보안 권고

Microsoft 보안 권고 974926

통합 Windows 인증에 대한 자격 증명 릴레이 공격

게시 날짜: 2009년 12월 8일

버전: 1.0

이 권고는 IWA(Windows 통합 인증)를 사용하여 자격 증명 처리에 영향을 주는 공격 가능성과 Microsoft에서 고객이 이러한 공격으로부터 보호하는 데 사용할 수 있도록 설정한 메커니즘을 다룹니다.

이러한 공격에서 클라이언트와 서버 간에 전송되는 동안 사용자의 인증 자격 증명을 얻을 수 있는 공격자는 이러한 자격 증명을 클라이언트에서 실행되는 서비스에 다시 반영하거나 클라이언트에 유효한 계정이 있는 다른 서버로 전달할 수 있습니다. 이렇게 하면 공격자가 클라이언트를 가장하여 이러한 리소스에 액세스할 수 있습니다. IWA 자격 증명은 해시되므로 공격자는 이를 사용하여 실제 사용자 이름과 암호를 확인할 수 없습니다.

시나리오 및 추가 공격 벡터 사용에 따라 공격자는 조직의 보안 경계 내부 및 외부에서 인증 자격 증명을 획득하고 이를 활용하여 리소스에 부적절한 액세스를 얻을 수 있습니다.

Microsoft는 다양한 수준에서 이러한 문제의 잠재적 영향을 해결하고 있으며, 이러한 문제를 해결하기 위해 제공된 도구와 이러한 도구 사용의 영향을 고객에게 알려고 합니다. 이 권고에는 IWA 인증 자격 증명 보호를 개선하기 위해 Microsoft가 수행한 다양한 조치와 고객이 이러한 보호 장치를 배포하는 방법에 대한 정보가 포함되어 있습니다.

완화 요소:

  • 자격 증명을 릴레이하기 위해 공격자는 다른 취약성을 성공적으로 활용하여 사람이 있는 공격을 실행하거나 소셜 엔지니어링을 사용하여 피해자를 설득하여 악의적인 전자 메일 메시지의 링크를 보내는 등 공격자의 제어 하에 있는 서버에 연결해야 합니다.
  • Internet Explorer는 HTTP를 사용하여 인터넷 영역에 호스트된 서버에 자격 증명을 자동으로 보내지 않습니다. 이렇게 하면 이 영역 내의 공격자가 자격 증명을 전달하거나 반영할 수 있는 위험이 줄어듭니다.
  • 리플렉션 공격이 성공하려면 클라이언트 시스템에 인바운드 트래픽을 허용해야 합니다. 가장 일반적인 공격 벡터는 IWA 인증을 허용하므로 SMB입니다. SMB 트래픽을 차단하는 방화벽 뒤의 호스트 또는 호스트 방화벽에서 SMB 트래픽을 차단하는 호스트는 SMB를 대상으로 하는 가장 일반적인 NTLM 리플렉션 공격에 취약하지 않습니다.

일반 정보

개요

권고의 목적: IWA(Windows 통합 인증)를 사용할 때 Microsoft가 사용자 자격 증명 보호를 확장하기 위해 수행하는 작업을 명확히 하기 위해.

권고 상태: 공지 게시됨.

권장 사항: 제안된 작업을 검토하고 적절하게 구성합니다.

참조 ID
Microsoft 기술 자료 문서 974926

이 권고에서는 다음 소프트웨어에 대해 설명합니다.

영향을 받는 소프트웨어
Windows XP 서비스 팩 2 및 Windows XP 서비스 팩 3
x64 기반 시스템 서비스 팩 2용 Windows XP
Windows Server 2003 서비스 팩 2
x64 기반 시스템 서비스 팩 2용 Windows Server 2003
Itanium 기반 시스템 서비스 팩 2용 Windows Server 2003
Windows Vista, Windows Vista 서비스 팩 1 및 Windows Vista 서비스 팩 2
Windows Vista x64 Edition, Windows Vista x64 Edition 서비스 팩 1 및 Windows Vista x64 Edition 서비스 팩 2
32비트 시스템용 Windows Server 2008 및 32비트 시스템 서비스 팩 2용 Windows Server 2008
x64 기반 시스템용 Windows Server 2008 및 x64 기반 시스템 서비스 팩 2용 Windows Server 2008
Itanium 기반 시스템용 Windows Server 2008 및 Itanium 기반 시스템 서비스 팩 2용 Windows Server 2008
32비트 시스템용 Windows 7*
x64 기반 시스템용 Windows 7*
x64 기반 시스템용 Windows Server 2008 R2*
Itanium 기반 시스템용 Windows Server 2008 R2*

*Windows 7 및 Windows Server 2008 R2는 SSPI(보안 지원 공급자 인터페이스)의 기능으로 인증에 대한 확장된 보호를 제공합니다. 운영 체제 또는 애플리케이션이 이 기능을 지원하도록 구성되지 않은 경우 이러한 운영 체제에서 실행되는 애플리케이션은 자격 증명 릴레이에 계속 노출될 수 있습니다. 인증에 대한 확장된 보호는 기본적으로 사용하도록 설정되지 않습니다.

질문과 대답

권고의 범위는 무엇입니까?
이 보안 권고는 Microsoft가 자격 증명 릴레이로부터 보호하기 위해 적용하는 전략에 대한 포괄적인 보기를 제공합니다. 이 문제를 포괄적으로 해결하기 위해 현재 사용할 수 있는 업데이트에 대한 개요를 제공합니다.

이 위협의 원인은 무엇인가요?
이 권고는 인증 릴레이 가능성을 해결합니다. 이러한 공격은 공격자가 인증 자격 증명을 획득하는 데 성공하는 경우(예: 중간 공격을 통해) 또는 사용자에게 링크를 클릭하도록 설득하여 발생합니다. 이 링크를 사용하면 클라이언트가 사용자에게 IWA를 사용하여 인증하도록 요청하는 공격자 제어 서비스에 액세스할 수 있습니다.

이 권고에서 참조되는 자격 증명 릴레이의 형태는 다음과 같습니다.

  • 자격 증명 전달: 공격자가 얻은 do기본 자격 증명을 사용하여 피해자가 액세스할 수 있는 것으로 알려진 다른 서비스에 로그온할 수 있습니다. 그런 다음 공격자는 대상 서비스에 대한 피해자의 권한과 동일한 권한을 획득할 수 있습니다.
  • 자격 증명 리플렉션: 공격자가 얻은 기본 자격 증명을 사용하여 피해자의 컴퓨터에 다시 로그온할 수 있습니다. 그런 다음 공격자는 해당 컴퓨터에 대한 사용 권한을 피해자와 동일한 권한으로 획득합니다.

이러한 공격이 성공하려면 공격자가 사용자가 공격자의 서버에 연결해야 합니다. 이 작업은 ARP(주소 확인 프로토콜) 캐시 중독과 같이 공격자가 로컬 네트워크에 있는 공격을 통해 수행할 수 있습니다.

이러한 공격의 영향은 공격자가 사용자가 조직 경계 외부의 서버에 연결하도록 설득할 때 증가합니다. 이를 허용할 수 있는 특정 시나리오는 다음과 같습니다.

  • WINDOWS DNS 클라이언트가 단일 레이블의 정규화되지 않은 호스트 이름에 대한 DNS 쿼리를 확인할 수 있도록 하는 Windows DNS 클라이언트 기능인 DNS 진화 입니다. 악의적인 사용자는 조직의 경계 외부에 특정 호스트 이름을 등록할 수 있습니다. 클라이언트가 잘못 구성된 경우 클라이언트가 해당 호스트 이름에 액세스하는 동안 조직 경계 외부로 전환될 때 의도치 않게 연결할 수 있습니다.
  • DNS 스푸핑- 공격자가 Windows Do기본 DNS(이름 시스템)의 취약성을 악용하여 스푸핑을 허용합니다. 이러한 공격을 통해 원격 공격자가 인터넷의 시스템에 대한 네트워크 트래픽을 공격자의 시스템으로 리디렉션할 수 있습니다.
  • 사용자가 로컬 호스트 이름에 대한 쿼리를 시작하고 이후에 원격 IP 주소를 사용하여 클라이언트에 스푸핑된 NBNS 응답을 도입하는 특수하게 만들어진 활성 코드 애플릿(예: Java 또는 Flash)을 실행하도록 유혹하는 NETBIOS 이름 서비스(NBNS) 스푸핑. 이 호스트 이름에 연결하면 클라이언트는 이를 로컬 컴퓨터로 간주하고 IWA 자격 증명을 시도하여 원격 공격자에게 노출합니다.

Microsoft는 이러한 시나리오를 해결하는 데 도움이 되는 몇 가지 업데이트를 릴리스했으며, 이 권고는 고객이 특정 배포 시나리오에서 위험 및 문제를 가장 잘 평가할 수 있는 방법을 요약하는 것을 목표로 합니다.

IWA(Windows 통합 인증)란?
Windows 통합 인증(이전의 NTLM, Windows NT 챌린지/응답 인증이라고도 함)을 사용하면 네트워크를 통해 전송되기 전에 사용자 이름 및 암호(자격 증명)가 해시됩니다. Windows 통합 인증을 사용하도록 설정하면 클라이언트는 웹 서버와의 해시된 암호화 교환을 통해 암호에 대한 지식을 증명합니다. Windows 통합 인증에는 Negotiate, Kerberos 및 NTLM 인증 방법이 포함됩니다.

맨 인 더 미들 공격은 무엇입니까?
공격자가 통신하는 두 사용자에 대한 지식 없이 공격자의 컴퓨터를 통해 두 사용자 간의 통신 경로를 다시 지정하면 중간에서 맨 인 더 미들(man-in-the-middle) 공격이 발생합니다. 공격자는 트래픽을 모니터링하고 읽은 후 의도한 받는 사람에게 전송할 수 있습니다. 통신의 각 사용자는 의도한 당사자와만 통신한다고 생각하면서 무의식적으로 트래픽을 보내고 공격자로부터 트래픽을 받습니다.

Microsoft는 DNS 스푸핑 공격을 해결하기 위해 어떤 조치를 취합니까?
Microsoft는 DNS 스푸핑 공격을 해결하기 위해 다음 보안 공지를 발표했습니다.

  • MS08-037 은 공격자가 DNS 레코드를 스푸핑하고 DNS 서버 캐시에 삽입할 수 있는 두 가지 취약성을 해결합니다.
  • MS09-008 은 공격자가 DNS 레코드를 스푸핑하고 DNS 서버 캐시에 삽입할 수 있는 두 가지 취약성과 공격자가 추가 공격을 수용하는 데 사용할 수 있는 네트워크 인프라 관련 호스트 이름(WPAD 및 ISATAP)을 악의적으로 등록할 수 있는 두 가지 취약성을 해결합니다.

MICROSOFT는 NBNS 스푸핑 공격을 해결하기 위해 어떤 조치를 취했습니까?
Microsoft는 이 취약성의 영향을 받는 타사 공급업체와 협력하여 이 공격 벡터에 대한 완화를 구현했습니다. 이 문제는 Adobe Security Bulletin APSB08-11 의 Adobe Flash Player 및 Sun Alert 103079 Sun Java 런타임 환경에서 해결되었습니다.

ARP(주소 확인 프로토콜) 캐시 중독이란?
ARP 캐시 중독은 공격자의 컴퓨터로 구성되는 공격으로, 피해자와 동일한 서브넷에 있으며 스푸핑되거나 무상으로 ARP 응답을 보냅니다. 일반적으로 클라이언트가 공격자가 네트워크의 기본 게이트웨이라고 믿도록 혼동하고, 희생자 컴퓨터가 게이트웨이가 아닌 공격자에게 정보를 보내도록 합니다. 이러한 공격을 활용하여 중간에서 맨 인 더 미들 공격을 설정할 수 있습니다.

TLS(전송 계층 보안)란?
TLS(전송 계층 보안) 핸드셰이크 프로토콜은 보안 세션을 설정하거나 다시 시작하는 데 필요한 인증 및 키 교환을 담당합니다. 보안 세션을 설정할 때 핸드셰이크 프로토콜은 다음을 관리합니다.

  • 암호 그룹 협상
  • 서버 및 필요에 따라 클라이언트의 인증
  • 세션 키 정보 교환

자세한 내용은 TechNet 문서인 TLS/SSL 작동 방식을 참조하세요.

이 권고와 연결된 Windows 버전은 무엇인가요?
자격 증명 전달 및 리플렉션은 Windows 통합 인증을 수행할 수 있는 모든 플랫폼에 영향을 줍니다. 인증에 대한 확장된 보호 기능은 Windows 7 및 Windows Server 2008 R2에 포함되어 있으며, Microsoft 보안 권고 973811 릴리스된 비보안 업데이트에서 Windows XP, Windows Server 2003, Windows Vista 및 Windows Server 2008에 사용할 수 있습니다. 인증 자격 증명을 완전히 보호하려면 이러한 운영 체제의 특정 애플리케이션이 여전히 메커니즘을 옵트인해야 합니다. 확장된 보호 기능은 Microsoft Windows 2000 운영 체제에서 사용할 수 없습니다.

Microsoft는 자격 증명 리플렉션 공격을 해결하기 위해 어떤 조치를 취하나요?
애플리케이션은 서비스에 대해 인증할 때 SPN(서비스 사용자 이름)을 제대로 활용하는 경우 자격 증명 리플렉션 공격으로부터 보호됩니다.

이 보안 권고를 게시하기 전에 Microsoft는 다음 보안 업데이트를 릴리스하여 Windows 구성 요소 및 Microsoft 애플리케이션이 자격 증명 리플렉션 공격 방지를 제공하기 위해 이 메커니즘을 올바르게 옵트인하도록 했습니다.

  • Microsoft 보안 게시판 MS08-068 은 공격자의 SMB 서버에 연결할 때 자격 증명을 반영합니다.
  • Microsoft 보안 게시판 MS08-076 은 공격자의 Windows Media 서버에 연결할 때 자격 증명의 반영을 다룹니다.
  • Microsoft 보안 게시판 MS09-013 은 WinHTTP 애플리케이션 프로그래밍 인터페이스를 사용하여 공격자의 웹 서버에 연결할 때 자격 증명을 반영합니다.
  • Microsoft 보안 게시판 MS09-014 는 WinINET 애플리케이션 프로그래밍 인터페이스를 사용하여 공격자의 웹 서버에 연결할 때 자격 증명을 반영합니다.
  • Microsoft 보안 게시판 MS09-042 는 공격자의 텔넷 서버에 연결할 때 자격 증명의 반영을 다룹니다.

Microsoft는 자격 증명 전달 공격을 해결하기 위해 어떤 조치를 취하나요?
자격 증명 전달에 대한 일부 보호는 Windows 보안 SSPI(지원 공급자 인터페이스)에서 제공됩니다. 이 인터페이스는 Windows 7 및 Windows Server 2008 R2에서 구현되며 Windows XP, Windows Server 2003, Windows Vista 및 Windows Server 2008에 대한 비보안 업데이트로 사용할 수 있습니다.

보호하려면 특정 클라이언트 및 서버 구성 요소 및 애플리케이션에 대해 동일한 보호를 제공하기 위해 추가 비보안 업데이트를 배포해야 합니다. 이 기능은 클라이언트와 서버 끝 모두에서 인증에 변경 내용을 적용하며 신중하게 배포해야 합니다. 인증을 위한 확장 보호 및 이 메커니즘을 구현하기 위해 릴리스된 비보안 업데이트에 대한 자세한 내용은 Microsoft 보안 권고 973811 찾을 수 있습니다.

이러한 업데이트는 자격 증명 전달 공격을 어떻게 해결하나요?
SSPI 비보안 업데이트 Microsoft 보안 권고 973811 인증 요청이 클라이언트가 연결하려는 서버의 SPN과 IWA 인증이 수행되는 외부 TLS(전송 계층 보안) 채널 모두에 바인딩될 수 있도록 현재 IWA(Windows 통합 인증) 메커니즘을 확장하기 위해 SSPI를 수정합니다. 이러한 채널이 있으면 입니다. 이는 자체적으로 보안 취약성을 해결하지 않지만 애플리케이션 공급업체가 구성할 수 있는 선택적 기능으로 배포하는 기본 업데이트입니다.

애플리케이션별 비보안 업데이트는 IWA 인증을 수행하는 개별 시스템 구성 요소를 수정하여 구성 요소가 계층 1 비보안 업데이트에 의해 구현된 보호 메커니즘을 옵트인하도록 합니다. 인증 에 대한 확장 보호를 사용하도록 설정하는 방법에 대한 자세한 내용은 Microsoft 보안 공지 973811 및 해당 Microsoft 기술 자료 문서 973811 참조하세요.

Microsoft는 DNS 진화를 해결하기 위해 어떤 조치를 취합니까?
DNS 진화를 공격 벡터로 사용하여 회사 네트워크 외부에서 이 취약성을 악용할 수 있습니다. Devolution은 Windows DNS 클라이언트가 단일 레이블의 정규화되지 않은 호스트 이름에 대한 DNS 쿼리를 확인하는 Windows DNS 클라이언트 기능입니다. 쿼리는 호스트 이름에 PDS(기본 DNS 접미사)를 추가하여 생성됩니다. 쿼리는 호스트 이름 및 다시 기본 PDS가 확인되거나 제거된 PDS에서 두 개의 레이블만 다시 기본 때까지 PDS에서 가장 왼쪽 레이블을 체계적으로 제거하여 다시 시도됩니다. 예를 들어 western.corp.contoso.co.us "단일 레이블"을 찾는 Windows 클라이언트는 Single-label.western.corp.contoso.co.us 기본 Single-label.corp.contoso.co.us, Single-label.contoso.co.us 점진적으로 쿼리한 다음 해결되는 시스템을 찾을 때까지 Single-label.co.us. 이 프로세스를 진화라고 합니다.

공격자는 조직의 경계 외부에 단일 레이블 이름을 가진 시스템을 호스트할 수 있으며 DNS 진화로 인해 Windows DNS 클라이언트가 조직 경계 내에 있는 것처럼 성공적으로 연결할 수 있습니다. 예를 들어 엔터프라이즈의 DNS 접미사가 corp.contoso.co.us "Single-Label"이라는 정규화되지 않은 호스트 이름을 확인하려는 경우 DNS 확인자는 Single-Label.corp.contoso.co.us 시도합니다. 이를 찾을 수 없는 경우 DNS 진화를 통해 Single-label.contoso.co.us 해결하려고 시도합니다. 찾을 수 없으면 contoso.co.us 외부에 있는 Single-label.co.us 해결하려고 시도합니다기본. 이 프로세스를 진화라고 합니다.

예를 들어 이 호스트 이름이 WPAD인 경우 WPAD.co.us 설정하는 공격자는 악의적인 웹 프록시 자동 검색 파일을 제공하여 클라이언트 프록시 설정을 구성할 수 있습니다.

Microsoft는 Windows 클라이언트가 DNS 진화를 수행하는 방법에 대한 보다 세부적인 제어를 조직에 제공하기 위해 보안 권고 971888 및 관련 업데이트를 릴리스했습니다. 이 업데이트를 통해 조직은 클라이언트가 조직 경계를 벗어나는 것을 방지할 수 있습니다.

타사 개발자는 자격 증명 릴레이를 해결하기 위해 무엇을 할 수 있나요?
타사 개발자는 Microsoft 보안 권고 973811 설명된 이 새로운 보호 메커니즘을 옵트인하여 인증을 위한 확장된 보호 구현을 고려해야 합니다.

개발자가 이 메커니즘을 옵트인하는 방법에 대한 자세한 내용은 MSDN 문서인 확장 보호를 사용한 Windows 통합 인증에서 확인할 수 있습니다.

SPN(서비스 사용자 이름)이란?
SPN(서비스 사용자 이름)은 클라이언트가 서비스의 인스턴스를 고유하게 식별하는 이름입니다. 네트워크 전체의 컴퓨터에 서비스의 여러 인스턴스를 설치하는 경우 각 인스턴스에는 자체 SPN이 있어야 합니다. 클라이언트에서 인증에 사용할 수 있는 이름이 여러 개인 경우 지정한 서비스 인스턴스에 여러 개의 SPN이 있을 수 있습니다. 예를 들어 SPN은 항상 서비스 인스턴스가 실행 중인 호스트 컴퓨터의 이름을 포함하므로 서비스 인스턴스는 각 이름 또는 호스트의 별칭에 대해 SPN을 등록할 수 있습니다.

제안된 작업

  • Microsoft 보안 권고 973811, 인증에 대한 확장된 보호 검토 및 관련 업데이트 구현
    이 보안 권고는 인증에 대한 확장된 보호를 구현하는 비보안 업데이트의 릴리스를 발표합니다. 이 기능은 릴레이 공격으로부터 인증 시도를 보호하는 데 도움이 됩니다.
  • Microsoft 보안 권고 971888, DNS 배포 업데이트 검토
    이 보안 권고는 시스템 관리자가 더 구체적인 DNS 진화를 구성할 수 있도록 하는 선택적 비보안 업데이트 릴리스를 발표합니다.
  • 이 권고와 관련된 Microsoft 기술 자료 문서를 검토합니다.
    이 보안 권고에 대해 자세히 알아보고자 하는 고객은 Microsoft 기술 자료 문서 974926 검토해야 합니다.
  • PC 보호
    고객이 방화벽을 사용하도록 설정하고 소프트웨어 업데이트를 받고 바이러스 백신 소프트웨어를 설치하는 컴퓨터 보호 지침을 따르도록 계속 권장합니다. 고객은 컴퓨터 보호를 방문하여 이러한 단계에 대해 자세히 알아볼 수 있습니다.
  • 인터넷에서 안전하게 유지하는 방법에 대한 자세한 내용은 고객이 Microsoft Security Central을 방문해야 합니다.
  • Windows 업데이트d 유지
    모든 Windows 사용자는 최신 Microsoft 보안 업데이트를 적용하여 컴퓨터가 최대한 보호되도록 해야 합니다. 소프트웨어가 최신 상태인지 확실하지 않은 경우 Windows 업데이트 방문하여 컴퓨터에서 사용 가능한 업데이트를 검색하고 사용자에게 제공되는 우선 순위가 높은 업데이트를 설치합니다. 자동 업데이트 사용하도록 설정된 경우 업데이트가 릴리스될 때 사용자에게 전달되지만 설치해야 합니다.

해결 방법

자격 증명 리플렉션 또는 자격 증명 전달 공격으로부터 시스템을 보호하는 데 도움이 되는 여러 가지 해결 방법이 있습니다. Microsoft는 다음 해결 방법을 테스트했습니다. 이러한 해결 방법은 기본 취약성을 수정하지 않지만 알려진 공격 벡터를 차단하는 데 도움이 됩니다. 해결 방법으로 기능이 감소하면 다음 섹션에서 식별됩니다.

방화벽에서 TCP 포트 139 및 445 차단

자격 증명 리플렉션 공격의 경우 릴레이된 자격 증명을 사용하는 인바운드 연결은 SMB 또는 RPC 서비스를 통해 발생할 가능성이 높습니다. 방화벽에서 TCP 포트 139 및 445를 차단하면 해당 방화벽 뒤에 있는 시스템이 이 취약성을 악용하려는 시도로부터 보호하는 데 도움이 됩니다. 다른 포트를 사용할 수 있는 공격을 방지하기 위해 인터넷에서 원치 않는 인바운드 통신을 모두 차단하는 것이 좋습니다. 포트에 대한 자세한 내용은 TCP 및 UDP 포트 할당을 참조 하세요.

해결 방법의 영향: 여러 Windows 서비스에서 영향을 받는 포트를 사용합니다. 포트에 대한 연결을 차단하면 다양한 애플리케이션 또는 서비스가 작동하지 않을 수 있습니다. 영향을 받을 수 있는 애플리케이션 또는 서비스 중 일부는 다음과 같습니다.

  • SMB(CIFS)를 사용하는 애플리케이션
  • mailslot 또는 명명된 파이프를 사용하는 애플리케이션(SMB를 통한 RPC)
  • 서버(파일 및 인쇄 공유)
  • 그룹 정책
  • Net Logon
  • 분산 파일 시스템(DFS)
  • 터미널 서버 라이선스
  • 인쇄 스풀러
  • 컴퓨터 브라우저
  • 원격 프로시저 호출 로케이터
  • 팩스 서비스
  • 인덱싱 서비스
  • 성능 로그 및 경고
  • 시스템 관리 서버
  • 라이선스 로깅 서비스

SMB 서명 사용

SMB 서명을 사용하도록 설정하면 공격자가 로그온한 사용자의 컨텍스트에서 코드를 실행할 수 없습니다. SMB 서명은 각 SMB에 디지털 서명을 배치하여 상호 및 메시지 인증을 제공하며, 이 서명은 클라이언트와 서버 모두에서 확인됩니다. Microsoft는 그룹 정책을 사용하여 SMB 서명을 구성하는 것이 좋습니다.

그룹 정책을 사용하여 Microsoft Windows 2000, Windows XP 및 Windows Server 2003에 대해 SMB 서명을 사용하거나 사용하지 않도록 설정하는 방법에 대한 자세한 지침은 Microsoft 기술 자료 문서 887429 참조하세요. Windows XP 및 Windows Server 2003용 Microsoft 기술 자료 문서 887429 지침은 Windows Vista 및 Windows Server 2008에도 적용됩니다.

해결 방법의 영향: SMB 패킷 서명을 사용하면 파일 서비스 트랜잭션의 성능이 저하됩니다. 이 정책 집합이 있는 컴퓨터는 클라이언트 쪽 패킷 서명을 사용하도록 설정하지 않은 컴퓨터와 통신하지 않습니다. SMB 서명 및 잠재적 영향에 대한 자세한 내용은 Microsoft 네트워크 서버: 디지털 서명 통신(항상)을 참조하세요.

기타 정보

리소스:

  • Microsoft 도움말 및 지원: 문의처를 방문하여 양식을 작성하여 피드백을 제공할 수 있습니다.
  • 미국 및 캐나다의 고객은 보안 지원에서 기술 지원을 받을 수 있습니다. 사용 가능한 지원 옵션에 대한 자세한 내용은 Microsoft 도움말 및 지원을 참조하세요.
  • 해외 고객은 현지 Microsoft 자회사로부터 지원을 받을 수 있습니다. Microsoft에 국제 지원 문제를 문의하는 방법에 대한 자세한 내용은 국제 지원을 방문하세요.
  • Microsoft TechNet Security 는 Microsoft 제품의 보안에 대한 추가 정보를 제공합니다.

고지 사항:

이 권고에 제공된 정보는 어떠한 종류의 보증도 없이 "있는 그대로" 제공됩니다. Microsoft는 특정 목적에 대한 상품성 및 적합성에 대한 보증을 포함하여 명시적이거나 묵시적인 모든 보증을 부인합니다. 어떠한 경우에도 Microsoft Corporation 또는 해당 공급업체는 Microsoft Corporation 또는 공급업체가 이러한 손해의 가능성을 통보한 경우에도 직접, 간접, 부수적, 결과적, 비즈니스 이익 손실 또는 특별 손해를 포함한 모든 손해에 대해 책임을 지지 않습니다. 일부 주에서는 결과적 또는 부수적 손해에 대한 책임의 배제 또는 제한을 허용하지 않으므로 앞에서 설명한 제한이 적용되지 않을 수 있습니다.

개정:

  • V1.0(2009년 12월 8일): 공지 게시됨.

2014-04-18T13:49:36Z-07:00에 빌드