Share via

Windows 로그온 시나리오

  • 아티클

적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016

IT 전문가를 위한 이 참조 항목에는 일반적인 Windows 로그온 및 로그인 시나리오가 요약되어 있습니다.

Windows 운영 체제를 사용하려면 모든 사용자가 로컬 및 네트워크 리소스에 액세스하기 위해 유효한 계정으로 컴퓨터에 로그온해야 합니다. Windows 기반 컴퓨터는 사용자가 인증되는 로그온 프로세스를 구현하여 리소스를 보호합니다. 사용자가 인증되면 권한 부여 및 액세스 제어 기술은 리소스 보호의 두 번째 단계인 인증된 사용자가 리소스에 액세스할 수 있는 권한이 있는지 확인하는 단계를 구현합니다.

이 항목의 내용은 이 항목의 시작 부분에 있는 적용 대상 목록에 지정된 Windows 버전에 적용됩니다.

또한 애플리케이션 및 서비스는 사용자가 로그인하여 애플리케이션 또는 서비스에서 제공하는 리소스에 액세스하도록 요구할 수 있습니다. 로그인 프로세스는 유효한 계정과 올바른 자격 증명이 필요하지만 로그온 정보는 로컬 컴퓨터의 SAM(보안 계정 관리자) 데이터베이스 및 해당하는 경우 Active Directory에 저장된다는 점에서 로그온 프로세스와 유사합니다. 로그인 계정 및 자격 증명 정보는 애플리케이션 또는 서비스에서 관리되며 필요에 따라 자격 증명 보관에 로컬로 저장할 수 있습니다.

인증 작동 방식을 이해하려면 Windows 인증 개념을 참조 하세요.

이 항목에서는 다음 시나리오에 대해 설명합니다.

대화형 로그온

로그온 프로세스는 사용자가 자격 증명 입력 대화 상자에서 자격 증명을 입력하거나 스마트 카드 판독기에 스마트 카드 삽입하거나 사용자가 바이오 메트릭 디바이스와 상호 작용할 때 시작됩니다. 사용자는 로컬 사용자 계정 또는 할 일기본 계정을 사용하여 대화형 로그온을 수행하여 컴퓨터에 로그온할 수 있습니다.

다음 다이어그램은 대화형 로그온 요소 및 로그온 프로세스를 보여줍니다.

Diagram showing the interactive logon elements and logon process

Windows 클라이언트 인증 아키텍처

로컬 및 do기본 로그온

사용자가 할 일기본 로그온에 대해 제공하는 자격 증명에는 계정 이름, 암호 또는 인증서와 같은 로컬 로그온에 필요한 모든 요소가 포함되며 Active Directory는 정보를 기본. 이 프로세스는 사용자의 로컬 컴퓨터 또는 Active Directory do기본 보안 데이터베이스에 대한 사용자의 ID를 확인합니다. 이 필수 로그온 프로세스는 할 일기본 사용자에 대해 해제할 수 없습니다.

사용자는 다음 두 가지 방법 중 하나를 사용하여 컴퓨터에 대화형 로그온을 수행할 수 있습니다.

  • 로컬로, 사용자가 컴퓨터에 직접 물리적으로 액세스할 수 있거나 컴퓨터가 컴퓨터 네트워크의 일부인 경우.

    로컬 로그온은 로컬 컴퓨터에서 Windows 리소스에 액세스할 수 있는 권한을 사용자에게 부여합니다. 로컬 로그온을 사용하려면 사용자에게 로컬 컴퓨터의 SAM(보안 계정 관리자)에 사용자 계정이 있어야 합니다. SAM은 로컬 컴퓨터 레지스트리에 저장된 보안 계정의 형태로 사용자 및 그룹 정보를 보호하고 관리합니다. 컴퓨터에 네트워크 액세스 권한이 있을 수 있지만 필수는 아닙니다. 로컬 사용자 계정 및 그룹 멤버 자격 정보는 로컬 리소스에 대한 액세스를 관리하는 데 사용됩니다.

    네트워크 로그온은 자격 증명의 액세스 토큰에 정의된 네트워크 컴퓨터의 리소스 외에도 로컬 컴퓨터의 Windows 리소스에 액세스할 수 있는 권한을 사용자에게 부여합니다. 로컬 로그온과 네트워크 로그온을 모두 사용하려면 로컬 컴퓨터의 SAM(보안 계정 관리자)에 사용자 계정이 있어야 합니다. 로컬 사용자 계정 및 그룹 멤버 자격 정보는 로컬 리소스에 대한 액세스를 관리하는 데 사용되며, 사용자의 액세스 토큰은 네트워크 컴퓨터에서 액세스할 수 있는 리소스를 정의합니다.

    로컬 로그온 및 네트워크 로그온만으로는 사용자와 컴퓨터가 할 일기본 리소스에 액세스하고 사용할 수 있는 권한을 부여하기에 충분하지 않습니다.

  • 원격으로 터미널 서비스 또는 RDS(원격 데스크톱 서비스)를 통해 로그온을 원격 대화형으로 한정합니다.

대화형 로그온 후 Windows는 사용자를 대신하여 애플리케이션을 실행하고 사용자는 해당 애플리케이션과 상호 작용할 수 있습니다.

로컬 로그온은 네트워크 컴퓨터의 리소스 또는 로컬 컴퓨터의 리소스에 액세스할 수 있는 권한을 사용자에게 부여합니다. 컴퓨터가 do기본 조인된 경우 Winlogon 기능은 로그온을 시도합니다기본.

do기본 로그온은 사용자에게 로컬 및 할기본 리소스에 액세스할 수 있는 권한을 부여합니다. do기본 로그온을 사용하려면 사용자에게 Active Directory의 사용자 계정이 있어야 합니다. 컴퓨터에 Active Directory에 계정이 있어야 하며기본 네트워크에 물리적으로 연결되어야 합니다. 또한 사용자는 로컬 컴퓨터 또는 할 일기본 로그온할 수 있는 사용자 권한이 있어야 합니다. Do기본 사용자 계정 정보 및 그룹 멤버 자격 정보는 할 일기본 및 로컬 리소스에 대한 액세스를 관리하는 데 사용됩니다.

원격 로그온

Windows에서 원격 로그온을 통해 다른 컴퓨터에 액세스하려면 RDP(원격 데스크톱 프로토콜)를 사용합니다. 사용자가 원격 연결을 시도하기 전에 클라이언트 컴퓨터에 이미 로그온했어야 하므로 대화형 로그온 프로세스가 성공적으로 완료되었습니다.

RDP는 원격 데스크톱 클라이언트를 사용하여 사용자가 입력하는 자격 증명을 관리합니다. 이러한 자격 증명은 대상 컴퓨터를 위한 것이며 사용자는 해당 대상 컴퓨터에 계정이 있어야 합니다. 또한 원격 연결을 허용하도록 대상 컴퓨터를 구성해야 합니다. 인증 프로세스를 수행하기 위해 대상 컴퓨터 자격 증명이 전송됩니다. 인증에 성공하면 사용자가 제공된 자격 증명을 사용하여 액세스할 수 있는 로컬 및 네트워크 리소스에 연결됩니다.

네트워크 로그온

네트워크 로그온은 사용자, 서비스 또는 컴퓨터 인증이 수행된 후에만 사용할 수 있습니다. 네트워크 로그온 중에 프로세스는 자격 증명 입력 대화 상자를 사용하여 데이터를 수집하지 않습니다. 대신 이전에 설정된 자격 증명 또는 자격 증명을 수집하는 다른 메서드가 사용됩니다. 이 프로세스는 사용자가 액세스를 시도하는 네트워크 서비스에 대한 사용자의 ID를 확인합니다. 대체 자격 증명을 제공해야 하는 경우가 아니면 이 프로세스는 일반적으로 사용자에게 표시되지 않습니다.

이러한 유형의 인증을 제공하기 위해 보안 시스템에는 다음 인증 메커니즘이 포함됩니다.

  • Kerberos 버전 5 프로토콜

  • 공개 키 인증서

  • SSL/TLS(Secure Sockets Layer/Transport Layer Security)

  • 다이제스트

  • Microsoft Windows NT 4.0 기반 시스템과의 호환성을 위해 NTLM

요소 및 프로세스에 대한 자세한 내용은 위의 대화형 로그온 다이어그램을 참조하세요.

스마트 카드 로그온

스마트 카드 사용하여 로컬 계정이 아닌 기본 계정에만 로그온할 수 있습니다. 스마트 카드 인증을 사용하려면 Kerberos 인증 프로토콜을 사용해야 합니다. Windows 2000 Server에서 도입된 Windows 기반 운영 체제에서는 Kerberos 프로토콜의 초기 인증 요청에 대한 공개 키 확장이 구현됩니다. 공유 비밀 키 암호화와 달리 공개 키 암호화는 비대칭입니다. 즉, 암호화하는 키와 해독할 키의 두 가지 키가 필요합니다. 두 작업을 모두 수행하는 데 필요한 키는 프라이빗/퍼블릭 키 쌍을 구성합니다.

일반적인 로그온 세션을 시작하려면 사용자는 사용자 및 기본 Kerberos 프로토콜 인프라에만 알려진 정보를 제공하여 자신의 ID를 증명해야 합니다. 비밀 정보는 사용자의 암호에서 파생된 암호화 공유 키입니다. 공유 비밀 키는 대칭입니다. 즉, 암호화 및 암호 해독 모두에 동일한 키가 사용됩니다.

다음 다이어그램에서는 스마트 카드 로그온에 필요한 요소와 프로세스를 보여 집니다.

Diagram showing the elements and processes required for smart card logon

스마트 카드 자격 증명 공급자 아키텍처

암호 대신 스마트 카드 사용하면 사용자의 스마트 카드 저장된 프라이빗/공개 키 쌍이 사용자의 암호에서 파생된 공유 비밀 키로 대체됩니다. 프라이빗 키는 스마트 카드만 저장됩니다. 공개 키는 소유자가 기밀 정보를 교환하려는 모든 사용자가 사용할 수 있습니다.

Windows의 스마트 카드 로그온 프로세스에 대한 자세한 내용은 Windows에서 스마트 카드 로그인이 작동하는 방식을 참조하세요.

생체 인식 로그온

디바이스는 지문과 같은 아티팩트 디지털 특성을 캡처하고 빌드하는 데 사용됩니다. 그런 다음 이 디지털 표현을 동일한 아티팩트 샘플과 비교하고 두 항목이 성공적으로 비교되면 인증이 발생할 수 있습니다. 이 항목의 시작 부분에 있는 적용 대상 목록에 지정된 운영 체제를 실행하는 컴퓨터는 이 형식의 로그온을 허용하도록 구성할 수 있습니다. 그러나 바이오 메트릭 로그온이 로컬 로그온에 대해서만 구성된 경우 Active Directory에 액세스할 때 사용자가 할 일기본 자격 증명을 제공해야 합니다기본.

추가 리소스

Windows에서 로그온 프로세스 중에 제출된 자격 증명을 관리하는 방법에 대한 자세한 내용은 Windows 인증의 자격 증명 관리를 참조하세요.

Windows 로그온 및 인증 기술 개요