원래 게시 날짜: 2025년 7월 11일
KB ID: 5064479
이 문서의 내용:
소개
이 문서에서는 Windows 11, 버전 24H2 및 Windows Server 2025의 NTLM(NT LAN Manager) 감사 기능에 대한 향후 변경 내용에 대한 개요를 제공합니다. 이러한 향상된 기능은 관리자가 사용자 ID, NTLM 사용 근거 및 환경 내에서 NTLM이 사용되는 특정 위치를 확인할 수 있도록 NTLM 인증 활동에 대한 가시성을 높이기 위해 설계되었습니다. 향상된 감사는 향상된 보안 모니터링 및 레거시 인증 종속성 식별을 지원합니다.
NTLM 감사 변경 목적
NTLM 인증은 레거시 애플리케이션 및 구성으로 인해 다양한 엔터프라이즈 시나리오에서 계속 존재합니다. NTLM 사용 중단 및 향후 사용 중단 발표(Windows IT 블로그 Windows 인증 진화 참조)를 통해 업데이트된 감사 기능은 관리자가 NTLM 사용 현황을 식별하고, 사용 패턴을 이해하고, NTLMv1(NT LAN Manager 버전 1)의 사용을 비롯한 잠재적 보안 위험을 검색하는 데 도움을 주기 위한 것입니다.
NTLM 감사 로그
Windows 11 버전 24H2 및 Windows Server 2025에는 클라이언트, 서버 및 도메인 컨트롤러에 대한 새로운 NTLM 감사 로깅 기능이 도입되었습니다. 각 구성 요소는 NTLM 인증 이벤트에 대한 자세한 정보를 제공하는 로그를 생성합니다. 이러한 로그는 Microsoft > Windows > NTLM > 운영에 > 애플리케이션 및 서비스 로그 아래의 이벤트 뷰어 찾을 수 있습니다.
기존 NTLM 감사 로그와 비교하여 새로운 향상된 감사 변경 내용을 통해 관리자는 Who, Why 및 Where:
-
컴퓨터의 계정 및 프로세스를 포함하여 NTLM을 사용하는 사용자입니다.
-
Kerberos와 같은 최신 인증 프로토콜 대신 NTLM 인증을 선택한 이유
-
컴퓨터 이름과 컴퓨터 IP를 포함하여 NTLM 인증이 발생하는 위치입니다.
또한 향상된 NTLM 감사는 클라이언트 및 서버의 NTLMv1 사용량과 도메인 컨트롤러에 의해 기록된 NTLMv1 사용량 도메인 전체에 대한 정보를 제공합니다.
그룹 정책 관리
새로운 NTLM 감사 기능은 업데이트된 그룹 정책 설정을 통해 구성할 수 있습니다. 관리자는 이러한 정책을 사용하여 감사되는 NTLM 인증 이벤트를 지정하고 환경에 적합한 클라이언트, 서버 및 도메인 컨트롤러의 감사 동작을 관리할 수 있습니다.
기본적으로 이벤트는 사용하도록 설정됩니다.
-
클라이언트 및 서버 로깅의 경우 이벤트는 관리 템플릿 > 시스템 > NTLM의 "NTLM 향상된 로깅" 정책을 통해 제어됩니다.
-
도메인 컨트롤러에서 도메인 전체 로깅의 경우 이벤트는 관리 템플릿 > 시스템 > Netlogon의 "로그 고급 도메인 전체 NTLM 로그" 정책을 통해 제어됩니다.
감사 수준
각 NTLM 감사 로그는 이벤트 수준별로만 다른 동일한 정보를 사용하여 두 개의 서로 다른 이벤트 ID로 분할됩니다.
-
정보: 보안 감소가 검색되지 않는 NTLMv2(NT LAN Manager 버전 2) 인증과 같은 표준 NTLM 이벤트를 나타냅니다.
-
경고: NTLMv1 사용과 같은 NTLM 보안의 다운그레이드를 나타냅니다. 이러한 이벤트는 안전하지 않은 인증을 강조 표시합니다. 이벤트는 다음과 같은 인스턴스에 대해 "경고"로 표시될 수 있습니다.
-
클라이언트, 서버 또는 도메인 컨트롤러에서 검색된 NTLMv1 사용량입니다.
-
인증에 대한 향상된 보호는 지원되지 않거나 안전하지 않은 것으로 표시됩니다(자세한 내용은 KB5021989: 인증을 위한 확장된 보호 참조).
-
메시지 무결성 검사(MIC)과 같은 특정 NTLM 보안 기능은 사용되지 않습니다.
-
클라이언트 로그
새 감사 로그는 나가는 NTLM 인증 시도를 기록합니다. 이러한 로그는 각 인증 요청에 대한 관련 메타데이터와 함께 NTLM 연결을 시작하는 애플리케이션 또는 서비스에 대한 세부 정보를 제공합니다.
클라이언트 로깅에는 NTLM 인증이 사용된 이유를 강조하는 고유한 필드 인 사용 ID/이유가 있습니다.
|
ID |
설명 |
|
0 |
알 수 없는 이유. |
|
1 |
NTLM은 호출 애플리케이션에 의해 직접 호출되었습니다. |
|
2 |
로컬 계정 인증. |
|
3 |
RESERVED, 현재 사용되지 않습니다. |
|
4 |
클라우드 계정 인증. |
|
5 |
대상 이름이 없거나 비어 있습니다. |
|
6 |
대상 이름은 Kerberos 또는 다른 프로토콜에서 확인할 수 없습니다. |
|
7 |
대상 이름에 IP 주소가 포함됩니다. |
|
8 |
대상 이름이 Active Directory에서 중복된 것으로 확인되었습니다. |
|
9 |
도메인 컨트롤러를 사용하여 시야를 설정할 수 없습니다. |
|
10 |
NTLM은 루프백 인터페이스를 통해 호출되었습니다. |
|
11 |
NTLM은 null 세션으로 호출되었습니다. |
|
이벤트 로그 |
Microsoft-Windows-NTLM/Operational |
|
이벤트 ID |
4020(정보), 4021(경고) |
|
이벤트 소스 |
NTLM |
|
이벤트 텍스트 |
이 컴퓨터는 NTLM을 통해 원격 리소스에 인증을 시도했습니다. 프로세스 정보: 프로세스 이름: <이름> PID 처리: PID> < 클라이언트 정보: 사용자 이름: 사용자 이름> < 도메인: 도메인 이름> < 호스트 이름: 호스트 이름> < Sign-On 유형: <단일 Sign-On/제공된 Creds> 대상 정보: 대상 컴퓨터: <컴퓨터 이름> 대상 도메인: <Machine 도메인> 대상 리소스: <SPN(서비스 사용자 이름)> 대상 IP: <IP 주소> 대상 네트워크 이름: <네트워크 이름> NTLM 사용: 이유 ID: <사용 ID> 이유: <사용 이유> NTLM 보안: 협상된 플래그: <플래그> NTLM 버전: <NTLMv2/NTLMv1> 세션 키 상태: < 현재 상태/누락된> 채널 바인딩: 지원되는 </지원되지 않는> 서비스 바인딩: <SPN(서비스 사용자 이름)> MIC 상태: 보호됨/보호되지 않은 <> AvFlags: <NTLM 플래그> AvFlags 문자열: <NTLM 플래그 문자열> 자세한 내용은 aka.ms/ntlmlogandblock 참조하세요. |
서버 로그
새 감사 로그는 들어오는 NTLM 인증 시도를 기록합니다. 이러한 로그는 클라이언트 로그로 NTLM 인증에 대한 유사한 세부 정보를 제공하고 NTLM 인증이 성공했는지 여부를 보고합니다.
|
이벤트 로그 |
Microsoft-Windows-NTLM/Operational |
|
이벤트 ID |
4022(정보), 4023(경고) |
|
이벤트 소스 |
NTLM |
|
이벤트 텍스트 |
원격 클라이언트가 NTLM을 사용하여 이 워크스테이션에 인증하고 있습니다. 프로세스 정보: 프로세스 이름: <이름> PID 처리: PID> < 원격 클라이언트 정보: 사용자 이름: <클라이언트 사용자 이름> 도메인: <클라이언트 도메인> 클라이언트 컴퓨터: 클라이언트 컴퓨터 이름> < 클라이언트 IP: <클라이언트 IP> 클라이언트 네트워크 이름: <클라이언트 네트워크 이름> NTLM 보안: 협상된 플래그: <플래그> NTLM 버전: <NTLMv2/NTLMv1> 세션 키 상태: < 현재 상태/누락된> 채널 바인딩: 지원되는 </지원되지 않는> 서비스 바인딩: <SPN(서비스 사용자 이름)> MIC 상태: 보호됨/보호되지 않은 <> AvFlags: <NTLM 플래그> AvFlags 문자열: <NTLM 플래그 문자열> 상태: <상태 코드> 상태 메시지: 상태 문자열> < 자세한 내용은 aka.ms/ntlmlogandblock |
도메인 컨트롤러 로그
도메인 컨트롤러는 전체 도메인에 대한 성공 및 실패한 NTLM 인증 시도를 모두 캡처하는 새 로그를 사용하여 향상된 NTLM 감사의 이점을 누릴 수 있습니다. 이러한 로그는 도메인 간 NTLM 사용의 식별을 지원하고 NTLMv1 인증과 같은 인증 보안의 잠재적인 다운그레이드에 대해 관리자에게 경고합니다.
다음 시나리오에 따라 다른 도메인 컨트롤러 로그가 만들어집니다.
클라이언트 계정과 서버 컴퓨터가 모두 동일한 도메인에 속하는 경우 다음과 유사한 로그가 만들어집니다.
|
이벤트 로그 |
Microsoft-Windows-NTLM/Operational |
|
이벤트 ID |
4032(정보), 4033(경고) |
|
이벤트 소스 |
Security-Netlogon |
|
이벤트 텍스트 |
DC <DC 이름> 이 도메인에서 시작된 전달된 NTLM 인증 요청을 처리했습니다. 클라이언트 정보: 클라이언트 이름: <사용자 이름> 클라이언트 도메인: <도메인> 클라이언트 컴퓨터: <클라이언트 워크스테이션> 서버 정보: 서버 이름: <서버 컴퓨터 이름> 서버 도메인: <서버 도메인> 서버 IP: <서버 IP> 서버 OS: <서버 운영 체제> NTLM 보안: 협상된 플래그: <플래그> NTLM 버전: <NTLMv2/NTLMv1> 세션 키 상태: < 현재 상태/누락된> 채널 바인딩: 지원되는 </지원되지 않는> 서비스 바인딩: <SPN(서비스 사용자 이름)> MIC 상태: 보호됨/보호되지 않은 <> AvFlags: <NTLM 플래그> AvFlags 문자열: <NTLM 플래그 문자열> 상태: <상태 코드> 상태 메시지: 상태 문자열> < 자세한 내용은 aka.ms/ntlmlogandblock |
클라이언트 계정 및 서버가 서로 다른 도메인에 속하는 경우 도메인 컨트롤러는 도메인 컨트롤러가 클라이언트가 있는 도메인에 속하는지(인증 시작) 또는 서버가 있는 위치(인증 수락)에 따라 다른 로그를 갖게 됩니다.
서버가 인증을 처리하는 도메인 컨트롤러와 동일한 도메인에 속하는 경우 "동일한 도메인 로그"와 유사한 로그가 만들어집니다.
클라이언트 계정이 인증을 처리하는 도메인 컨트롤러와 동일한 도메인에 속하는 경우 다음과 유사한 로그가 만들어집니다.
|
이벤트 로그 |
Microsoft-Windows-NTLM/Operational |
|
이벤트 ID |
4030(정보), 4031(경고) |
|
이벤트 소스 |
Security-Netlogon |
|
이벤트 텍스트 |
DC <DC 이름> 이 도메인에서 시작된 전달된 NTLM 인증 요청을 처리했습니다. 클라이언트 정보: 클라이언트 이름: <사용자 이름> 클라이언트 도메인: <도메인> 클라이언트 컴퓨터: <클라이언트 워크스테이션> 서버 정보: 서버 이름: <서버 컴퓨터 이름> 서버 도메인: <서버 도메인> 전달된 날짜: 보안 채널 유형: <Netlogon 보안 채널 정보> Farside Name: 도메인 간 DC 컴퓨터 이름 > < Farside 도메인: 도메인 간 도메인 이름> < Farside IP: 도메인 간 DC IP> < NTLM 보안: 협상된 플래그: <플래그> NTLM 버전: <NTLMv2/NTLMv1> 세션 키 상태: < 현재 상태/누락된> 채널 바인딩: 지원되는 </지원되지 않는> 서비스 바인딩: <SPN(서비스 사용자 이름)> MIC 상태: 보호됨/보호되지 않은 <> AvFlags: <NTLM 플래그> AvFlags 문자열: <NTLM 플래그 문자열> 상태: <상태 코드> 자세한 내용은 aka.ms/ntlmlogandblock |
새 NTLM 이벤트와 기존 NTLM 이벤트 간의 관계
새 NTLM 이벤트는 네트워크 보안: 이 도메인에서 NTLM 감사 NTLM 인증 제한과 같은 기존 NTLM 로그에 대한 향상된 기능입니다. 향상된 NTLM 감사 변경 내용은 현재 NTLM 로그에 영향을 미치지 않습니다. 현재 NTLM 감사 로그를 사용하도록 설정하면 로그가 계속 기록됩니다.
배포 정보
Microsoft CFR(제어 기능 롤아웃)에 따라 변경 내용은 먼저 Windows 11 버전 24H2 컴퓨터로 점진적으로 롤아웃되고 나중에 도메인 컨트롤러를 포함한 Windows Server 2025 컴퓨터로 롤아웃됩니다.
점진적 출시는 릴리스 업데이트를 한 번에 배포하지 않고 일정 기간 동안 배포합니다. 즉, 사용자는 서로 다른 시간에 업데이트를 받으며 모든 사용자가 즉시 사용할 수 없을 수 있습니다.
