Windows용 SMB 인증 속도 제한기 구성

SMB 인증 속도 제한기는 무차별 암호 대입 인증 공격을 해결하도록 설계된 Windows Server 및 Windows 클라이언트용 SMB 서버의 기능입니다. Bruce 강제 인증 공격은 초당 여러 사용자 이름 및 암호 추측 시도로 SMB 서버를 폭격합니다. Windows Server 2025 및 Windows 11 버전 24H2부터 SMB 인증 속도 제한은 기본적으로 사용하도록 설정됩니다. 실패한 각 NTLM 또는 PKU2U 기반 인증 시도 간의 기본 지연 시간은 2초이며 구성할 수 있습니다. 이 문서의 내용. SMB 인증 속도 제한기가 작동하는 방식 및 구성하는 방법을 알아봅니다.

관리자가 원격 파일을 열거나 복사하기 위해 Windows 방화벽을 통해 SMB 서버 서비스에 대한 액세스를 허용하는 경우 잘못된 행위자가 인증을 시도하는 방법으로 SMB 액세스를 사용할 수 있습니다. 사용자 이름을 알고 있는 공격자는 여러 가지 방법을 사용하여 로컬 또는 Active Directory 기반 NTLM 로그온을 컴퓨터에 보낼 수 있습니다. 암호 추측 빈도는 초당 수십~수천 번의 로그인 시도까지 다양할 수 있습니다. NTLM에 대한 자세한 내용은 NTLM 개요를 참조하세요.

조직에 침입 감지 소프트웨어가 없거나 암호 잠금 정책을 설정하지 않은 경우 공격자는 사용자의 암호를 추측할 수 있습니다. SMB 서버는 기본적으로 모든 버전의 Windows에서 실행되지만 방화벽 규칙이 허용되지 않는 한 기본적으로 액세스할 수 없습니다. 방화벽을 해제하고 디바이스를 안전하지 않은 네트워크에 조인하는 최종 사용자는 비슷한 문제에 직면합니다.

SMB 인증 속도 제한의 작동 방식

SMB 서버 서비스는 인증 속도 제한기를 사용하여 실패한 각 NTLM 또는 PKU2U 기반 인증 시도 간에 2초 지연을 구현합니다. 즉, 공격자가 이전에 클라이언트에서 초당 300번의 무차별 암호 대입 시도를 5분(암호 90,000회)으로 보낸 경우 동일한 시도 횟수는 이제 50시간 이상이 소요됩니다. 유사한 심층 방어 기술과 마찬가지로 SMB 인증 속도 제한기의 목적은 공격 비용을 증가시켜 Windows 머신을 매력적이지 않은 대상으로 만드는 것입니다.

필수 조건

SMB 인증 속도 제한기를 구성하려면 다음이 필요합니다.

• 다음 운영 체제 중 하나를 실행 중인 SMB 서버.
  • Windows Server 2025.
  • Windows 11 버전 24H2 이상.
• 컴퓨터에 대한 관리 권한입니다.
• 도메인에서 그룹 정책을 사용하는 경우 GPO(그룹 정책 개체)를 만들거나 편집하고 적절한 OU(조직 구성 단위)에 연결할 수 있는 권한이 필요합니다.

SMB 인증 속도 제한 구성

SMB 인증 속도 제한기를 사용하여 실패한 인증 시도 간에 지연을 설정할 수 있습니다. PowerShell에서 또는 그룹 정책을 사용하여 SMB 속도 제한을 수동으로 사용하거나 사용하지 않도록 설정할 수도 있습니다. SMB 인증 속도 제한기를 사용하도록 설정하려면 단계를 수행합니다.

PowerShell

PowerShell에서 SmbServerConfiguration cmdlet을 사용하여 SMB 인증 속도 제한기를 구성하는 방법은 다음과 같습니다.

1. 관리자 권한으로 PowerShell 창을 엽니다.

2. 실패한 각 NTLM 또는 PKU2U 기반 인증 시도 간에 지연할 시간(밀리초)을 결정합니다. 기본값은 2000밀리초(2초)입니다. 값은 허용되는 범위가 0-10000인 100의 배수여야 합니다.

3. 다음 명령을 실행하여 SMB 인증 속도 제한기를 사용하도록 설정합니다.

    Set-SmbServerConfiguration -InvalidAuthenticationDelayTimeInMs <Milliseconds>
   

참고 항목

변수를 0으로 설정하면 SMB 인증 속도 제한기가 비활성화됩니다.

현재 값을 보려면 다음 명령을 실행합니다.

Get-SmbServerConfiguration | Format-List -Property InvalidAuthenticationDelayTimeInMs

그룹 정책

도메인에 가입된 컴퓨터에 대한 그룹 정책을 사용하여 SMB 인증 속도 제한을 사용하도록 설정하고 사용하지 않도록 설정하는 방법은 다음과 같습니다.

그룹 정책을 사용하여 SMB 인증 속도 제한기를 구성하려면 다음 단계를 수행합니다.

1. 열기는 그룹 정책 관리 콘솔합니다.
2. 사용하려는 그룹 정책 개체(GPO)를 편집하거나 만듭니다.
3. 콘솔 트리에서 컴퓨터 구성 > 관리 템플릿 > 네트워크 >Lanman Server를 선택합니다.
4. 설정으로는, 인증 속도 제한기 사용을 마우스 오른쪽 단추로 클릭하고 편집을 선택합니다.
5. 사용을 선택한 다음 확인을 선택합니다.

다음은 사용하도록 설정된 그룹 정책 항목의 예입니다.

팁

잘못된 인증 지연 시간을 설정하려면 PowerShell을 사용해야 합니다.

SMB 인증 속도 제한은 Kerberos에 영향을 주지 않습니다. Kerberos는 SMB와 같은 애플리케이션 프로토콜이 연결되기 전에 인증합니다. SMB 인증 속도 제한기는 특히 도메인에 가입되지 않은 디바이스의 경우 심층 방어의 또 다른 계층으로 설계되었습니다.

관련 콘텐츠

• 참가자 빌드의 SMB 인증 속도 제한기