고급 자격 증명 보호
조직은 암호 없는 로그인을 채택하는 것 외에도 Credential Guard 및 Remote Credential Guard를 사용하여 Windows 11 사용자 및 도메인 자격 증명에 대한 보안을 강화할 수 있습니다.
LSA(로컬 보안 기관) 보호
Windows에는 사용자의 ID를 확인하는 몇 가지 중요한 프로세스가 있습니다. 확인 프로세스에는 사용자를 인증하고 Windows 로그인을 확인하는 LSA(로컬 보안 기관)가 포함됩니다. LSA는 Microsoft 계정 및 Entra ID 계정에 대한 Single Sign-On에 사용되는 토큰 및 자격 증명을 처리합니다.
LSA는 신뢰할 수 있는 서명된 코드만 로드하여 자격 증명 도난에 대한 상당한 보호를 제공합니다. LSA 보호는 그룹 정책 및 기타 디바이스 관리 솔루션을 사용하는 구성을 지원합니다.
Windows 11 버전 24H2의 새로운 기능
이러한 자격 증명을 안전하게 유지하기 위해 LSA 보호는 기본적으로 모든 디바이스(MSA, Microsoft Entra 조인, 하이브리드 및 로컬)에서 사용하도록 설정됩니다. 새 설치의 경우 즉시 사용하도록 설정됩니다. 업그레이드의 경우 평가 기간 10일 후에 다시 부팅한 후 사용하도록 설정됩니다.
사용자는 디바이스 보안>코어 격리>로컬 보안 기관 보호 아래의 Windows 보안 애플리케이션에서 LSA 보호 상태를 관리할 수 있습니다.
모든 사용자에 대한 원활한 전환과 향상된 보안을 보장하기 위해 LSA 보호에 대한 엔터프라이즈 정책이 업그레이드 시 사용 설정보다 우선합니다.
더 알아보세요
Credential Guard
Credential Guard는 하드웨어 기반 VBS(가상화 기반 보안)를 사용하여 자격 증명 도난으로부터 보호합니다. Credential Guard를 사용하면 LSA(로컬 보안 기관)는 나머지 운영 체제에서 액세스할 수 없는 격리된 환경에서 AD(Active Directory) 비밀을 저장하고 보호합니다. LSA는 원격 프로시저 호출을 사용하여 격리된 LSA 프로세스와 통신합니다.
가상화 기반 보안으로 LSA 프로세스를 보호함으로써 Credential Guard는 Pass-the-Hash 또는 Pass-the-Ticket과 같은 사용자 자격 증명 도난 공격 기술로부터 시스템을 보호합니다. 또한 프로세스가 관리자 권한으로 실행되는 경우에도 맬웨어가 시스템 비밀에 액세스하지 못하도록 방지할 수 있습니다.
Windows 11 버전 24H2의 새로운 기능
필요에 따라 Active Directory 조인 디바이스에 대한 컴퓨터 계정 암호를 포함하도록 Credential Guard 보호가 확장됩니다. 관리자는 Credential Guard 정책 설정을 사용하여 이 기능의 감사 모드 또는 적용을 사용하도록 설정할 수 있습니다.
더 알아보세요
원격 Credential Guard
원격 Credential Guard를 사용하면 조직이 Kerberos 요청을 연결을 요청하는 디바이스로 다시 리디렉션하여 원격 데스크톱 연결을 통해 자격 증명을 보호할 수 있습니다. 또한 원격 데스크톱 세션에 대한 Single Sign-On 환경을 제공합니다.
관리자 자격 증명은 높은 권한이 있으며 보호되어야 합니다. 원격 데스크톱 세션 중에 원격 Credential Guard를 연결하도록 구성된 경우 자격 증명 및 자격 증명 파생 항목은 네트워크를 통해 대상 디바이스로 전달되지 않습니다. 대상 디바이스가 손상된 경우 자격 증명이 노출되지 않습니다.
더 알아보세요
VBS 키 보호
VBS 키 보호를 사용하면 개발자가 VBS(가상화 기반 보안)를 사용하여 암호화 키를 보호할 수 있습니다. VBS는 CPU의 가상화 확장 기능을 사용하여 일반 OS 외부에서 격리된 런타임을 만듭니다. 사용 중인 경우 VBS 키는 보안 프로세스에서 격리되므로 이 공간 외부에 프라이빗 키 자료를 노출하지 않고도 키 작업이 수행될 수 있습니다. 미사용 시 프라이빗 키 자료는 VBS 키를 디바이스에 바인딩하는 TPM 키로 암호화됩니다. 이러한 방식으로 보호되는 키는 프로세스 메모리에서 덤프하거나 사용자의 컴퓨터에서 일반 텍스트로 내보낼 수 없으므로 관리자 수준 공격자의 반출 공격을 방지할 수 있습니다.
더 알아보세요
토큰 보호(미리 보기)
토큰 보호는 Microsoft Entra ID 토큰 도난을 사용하여 공격을 줄이려고 시도합니다. 토큰 보호를 사용하면 토큰을 디바이스 비밀로 암호화하여 바인딩하여 의도한 디바이스에서만 토큰을 사용할 수 있습니다. 토큰을 사용하는 경우 토큰과 디바이스 비밀 증명을 모두 제공해야 합니다. 특정 서비스에 로그인 토큰을 사용할 때 토큰 보호를 요구하도록 조건부 액세스 정책[4] 을 구성할 수 있습니다.
더 알아보세요
로그인 세션 토큰 보호 정책
이 기능을 사용하면 애플리케이션과 서비스가 보안 토큰을 디바이스에 암호화적으로 바인딩하여 토큰이 도난당한 경우 공격자가 다른 디바이스에서 사용자를 가장하는 기능을 제한할 수 있습니다.
계정 잠금 정책
Windows 11 설치된 새 디바이스에는 기본적으로 안전한 계정 잠금 정책이 있습니다. 이러한 정책은 RDP(원격 데스크톱 프로토콜)를 통해 Windows 디바이스에 액세스하려는 해커와 같은 무차별 암호 대입 공격을 완화합니다.
계정 잠금 임계값 정책은 이제 기본적으로 실패한 로그인 시도 10회로 설정되며 계정 잠금 기간은 10분으로 설정됩니다. 이제 관리자 계정 잠금 허용 이 기본적으로 사용하도록 설정됩니다. 이후 계정 잠금 다시 설정 카운터도 기본적으로 10분으로 설정됩니다.
더 알아보세요
액세스 관리 및 제어
Windows의 액세스 제어를 통해 공유 리소스를 리소스 소유자 이외의 사용자 및 그룹에서 사용할 수 있으며 무단 사용으로부터 보호됩니다. IT 관리자는 네트워크 또는 컴퓨터의 개체 및 자산에 대한 사용자, 그룹 및 컴퓨터의 액세스를 관리할 수 있습니다. 사용자가 인증되면 Windows는 기본 제공 권한 부여 및 액세스 제어 기술로 리소스를 보호하는 두 번째 단계를 구현합니다. 이러한 기술은 인증된 사용자에게 올바른 권한이 있는지 여부를 결정합니다.
ACL(Access Control Lists)은 특정 개체에 대한 사용 권한을 설명하고 SACL(시스템 Access Control Lists)을 포함할 수도 있습니다. SACL은 사용자가 파일 시스템 개체에 액세스하려고 시도하는 경우와 같은 특정 시스템 수준 이벤트를 감사하는 방법을 제공합니다. 이러한 이벤트는 중요하거나 중요한 개체에 대한 추적 작업에 필수적이며 추가 모니터링이 필요합니다. 리소스가 운영 체제의 일부를 읽거나 쓰려고 할 때 감사할 수 있는 것은 잠재적인 공격을 이해하는 데 중요합니다.
IT 관리자는 다음과 같은 액세스의 애플리케이션 및 관리를 구체화할 수 있습니다.
- 더 많은 수의 다양한 네트워크 리소스를 오용으로부터 보호합니다.
- 조직 정책 및 작업 요구 사항과 일치하는 방식으로 리소스에 액세스하도록 사용자를 프로비전합니다. 조직은 사용자에게 작업을 수행하는 데 필요한 데이터 및 작업에 대한 액세스 권한만 부여해야 한다고 주장하는 최소 권한 액세스 원칙을 구현할 수 있습니다.
- organization 정책이 변경되거나 사용자의 작업이 변경됨에 따라 정기적으로 리소스에 액세스하는 사용자의 기능 업데이트
- 하이브리드 또는 원격 위치 또는 태블릿 및 휴대폰을 포함하여 빠르게 확장되는 디바이스 배열에서의 액세스를 포함하여 진화하는 작업 공간 요구 사항 지원
- 합법적인 사용자가 작업을 수행하는 데 필요한 리소스에 액세스할 수 없는 경우 액세스 문제 식별 및 resolve
더 알아보세요