SMB 서명 동작 제어
SMB 서명이 작동하는 방식
서버 메시지 차단(SMB) 서명은 세션 키 및 암호 그룹을 사용하여 연결을 통해 가는 메시지에 서명을 추가하는 보안 기능입니다. 이 서명은 SMB 헤더에 전체 메시지의 해시를 포함합니다. 다른 사용자가 전송 중인 메시지를 변조하는 경우 변조된 메시지의 데이터가 서명의 해시와 일치하지 않습니다. 해시에는 원래 보낸 사람과 의도한 받는 사람의 ID도 포함됩니다. 서명 불일치는 사용자에게 가능한 파울 플레이를 경고하여 릴레이 및 스푸핑 공격으로부터 배포를 보호하는 데 도움이 됩니다.
SMB 서명 요구 사항에는 SMB 클라이언트의 트래픽을 포함하는 아웃바운드 서명과 서버에 대한 트래픽을 포함하는 인바운드 서명이 모두 포함될 수 있습니다. Windows 및 Windows Server는 아웃바운드 서명만, 인바운드 서명만, 둘 다 또는 둘 다 필요할 수 있습니다. 예시:
Windows 11, 버전 24H2 Enterprise, Pro 및 Education에는 아웃바운드 및 인바운드 SMB 서명이 모두 필요합니다.
Windows Server 2025에는 아웃바운드 SMB 서명만 필요합니다.
Windows 11 버전 24H2 Home Edition에는 아웃바운드 또는 인바운드 SMB 서명이 필요하지 않습니다.
SMB 서명 동작
모든 버전의 Windows 및 Windows Server는 SMB 서명을 지원하지만 타사에서 SMB 서명을 사용하지 않도록 설정하거나 지원하지 않을 수 있습니다. 만일 SMB 서명을 허용하지 않는 타사 SMB 서버의 원격 공유에 연결하려고 하면 다음 오류 메시지 중 하나가 발생할 수 있습니다.
0xc000a000
-1073700864
STATUS_INVALID_SIGNATURE
The cryptographic signature is invalid.
이 문제를 해결하려면 타사 SMB 서버의 설정을 조정하여 SMB 서명을 허용(사용)합니다.
게스트 계정을 사용하여 액세스를 간소화하는 타사 디바이스에 연결하려고 하면 다음 오류 메시지 중 하나가 수신될 수 있습니다.
You can't access this shared folder because your organization's security policies block
unauthenticated guest access. These policies help protect your PC from unsafe or malicious
devices on the network.
Error code: 0x80070035
The network path was not found.
System error 3227320323 has occurred.
타사에 대한 게스트 사용을 사용하지 않도록 설정할 수 없는 경우 SMB 서명을 사용하지 않도록 설정해야 할 수 있습니다. 그러나 이는 게스트 액세스를 사용하고 클라이언트가 신뢰할 수 있는 디바이스에 서명하지 못하도록 하는 것을 의미합니다.
주의
타사 서버에 대한 해결 방법으로 SMB 서명을 사용하지 않도록 설정하는 것은 권장되지 않습니다. 또한 게스트 계정으로 로그인하지 않는 것이 좋습니다.
필수 조건
SMB 서명 동작을 제어하고 기능을 최대화하려면 시스템에서 다음 두 운영 체제 중 하나를 실행해야 합니다.
- Windows 11 버전 24H2 이상
- Windows Server 2025 이상
또한 SMB 서명이 데이터 보안에 효과적인지 확인하려면 다음 권장 사항을 따라야 합니다.
- NTLMv2 대신 Kerberos를 사용합니다.
- IP 주소를 사용하여 공유에 연결하지 마세요.
- CNAME DNS 레코드를 사용하지 마세요. 대신 NETDOM.EXE를 사용하여 대체 컴퓨터 이름을 할당합니다.
SMB 서명 비활성화
SMB 서명은 기본적으로 Windows 11 및 Windows Server 2025의 최신 Insider Preview 빌드에서 필요합니다. 모든 Windows 환경에서는 SMB 서명을 지원합니다. 그러나, 사용자 환경에서 타사 서버를 사용하고 타사 서버가 SMB 서명을 지원하지 않는 경우, 원격 공유에 연결할 수 없습니다.
SMB 서명을 요구하면 공유에 대한 게스트 액세스도 비활성화됩니다. 이러한 경우 게스트 계정에 대한 액세스를 복원하려면 SMB 서명을 수동으로 사용하지 않도록 설정해야 합니다. 그룹 정책, PowerShell 및 Windows Admin Center를 통해 SMB 서명을 수동으로 사용하지 않도록 설정할 수 있습니다.
참고 항목
Active Directory 도메인 기반 그룹 정책을 수정해야 하는 경우 그룹 정책 관리 (gpmc.msc)를 사용합니다 .
그룹 정책에서 SMB 서명을 사용하지 않도록 설정하려면 다음 단계를 수행합니다.
시작을 선택하고 gpedit.msc를 입력한 다음 Enter를 누릅니다.
로컬 그룹 정책 편집기에서, Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options로 이동하세요.
Microsoft 네트워크 클라이언트 열기: 디지털 서명 통신(항상), 사용 안 함을 선택하고, 확인을 선택합니다.
SMB 서명 사용
SMB 서명은 전송 중에 데이터가 변조되지 않는지 확인하여 데이터 무결성을 보장합니다. 또한 SMB 서명은 서버 및 클라이언트의 ID를 확인하여 인증을 제공하므로 악의적인 중간 공격을 방지할 수 있습니다.
그룹 정책에서 SMB 서명을 사용하도록 설정하려면 다음 단계를 수행합니다.
시작을 선택하고 gpedit.msc를 입력한 다음 Enter를 누릅니다.
로컬 그룹 정책 편집기에서, Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options로 이동하세요.
Microsoft 네트워크 클라이언트: 디지털 서명 통신(항상)을 열고, 사용 함을 선택한 후, 확인을 선택합니다.
SMB 서명 상태 확인
SMB 클라이언트 또는 SMB 서버에서 SMB 서명을 사용하거나 사용하지 않도록 설정했는지 확인하려면 다음 명령을 실행합니다.
Get-SmbClientConfiguration | FL RequireSecuritySignature
Get-SmbServerConfiguration | FL RequireSecuritySignature
반환된 정보가 True면 SMB 서명이 활성화되고, 그렇지 않으면 반환된 정보가 False면 SMB 서명이 비활성화됩니다.