원래 게시 날짜: 2025년 8월 29일
KB ID: 5066470
소개
이 문서에서는 NTLMv1 파생 암호화 차단의 감사 및 최종 적용에 중점을 두고 Windows 11 버전 24H2 및 Windows Server 2025의 최근 및 향후 변경 내용을 자세히 설명합니다. 이러한 변경 내용은 NTLM을 단계적으로 폐지하기 위한 Microsoft의 광범위한 이니셔티브의 일부입니다.
배경
Microsoft는 Windows 11, 버전 24H2 및 Windows Server 2025 이상 버전에서 NTLMv1 프로토콜(제거된 기능 및 기능 참조)을 제거했습니다. 그러나 NTLMv1 프로토콜이 제거되는 동안 도메인에 가입된 환경에서 MS-CHAPv2 사용하는 경우와 같은 일부 시나리오에서는 NTLMv1 암호화의 잔재가 여전히 존재합니다.
Credential Guard 는 NTLMv1 레거시 암호화와 다른 많은 공격 표면을 완벽하게 보호하므로 Credential Guard의 요구 사항이 충족되는 경우 배포 및 사용을 강력하게 권장합니다. 예정된 변경 내용은 자격 증명 보호가 사용하지 않도록 설정된 디바이스에만 영향을 미칩니다. 디바이스에서 Windows Credential Guard를 사용하도록 설정하면 이 문서에 설명된 변경 내용이 적용되지 않습니다.
목표
NTLM 사용 중단( 사용되지 않는 기능 참조)과 NTLMv1 프로토콜 제거를 통해 Microsoft는 NTLMv1 파생 자격 증명을 사용하지 않도록 설정하여 NTLMv1의 비활성화를 마무리하기 위해 노력하고 있습니다.
예정된 변경 내용
이 업데이트에는 새 레지스트리 키와 새 이벤트 로그의 도입이라는 두 가지 새로운 변경 내용이 포함되어 있습니다. 이러한 변경 내용의 타임라인 변경 내용 롤아웃 섹션을 참조하세요.
새 레지스트리 키
변경 내용이 감사 모드인지 또는 적용 모드인지를 나타내는 새 레지스트리 키가 도입되었습니다.
|
레지스트리 위치 |
HKEY_LOCAL_MACHINE\SYSTEM\currentcontrolset\control\lsa\msv1_0 |
|
값 |
BlockNtlmv1SSO |
|
Type(종류) |
REG_DWORD |
|
데이터 |
|
새 감사 기능
-
감사(기본값) 설정을 사용하는 경우
이벤트 로그
Microsoft-Windows-NTLM/Operational
이벤트 유형
경고
이벤트 소스
NTLM
이벤트 ID
4024
이벤트 텍스트
Single Sign-On에 NTLMv1 파생 자격 증명을 사용하려는 시도 감사 대상 서버: <domain_name> 제공된 사용자: <user_name> 제공된 도메인: <domain_name> 클라이언트 프로세스의 PID: <process_identifier> 클라이언트 프로세스의 이름: <process_name> 클라이언트 프로세스의 LUID: <locally_unique_identifier> 클라이언트 프로세스의 사용자 ID: <user_name> 클라이언트 프로세스의 사용자 ID 도메인 이름: <domain_name> 메커니즘 OID: <object_identifier> 자세한 내용은 https://go.microsoft.com/fwlink/?linkid=2321802 참조하세요.
-
설정 적용을 사용하는 경우
이벤트 로그
Microsoft-Windows-NTLM/Operational
이벤트 유형
Error
이벤트 소스
NTLM
이벤트 ID
4025
이벤트 텍스트
정책으로 인해 단일 Sign-On NTLMv1 파생 자격 증명을 사용하려는 시도가 차단되었습니다.대상 서버: <domain_name> 제공된 사용자: <user_name> 제공된 도메인: <domain_name> 클라이언트 프로세스의 PID: <process_identifier> 클라이언트 프로세스의 이름: <process_name> 클라이언트 프로세스의 LUID: <locally_unique_identifier> 클라이언트 프로세스의 사용자 ID: <user_name> 클라이언트 프로세스의 사용자 ID 도메인 이름: <domain_name> 메커니즘 OID: <object_identifier> 자세한 내용은 https://go.microsoft.com/fwlink/?linkid=2321802 참조하세요.
기타 감사 향상에 대한 자세한 내용은 Windows 11, 버전 24H2 및 Windows Server 2025의 NTLM 감사 개선 사항 개요를 참조하세요.
변경 내용 롤아웃
2025년 9월 이상 업데이트에서는 변경 내용이 감사 모드의 Windows 11 버전 24H2 이상 클라이언트 OS에 배포됩니다. 이 모드에서는 NTLMv1 파생 자격 증명을 사용할 때마다 이벤트 ID: 4024 가 기록되지만 인증은 계속 작동합니다. 출시는 2025년 Windows Server 출시될 예정입니다.
2026년 10월에 Microsoft는 BlockNTLMv1SSO 레지스트리 키가 디바이스에 배포되지 않은 경우 BlockNTLMv1SSO 레지스트리 키의 기본값을 0(감사)이 아닌 1(적용)으로 설정합니다.
타임라인
|
날짜 |
변경 내용 |
|
2025년 8월 말 |
Windows 11, 버전 24H2 및 최신 클라이언트에서 사용하도록 설정된 NTLMv1 사용에 대한 감사 로그입니다. |
|
2025년 11월 |
Windows Server 2025에 대한 변경 내용 롤아웃을 시작합니다. |
|
2026년 10월 |
BlockNtlmv1SSO 레지스트리 키의 기본값은 향후 Windows 업데이트를 통해 감사 모드(0)에서 적용 모드(1)로 변경되어 NTLMv1 제한을 강화합니다. 이 기본값 변경은 BlockNtlmv1SSO 레지스트리 키가 배포되지 않은 경우에만 적용됩니다. |
참고 이러한 날짜는 미정이며 변경될 수 있습니다.
FAQ(질문과 대답)
Microsoft는 점진적 출시 방법을 사용하여 릴리스 업데이트를 한 번에 배포하는 대신 일정 기간 동안 배포합니다. 즉, 사용자는 서로 다른 시간에 업데이트를 받으며 모든 사용자가 즉시 사용할 수 없을 수 있습니다.
NTLMv1 파생 자격 증명은 단일 Sign-On 목적으로 특정 상위 수준 프로토콜에서 사용됩니다. 예를 들어 MS-CHAPv2 인증을 사용하는 Wi-Fi, 이더넷 및 VPN 배포가 있습니다. Credential Guard를 사용하는 경우와 마찬가지로 이러한 프로토콜에 대한 단일 Sign-On 흐름은 작동하지 않지만 수동으로 자격 증명을 입력하는 것은 적용 모드에서도 계속 작동합니다. 자세한 내용 및 모범 사례는 Credential Guard를 사용할 때 고려 사항 및 알려진 문제를 참조하세요.
이 업데이트와 Credential Guard 간의 유일한 유사성은 NTLMv1 파생 암호화에서 사용자 자격 증명을 보호하는 것입니다. 이 업데이트는 Credential Guard의 광범위하고 강력한 보호를 제공하지 않습니다. Microsoft는 지원되는 모든 플랫폼에서 Credential Guard 사용을 권장합니다.
