Credential Guard 사용 시 고려 사항 및 알려진 문제
Microsoft는 Credential Guard를 배포하는 것 외에도 조직에서 암호에서 비즈니스용 Windows Hello, FIDO 2 보안 키 또는 스마트 카드와 같은 다른 인증 방법으로 이동하는 것이 좋습니다.
업그레이드 고려 사항
Credential Guard가 발전하고 보안 기능이 향상됨에 따라 Credential Guard를 실행하는 최신 버전의 Windows가 이전 기능 시나리오에 영향을 줄 수 있습니다. instance Credential Guard는 특정 자격 증명 또는 구성 요소의 사용을 제한하여 맬웨어 악용 취약성을 저지할 수 있습니다.
Credential Guard를 활용하는 디바이스를 업데이트하기 전에 organization 내에서 운영 시나리오를 철저히 테스트하는 것이 좋습니다.
명시적으로 사용하지 않도록 설정하지 않는 한 Windows 11, 버전 22H2 및 Windows Server 2025로의 업그레이드에는 기본적으로 Credential Guard가 사용하도록 설정되어 있습니다.
Wi-Fi 및 VPN 고려 사항
Credential Guard를 사용하도록 설정하면 더 이상 SSO(Single Sign-On)에 NTLM 클래식 인증(NTLMv1)을 사용할 수 없습니다. 이러한 프로토콜을 사용하기 위해 자격 증명을 입력해야 하며 나중에 사용할 자격 증명을 저장할 수 없습니다.
MS-CHAPv2를 기반으로 하는 WiFi 및 VPN 엔드포인트를 사용하는 경우 NTLMv1과 유사한 공격이 적용됩니다.
WiFi 및 VPN 연결의 경우 MSCHAPv2 기반 연결(예: PEAP-MSCHAPv2 및 EAP-MSCHAPv2)에서 인증서 기반 인증(예: PEAP-TLS 또는 EAP-TLS)으로 이동하는 것이 좋습니다.
위임 고려 사항
Credential Guard를 사용하도록 설정하면 기본 인증 체계가 Credential Guard와 호환되지 않거나 제공된 자격 증명이 필요하므로 특정 유형의 ID 위임을 사용할 수 없습니다.
Credential Guard를 사용하도록 설정하면 자격 증명 보안 지원 공급자("CredSSP") 는 더 이상 저장 또는 SSO 자격 증명을 사용할 수 없지만 일반 텍스트 자격 증명은 계속 제공할 수 있습니다. CredSSP 기반 위임은 대상 컴퓨터에서 cleartext 자격 증명을 제공해야 하며 Credential Guard를 사용하도록 설정하고 cleartext 자격 증명 공개를 차단하면 SSO에서 작동하지 않습니다. 자격 증명 도난의 위험으로 인해 위임 및 일반적으로 CredSSP를 사용하는 것은 권장되지 않습니다.
Kerberos 제한되지 않은 위임 및 DES는 Credential Guard에 의해 차단됩니다. 제한되지 않은 위임은 권장되는 사례가 아닙니다.
대신 Kerberos 또는 Negotiate SSP 는 일반적으로 인증에 권장되며 위임의 경우 Kerberos 제한 위임 및 리소스 기반 Kerberos 제한 위임 이 권장됩니다. 이러한 메서드는 전반적으로 더 큰 자격 증명 보안을 제공하며 Credential Guard와도 호환됩니다.
비 Microsoft 보안 지원 공급자 고려 사항
Microsoft 이외의 SSP(보안 지원 공급자 및 AP)는 타사 SSP가 LSA에서 암호 해시를 요청하는 것을 허용하지 않기 때문에 Credential Guard와 호환되지 않을 수 있습니다. 그러나 SSP 및 AP는 사용자의 로그온 및/또는 해당 암호 변경 시 여전히 암호 알림을 받습니다. 사용자 지정 SSP 및 AP 내에서 문서화되지 않은 API의 사용은 지원되지 않습니다.
SSP/AP의 사용자 지정 구현은 Credential Guard를 사용하여 테스트하는 것이 좋습니다. 모든 문서화되지 않거나 지원되지 않는 동작에 의존하는 SSP 및 AP는 실패합니다. 예를 들어 KerbQuerySupplementalCredentialsMessage API를 사용하는 것은 지원되지 않습니다. NTLM 또는 Kerberos SSP를 사용자 지정 SSP 및 AP와 바꾸기.
자세한 내용은 보안 패키지 등록 및 설치와 관련된 제한을 참조하세요.
저장된 Windows 자격 증명 고려 사항
자격 증명 관리자 를 사용하면 다음 세 가지 유형의 자격 증명을 저장할 수 있습니다.
- Windows 자격 증명
- 인증서 기반 자격 증명
- 일반 자격 증명
자격 증명 관리자에 저장된 도메인 자격 증명은 Credential Guard로 보호됩니다.
웹 사이트에 로그인하는 데 사용하는 사용자 이름 및 암호와 같은 일반 자격 증명은 애플리케이션에 일반 텍스트 암호가 필요하므로 보호되지 않습니다. 애플리케이션에 암호 복사본이 필요하지 않은 경우 도메인 자격 증명을 보호되는 Windows 자격 증명으로 저장할 수 있습니다. Windows 자격 증명은 네트워크의 다른 컴퓨터에 연결하는 데 사용됩니다.
다음 고려 사항이 자격 증명 관리자의 Credential Guard 보호에 적용됩니다.
- 원격 데스크톱 클라이언트에서 저장한 Windows 자격 증명은 원격 호스트로 보낼 수 없습니다. 저장된 Windows 자격 증명 사용 시도가 실패하고 로그온 시도가 실패했음 오류 메시지가 표시됩니다.
- Windows 자격 증명을 추출하는 애플리케이션이 실패합니다.
- Credential Guard를 사용하도록 설정된 PC에서 자격 증명을 백업하는 경우 Windows 자격 증명을 복원할 수 없습니다. 자격 증명을 백업해야 하는 경우 Credential Guard를 사용하도록 설정하기 전에 먼저 자격 증명을 백업해야 합니다.
TPM 지우기 고려 사항
VBS(가상화 기반 보안)은 키를 보호하기 위해 TPM을 사용합니다. TPM이 지워지면 VBS 비밀을 암호화하는 데 사용되는 TPM 보호 키가 손실됩니다.
Warning
TPM을 지우면 데이터를 보호하기 위해 VBS를 사용하는 모든 기능에 대해 보호되는 데이터가 손실됩니다.
TPM이 지워지면 VBS를 사용하여 데이터를 보호하는 모든 기능은 더 이상 보호된 데이터의 암호를 해독할 수 없습니다.
따라서 Credential Guard는 더 이상 보호된 데이터의 암호를 해독할 수 없습니다. VBS는 Credential Guard에 대해 새로운 TPM 보호 키를 만듭니다. Credential Guard는 새 키를 사용하여 새 데이터를 보호합니다. 그러나 이전에 보호되는 데이터는 영구적으로 손실됩니다.
참고
Credential Guard는 초기화하는 동안 키를 가져옵니다. 데이터 손실은 영구 데이터에만 영향을 미치며 다음 시스템 시작 후에 발생합니다.
자격 증명 관리자에 저장된 Windows 자격 증명
자격 증명 관리자는 저장된 Windows 자격 증명의 암호를 해독할 수 없으므로 삭제됩니다. 응용 프로그램에서 이전에 저장된 자격 증명에 대한 메시지를 표시해야 합니다. 다시 저장된 경우 Windows 자격 증명은 Credential Guard에 의해 보호됩니다.
도메인에 가입된 디바이스의 자동으로 프로비전된 공개 키
Active Directory 도메인 가입 디바이스는 자동 공개 키 프로비저닝에 대한 자세한 내용은 도메인에 가입된 디바이스 공개 키 인증을 참조하세요.
Credential Guard는 보호된 프라이빗 키의 암호를 해독할 수 없으므로 Windows는 도메인에 대한 인증을 위해 도메인에 가입된 컴퓨터의 암호를 사용합니다. 다른 정책을 배포하지 않는 한 기능 손실이 없어야 합니다. 디바이스가 공개 키만 사용하도록 구성된 경우 해당 정책이 비활성화될 때까지 암호로 인증할 수 없습니다. 장치가 공개 키만 사용하도록 구성하는 방법에 대한 자세한 내용은 도메인 가입 장치 공개 키 인증을 참조하세요.
또한 인증 정책을 포함한 액세스 제어 검사에서 디바이스에 또는 FRESH PUBLIC KEY IDENTITY (S-1-18-3)
잘 알려진 SID가 있어야 KEY TRUST IDENTITY (S-1-18-4)
하는 경우 해당 액세스 검사가 실패합니다. 인증 정책에 대한 자세한 내용은 인증 정책 및 인증 정책 사일로를 참조하세요. 잘 알려진 SID에 대한 자세한 내용은 [MS DTYP] 섹션 2.4.2.4 잘 알려진 SID 구조를 참조하세요.
도메인 가입 장치에서 DPAPI 중단
도메인 가입 장치에서 DPAPI는 사용자의 도메인의 도메인 컨트롤러를 사용하여 사용자 키를 복구할 수 있습니다. 도메인에 가입된 디바이스가 도메인 컨트롤러에 연결되지 않은 경우 복구가 불가능합니다.
중요
도메인 가입 기기에서 TPM을 지울 때 가장 좋은 방법은 도메인 컨트롤러에 연결된 네트워크에서 하는 것입니다. 이렇게 하면 DPAPI 기능 및 사용자에 이상한 문제가 발생하지 않습니다.
자동 VPN 구성은 사용자 DPAPI로 보호됩니다. VPN 구성이 손실되었기 때문에 사용자가 VPN을 사용하여 도메인 컨트롤러에 연결하지 못할 수 있습니다. 도메인 컨트롤러에 연결되지 않은 도메인 가입 기기에서 TPM을 지워야 한다면 다음을 고려해 보세요.
도메인 컨트롤러에 연결되지 않는 한 TPM을 지워 도메인에 가입된 디바이스에서 도메인 사용자 로그인:
자격 증명 유형 | 동작 |
---|---|
인증서(스마트 카드 또는 비즈니스용 Windows Hello) | 사용자 DPAPI로 보호되는 모든 데이터는 사용할 수 없으며 사용자 DPAPI는 전혀 작동하지 않습니다. |
암호 | 사용자가 TPM을 지우기 전에 인증서 또는 암호로 로그인한 경우 암호로 로그인할 수 있으며 사용자 DPAPI는 영향을 받지 않습니다. |
장치가 도메인 컨트롤러에 연결되면 DPAPI는 사용자의 키를 복구하고 TPM을 삭제하기 전에 보호되는 데이터의 암호를 해독할 수 있습니다.
Windows Information Protection에서 DPAPI 실패의 영향
사용자 DPAPI로 보호되는 데이터를 사용할 수 없는 경우 사용자는 Windows Information Protection에 의해 보호되는 모든 회사 데이터에 액세스할 수 없습니다. 그 영향에는 Outlook을 시작할 수 없으며 보호된 문서를 열 수 없습니다. DPAPI가 작동하는 경우 새로 만든 회사 데이터가 보호되며 이에 액세스할 수 있습니다.
해결 방법: 사용자가 자신의 디바이스를 도메인에 연결하고 다시 부팅하거나 자신의 파일 시스템 암호화 데이터 복구 에이전트 인증서를 사용하여 문제를 해결할 수 있습니다. 파일 시스템 암호화 데이터 복구 에이전트 인증서에 대한 자세한 내용은 EFS(파일 시스템 암호화) DRA(데이터 복구 에이전트) 인증서 만들기 및 확인을 참조하세요.
알려진 문제
Credential Guard는 특정 인증 기능을 차단합니다. Credential Guard를 사용하도록 설정하면 이러한 기능이 필요한 애플리케이션이 작동하지 않습니다.
이 문서에서는 Credential Guard를 사용하는 경우의 알려진 문제에 대해 설명합니다.
Windows Server 2025로 업그레이드할 때 Hyper-V로 실시간 마이그레이션 중단
Windows Server 2025로 업그레이드한 후 CredSSP 기반 위임을 사용하는 디바이스는 Hyper-V에서 라이브 마이그레이션 을 더 이상 사용할 수 없습니다. 실시간 마이그레이션(예: SCVMM)에 의존하는 애플리케이션 및 서비스도 영향을 받을 수 있습니다. CredSSP 기반 위임은 실시간 마이그레이션의 경우 Windows Server 2022 이하의 기본값입니다.
설명 | |
---|---|
영향을 받는 디바이스 | Credential Guard를 사용하도록 설정된 모든 서버에서 이 문제가 발생할 수 있습니다. Windows Server 2025부터 Credential Guard는 도메인 컨트롤러가 아닌 모든 도메인 가입 서버에서 기본적으로 사용하도록 설정됩니다. 업그레이드하기 전에 Credential Guard의 기본 사용을 선제적으로 차단 할 수 있습니다. |
문제의 원인 | Hyper-V를 사용한 실시간 마이그레이션 및 이를 사용하는 애플리케이션 및 서비스는 지정된 연결의 한쪽 또는 양쪽 끝이 Credential Guard를 사용하도록 설정된 CredSSP를 사용하려고 하면 문제의 영향을 받습니다. Credential Guard를 사용하도록 설정하면 CredSSP는 저장된 자격 증명이나 SSO 자격 증명이 아닌 제공된 자격 증명만 활용할 수 있습니다. Live Migration의 원본 컴퓨터가 Credential Guard를 사용하도록 설정된 위임에 CredSSP를 사용하는 경우 라이브 마이그레이션이 실패합니다. 대부분의 경우 대상 컴퓨터에서 Credential Guard의 사용 상태는 라이브 마이그레이션에 영향을 주지 않습니다. 모든 디바이스가 원본 컴퓨터 역할을 할 수 있으므로 클러스터 시나리오(예: SCVMM)에서도 실시간 마이그레이션이 실패합니다. |
해결 방법 | CredSSP 위임 대신 Kerberos 제한 위임 및 Resource-Based Kerberos 제한 위임 이 권장됩니다. 이러한 형태의 위임은 Credential Guard와 호환될 뿐만 아니라 더 큰 자격 증명 보호를 제공합니다. Hyper-V 관리자는 자동화된 스크립트의 도움을 받아 수동으로 또는 이러한 유형의 위임을 구성할 수 있습니다. |
Windows 11, 버전 22H2 또는 Windows Server 2025로 업그레이드한 후 네트워크 서비스에 대한 Single Sign-On이 중단됩니다.
암호 기반 인증으로 안전하지 않은 프로토콜을 사용하는 802.1x 무선 또는 유선 네트워크, RDP 또는 VPN 연결을 사용하는 디바이스는 SSO를 사용하여 로그인할 수 없으며 Credential Guard가 실행될 때 모든 새 Windows 세션에서 수동으로 다시 인증해야 합니다.
설명 | |
---|---|
영향을 받는 디바이스 | Credential Guard를 사용하도록 설정된 모든 디바이스에 문제가 발생할 수 있습니다. Windows 11 버전 22H2 및 Windows Server 2025부터 Credential Guard를 사용하지 않도록 설정하지 않은 적격 디바이스는 기본적으로 사용하도록 설정됩니다. 이는 최소 하드웨어 요구 사항을 충족하는 한 Enterprise(E3 및 E5) 및 Education 라이선스 및 일부 Pro 라이선스의 모든 디바이스에 영향을 줍니다. 이전에 적격 라이선스로 Credential Guard를 실행하고 나중에 Pro로 다운그레이드한 모든 Windows Pro 디바이스는 여전히 최소 하드웨어 요구 사항을 충족하는 기본 사용을 받습니다. |
문제의 원인 | 애플리케이션 및 서비스는 암호 기반 인증을 사용하는 안전하지 않은 프로토콜을 사용하는 경우 문제의 영향을 받습니다. 이러한 프로토콜은 클라이언트 또는 서버에서 암호 공개로 이어질 수 있으므로 안전하지 않은 것으로 간주되며 Credential Guard는 이를 차단합니다. 영향을 받는 프로토콜은 다음과 같습니다. - Kerberos 비제한 위임(SSO 및 제공된 자격 증명이 모두 차단됨) - PKINIT가 Diffie-Hellman 대신 RSA 암호화를 사용하는 경우 Kerberos(SSO 및 제공된 자격 증명 모두 차단됨) - MS-CHAP(SSO만 차단됨) - WDigest(SSO만 차단됨) - NTLM v1(SSO만 차단됨) 참고: MS-CHAP, WDigest 및 NTLM v1에 대해 SSO만 차단되므로 사용자에게 자격 증명을 제공하라는 메시지를 표시하여 이러한 프로토콜을 계속 사용할 수 있습니다. |
해결 방법 | MICROSOFT는 MSCHAPv2 기반 연결(예: PEAP-MSCHAPv2 및 EAP-MSCHAPv2)에서 인증서 기반 인증(예: PEAP-TLS 또는 EAP-TLS)으로 전환하는 것이 좋습니다. Credential Guard는 인증서 기반 인증을 차단하지 않습니다. 보다 즉각적이지만 덜 안전한 수정을 위해 Credential Guard를 사용하지 않도록 설정합니다. Credential Guard에는 프로토콜별 또는 애플리케이션별 정책이 없으며 켜거나 끌 수 있습니다. Credential Guard를 사용하지 않도록 설정하면 저장된 도메인 자격 증명이 도난에 취약하게 됩니다. |
팁
기본 사용을 방지하려면 기본 사용을 받은 버전으로 업데이트하기 전에 Credential Guard를 사용하지 않도록 디바이스를 구성 합니다. 설정이 구성되지 않은 경우(기본 상태) 디바이스가 적합한 경우 디바이스는 업데이트 후 자동으로 Credential Guard를 사용하도록 설정합니다.
Credential Guard를 명시적으로 사용하지 않도록 설정한 경우 디바이스는 업데이트 후 Credential Guard를 자동으로 사용하도록 설정하지 않습니다.
참고
Windows 11, 버전 22H2 또는 Windows Server 2025로 업그레이드할 때 Windows Pro 디바이스가 기본 사용을 받는지 확인하려면 레지스트리 키가 IsolatedCredentialsRootSecret
에 Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
있는지 검사.
있는 경우 디바이스는 업데이트 후 Credential Guard를 사용하도록 설정합니다.
자격 증명 보호는 사용 안 함 지침에 따라 업그레이드 후에 사용하지 않도록 설정할 수 있습니다.
문제를 확인하는 방법
MS-CHAP 및 NTLMv1은 Windows 11 버전 22H2 업데이트 후 SSO 중단과 관련이 있습니다. Credential Guard가 MS-CHAP 또는 NTLMv1을 차단하고 있는지 확인하려면 이벤트 뷰어(eventvwr.exe
)를 열고 로 Application and Services Logs\Microsoft\Windows\NTLM\Operational
이동합니다. 다음 로그를 확인합니다.
이벤트 ID(형식)
Description
4013(경고)
<string
id="NTLMv1BlockedByCredGuard"
value="Attempt to use NTLMv1 failed.
Target server: %1%nSupplied user: %2%nSupplied domain: %3%nPID
of client process: %4%nName
of client process: %5%nLUID
of client process: %6%nUser identity
of client process: %7%nDomain name
of user identity of client process: %8%nMechanism OID: 9%n%n
This device doesn't support NTLMv1.
/>
4014(오류)
<string
id="NTLMGetCredentialKeyBlockedByCredGuard"
value="Attempt to get credential key by call package blocked by Credential Guard.%n%n
Calling Process Name: %1%nService Host Tag: %2"
/>
비 Microsoft 애플리케이션 관련 문제
다음 문제는 MSCHAPv2에 영향을 줍니다.
다음 문제는 Java GSS API에 영향을 줍니다. 다음 Oracle 버그 데이터베이스 문서를 참조하세요.
Windows에서 Credential Guard를 사용하도록 설정하면 Java GSS API가 인증되지 않습니다. Credential Guard는 특정 애플리케이션 인증 기능을 차단하고 레지스트리 키 설정에 관계없이 애플리케이션에 TGT 세션 키를 제공하지 않습니다. 자세한 내용은 애플리케이션 요구 사항을 참조하세요.
공급업체 지원
다음 제품 및 서비스는 Credential Guard를 지원하지 않습니다.
- Microsoft Credential Guard 및 Hypervisor-Protected 코드 무결성 기능에 대한 엔드포인트 보안 클라이언트 지원 Check Point
- VMware Workstation 및 Device/Credential Guard는 Windows 10 호스트(2146361)의 VMware Workstation에서 호환되지 않는 오류입니다.
- Microsoft Windows에서 Hypervisor-Protected 코드 무결성 및 Credential Guard에 대한 ThinkPad 지원
- Credential Guard 및 Symantec Endpoint Protection 12.1이 있는 Windows 디바이스
중요
이 목록은 포괄적이지 않습니다. 제품 공급업체, 제품 버전 또는 컴퓨터 시스템이 특정 버전의 Windows를 실행하는 시스템에서 Credential Guard를 지원하는지 확인합니다. 특정 컴퓨터 시스템 모델은 Credential Guard와 호환되지 않을 수 있습니다.