로그 변경
|
변경 1: 2023년 4월 5일: "CVE-2022-38023을 해결하기 위한 업데이트 시기" 섹션에서 레지스트리 키의 "기본 적용" 단계를 2023년 4월 11일에서 2023년 6월 13일로 옮겼습니다. 변경 2: 2023년 4월 20일: "레지스트리 키 설정" 섹션에서 "도메인 컨트롤러: 취약한 Netlogon 보안 채널 연결 허용"에 대한 부정확한 참조가 제거되었습니다. 변경 3: 2023년 6월 19일:
|
이 문서에서
요약
2022년 11월 8일 이후 Windows 업데이트는 RPC 봉인 대신 RPC 서명을 사용할 때 Netlogon 프로토콜의 약점을 해결합니다. 자세한 내용은 CVE-2022-38023에서 확인할 수 있습니다.
Netlogon 원격 프로토콜 RPC(원격 프로시저 호출) 인터페이스는 주로 장치와 해당 도메인 간의 관계 및 도메인 컨트롤러(DC)와 도메인 간의 관계를 유지하는 데 사용됩니다.
이 업데이트는 기본적으로 Windows 장치를 CVE-2022-38023으로부터 보호합니다. 타사 클라이언트 및 타사 도메인 컨트롤러의 경우 업데이트는 기본적으로 호환 모드이며 이러한 클라이언트에서 취약한 연결을 허용합니다. 적용 모드로 이동하는 단계별 실행은 레지스트리 키 설정 섹션을 참조하세요.
사용자의 환경을 보호하려면 2022년 11월 8일자 Windows 업데이트 또는 그 이후의 Windows 업데이트를 도메인 컨트롤러를 포함한 모든 장치에 설치합니다.
중요 2023년 6월부터 적용 모드가 모든 Windows 도메인 컨트롤러에서 활성화되며 비규격 장치의 취약한 연결을 차단합니다. 이때 업데이트를 사용하지 않도록 설정할 수 없지만 호환 모드 설정으로 돌아갈 수 있습니다. 호환 모드는 Netlogon 취약성 CVE-2022-38023을 해결하기 위한 업데이트 시기 섹션에 설명된 대로 2023년 7월에 제거될 예정입니다.
CVE-2022-38023을 해결하기 위한 업데이트 시기
업데이트는 2022년 11월 8일 또는 그 이후에 릴리스된 업데이트의 초기 단계와 2023년 7월 11일 또는 그 이후에 릴리스된 업데이트의 적용 단계와 같이 여러 단계로 릴리스됩니다.
초기 배포 단계는 2022년 11월 8일에 릴리스하는 업데이트로 시작하며 이후의 Windows 업데이트로 적용 단계까지 계속됩니다. 2022년 11월 8일 또는 그 이후의 Windows 업데이트는 모든 Windows 클라이언트에 RPC 봉인을 적용하여 CVE-2022-38023의 보안 바이패스 약점을 해결합니다.
기본적으로 장치는 호환 모드로 설정됩니다. Windows 도메인 컨트롤러는 Netlogon 클라이언트가 Windows를 실행하고 있거나 도메인 컨트롤러 또는 트러스트 계정으로 작동하고 있을 때 RPC 봉인을 사용하도록 요구합니다.
2023년 4월 11일 또는 그 이후에 릴리스한 Windows 업데이트에서는 0 값을 RequireSeal 레지스트리 하위 키로 설정하여 RPC 봉인을 비활성화하는 기능을 제거합니다.
RequireSeal 레지스트리 하위 키는 관리자가 명시적으로 호환 모드에 있도록 구성하지 않는 한 적용 모드로 이동됩니다. 타사를 비롯한 모든 클라이언트의 취약한 연결은 인증이 거부됩니다. 변경 1을 참조하세요.
2023년 7월 11일에 릴리스되는 Windows 업데이트에서는 1 값을 RequireSeal 레지스트리 하위 키로 설정하는 기능을 제거합니다. 이렇게 하면 CVE-2022-38023 적용 단계를 사용할 수 있습니다.
레지스트리 키 설정
2022년 11월 8일 또는 그 이후의 Windows 업데이트가 설치된 후에는 Windows 도메인 컨트롤러의 Netlogon 프로토콜에 다음 레지스트리 하위 키를 사용할 수 있습니다.
중요 이 업데이트와 향후 적용 변경 사항은 "RequireSeal" 레지스트리 하위 키를 자동으로 추가하거나 제거하지 않습니다. 이 레지스트리 하위 키를 읽으려면 수동으로 추가해야 합니다. 변경 3을 참조하세요.
RequireSeal 하위 키
|
레지스트리 키 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
값 |
RequireSeal |
|
데이터 형식 |
REG_DWORD |
|
데이터 |
0 - 사용 안 함 1 - 호환 모드. Windows 도메인 컨트롤러는 Netlogon 클라이언트가 Windows를 실행하고 있거나 도메인 컨트롤러 또는 트러스트 계정으로 작동하고 있을 때 RPC 봉인을 사용하도록 요구합니다. 2 - 적용 모드. 모든 클라이언트는 RPC Seal을 사용해야 합니다. 변경 2를 참조하세요. |
|
다시 시작해야 하나요? |
아니요 |
CVE-2022-38023과 관련된 Windows 이벤트
참고 다음 이벤트에는 동일한 정보를 포함하는 중복 이벤트가 해당 버퍼 중에 삭제되는 1시간 버퍼가 있습니다.
|
이벤트 로그 |
시스템 |
|
이벤트 형식 |
Error |
|
이벤트 소스 |
NETLOGON |
|
이벤트 ID |
5838 |
|
이벤트 텍스트 |
Netlogon 서비스에서 RPC 봉인 대신 RPC 서명을 사용하는 클라이언트를 발견했습니다. |
이벤트 로그에서 이 오류 메시지를 발견하는 경우 시스템 오류를 해결하기 위해 다음 작업을 수행해야 합니다.
-
장치에서 지원되는 Windows 버전을 실행하고 있는지 확인합니다.
-
모든 장치가 최신 상태인지 확인합니다.
-
도메인 구성원: 보안 채널 데이터를 디지털 암호화 또는 서명(항상)이 사용 으로 설정되어 있는지 확인합니다.
|
이벤트 로그 |
시스템 |
|
이벤트 형식 |
Error |
|
이벤트 소스 |
NETLOGON |
|
이벤트 ID |
5839 |
|
이벤트 텍스트 |
Netlogon 서비스에서 RPC 봉인 대신 RPC 서명을 사용하는 트러스트를 발견했습니다. |
|
이벤트 로그 |
시스템 |
|
이벤트 형식 |
경고 |
|
이벤트 소스 |
NETLOGON |
|
이벤트 ID |
5840 |
|
이벤트 텍스트 |
Netlogon 서비스에서 RC4가 있는 클라이언트로 보안 채널을 만들었습니다. |
이벤트 5840이 발견되면 도메인의 클라이언트가 취약한 암호화를 사용하고 있다는 신호입니다.
|
이벤트 로그 |
시스템 |
|
이벤트 형식 |
Error |
|
이벤트 소스 |
NETLOGON |
|
이벤트 ID |
5841 |
|
이벤트 텍스트 |
Netlogon 서비스에서 ‘RejectMd5Clients’ 설정으로 인해 RC4를 사용하는 클라이언트를 거부했습니다. |
이벤트 5841이 발견되면 RejectMD5Clients 값이 TRUE 로 설정되었다는 신호입니다.
RejectMD5Clients 키는 Netlogon 서비스의 기존 키입니다. 자세한 내용은 추상 데이터 모델에 대한 RejectMD5Clients 설명을 참조하세요.
자주 묻는 질문(FAQ)
도메인에 가입된 모든 컴퓨터 계정은 이 CVE의 영향을 받습니다. 이벤트에는 2022년 11월 8일자 또는 그 이후의 Windows 업데이트가 설치된 후 이 문제의 영향을 가장 많이 받는 사용자가 표시됩니다. 문제를 해결하려면 이벤트 로그 오류 섹션을 검토하세요.
이 업데이트는 사용 가능한 가장 강력한 암호화를 사용하지 않는 이전 클라이언트를 검색하는 데 도움이 되도록 RC4를 사용하는 클라이언트에 대한 이벤트 로그를 도입합니다.
RPC 서명은 Netlogon 프로토콜이 RPC를 사용하여 유선으로 보내는 메시지에 서명하는 경우입니다. RPC 봉인은 Netlogon 프로토콜이 유선으로 보내는 메시지에 대한 서명과 암호화를 둘 다 하는 경우입니다.
Windows 도메인 컨트롤러는 Netlogon 클라이언트에 대한 Active Directory의 "OperatingSystem" 특성을 쿼리하고 다음 문자열을 확인하여 Netlogon 클라이언트가 Windows를 실행하고 있는지 확인합니다.
-
"Windows", "Hyper-V Server", "Azure Stack HCI"
Netlogon 클라이언트 또는 도메인 관리자가 이 특성을 Netlogon 클라이언트가 실행 중인 운영 체제(OS)를 대표하지 않는 값으로 변경하는 것은 권장하지도, 지원하지도 않습니다. 언제든지 검색 조건이 변경될 수 있음을 알고 있어야 합니다. 변경 3을 참조하세요.
적용 단계에서는 클라이언트가 사용하는 암호화 유형에 따라 Netlogon 클라이언트를 거부하지 않습니다. RPC 봉인 대신 RPC 서명을 수행하는 경우에만 Netlogon 클라이언트가 거부됩니다. RC4 Netlogon 클라이언트 거부는 Windows Server 2008 R2 이상 Windows 도메인 컨트롤러에서 사용할 수 있는 "RejectMd5Clients" 레지스트리 키를 기반으로 합니다. 이 업데이트의 적용 단계에서는 "RejectMd5Clients" 값이 변경되지 않습니다. 고객은 도메인에서 보안을 강화하기 위해 "RejectMd5Clients" 값을 사용하도록 설정하는 것이 좋습니다. 변경 3을 참조하세요.
용어집
AES(Advanced Encryption Standard)는 DES(데이터 암호화 표준)를 대체하는 블록 암호화입니다. AES를 사용하여 전자 데이터를 보호할 수 있습니다. AES 알고리즘을 사용하여 정보를 암호화(암호화)하고 암호를 해독(암호 해독)할 수 있습니다. 암호화는 데이터를 암호 텍스트라는 이해할 수 없는 형식으로 변환합니다. 암호 텍스트를 해독하면 데이터를 일반 텍스트라는 원래 형식으로 다시 변환합니다. AES는 대칭 키 암호화에 사용됩니다. 이는 암호화 및 암호 해독 작업에 동일한 키가 사용됨을 의미합니다. 또한 AES는 블록 암호로, 일반 텍스트와 암호 텍스트의 고정 크기 블록에서 작동하며, 암호 텍스트뿐만 아니라 일반 텍스트의 크기가 이 블록 크기의 정확한 배수여야 합니다. AES는 Rijndael 대칭형 암호화 알고리즘 [FIPS197]로도 알려져 있습니다.
Windows NT 운영 체제 호환 네트워크 보안 환경에서 PDC(주 도메인 컨트롤러)와 BDC(백업 도메인 컨트롤러) 간의 동기화 및 유지 관리 기능을 담당하는 구성 요소입니다. Netlogon은 DRS(디렉터리 복제 서버) 프로토콜에 앞서 도입되었던 서비스입니다. Netlogon 원격 프로토콜 RPC(원격 프로시저 호출) 인터페이스는 주로 장치와 해당 도메인 간의 관계 및 DC(도메인 컨트롤러)와 도메인 간의 관계를 유지하는 데 사용됩니다. 자세한 내용은 Netlogon 원격 프로토콜을 참조하세요.
RC4-HMAC(RC4)는 가변 키 길이 대칭형 암호화 알고리즘입니다. 자세한 내용은 [SCHNEIER] 섹션 17.1을 참조하세요.
RPC 패킷의 서명 및 암호화에 사용되는 보안 컨텍스트가 설정된 도메인에 있는 두 컴퓨터 간의 인증된 RPC(원격 프로시저 호출) 연결입니다.
