Microsoft에서 KB5055523/KB5055526 및 KB5057784가 Kerberos Windows Hello DC 로그인에 미치는 영향을 설명합니다.

Microsoft에서 KB5055523/KB5055526 및 KB5057784가 Kerberos Windows Hello DC 로그인에 미치는 영향을 설명합니다.

중요 공지: Windows Hello Kerberos 인증 문제 발견

Microsoft는 Active Directory 도메인 컨트롤러(AD DC)에서 Windows Hello Kerberos 인증에 영향을 미치는 심각한 문제를 인정했습니다.이 문제는 최근 2025년 4월 패치 화요일 업데이트가 설치된 후 발생했으며, 특히 Windows Server 2025(KB5055523), Server 2022(KB5055526), ​​Server 2019(KB5055519), Server 2016(KB5055521)에 영향을 미쳤습니다.

인증 실패 세부 정보

이 업데이트로 인해 인증서 기반 자격 증명을 사용하는 Kerberos 로그온 또는 위임을 처리할 때 문제가 발생했습니다.이 문제는 주로 Active Directory의 msds-KeyCredentialLink 필드를 통한 키 신뢰에 의존하는 시스템에서 발생합니다.따라서 키 신뢰 환경에서 Windows Hello for Business(WHfB)를 사용하거나 장치 공개 키 인증(Machine PKINIT)을 사용하는 조직은 인증 실패에 직면할 수 있습니다.

Microsoft에서는 다음과 같이 자세히 설명했습니다.

2025년 4월 8일에 출시된 4월 Windows 월간 보안 업데이트(KB5055523/KB5055526/KB5055519/KB5055521) 이상을 설치한 후, Active Directory 도메인 컨트롤러(DC)에서 Active Directory msds-KeyCredentialLink 필드를 통한 키 신뢰에 의존하는 인증서 기반 자격 증명을 사용하여 Kerberos 로그온 또는 위임을 처리할 때 문제가 발생할 수 있습니다.이로 인해 Windows Hello for Business(WHfB) 키 신뢰 환경 또는 장치 공개 키 인증(Machine PKINIT이라고도 함)이 배포된 환경에서 인증 문제가 발생할 수 있습니다.

영향을 받는 프로토콜에는 초기 인증을 위한 Kerberos 공개 키 암호화(Kerberos PKINIT)와 Kerberos 제한 위임(KCD)과 Kerberos 리소스 기반 제한 위임(RBKCD)을 통해 작동하는 인증서 기반 사용자 서비스 위임(S4U)이 포함됩니다.

근본 원인 이해

이번 장애는 Windows Kerberos의 네트워크 보안 취약점(CVE-2025-26647)을 해결하는 패치에서 발생한 호환성 문제로 인해 발생했습니다.자세한 내용은 KB5057784 패치 노트에서 확인할 수 있습니다.해당 패치는 아직 초기 배포 단계 또는 감사 단계에 있기 때문에 완전히 시행되지는 않았습니다.

Microsoft에 따르면 이 문제는 최근 업데이트에 도입된 새로운 보안 프로토콜에서 비롯됩니다.구체적으로, 도메인 컨트롤러가 Kerberos 인증을 위해 인증서를 검증하는 방식이 수정되었습니다. KB5057784에 자세히 설명된 대로, 업데이트된 프로세스에서는 인증서가 NTAuth 저장소에 있는 루트에 연결되어야 합니다.

Microsoft에서는 다음과 같이 언급했습니다.

이 문제는 CVE-2025-26647(Kerberos 인증)에 대한 보호 기능인 KB5057784에 설명된 보안 조치와 관련이 있습니다.2025년 4월 8일 이후 출시된 Windows 업데이트부터 DC가 Kerberos 인증에 사용되는 인증서의 유효성을 검사하는 방식이 변경되었습니다.이 업데이트 이후에는 KB5057784에 설명된 대로 인증서가 NTAuth 저장소의 루트에 연결되어 있는지 확인합니다.

이 동작은.AllowNtAuthPolicyBypass의 레지스트리 값으로 제어할 수 있습니다..가 없으면 DC는 기본적으로 값이 “1”로 설정된 것처럼 동작합니다.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KdcAllowNtAuthPolicyBypass

다음 두 가지 증상이 확인되었습니다.

  • AllowNtAuthPolicyBypass인증 도메인 컨트롤러에서 레지스트리 값이 “1”로 구성된 경우 Kerberos-Key-Distribution-Center 이벤트 ID 45가 반복적으로 기록되어 “키 배포 센터(KDC)에서 유효하지만 NTAuth 저장소의 루트에 연결되지 않은 클라이언트 인증서가 발견되었습니다.”라는 메시지가 표시됩니다.이 이벤트는 여러 번 기록될 수 있지만 영향을 받는 로그온 프로세스는 추가 문제 없이 계속 성공합니다.
  • 반대로, AllowNtAuthPolicyBypass“2”로 설정된 경우 사용자 로그인이 실패하고 Kerberos-Key-Distribution-Center 이벤트 ID 21 이 이벤트 로그에 나타나 “사용자의 클라이언트 인증서가 유효하지 않아 스마트카드 로그인에 실패했습니다.”라는 메시지를 표시합니다.

현재 해결 방법 및 추가 정보

현재 이러한 인증 문제에 직면한 조직의 경우, Microsoft는 레지스트리 설정 값을 “2”에서 “1”로 변경하여 일시적으로 영향을 완화할 것을 권장합니다.이 문제에 대한 자세한 내용은 Microsoft Windows Health Dashboard 항목을 참조하십시오.

이러한 상황에 대한 더 자세한 정보와 최신 소식을 알아보려면 Neowin 기사를 방문하세요.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다