active Directory 및 기존 Active Directory 도메인에 조인되어 있습니다.
워크플로
배포 및 구현은 조직마다 다를 수 있습니다. Microsoft는 영향을 받는 장치의 문제를 완화하기 위한 고유한 내부 계획을 개발하는 데 필요한 도구를 제공하도록 다음과 같은 워크플로를 마련했습니다. 워크플로의 단계는 다음과 같습니다.
-
영향을 받는 장치를 식별합니다. 운영 환경에서 영향을 받는 TPM(신뢰할 수 있는 플랫폼 모듈), 키 및 장치를 검색합니다.
-
영향을 받는 장치에 패치를 적용합니다. 이 문서에 나와 있는 시나리오별 단계를 수행하여 식별된 장치에 대한 영향을 해결합니다.
TPM 지우기 관련 참고 사항
신뢰할 수 있는 플랫폼 모듈은 다양한 서비스 및 응용 프로그램에서 사용되는 암호를 저장하는 데 사용되므로 TPM을 지우면 예기치 않거나 부정적인 비즈니스 영향이 발생할 수 있습니다. TPM을 지우기 전에 TPM에서 지원하는 암호를 사용하는 모든 서비스 및 응용 프로그램이 암호 삭제 및 다시 생성을 위해 올바르게 식별 및 준비되었는지 조사하고 확인해야 합니다.
영향을 받는 장치를 식별하는 방법
영향을 받는 TPM을 식별하려면 Microsoft 보안 권고 ADV170012를 참조하세요.
영향을 받는 장치에 패치를 적용하는 방법
AAD 사용 시나리오에 따라 영향을 받는 장치에 대해 다음 단계를 수행합니다.
-
장치에 유효한 로컬 관리자 계정이 있는지 확인하고, 없는 경우 로컬 관리자 계정을 만듭니다.
참고
새 로컬 관리자 계정으로 장치에 로그인하여 계정이 올바르게 작동하는지 확인하고 관리자 권한으로 명령 프롬프트를 열어 올바른 권한을 확인하는 것이 좋습니다.
-
장치에서 Microsoft 계정으로 로그인한 경우 설정 > 계정 > 전자 메일 및 앱 계정으로 가서 연결된 계정을 제거합니다.
-
장치용 펌웨어 업데이트를 설치합니다.
참고
TPM 업데이트 적용과 관련된 OEM의 지침을 따릅니다. OEM으로부터 TPM 업데이트를 얻는 방법에 대한 자세한 내용은 Microsoft Security Advisory ADV170012 에서 4단계: "해당하는 펌웨어 업데이트 적용" 을 참조하세요.
-
Azure AD에서 장치의 조인을 취소합니다.
참고
계속하기 전에 BitLocker 키를 로컬 컴퓨터 이외의 다른 곳에 안전하게 백업해 두어야 합니다.
-
설정 > 시스템 > 정보로 가서 회사 또는 학교에서 관리 또는 연결 끊기를 클릭합니다.
-
<AzureAD>에 연결됨을 클릭하고 연결 끊기를 클릭합니다.
-
확인 메시지가 나타나면 예를 클릭합니다.
-
“조직에 대한 연결 끊기”라는 메시지가 나타나면 연결 끊기를 클릭합니다.
-
장치의 로컬 관리자 계정 정보를 입력합니다.
-
나중에 다시 시작을 클릭합니다.
-
-
TPM을 지웁니다.
참고
TPM을 지우면 장치에 저장된 모든 키와 암호가 제거됩니다. 계속하기 전에 TPM을 사용하는 다른 서비스를 일시 중지했거나 유효성을 검사했는지 확인합니다.
Windows 8 이상: 아래의 권장되는 TPM 지우기 방법 중 하나를 사용하는 경우 BitLocker가 자동으로 일시 중지됩니다.Windows 7: 계속하기 전에 BitLocker를 수동으로 일시 중지해야 합니다. (BitLocker 일시 중지에 대해 자세히 알아보세요.)
-
TPM을 지우려면 다음 방법 중 하나를 사용하세요.
-
Microsoft Management Console을 사용합니다.
-
Win + R을 누르고 tpm.msc를 입력한 다음 확인을 클릭합니다.
-
TPM 지우기를 클릭합니다.
-
-
Clear-Tpm cmdlet을 실행합니다.
-
-
다시 시작을 클릭합니다.
참고 시작 시 TPM을 지울 것인지 묻는 메시지가 표시될 수도 있습니다.
-
-
장치가 다시 시작되면 로컬 관리자 계정으로 장치에 로그인합니다.
-
Azure AD에 장치를 다시 조인합니다. 다음 로그인 시 새 PIN을 설정할 것인지 묻는 메시지가 표시될 수도 있습니다.
-
장치에서 Microsoft 계정으로 로그인한 경우 설정 > 계정 > 전자 메일 및 앱 계정으로 가서 연결된 계정을 제거합니다.
-
관리자 권한 명령 프롬프트에서 다음 명령을 실행합니다.
dsregcmd.exe /leave /debug참고
명령 출력에는 AzureADJoined가 No로 나타나 있어야 합니다.
-
장치용 펌웨어 업데이트를 설치합니다.
참고
참고 TPM 펌웨어 업데이트 적용과 관련된 OEM의 지침을 따릅니다. OEM으로부터 TPM 업데이트를 얻는 방법에 대한 자세한 내용은 Microsoft Security Advisory ADV170012 에서 4단계: "해당하는 펌웨어 업데이트 적용" 을 참조하세요.
-
TPM을 지웁니다.
참고
TPM을 지우면 장치에 저장된 모든 키와 암호가 제거됩니다. 계속하기 전에 TPM을 사용하는 다른 서비스를 일시 중지했거나 유효성을 검사했는지 확인합니다.
Windows 8 이상: 아래의 권장되는 TPM 지우기 방법 중 하나를 사용하는 경우 BitLocker가 자동으로 일시 중지됩니다.Windows 7: 계속하기 전에 BitLocker를 수동으로 일시 중지해야 합니다. (BitLocker 일시 중지에 대해 자세히 알아보세요.)
-
TPM을 지우려면 다음 방법 중 하나를 사용하세요.
-
Microsoft Management Console을 사용합니다.
-
Win + R을 누르고 tpm.msc를 입력한 다음 확인을 클릭합니다.
-
TPM 지우기를 클릭합니다.
-
-
Clear-Tpm cmdlet을 실행합니다.
-
-
다시 시작을 클릭합니다.
참고 시작 시 TPM을 지울 것인지 묻는 메시지가 표시될 수도 있습니다.
-
장치가 시작되면 새 키가 생성되고 장치가 Azure AD에 자동으로 다시 조인됩니다. 이때는 장치를 계속 사용해도 됩니다. 하지만 Microsoft Outlook, OneDrive를 비롯해 SSO 또는 조건부 액세스 정책이 필요한 그 밖의 응용 프로그램 같은 리소스에 대한 액세스는 제한될 수 있습니다.
참고 Microsoft 계정을 사용하는 경우 암호를 알고 있어야 합니다.
-
장치용 펌웨어 업데이트를 설치합니다.
참고
TPM 업데이트 적용과 관련된 OEM의 지침을 따릅니다. OEM으로부터 TPM 업데이트를 얻는 방법에 대한 자세한 내용은 Microsoft Security Advisory ADV170012 에서 4단계: "해당하는 펌웨어 업데이트 적용" 을 참조하세요.
-
Azure AD 회사 계정을 제거합니다.
-
설정 > 계정 > 회사 또는 학교 액세스로 가서 회사 또는 학교 계정을 클릭한 후 연결 끊기를 클릭합니다.
-
프롬프트에서 예를 클릭하여 연결 끊기를 확인합니다.
-
-
TPM을 지웁니다.
참고
TPM을 지우면 장치에 저장된 모든 키와 암호가 제거됩니다. 계속하기 전에 TPM을 사용하는 다른 서비스를 일시 중지했거나 유효성을 검사했는지 확인합니다.
Windows 8 이상: 아래의 권장되는 TPM 지우기 방법 중 하나를 사용하는 경우 BitLocker가 자동으로 일시 중지됩니다.Windows 7: 계속하기 전에 BitLocker를 수동으로 일시 중지해야 합니다. (BitLocker 일시 중지에 대해 자세히 알아보세요.)
-
TPM을 지우려면 다음 방법 중 하나를 사용하세요.
-
Microsoft Management Console을 사용합니다.
-
Win + R을 누르고 tpm.msc를 입력한 다음 확인을 클릭합니다.
-
TPM 지우기를 클릭합니다.
-
-
Clear-Tpm cmdlet을 실행합니다.
-
-
다시 시작을 클릭합니다.
참고 시작 시 TPM을 지울 것인지 묻는 메시지가 표시될 수도 있습니다. -
PIN이 있는 Microsoft 계정을 사용한 경우 암호를 사용하여 장치에 로그인해야 합니다.
-
장치에 회사 계정을 다시 추가합니다.
-
설정 > 계정 > 회사 또는 학교 액세스로 가서 연결을 클릭합니다.
-
회사 계정을 입력한 후 다음을 클릭합니다.
-
회사 계정과 암호를 입력한 다음 로그인을 클릭합니다.
-
조직에서 장치를 Azure AD에 조인하는 데 다단계 인증을 사용하도록 구성한 경우 계속하기 전에 2단계를 제공합니다.
-
표시된 정보가 올바른지 확인한 후 조인을 클릭합니다. 다음과 같은 메시지가 나타나야 합니다.
You’re all set! We’ve added your account successfully You now have access to your organizations apps and services.
-
-
