원격 Credential Guard
개요
원격 Credential Guard는 Kerberos 요청을 연결을 요청하는 디바이스로 다시 리디렉션하여 RDP(원격 데스크톱) 연결을 통해 자격 증명을 보호하는 데 도움이 됩니다. 대상 디바이스가 손상된 경우 자격 증명 및 자격 증명 파생 항목이 네트워크를 통해 대상 디바이스로 전달되지 않으므로 자격 증명이 노출되지 않습니다. 원격 Credential Guard는 원격 데스크톱 세션에 대한 Single Sign-On 환경도 제공합니다.
이 문서에서는 원격 Credential Guard를 구성하고 사용하는 방법을 설명합니다.
중요
기술 지원팀 지원과 관련된 원격 데스크톱 연결 시나리오에 대한 자세한 내용은 이 문서의 원격 데스크톱 연결 및 기술 지원팀 지원 시나리오를 참조하세요 .
원격 Credential Guard와 다른 연결 옵션 비교
Remote Credential Guard 없이 원격 데스크톱 세션을 사용하면 다음과 같은 보안 영향이 있습니다.
- 자격 증명이 원격 호스트로 전송되고 저장됩니다.
- 자격 증명은 원격 호스트의 공격자로부터 보호되지 않습니다.
- 공격자는 연결 끊김 후 자격 증명을 사용할 수 있습니다.
원격 Credential Guard의 보안 이점은 다음과 같습니다.
- 자격 증명이 원격 호스트로 전송되지 않음
- 원격 세션 중에 SSO를 사용하여 다른 시스템에 연결할 수 있습니다.
- 공격자는 세션이 진행 중인 경우에만 사용자를 대신하여 작업할 수 있습니다.
제한된 관리 모드의 보안 이점은 다음과 같습니다.
- 자격 증명이 원격 호스트로 전송되지 않음
- 원격 데스크톱 세션은 원격 호스트의 ID로 다른 리소스에 연결합니다.
- 공격자는 사용자를 대신하여 작업할 수 없으며 모든 공격은 서버의 로컬입니다.
다음 표를 사용하여 다양한 원격 데스크톱 연결 보안 옵션을 비교합니다.
기능 | 원격 데스크톱 | 원격 Credential Guard | 제한된 관리 모드 |
---|---|---|---|
로그인한 사용자로 다른 시스템에 대한 SSO(Single Sign-On) | ✅ | ✅ | ❌ |
다중 홉 RDP | ✅ | ✅ | ❌ |
연결 중에 사용자 ID 사용 방지 | ❌ | ❌ | ✅ |
연결 끊김 후 자격 증명 사용 방지 | ❌ | ✅ | ✅ |
Pass-the-Hash(PtH) 방지 | ❌ | ✅ | ✅ |
지원되는 인증 | 협상 가능한 모든 프로토콜 | Kerberos만 | 협상 가능한 모든 프로토콜 |
원격 데스크톱 클라이언트 디바이스에서 지원되는 자격 증명 | - 로그온한 자격 증명 - 제공된 자격 증명 - 저장된 자격 증명 |
- 로그온한 자격 증명 - 제공된 자격 증명 |
- 로그온한 자격 증명 - 제공된 자격 증명 - 저장된 자격 증명 |
RDP 액세스 권한 부여 | 원격 호스트의 원격 데스크톱 사용자 그룹 멤버 자격 | 원격 호스트의 원격 데스크톱 사용자 그룹 멤버 자격 | 원격 호스트의 관리자 그룹 멤버 자격 |
원격 Credential Guard 요구 사항
Remote Credential Guard를 사용하려면 원격 호스트와 클라이언트가 다음 요구 사항을 충족해야 합니다.
원격 호스트:
- 사용자가 원격 데스크톱 연결을 통해 액세스할 수 있도록 허용해야 합니다.
- 클라이언트 디바이스에 대한 지원되지 않는 자격 증명 위임을 허용해야 합니다.
클라이언트 디바이스:
- 원격 데스크톱 Windows 애플리케이션을 실행해야 합니다. 원격 데스크톱 UWP(유니버설 Windows 플랫폼) 애플리케이션은 원격 Credential Guard를 지원하지 않습니다.
- 원격 호스트에 연결하려면 Kerberos 인증을 사용해야 합니다. 클라이언트가 도메인 컨트롤러에 연결할 수 없는 경우 RDP는 NTLM으로 대체하려고 시도합니다. 원격 Credential Guard는 자격 증명을 위험에 노출하기 때문에 NTLM 대체를 허용하지 않습니다.
Windows 버전 및 라이선싱 요구 사항
다음 표에는 원격 Credential Guard를 지원하는 Windows 버전이 나와 있습니다.
Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
---|---|---|---|
예 | 예 | 예 | 예 |
원격 Credential Guard 라이선스 자격은 다음 라이선스에 의해 부여됩니다.
Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
---|---|---|---|---|
예 | 예 | 예 | 예 | 예 |
Windows 라이선싱에 대한 자세한 내용은 Windows 라이선싱 개요를 참조하세요.
원격 호스트에서 보고할 수 없는 자격 증명 위임 사용
원격 호스트에서 원격 Credential Guard 및 제한된 관리 모드를 지원하려면 이 정책이 필요합니다. 원격 호스트가 클라이언트 디바이스에 할당할 수 없는 자격 증명을 위임할 수 있습니다.
이 설정을 사용하지 않거나 구성하지 않으면 제한된 관리자 및 원격 Credential Guard 모드가 지원되지 않습니다. 사용자는 자신의 자격 증명을 호스트에 전달하여 원격 호스트의 공격자로부터 자격 증명 도난의 위험에 노출해야 합니다.
원격 호스트에서 변경할 수 없는 자격 증명 위임을 사용하도록 설정하려면 다음을 사용할 수 있습니다.
- Microsoft Intune/MDM
- 그룹 정책
- 레지스트리
다음 지침에서는 디바이스를 구성하는 방법에 대한 세부 정보를 제공합니다. 요구 사항에 가장 적합한 옵션을 선택합니다.
Microsoft Intune을 사용하여 디바이스를 구성하려면 설정 카탈로그 정책을 만들고 다음 설정을 사용합니다.
범주 | 설정 이름 | 값 |
---|---|---|
관리 템플릿 > 시스템 > 자격 증명 위임 | 원격 호스트를 사용하면 지원되지 않는 자격 증명을 위임할 수 있습니다. | 설정됨 |
구성하려는 디바이스 또는 사용자를 구성원으로 포함하는 그룹에 정책을 할당합니다.
또는 정책 CSP를 사용하여 사용자 지정 정책을 사용하여 디바이스를 구성할 수 있습니다.
설정 |
---|
-
OMA-URI:./Device/Vendor/MSFT/Policy/Config/CredentialsDelegation/RemoteHostAllowsDelegationOfNonExportableCredentials - 데이터 형식: 문자열 - 값: <enabled/> |
클라이언트에서 자격 증명 위임 구성
클라이언트에서 Remote Credential Guard를 사용하도록 설정하려면 원격 호스트에 대한 자격 증명 위임을 방지하는 정책을 구성할 수 있습니다.
팁
원격 Credential Guard를 적용하도록 클라이언트를 구성하지 않으려면 다음 명령을 사용하여 특정 RDP 세션에 원격 Credential Guard를 사용할 수 있습니다.
mstsc.exe /remoteGuard
서버가 RDS 호스트 역할을 호스트하는 경우 명령은 사용자가 원격 호스트의 관리자인 경우에만 작동합니다.
정책은 적용하려는 보안 수준에 따라 다른 값을 가질 수 있습니다.
사용 안함: 제한된 관리자 및 원격 Credential Guard 모드가 적용되지 않으며 원격 데스크톱 클라이언트가 원격 디바이스에 자격 증명을 위임할 수 있습니다.
제한된 관리자 필요: 원격 데스크톱 클라이언트는 제한된 관리자를 사용하여 원격 호스트에 연결해야 합니다.
원격 Credential Guard 필요: 원격 데스크톱 클라이언트는 원격 Credential Guard를 사용하여 원격 호스트에 연결해야 합니다.
자격 증명 위임 제한: 원격 데스크톱 클라이언트는 제한된 관리자 또는 원격 Credential Guard를 사용하여 원격 호스트에 연결해야 합니다. 이 구성에서는 원격 Credential Guard를 사용하는 것이 좋지만 원격 Credential Guard를 사용할 수 없는 경우 제한된 관리 모드(지원되는 경우)를 사용합니다.
참고
자격 증명 위임 제한을 사용하도록 설정하면 스위치가
/restrictedAdmin
무시됩니다. Windows는 대신 정책 구성을 적용하고 원격 Credential Guard를 사용합니다.
클라이언트를 구성하려면 다음을 사용할 수 있습니다.
- Microsoft Intune/MDM
- 그룹 정책
다음 지침에서는 디바이스를 구성하는 방법에 대한 세부 정보를 제공합니다. 요구 사항에 가장 적합한 옵션을 선택합니다.
Microsoft Intune을 사용하여 디바이스를 구성하려면 설정 카탈로그 정책을 만들고 다음 설정을 사용합니다.
범주 | 설정 이름 | 값 |
---|---|---|
관리 템플릿 > 시스템 > 자격 증명 위임 | 원격 서버로 자격 증명 위임 제한 |
사용을 선택하고 드롭다운에서 옵션 중 하나를 선택합니다. - 자격 증명 위임 제한 - 원격 Credential Guard 필요 |
구성하려는 디바이스 또는 사용자를 구성원으로 포함하는 그룹에 정책을 할당합니다.
또는 정책 CSP를 사용하여 사용자 지정 정책을 사용하여 디바이스를 구성할 수 있습니다.
설정 |
---|
-
OMA-URI:./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/RestrictedRemoteAdministration - 데이터 형식: 문자열 - 값: <enabled/><data id="RestrictedRemoteAdministrationDrop" value="2"/> 의 RestrictedRemoteAdministrationDrop 가능한 값은 다음과 같습니다.- 0 :비활성화- 1 : 제한된 관리자 필요- 2 : 원격 Credential Guard 필요- 3 : 자격 증명 위임 제한 |
사용자 환경
클라이언트가 정책을 수신하면 원격 데스크톱 클라이언트(mstsc.exe
)를 열어 원격 Credential Guard를 사용하여 원격 호스트에 연결할 수 있습니다. 사용자는 원격 호스트에 자동으로 인증됩니다.
참고
사용자에게 원격 데스크톱 프로토콜을 사용하여 원격 서버에 연결할 수 있는 권한이 있어야 합니다(예: 원격 호스트의 원격 데스크톱 사용자 로컬 그룹 구성원).
원격 데스크톱 연결 및 기술 지원 시나리오
직원이 원격 데스크톱 세션을 통해 관리 액세스가 필요한 기술 지원팀 지원 시나리오의 경우 원격 Credential Guard를 사용하지 않는 것이 좋습니다. RDP 세션이 이미 손상된 클라이언트에 시작된 경우 공격자는 열린 채널을 사용하여 사용자를 대신하여 세션을 만들 수 있습니다. 공격자는 세션 연결이 끊긴 후 제한된 시간 동안 사용자의 리소스에 액세스할 수 있습니다.
대신 제한된 관리 모드 옵션을 사용하는 것이 좋습니다. 기술 지원팀 지원 시나리오의 경우 RDP 연결은 스위치를 사용하여 /RestrictedAdmin
시작해야 합니다. 이렇게 하면 자격 증명 및 기타 사용자 리소스가 손상된 원격 호스트에 노출되지 않도록 하는 데 도움이 됩니다. 자세한 내용은 Pass-the-Hash 및 기타 자격 증명 도난 v2 완화를 참조하세요.
보안을 강화하려면 로컬 관리자 암호 관리를 자동화하는 LAPS(Windows 로컬 관리자 암호 솔루션)를 구현하는 것이 좋습니다. LAPS는 고객이 모든 컴퓨터에서 동일한 관리 로컬 계정 및 암호 조합을 사용할 때 횡적 에스컬레이션 및 기타 사이버 공격의 위험을 완화합니다.
LAPS에 대한 자세한 내용은 Windows LAPS란?을 참조하세요.
고려 사항
원격 Credential Guard에 대한 몇 가지 고려 사항은 다음과 같습니다.
- 원격 Credential Guard는 복합 인증을 지원하지 않습니다. 예를 들어 디바이스 클레임이 필요한 원격 호스트에서 파일 서버에 액세스하려는 경우 액세스가 거부됩니다.
- 원격 Credential Guard는 Active Directory 도메인에 가입된 디바이스에 연결할 때만 사용할 수 있습니다. Microsoft Entra ID에 조인된 원격 디바이스에 연결할 때는 사용할 수 없습니다.
- 클라이언트가 Kerberos를 사용하여 인증할 수 있는 한 Microsoft Entra 조인 클라이언트에서 원격 Credential Guard를 사용하여 Active Directory 조인된 원격 호스트에 연결할 수 있습니다.
- 원격 Credential Guard는 RDP 프로토콜에서만 작동합니다.
- 대상 디바이스로 자격 증명이 전송되지 않지만 대상 디바이스는 여전히 자체적으로 Kerberos 서비스 티켓을 획득합니다.
- 서버 및 클라이언트는 Kerberos를 사용하여 인증해야 합니다.
- 원격 Credential Guard는 대상 머신에 대한 직접 연결에 대해서만 지원됩니다. 원격 데스크톱 연결 브로커 및 원격 데스크톱 게이트웨이를 통한 연결은 지원되지 않습니다.