시스템 키 유틸리티 기술 개요

적용 대상: Windows Server 2022, Windows Server 2019, Windows 8.1, Windows Server 2012 Windows Server 2012 R2

IT 전문가를 위한 이 항목에서는 Windows 운영 체제에서 SAM(보안 계정 관리자) 데이터베이스를 보호하는 Syskey(시스템 키 유틸리티)에 대해 설명합니다.

참고

Syskey 유틸리티는 Windows 10 버전 1607, Windows Server 2016 이상 버전에서 더 이상 지원되지 않습니다.

시스템 키 유틸리티란?

사용자 계정에 대한 암호 정보는 워크스테이션 및 구성원 서버에 있는 레지스트리의 SAM 데이터베이스에 저장됩니다. 도메인 컨트롤러에서 암호 정보는 디렉터리 서비스에 저장됩니다. 암호 해독 소프트웨어가 SAM 데이터베이스 또는 디렉터리 서비스를 대상으로 하여 사용자 계정의 암호에 액세스하는 것은 드문 일이 아닙니다. 시스템 키 유틸리티(Syskey)는 암호 해독 소프트웨어에 대한 추가 방어선을 제공합니다. 강력한 암호화 기술을 사용하여 SAM 데이터베이스 또는 디렉터리 서비스에 저장된 계정 암호 정보를 보호합니다. 암호화된 계정 암호를 해독하는 것은 암호화되지 않은 계정 암호를 해독하는 것보다 더 어렵고 시간이 많이 걸립니다.

시작 키 대화 상자에는 다음 표에 설명된 대로 다양한 환경의 요구 사항을 충족하도록 설계된 세 가지 시스템 옵션이 있습니다.

시스템 키 옵션 상대 보안 수준 설명
시스템 생성 암호, 로컬로 시작 키 저장 + 컴퓨터에서 생성된 임의 키를 시스템 키로 사용하고 암호화된 버전의 키를 로컬 컴퓨터에 저장합니다. 이 옵션은 레지스트리의 암호 정보에 대한 강력한 암호화를 제공하며, 관리자가 암호를 입력하거나 디스크를 삽입할 필요 없이 사용자가 컴퓨터를 다시 시작할 수 있도록 합니다.
관리자가 생성한 암호, 암호 시작 ++ 컴퓨터에서 생성된 임의 키를 시스템 키로 사용하고 암호화된 버전의 키를 로컬 컴퓨터에 저장합니다. 또한 키는 관리자가 선택한 암호로 보호됩니다. 컴퓨터가 초기 시작 시퀀스에 있을 때 시스템 키 암호를 입력하라는 메시지가 사용자에게 표시됩니다. 시스템 키 암호는 컴퓨터의 어디에도 저장되지 않습니다.
시스템 생성 암호, 플로피 디스크에 시작 키 저장 +++ 컴퓨터에서 생성된 임의 키를 사용하고 플로피 디스크에 키를 저장합니다. 시스템을 시작하려면 시스템 키가 포함된 플로피 디스크가 필요하며 시작 시퀀스 중에 프롬프트에 삽입해야 합니다. 시스템 키는 컴퓨터의 어디에도 저장되지 않습니다.

시스템 키 유틸리티 사용은 선택 사항입니다. 시스템 키가 포함된 디스크가 손실되거나 암호를 잊어버린 경우 레지스트리를 시스템 키가 사용되기 전의 상태로 복원하지 않고 컴퓨터를 시작할 수 없습니다.

시스템 키 유틸리티의 작동 방식

새 사용자를 컴퓨터에 추가할 때마다 Windows DPAPI(Data Protection API)는 EFS(파일 시스템 암호화) 키 및 S/MIME 키와 같이 해당 사용자 컨텍스트에서 실행되는 애플리케이션 및 서비스에서 사용하는 다른 모든 프라이빗 키를 보호하는 데 사용되는 마스터 키를 생성합니다. 컴퓨터에는 IPsec 키, 컴퓨터 키 및 SSL 키와 같은 시스템 키를 보호하는 자체 마스터 키도 있습니다. 그런 다음 이러한 모든 마스터 키는 컴퓨터의 시작 키로 보호됩니다. 컴퓨터를 시작하면 시작 키가 마스터 키의 암호를 해독합니다. 또한 시작 키는 각 컴퓨터의 로컬 SAM 데이터베이스, 컴퓨터의 LSA(로컬 보안 기관) 비밀, 도메인 컨트롤러의 Active Directory Domain Services(AD DS)에 저장된 계정 정보 및 금고 모드에서 시스템 복구에 사용되는 관리자 계정 암호를 보호합니다.

Syskey 유틸리티를 사용하면 시작 키가 저장되는 위치를 선택할 수 있습니다. 기본적으로 컴퓨터는 임의의 키를 생성하고 레지스트리 전체에 분산합니다. 복잡한 난독 처리 알고리즘은 설치할 때마다 분산 패턴이 달라지도록 Windows. 이를 다른 두 Syskey 모드 중 하나로 변경할 수 있습니다. 컴퓨터 생성 키를 계속 사용하지만 플로피 디스크에 저장할 수 있습니다. 또는 마스터 키를 파생시키는 데 사용되는 암호를 시작하는 동안 시스템 프롬프트를 표시할 수 있습니다. 항상 세 가지 옵션 간에 변경할 수 있지만 시스템 생성 암호, 플로피 디스크에 시작 키 저장 또는 관리자가 생성한 암호, 암호 시작을 사용하도록 설정한 경우 플로피 디스크를 분실했거나 암호를 잊어버린 경우 복구 디스크를 사용하여 Syskey 모드를 사용하도록 설정하기 전의 상태로 레지스트리를 복원하는 것이 유일한 복구 옵션입니다. 그 이후와 지금 사이에 다른 변경 내용이 손실됩니다. 시작 키를 변경하려면 명령 프롬프트를 열고 syskey를 입력하여 Syskey 유틸리티를 실행합니다.