Windows 인증 개요
적용 대상: Windows 8.1, Windows Server 2012 R2, Windows Server 2012
IT 전문가를 위한 이 탐색 항목에는 제품 평가, 시작 가이드, 절차, 디자인 및 배포 가이드, 기술 참조, 명령 참조 등 Windows 인증 및 로그온 기술에 대한 설명서 리소스가 나열되어 있습니다.
기능 설명
인증은 개체, 서비스 또는 사용자의 ID를 확인하는 프로세스입니다. 개체 인증의 목표는 개체가 올바른지 확인하는 데 있습니다. 서비스나 사용자 인증의 목표는 제시된 자격 증명이 정확한지 확인하는 데 있습니다.
네트워킹 컨텍스트에서 인증은 네트워크 응용 프로그램이나 리소스에 대해 ID를 증명하는 행위입니다. 일반적으로 ID는 공용 키 암호화와 같이 사용자만 아는 키 또는 공유 키를 사용하는 암호화 작업을 통해 증명됩니다. 인증 교환의 서버 쪽에서는 서명된 데이터를 알려진 암호화 키와 비교하여 인증 시도의 유효성을 검사합니다.
암호화 키를 안전한 중앙 위치에 저장하면 인증 프로세스를 쉽게 확장하고 유지 관리할 수 있습니다. 암호화 키(사용자 자격 증명)를 포함한 ID 정보를 저장할 때는 기본 기술인 Active Directory 도메인 서비스를 사용하는 것이 좋습니다. 기본 NTLM 및 Kerberos 구현에는 Active Directory가 필요합니다.
인증 기술은 암호 등 사용자만 아는 항목을 기반으로 사용자를 식별하는 간단한 로그온에서 토큰, 공용 키 인증서, 생체 인식 등 사용자가 소유한 항목을 사용하는 보다 강력한 보안 메커니즘에 이르기까지 다양합니다. 비즈니스 환경에서 서비스나 사용자는 단일 위치 또는 여러 위치에서 다양한 유형의 서버에 있는 여러 응용 프로그램이나 리소스에 액세스할 수 있습니다. 이러한 이유로, 인증은 다른 플랫폼 및 다른 Windows 운영 체제의 환경을 지원해야 합니다.
Windows 운영 체제는 Kerberos, NTLM, TLS/SSL(전송 계층 보안/Secure Sockets Layer), 다이제스트 등의 기본 인증 프로토콜 집합을 확장 가능 아키텍처의 일부로 구현합니다. 또한 몇몇 프로토콜은 협상, CredSSP(Credential Security Support Provider) 등의 인증 패키지에 결합됩니다. 이러한 프로토콜 및 패키지를 통해 사용자, 컴퓨터 및 서비스를 인증할 수 있고 권한이 부여된 사용자와 서비스는 인증 프로세스를 통해 안전하게 리소스에 액세스할 수 있습니다.
다음을 포함하여 Windows 인증에 대한 자세한 내용은
Windows 인증 기술 개요를 참조하세요.
유용한 팁
Windows 인증은 정보가 신뢰할 수 있는 출처(특정 사용자 또는 다른 컴퓨터 등의 컴퓨터 개체)에서 가져온 것인지 확인하는 데 사용됩니다. Windows에서는 아래에 설명하는 것처럼 이 목표를 달성하기 위한 여러 가지 서로 다른 방법을 제공합니다.
수행할 작업 |
기능 |
설명 |
|---|---|---|
Active Directory 도메인 내에서의 인증 |
Kerberos |
Microsoft Windows Server 운영 체제는 공용 키 인증을 위한 확장 및 Kerberos 버전 5 인증 프로토콜을 구현합니다. Kerberos 인증 클라이언트는 SSP(Security Support Provider)로 구현되었으며, SSPI(Security Support Provider Interface)를 통해 액세스할 수 있습니다. 초기 사용자 인증은 Winlogon Single Sign-On 아키텍처와 통합됩니다. Kerberos KDC(키 배포 센터)는 도메인 컨트롤러에서 실행되는 다른 Windows Server 보안 서비스와 통합됩니다. KDC는 도메인의 Active Directory 디렉터리 서비스 데이터베이스를 보안 계정 데이터베이스로 사용합니다. 기본 Kerberos 구현에는 Active Directory가 필요합니다. 추가 리소스는 Kerberos 인증 개요를 참조하세요. |
웹의 보안 인증 |
Schannel Security Support Provider에서 구현되는 TLS/SSL |
TLS(전송 계층 보안) 프로토콜 버전 1.0, 1.1 및 1.2, SSL(Secure Sockets Layer) 프로토콜 버전 2.0/3.0, 데이터그램 전송 계층 보안 프로토콜 버전 1.0 및 PCT(Private Communications Transport) 프로토콜 버전 1.0은 공개 키 암호를 기반으로 합니다. 이러한 프로토콜은 Schannel(보안 채널) 공급자 인증 프로토콜 제품군에서 제공됩니다. 모든 Schannel 프로토콜은 클라이언트 및 서버 모델을 사용합니다. 추가 리소스는 TLS/SSL(Schannel SSP) 개요를 참조하세요. |
웹 서비스 또는 응용 프로그램에 대한 인증 |
windows 통합 인증 다이제스트 인증 |
추가 리소스는 Windows 통합 인증, 다이제스트 인증 및 고급 다이제스트 인증을 참조하세요. |
레거시 응용 프로그램에 대한 인증 |
NTLM |
NTLM은 챌린지-응답 스타일 인증 프로토콜입니다. NTLM 프로토콜은 인증 외에 세션 보안(특히 NTLM의 기능 서명 및 봉인을 통한 메시지 무결성 및 기밀성)도 선택적으로 제공합니다. 추가 리소스는 NTLM 개요를 참조하세요. |
다단계 인증 사용 |
스마트 카드 지원 생체 인식 지원 |
스마트 카드는 클라이언트 인증, 도메인 로그온, 코드 서명 및 메일 보안 유지와 같은 작업에 적합한 보안 솔루션을 제공하는 이동식 변조 방지 방법입니다. 생체 인식은 변경되지 않는 특정 사용자의 물리적 특성을 측정하여 해당 사용자를 고유하게 식별합니다. 가장 널리 사용되는 생체 인식 특성은 지문으로, 현재 PC 및 주변 장치에는 매우 다양한 지문 생체 인식 장치가 포함되어 있습니다. 추가 리소스는 Smart Card Overview 및 Windows 생체 인식 프레임워크 개요 [W8]를 참조하세요. |
자격 증명에 대해 로컬 관리, 저장 및 다시 사용 지원 |
자격 증명 관리 로컬 보안 기관 암호 |
Windows의 자격 증명 관리를 통해 자격 증명을 안전하게 저장할 수 있습니다. 리소스가 액세스될 때마다 올바른 자격 증명이 제시되도록 자격 증명은 로컬 또는 도메인 액세스 시 응용 프로그램이나 웹 사이트를 통해 보안된 데스크톱에서 수집됩니다. 추가 리소스는 캐시 및 저장된 자격 증명 기술 개요 및 암호 개요를 참조하세요. |
최신 인증 보호 기능을 레거시 시스템으로 확장 |
인증에 대해 확장된 보호 |
이 기능은 IWA(Windows 통합 인증)를 사용하여 네트워크 연결을 인증할 때 자격 증명 보호 및 처리 과정을 개선합니다. 추가 리소스는 인증에 대한 확장된 보호를 참조하세요. |
소프트웨어 요구 사항
Windows 인증은 이전 버전의 Windows 운영 체제와 호환되도록 설계되었습니다. 그러나 각 릴리스의 개선된 기능이 이전 버전에 반드시 적용되는 것은 아닙니다. 자세한 내용은 해당 기능의 설명서를 참조하세요.
서버 관리자 정보
대부분의 인증 기능은 그룹 정책(서버 관리자를 사용해 설치 가능)을 통해 구성할 수 있습니다. Windows 생체 인식 프레임워크 기능은 서버 관리자를 통해 설치됩니다. 인증 방법을 사용하는 웹 서버(IIS) 및 Active Directory 도메인 서비스 등의 기타 서버 역할도 서버 관리자를 통해 설치할 수 있습니다.
관련 리소스
인증 기술 |
리소스 |
|---|---|
Windows 인증 |
Windows 인증 기술 개요 |
Kerberos |
Kerberos 인증 기술 참조(2003) Kerberos 유지 가이드(TechNet Wiki) |
TLS/SSL 및 DTLS(Schannel 보안 지원 공급자) |
|
다이제스트 인증 |
다이제스트 인증 기술 참조(2003) |
NTLM |
NTLM 개요 |
PKU2U |
|
스마트 카드 |
|
가상 스마트 카드 |
|
생체 인식 |
Windows 생체 인식 프레임 워크 개요 [W8]Windows 생체 인식 프레임 워크 개요 [W8] |
자격 증명 |
자격 증명 보호 및 관리 암호 개요 |