시스템 키 유틸리티 기술 개요
적용 대상: Windows Server 2022, Windows Server 2019, Windows 8.1, Windows Server 2012, Windows Server 2012 R2
IT 전문가를 위한 이 항목에서는 Windows 운영 체제에서 SAM(보안 계정 관리자) 데이터베이스를 보호하는 시스템 키 유틸리티(Syskey)에 대해 설명합니다.
참고 항목
Syskey 유틸리티는 Windows 10, 버전 1607, Windows Server 2016 이상 버전에서 더 이상 지원되지 않습니다.
시스템 키 유틸리티란?
사용자 계정에 대한 암호 정보는 워크스테이션 및 멤버 서버에 있는 레지스트리의 SAM 데이터베이스에 저장됩니다. do기본 컨트롤러에서 암호 정보는 디렉터리 서비스에 저장됩니다. 암호 해독 소프트웨어가 SAM 데이터베이스 또는 디렉터리 서비스를 대상으로 하여 사용자 계정의 암호에 액세스하는 것은 드문 일이 아닙니다. 시스템 키 유틸리티(Syskey)는 암호 해독 소프트웨어에 대한 추가 방어선을 제공합니다. 강력한 암호화 기술을 사용하여 SAM 데이터베이스 또는 디렉터리 서비스에 저장된 계정 암호 정보를 보호합니다. 암호화된 계정 암호를 해독하는 것은 암호화되지 않은 계정 암호를 해독하는 것보다 더 어렵고 시간이 많이 걸립니다.
시작 키 대화 상자에는 다음 표에 설명된 대로 다양한 환경의 요구 사항을 충족하도록 설계된 세 가지 시스템 키 옵션이 있습니다.
| 시스템 키 옵션 | 상대 보안 수준 | 설명 |
|---|---|---|
| 시스템 생성 암호, 로컬로 시작 키 저장 | + | 컴퓨터에서 생성된 임의 키를 시스템 키로 사용하고 암호화된 버전의 키를 로컬 컴퓨터에 저장합니다. 이 옵션은 레지스트리에서 강력한 암호 정보 암호화를 제공하며, 관리자가 암호를 입력하거나 디스크를 삽입할 필요 없이 컴퓨터를 다시 시작할 수 있습니다. |
| 관리동기 생성 암호, 암호 시작 | ++ | 컴퓨터에서 생성된 임의 키를 시스템 키로 사용하고 암호화된 버전의 키를 로컬 컴퓨터에 저장합니다. 키는 관리자가 선택한 암호로도 보호됩니다. 컴퓨터가 초기 시작 시퀀스에 있을 때 시스템 키 암호를 묻는 메시지가 사용자에게 표시됩니다. 시스템 키 암호는 컴퓨터의 어디에도 저장되지 않습니다. |
| 시스템 생성 암호, 플로피 디스크에 시작 키 저장 | +++ | 컴퓨터에서 생성된 임의 키를 사용하고 플로피 디스크에 키를 저장합니다. 시스템 키를 포함하는 플로피 디스크는 시스템이 시작되어야 하며 시작 시퀀스 중에 프롬프트에 삽입해야 합니다. 시스템 키는 컴퓨터의 어디에도 저장되지 않습니다. |
시스템 키 유틸리티의 사용은 선택 사항입니다. 시스템 키가 포함된 디스크가 손실되었거나 암호가 잊혀진 경우 시스템 키를 사용하기 전의 상태로 레지스트리를 복원하지 않고 컴퓨터를 시작할 수 없습니다.
시스템 키 유틸리티의 작동 방식
컴퓨터에 새 사용자를 추가할 때마다 Windows DPAPI(Data Protection API)는 EFS(파일 시스템) 키 및 S/MIME 키 암호화와 같이 해당 사용자의 컨텍스트에서 실행되는 애플리케이션 및 서비스에서 사용하는 다른 모든 프라이빗 키를 보호하는 데 사용되는 마스터 키를 생성합니다. 컴퓨터에는 IPsec 키, 컴퓨터 키 및 SSL 키와 같은 시스템 키를 보호하는 자체 마스터 키도 있습니다. 그런 다음 이러한 모든 마스터 키는 컴퓨터의 시작 키로 보호됩니다. 컴퓨터를 시작하면 시작 키가 마스터 키의 암호를 해독합니다. 또한 시작 키는 각 컴퓨터의 로컬 SAM 데이터베이스, 컴퓨터의 LSA(로컬 보안 기관) 비밀, 할 일기본 컨트롤러의 AD DS(Active Directory 도메인 Services)에 저장된 계정 정보 및 금고 모드에서 시스템 복구에 사용되는 관리자 계정 암호를 보호합니다.
Syskey 유틸리티를 사용하면 시작 키가 저장되는 위치를 선택할 수 있습니다. 기본적으로 컴퓨터는 임의 키를 생성하고 레지스트리 전체에 분산합니다. 복잡한 난독 처리 알고리즘은 모든 Windows 설치에서 분산 패턴이 다른지 확인합니다. 이를 다른 두 가지 Syskey 모드 중 하나로 변경할 수 있습니다. 컴퓨터에서 생성된 키를 계속 사용하지만 플로피 디스크에 저장할 수 있습니다. 또는 마스터 키를 파생시키는 데 사용되는 암호를 시작하는 동안 시스템 프롬프트를 표시할 수 있습니다. 세 가지 옵션 간에 언제든지 변경할 수 있지만 시스템 생성 암호, 플로피 디스크에 저장 시작 키 또는 관리이스트레이터 생성 암호, 암호 시작을 사용하도록 설정한 경우 플로피 디스크를 분실했거나 암호를 잊어버린 경우 복구 디스크를 사용하여 Syskey 모드를 사용하도록 설정하기 전의 상태로 레지스트리를 복원하는 것이 유일한 복구 옵션입니다. 그 때와 지금 사이에 다른 변경 내용이 손실됩니다. 시작 키를 변경하려면 명령 프롬프트를 열고 syskey를 입력하여 Syskey 유틸리티를 실행합니다.