정책 CSP - Kerberos
팁
이 CSP에는 사용하거나 사용하지 않도록 설정하기 위해 특별한 SyncML 형식이 필요한 ADMX 지원 정책이 포함되어 있습니다. SyncML의 데이터 형식을 로 <Format>chr</Format>지정해야 합니다. 자세한 내용은 ADMX 기반 정책 이해를 참조하세요.
SyncML의 페이로드는 XML로 인코딩되어야 합니다. 이 XML 인코딩의 경우 사용할 수 있는 다양한 온라인 인코더가 있습니다. 페이로드를 인코딩하지 않도록 MDM에서 지원하는 경우 CDATA를 사용할 수 있습니다. 자세한 내용은 CDATA 섹션을 참조하세요.
AllowForestSearchOrder
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, 버전 1703 [10.0.15063] 이상 |
./Device/Vendor/MSFT/Policy/Config/Kerberos/AllowForestSearchOrder
이 정책 설정은 두 부분으로 구성된 SPN(서비스 사용자 이름)을 resolve 때 Kerberos 클라이언트가 검색하는 트러스트 포리스트 목록을 정의합니다.
이 정책 설정을 사용하도록 설정하면 Kerberos 클라이언트는 두 부분으로 구성된 SPN을 resolve 수 없는 경우 이 목록의 포리스트를 검색합니다. 일치하는 항목이 발견되면 Kerberos 클라이언트는 적절한 도메인에 대한 추천 티켓을 요청합니다.
이 정책 설정을 사용하지 않거나 구성하지 않으면 Kerberos 클라이언트는 나열된 포리스트를 검색하여 SPN을 resolve 않습니다. 이름이 없으므로 Kerberos 클라이언트가 SPN을 resolve 수 없는 경우 NTLM 인증이 사용될 수 있습니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
팁
ADMX 기반 정책이며 구성을 위해 SyncML 형식이 필요합니다. SyncML 형식의 예는 정책 사용을 참조하세요.
ADMX 매핑:
| 이름 | 값 |
|---|---|
| 이름 | ForestSearch |
| 이름 | 포리스트 검색 순서 사용 |
| 위치 | 컴퓨터 구성 |
| 경로 | 시스템 > Kerberos |
| 레지스트리 키 이름 | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| 레지스트리 값 이름 | UseForestSearch |
| ADMX 파일 이름 | Kerberos.admx |
CloudKerberosTicketRetrievalEnabled
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 11, 버전 21H2 [10.0.22000] 이상 |
./Device/Vendor/MSFT/Policy/Config/Kerberos/CloudKerberosTicketRetrievalEnabled
이 정책 설정을 사용하면 로그온하는 동안 Microsoft Entra Kerberos 티켓 부여 티켓을 검색할 수 있습니다.
이 정책 설정을 사용하지 않거나 구성하지 않으면 로그온하는 동안 Microsoft Entra Kerberos 티켓 부여 티켓이 검색되지 않습니다.
이 정책 설정을 사용하도록 설정하면 로그온하는 동안 Microsoft Entra Kerberos 티켓 부여 티켓이 검색됩니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 사용하지 않도록 설정됩니다. |
| 1 | 활성화. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | CloudKerberosTicketRetrievalEnabled |
| 이름 | 로그온하는 동안 Azure AD Kerberos 티켓 부여 티켓 검색 허용 |
| 위치 | 컴퓨터 구성 |
| 경로 | 시스템 > Kerberos |
| 레지스트리 키 이름 | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| 레지스트리 값 이름 | CloudKerberosTicketRetrievalEnabled |
| ADMX 파일 이름 | Kerberos.admx |
KerberosClientSupportsClaimsCompoundArmor
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, 버전 1703 [10.0.15063] 이상 |
./Device/Vendor/MSFT/Policy/Config/Kerberos/KerberosClientSupportsClaimsCompoundArmor
이 정책 설정은 디바이스가 이러한 기능을 지원하는 도메인에서 Kerberos 인증을 사용하여 동적 Access Control 및 Kerberos 아머링에 대한 클레임 및 복합 인증을 요청할지 여부를 제어합니다.
이 정책 설정을 사용하도록 설정하면 클라이언트 컴퓨터는 클레임을 요청하고, 동적 Access Control 및 Kerberos 아머링에 대한 클레임 및 복합 인증을 지원하는 도메인에서 복합 인증 및 아머 Kerberos 메시지를 만드는 데 필요한 정보를 제공합니다.
이 정책 설정을 사용하지 않거나 구성하지 않으면 클라이언트 디바이스는 클레임을 요청하지 않고 복합 인증 및 아머 Kerberos 메시지를 만드는 데 필요한 정보를 제공합니다. 디바이스에서 호스트되는 서비스는 Kerberos 프로토콜 전환을 사용하여 클라이언트에 대한 클레임을 검색할 수 없습니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
팁
ADMX 기반 정책이며 구성을 위해 SyncML 형식이 필요합니다. SyncML 형식의 예는 정책 사용을 참조하세요.
ADMX 매핑:
| 이름 | 값 |
|---|---|
| 이름 | EnableCbacAndArmor |
| 이름 | 클레임, 복합 인증 및 Kerberos 아머링에 대한 Kerberos 클라이언트 지원 |
| 위치 | 컴퓨터 구성 |
| 경로 | 시스템 > Kerberos |
| 레지스트리 키 이름 | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| 레지스트리 값 이름 | EnableCbacAndArmor |
| ADMX 파일 이름 | Kerberos.admx |
PKInitHashAlgorithmConfiguration
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 11 버전 22H2 [10.0.22621] 이상 |
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration
이 정책 설정은 인증서 인증을 수행할 때 Kerberos 클라이언트에서 사용하는 해시 또는 체크섬 알고리즘을 제어합니다.
이 정책을 사용하도록 설정하면 각 알고리즘에 대해 네 가지 상태 중 하나를 구성할 수 있습니다.
"기본값"은 알고리즘을 권장 상태로 설정합니다.
"지원됨"을 사용하면 알고리즘을 사용할 수 있습니다. 기본적으로 사용하지 않도록 설정된 알고리즘을 사용하도록 설정하면 보안이 저하됩니다.
"Audited"는 알고리즘을 사용할 수 있도록 설정하고 사용될 때마다 이벤트(ID 206)를 보고합니다. 이 상태는 알고리즘이 사용되지 않고 안전하게 사용하지 않도록 설정할 수 있는지 확인하기 위한 것입니다.
"지원되지 않음"은 알고리즘 사용을 사용하지 않도록 설정합니다. 이 상태는 안전하지 않은 것으로 간주되는 알고리즘을 위한 것입니다.
이 정책을 사용하지 않거나 구성하지 않으면 각 알고리즘은 "기본" 상태를 가정합니다.
이 구성에서 생성된 이벤트: 205, 206, 207, 208.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 사용 안 함/구성되지 않음. |
| 1 | 활성화. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | PKInitHashAlgorithmConfiguration |
| 이름 | 인증서 로그온에 대한 해시 알고리즘 구성 |
| 위치 | 컴퓨터 구성 |
| 경로 | 시스템 > Kerberos |
| 레지스트리 키 이름 | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| 레지스트리 값 이름 | PKInitHashAlgorithmConfigurationEnabled |
| ADMX 파일 이름 | Kerberos.admx |
PKInitHashAlgorithmSHA1
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 11 버전 22H2 [10.0.22621] 이상 |
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA1
이 정책 설정은 인증서 인증을 수행할 때 Kerberos 클라이언트에서 사용하는 SHA1 알고리즘의 구성을 제어합니다. 이 정책은 Kerberos/PKInitHashAlgorithmConfiguration을 사용하도록 설정한 경우에만 적용됩니다. 이 알고리즘에 대해 네 가지 상태 중 하나를 구성할 수 있습니다.
- 0 - 지원되지 않음: 이 상태는 알고리즘 사용을 사용하지 않도록 설정합니다. 이 상태는 안전하지 않은 것으로 간주되는 알고리즘을 위한 것입니다.
- 1 - 기본값: 이 상태는 알고리즘을 권장 상태로 설정합니다.
- 2 - 감사됨: 이 상태는 알고리즘을 사용할 수 있도록 하고 사용될 때마다 이벤트(ID 206)를 보고합니다. 이 상태는 알고리즘이 사용되지 않고 안전하게 사용하지 않도록 설정할 수 있는지 확인하기 위한 것입니다.
- 3 - 지원됨: 이 상태는 알고리즘을 사용할 수 있도록 합니다. 기본적으로 사용하지 않도록 설정된 알고리즘을 사용하도록 설정하면 보안이 저하됩니다.
이 정책을 구성하지 않으면 SHA1 알고리즘은 기본 상태를 가정합니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 1 |
| 종속성 [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] | 종속성 유형: DependsOn 종속성 URI: Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration 종속성 허용 값: [1] 종속성 허용 값 형식: Range |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0 | 지원되지 않습니다. |
| 1(기본값) | 기본. |
| 2 | 감사. |
| 3 | 지원됨. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | PKInitHashAlgorithmConfiguration |
| 이름 | 인증서 로그온에 대한 해시 알고리즘 구성 |
| 위치 | 컴퓨터 구성 |
| 경로 | 시스템 > Kerberos |
| 레지스트리 키 이름 | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| 레지스트리 값 이름 | PKInitHashAlgorithmConfigurationEnabled |
| ADMX 파일 이름 | Kerberos.admx |
PKInitHashAlgorithmSHA256
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 11 버전 22H2 [10.0.22621] 이상 |
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA256
이 정책 설정은 인증서 인증을 수행할 때 Kerberos 클라이언트에서 사용하는 SHA256 알고리즘의 구성을 제어합니다. 이 정책은 Kerberos/PKInitHashAlgorithmConfiguration을 사용하도록 설정한 경우에만 적용됩니다. 이 알고리즘에 대해 네 가지 상태 중 하나를 구성할 수 있습니다.
- 0 - 지원되지 않음: 이 상태는 알고리즘 사용을 사용하지 않도록 설정합니다. 이 상태는 안전하지 않은 것으로 간주되는 알고리즘을 위한 것입니다.
- 1 - 기본값: 이 상태는 알고리즘을 권장 상태로 설정합니다.
- 2 - 감사됨: 이 상태는 알고리즘을 사용할 수 있도록 하고 사용될 때마다 이벤트(ID 206)를 보고합니다. 이 상태는 알고리즘이 사용되지 않고 안전하게 사용하지 않도록 설정할 수 있는지 확인하기 위한 것입니다.
- 3 - 지원됨: 이 상태는 알고리즘을 사용할 수 있도록 합니다. 기본적으로 사용하지 않도록 설정된 알고리즘을 사용하도록 설정하면 보안이 저하됩니다.
이 정책을 구성하지 않으면 SHA256 알고리즘은 기본 상태를 가정합니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 1 |
| 종속성 [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] | 종속성 유형: DependsOn 종속성 URI: Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration 종속성 허용 값: [1] 종속성 허용 값 형식: Range |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0 | 지원되지 않습니다. |
| 1(기본값) | 기본. |
| 2 | 감사. |
| 3 | 지원됨. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | PKInitHashAlgorithmConfiguration |
| 이름 | 인증서 로그온에 대한 해시 알고리즘 구성 |
| 위치 | 컴퓨터 구성 |
| 경로 | 시스템 > Kerberos |
| 레지스트리 키 이름 | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| 레지스트리 값 이름 | PKInitHashAlgorithmConfigurationEnabled |
| ADMX 파일 이름 | Kerberos.admx |
PKInitHashAlgorithmSHA384
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 11 버전 22H2 [10.0.22621] 이상 |
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA384
이 정책 설정은 인증서 인증을 수행할 때 Kerberos 클라이언트에서 사용하는 SHA384 알고리즘의 구성을 제어합니다. 이 정책은 Kerberos/PKInitHashAlgorithmConfiguration을 사용하도록 설정한 경우에만 적용됩니다. 이 알고리즘에 대해 네 가지 상태 중 하나를 구성할 수 있습니다.
- 0 - 지원되지 않음: 이 상태는 알고리즘 사용을 사용하지 않도록 설정합니다. 이 상태는 안전하지 않은 것으로 간주되는 알고리즘을 위한 것입니다.
- 1 - 기본값: 이 상태는 알고리즘을 권장 상태로 설정합니다.
- 2 - 감사됨: 이 상태는 알고리즘을 사용할 수 있도록 하고 사용될 때마다 이벤트(ID 206)를 보고합니다. 이 상태는 알고리즘이 사용되지 않고 안전하게 사용하지 않도록 설정할 수 있는지 확인하기 위한 것입니다.
- 3 - 지원됨: 이 상태는 알고리즘을 사용할 수 있도록 합니다. 기본적으로 사용하지 않도록 설정된 알고리즘을 사용하도록 설정하면 보안이 저하됩니다.
이 정책을 구성하지 않으면 SHA384 알고리즘에서 기본 상태를 가정합니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 1 |
| 종속성 [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] | 종속성 유형: DependsOn 종속성 URI: Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration 종속성 허용 값: [1] 종속성 허용 값 형식: Range |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0 | 지원되지 않습니다. |
| 1(기본값) | 기본. |
| 2 | 감사. |
| 3 | 지원됨. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | PKInitHashAlgorithmConfiguration |
| 이름 | 인증서 로그온에 대한 해시 알고리즘 구성 |
| 위치 | 컴퓨터 구성 |
| 경로 | 시스템 > Kerberos |
| 레지스트리 키 이름 | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| 레지스트리 값 이름 | PKInitHashAlgorithmConfigurationEnabled |
| ADMX 파일 이름 | Kerberos.admx |
PKInitHashAlgorithmSHA512
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 11 버전 22H2 [10.0.22621] 이상 |
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA512
이 정책 설정은 인증서 인증을 수행할 때 Kerberos 클라이언트에서 사용하는 SHA512 알고리즘의 구성을 제어합니다. 이 정책은 Kerberos/PKInitHashAlgorithmConfiguration을 사용하도록 설정한 경우에만 적용됩니다. 이 알고리즘에 대해 네 가지 상태 중 하나를 구성할 수 있습니다.
- 0 - 지원되지 않음: 이 상태는 알고리즘 사용을 사용하지 않도록 설정합니다. 이 상태는 안전하지 않은 것으로 간주되는 알고리즘을 위한 것입니다.
- 1 - 기본값: 이 상태는 알고리즘을 권장 상태로 설정합니다.
- 2 - 감사됨: 이 상태는 알고리즘을 사용할 수 있도록 하고 사용될 때마다 이벤트(ID 206)를 보고합니다. 이 상태는 알고리즘이 사용되지 않고 안전하게 사용하지 않도록 설정할 수 있는지 확인하기 위한 것입니다.
- 3 - 지원됨: 이 상태는 알고리즘을 사용할 수 있도록 합니다. 기본적으로 사용하지 않도록 설정된 알고리즘을 사용하도록 설정하면 보안이 저하됩니다.
이 정책을 구성하지 않으면 SHA512 알고리즘은 기본 상태를 가정합니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 1 |
| 종속성 [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] | 종속성 유형: DependsOn 종속성 URI: Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration 종속성 허용 값: [1] 종속성 허용 값 형식: Range |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0 | 지원되지 않습니다. |
| 1(기본값) | 기본. |
| 2 | 감사. |
| 3 | 지원됨. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | PKInitHashAlgorithmConfiguration |
| 이름 | 인증서 로그온에 대한 해시 알고리즘 구성 |
| 위치 | 컴퓨터 구성 |
| 경로 | 시스템 > Kerberos |
| 레지스트리 키 이름 | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| 레지스트리 값 이름 | PKInitHashAlgorithmConfigurationEnabled |
| ADMX 파일 이름 | Kerberos.admx |
RequireKerberosArmoring
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, 버전 1703 [10.0.15063] 이상 |
./Device/Vendor/MSFT/Policy/Config/Kerberos/RequireKerberosArmoring
이 정책 설정은 컴퓨터에서 도메인 컨트롤러와 통신할 때 Kerberos 메시지 교환을 아머링하도록 요구하는지 여부를 제어합니다.
Warning
도메인이 "동적 Access Control 및 Kerberos 아머링 지원"을 사용하도록 설정하여 Kerberos 아머링을 지원하지 않는 경우 모든 사용자에 대한 모든 인증이 이 정책 설정을 사용하도록 설정된 컴퓨터에서 실패합니다.
- 이 정책 설정을 사용하도록 설정하면 도메인의 클라이언트 컴퓨터는 도메인 컨트롤러와 인증 서비스(AS) 및 TGS(티켓 부여 서비스) 메시지 교환에서만 Kerberos 아머링을 사용하도록 적용합니다.
참고
Kerberos 그룹 정책 "클레임, 복합 인증 및 Kerberos 아머링에 대한 Kerberos 클라이언트 지원"도 Kerberos 아머링을 지원하도록 설정해야 합니다.
- 이 정책 설정을 사용하지 않거나 구성하지 않으면 도메인의 클라이언트 컴퓨터는 대상 도메인에서 지원되는 대로 가능하면 Kerberos 아머링 사용을 적용합니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
팁
ADMX 기반 정책이며 구성을 위해 SyncML 형식이 필요합니다. SyncML 형식의 예는 정책 사용을 참조하세요.
ADMX 매핑:
| 이름 | 값 |
|---|---|
| 이름 | ClientRequireFast |
| 이름 | Kerberos 아머링을 사용할 수 없는 경우 인증 요청 실패 |
| 위치 | 컴퓨터 구성 |
| 경로 | 시스템 > Kerberos |
| 레지스트리 키 이름 | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| 레지스트리 값 이름 | RequireFast |
| ADMX 파일 이름 | Kerberos.admx |
RequireStrictKDCValidation
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, 버전 1703 [10.0.15063] 이상 |
./Device/Vendor/MSFT/Policy/Config/Kerberos/RequireStrictKDCValidation
이 정책 설정은 스마트 카드 및 시스템 인증서 로그온에 대한 KDC 인증서의 유효성을 검사할 때 Kerberos 클라이언트의 동작을 제어합니다.
이 정책 설정을 사용하도록 설정하면 Kerberos 클라이언트에서 KDC의 X.509 인증서에 EKU(확장 키 사용) 확장의 KDC 키 용도 개체 식별자가 포함되어 있어야 하고 KDC의 X.509 인증서에 도메인의 DNS 이름과 일치하는 dNSName subjectAltName(SAN) 확장이 포함되어 있어야 합니다. 컴퓨터가 도메인에 가입된 경우 Kerberos 클라이언트는 KDC의 X.509 인증서를 NTAuth 저장소의 CA(인증 기관)에서 서명해야 합니다. 컴퓨터가 도메인에 가입되지 않은 경우 Kerberos 클라이언트는 스마트 카드 루트 CA 인증서를 KDC X.509 인증서의 경로 유효성 검사에 사용할 수 있도록 허용합니다.
이 정책 설정을 사용하지 않거나 구성하지 않으면 Kerberos 클라이언트는 KDC 인증서에 모든 서버에 발급할 수 있는 EKU 확장에 서버 인증 목적 개체 식별자가 포함되어 있어야 합니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
팁
ADMX 기반 정책이며 구성을 위해 SyncML 형식이 필요합니다. SyncML 형식의 예는 정책 사용을 참조하세요.
ADMX 매핑:
| 이름 | 값 |
|---|---|
| 이름 | ValidateKDC |
| 이름 | 엄격한 KDC 유효성 검사 필요 |
| 위치 | 컴퓨터 구성 |
| 경로 | 시스템 > Kerberos |
| 레지스트리 키 이름 | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| 레지스트리 값 이름 | KdcValidation |
| ADMX 파일 이름 | Kerberos.admx |
SetMaximumContextTokenSize
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, 버전 1703 [10.0.15063] 이상 |
./Device/Vendor/MSFT/Policy/Config/Kerberos/SetMaximumContextTokenSize
이 정책 설정을 사용하면 SSPI 컨텍스트 토큰 버퍼 크기의 최대 크기를 요청하는 애플리케이션에 반환되는 값을 설정할 수 있습니다.
컨텍스트 토큰 버퍼의 크기는 애플리케이션이 예상하고 할당하는 SSPI 컨텍스트 토큰의 최대 크기를 결정합니다. 인증 요청 처리 및 그룹 멤버 자격에 따라 버퍼가 SSPI 컨텍스트 토큰의 실제 크기보다 작을 수 있습니다.
이 정책 설정을 사용하도록 설정하면 Kerberos 클라이언트 또는 서버는 구성된 값 또는 로컬로 허용되는 최대값 중 더 작은 값을 사용합니다.
이 정책 설정을 사용하지 않거나 구성하지 않으면 Kerberos 클라이언트 또는 서버는 로컬로 구성된 값 또는 기본값을 사용합니다.
참고
이 정책 설정은 Windows XP 및 Windows Server 2003에 추가된 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters 기존 MaxTokenSize 레지스트리 값을 기본값인 12,000바이트로 구성합니다. Windows 8 기본값은 48,000바이트입니다. HTTP의 base64 인증 컨텍스트 토큰 인코딩으로 인해 이 값을 48,000바이트 이상 설정하는 것은 권장되지 않습니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
팁
ADMX 기반 정책이며 구성을 위해 SyncML 형식이 필요합니다. SyncML 형식의 예는 정책 사용을 참조하세요.
ADMX 매핑:
| 이름 | 값 |
|---|---|
| 이름 | Maxtokensize |
| 이름 | 최대 Kerberos SSPI 컨텍스트 토큰 버퍼 크기 설정 |
| 위치 | 컴퓨터 구성 |
| 경로 | 시스템 > Kerberos |
| 레지스트리 키 이름 | System\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
| 레지스트리 값 이름 | EnableMaxTokenSize |
| ADMX 파일 이름 | Kerberos.admx |
UPNNameHints
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, 버전 1809 [10.0.17763] 이상 |
./Device/Vendor/MSFT/Policy/Config/Kerberos/UPNNameHints
하이브리드 환경에서 Microsoft Entra ID 조인된 디바이스는 Active Directory 도메인 컨트롤러와 상호 작용해야 하지만 도메인 가입 디바이스에 있는 도메인 컨트롤러를 찾을 수 있는 기본 제공 기능이 부족합니다. 이렇게 하면 이러한 디바이스가 Microsoft Entra UPN을 Active Directory 보안 주체로 resolve 때 오류가 발생할 수 있습니다. 이 매개 변수는 MICROSOFT ENTRA 조인된 디바이스가 UPN을 보안 주체에 resolve 수 없는 경우 연결을 시도해야 하는 도메인 목록을 추가합니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 목록(구분 기호: 0xF000) |
관련 문서
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기