Windows Defender Credential Guard를 사용하여 파생된 도메인 자격 증명 보호

적용 대상

  • Windows 10
  • Windows Server 2016

Windows10 Enterprise 및 WindowsServer 2016에 도입된 Windows Defender Credential Guard는 권한 있는 시스템 소프트웨어만 액세스할 수 있도록 가상화 기반의 보안을 사용하여 암호를 분리합니다. 이 암호에 대한 무단 액세스가 일어나면 Pass-the-Hash 또는 Pass-The-Ticket 같은 자격 증명 도난 공격이 발생할 수 있습니다. Windows Defender Credential Guard에서는 NTLM 암호 해시, Kerberos 허용 티켓 및 도메인 자격 증명으로 응용 프로그램에 저장된 자격 증명을 보호하여 이러한 공격을 방지합니다.

Windows Defender Credential Guard를 사용하면 다음과 같은 기능 및 해결 방법이 제공됩니다.

  • 하드웨어 보안 NTLM, Kerberos 및 자격 증명 관리자는 보안 부팅 및 가상화를 비롯한 플랫폼 보안 기능을 활용하여 자격 증명을 보호합니다.
  • 가상화 기반 보안 Windows NTLM, Kerberos 파생 자격 증명 및 기타 보안은 실행 중인 운영 체제에서 격리되어 보호되는 환경에서 실행됩니다.
  • 고급 영구 위협 요소로부터 보호 향상 가상화 기반 보안을 사용하여 자격 증명 관리자 도메인 자격 증명, NTLM 및 Kerberos 파생 자격 증명을 보호하면 자격 증명 도난 공격 기술 및 여러 대상 공격에 사용되는 도구가 차단됩니다. 관리자 권한으로 운영 체제에서 실행되는 맬웨어는 가상화 기반 보안으로 보호되는 암호를 추출할 수 없습니다. Credential Guard를 Windows Defender 완화하는 것이지만 지속적인 위협 공격은 새로운 공격 기술로 전환될 가능성이 높고 다른 보안 전략 및 아키텍처도 통합해야 합니다.