Windows 도메인 컨트롤러 보안 설정에 대한 중요 변경 사항
2022년 5월, Microsoft는 CVE-2022-34691, CVE-2022-26931, CVE-2022-26923으로 식별된 여러 취약점을 해결하는 Windows용 중요 보안 업데이트를 출시했습니다.이러한 취약점은 Kerberos 키 배포 센터(KDC)에 사용되는 인증서 기반 인증 시스템의 서비스 프로세스를 특별히 표적으로 하는 권한 상승(EoP) 취약점과 관련이 있습니다.
이 문제는 특히 Windows 도메인 컨트롤러(DC)에 영향을 미쳤는데, 컴퓨터 이름 끝에 있는 달러 기호(“$”)를 인식하지 못했습니다.이러한 부주의로 인해 사이버 범죄자들이 다양한 악의적인 방식으로 인증서를 스푸핑할 수 있는 기회가 생겼습니다.이에 따라 Microsoft는 지난 몇 년 동안 시스템 호환성을 유지하면서 IT 관리자의 원활한 전환을 지원하기 위해 일련의 업데이트를 도입했습니다.
다가오는 패치 화요일 업데이트
9월 9일부터 다음 패치 화요일 업데이트와 함께 중요한 변경 사항이 적용됩니다.특히 키 배포 센터(KDC) 레지스트리 키는 지원되지 않는 것으로 간주됩니다. Microsoft는 2022년 5월에 도입된 단기적인 해결책으로 StrongCertificateBindingEnforcement 레지스트리 키를 제공했습니다.이 키를 통해 IT 관리자는 인증서 기반 매핑 및 인증을 계속 사용할 수 있었지만, 호환성 모드에서만 사용할 수 있었습니다.이를 통해 다양한 사용자 진위 검증 방법과 정의된 값에 따른 대체 메커니즘을 사용할 수 있었습니다.
인증서 소급 적용 키의 영향
StrongCertificateBindingEnforcement 키 외에도 CertificateBackdatingCompensation 이라는 또 다른 레지스트리 키 도 9월에 변경됩니다.호환성 모드를 지원하기 위해 개발된 이 키는 인증서 시간이 사용자 생성 시간보다 이전인 경우, 취약한 인증서 매핑을 사용하는 경우에도 사용자 인증을 허용했습니다.그러나 향후 업데이트에서는 취약한 인증서 매핑 사용이 금지됩니다.이전 설정이 중요한 보안 검사를 사실상 비활성화했다는 점을 고려하면 이러한 변경의 근거는 타당합니다.
호환 모드에서 전환
IT 관리자는 9월 10일 이후 전체 적용 모드가 활성화되면 호환 모드로 되돌릴 수 없다는 점에 유의해야 합니다.이러한 변경 사항은 Windows 도메인 컨트롤러의 보안 태세를 개선하여 조직이 규정을 준수할 뿐만 아니라 잠재적 위협으로부터도 안전하게 보호받을 수 있도록 하려는 Microsoft의 노력을 강조합니다.
이러한 변경 사항에 대한 더 자세한 정보를 얻으려면 Windows 도메인 컨트롤러를 관리하는 IT 전문가는 Microsoft의 포괄적인 지침을 참조하는 것이 좋습니다.
답글 남기기