Windows Defender Credential Guard 관리

적용 대상

  • Windows10
  • Windows Server2016
  • WindowsServer 2019

Windows Defender Credential Guard 사용

그룹 정책, 레지스트리 또는 Device Guard 및 Credential Guard 하드웨어 준비 도구를 사용하여 Credential Guard를 사용하도록 설정할 수 있습니다. Windows Defender Credential Guard는 실제 컴퓨터처럼 Hyper-V 가상 컴퓨터에서 암호를 보호할 수 있습니다. 실제 컴퓨터에서 Windows Defender Credential Guard를 설정할 때 사용된 것과 똑같은 절차가 가상 컴퓨터에도 적용됩니다.

그룹 정책을 통해 Windows Defender Credential Guard를 사용하도록 설정

그룹 정책을 통해 Windows Defender Credential Guard를 사용하도록 설정할 수 있습니다. 이렇게 하면 필요한 경우 자동으로 가상화 기반 보안 기능이 추가되고 사용하도록 설정됩니다.

  1. 그룹 정책 관리 콘솔에서 컴퓨터 구성 -> 관리 템플릿 -> 시스템 -> Device Guard로 이동합니다.
  2. 가상화 기반 보안 켜기를 두 번 클릭한 다음 사용 옵션을 클릭합니다.
  3. 플랫폼 보안 수준 선택 상자에서 보안 부팅 또는 보안 부팅 및 DMA 보호를 선택합니다.
  4. Credential Guard 구성 상자에서 UEFI 잠금과 함께 사용을 클릭한 후, 확인을 클릭합니다. Windows Defender Credential Guard를 원격으로 끌 수 있는 기능을 원하는 경우 잠금 없이 사용을 선택합니다.

    Windows Defender Credential Guard 그룹 정책 설정

  5. 그룹 정책 관리 콘솔을 닫습니다.

그룹 정책 처리를 적용하려면 gpupdate /force를 실행합니다.

Intune을 사용 하 여 Windows Defender 자격 증명 보호 사용

  1. 에서 Microsoft Intune 클릭
  2. 장치 구성 클릭
  3. > 프로필 을 클릭 하프로필 > Endpoint protection > Windows Defender Credential Guard를 만듭니다.

참고

VBS 및 보안 부팅을 사용 하도록 설정 하 고 UEFI 잠금을 사용 하거나 포함 하지 않고 실행할 수 있습니다. 자격 증명 가드를 원격으로 사용 하지 않도록 설정 해야 하는 경우 UEFI 잠금 없이 사용 하도록 설정 합니다.

레지스트리를 사용하여 Windows Defender Credential Guard를 사용하도록 설정

그룹 정책을 사용하지 않는 경우에는 레지스트리를 사용하여 Windows Defender Credential Guard를 사용할 수 있습니다. Windows Defender Credential Guard는 먼저 일부 운영 체제에서 사용하도록 설정해야 하는 가상화 기반 보안 기능을 사용합니다.

가상화 기반 보안 기능 추가

Windows 10 버전 1607 및 Windows Server 2016부터 Windows 기능에서 가상화 기반 보안을 사용하도록 설정할 필요가 없으며 이 단계를 건너뛰어도 됩니다.

Windows 10 버전 1507(RTM) 또는 Windows 10 버전 1511을 사용하는 경우에는 Windows 기능에서 가상화 기반 보안을 사용하도록 설정해야 합니다. 제어판 또는 DISM(배포 이미지 서비스 및 관리) 도구를 사용하여 이 작업을 수행할 수 있습니다.

참고

그룹 정책을 사용하여 Windows Defender Credential Guard를 사용하도록 설정하는 경우 제어판이나 DISM을 통해 Windows 기능을 사용하도록 설정하는 단계가 필요하지 않습니다. 그룹 정책이 Windows 기능을 자동으로 설치합니다.

프로그램 및 기능을 사용하여 가상화 기반 보안 추가

  1. 제어판의 프로그램 및 기능을 엽니다.
  2. Windows 기능 사용/사용 안 함을 클릭합니다.
  3. Hyper-V -> Hyper-V 플랫폼으로 이동한 다음 Hyper-V 하이퍼바이저 확인란을 선택합니다.
  4. 최상위 기능 선택 수준에서 격리된 사용자 모드 확인란을 선택합니다.
  5. 확인을 클릭합니다.

DISM을 사용하여 오프라인 이미지에 가상화 기반 보안 기능 추가

  1. 관리자 권한 명령 프롬프트를 엽니다.
  2. 다음 명령을 실행하여 Hyper-V 하이퍼바이저를 추가합니다. dism /image:<WIM file name> /Enable-Feature /FeatureName:Microsoft-Hyper-V-Hypervisor /all
  3. 다음 명령을 실행하여 격리된 사용자 모드 기능을 추가합니다. dism /image:<WIM file name> /Enable-Feature /FeatureName:IsolatedUserMode

참고

DISM 또는 구성 관리자를 사용하여 온라인 이미지에 이러한 기능을 추가할 수도 있습니다.

가상화 기반 보안 및 Windows Defender Credential Guard 사용

  1. 레지스트리 편집기를 엽니다.
  2. 가상화 기반 보안을 사용하도록 설정합니다.
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\DeviceGuard로 이동합니다.
    • EnableVirtualizationBasedSecurity는 새 DWORD 값을 추가합니다. 이 레지스트리 설정의 값을 1로 설정하면 가상화 기반 보안이 사용하도록 설정되고 0으로 설정하면 가상화 기반 보안이 사용하지 않도록 설정됩니다.
    • RequirePlatformSecurityFeatures는 새 DWORD 값을 추가합니다. 이 레지스트리 설정의 값을 1로 설정하면 보안 부팅만 사용하게 되고, 3으로 설정하면 보안 부팅 및 DMA 보호를 사용합니다.
  3. Windows Defender Credential Guard 사용:
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA로 이동합니다.
    • LsaCfgFlags라는 새 DWORD 값을 추가합니다. UEFI 잠금과 함께 Windows Defender Credential Guard를 사용하려면 이 레지스트리 설정의 값을 1로 지정하고, 잠금 없이 Windows Defender Credential Guard를 사용하려면 값을 2로 지정하며, Windows Defender Credential Guard를 사용하지 않도록 설정하려면 값을 0으로 지정합니다.
  4. 레지스트리 편집기를 닫습니다.

참고

FirstLogonCommands 무인 설정에서 레지스트리 항목을 설정하여 Windows Defender Credential Guard를 켤 수도 있습니다.

Windows Defender Device Guard 및 Windows Defender Credential Guard 하드웨어 준비 도구를 사용하여 Windows Defender Credential Guard를 사용하도록 설정

Windows Defender Device Guard 및 Windows Defender Credential Guard 하드웨어 준비 도구를 사용하여 Windows Defender Credential Guard를 사용하도록 설정할 수도 있습니다.

DG_Readiness_Tool.ps1 -Enable -AutoReboot

중요

영어가 아닌 운영 체제에서 Windows Defender Device Guard 및 Windows Defender 자격 증명 보호 하드웨어 준비 도구를 실행 하는 경우에는 해당 도구가 작동 $OSArch = $(gwmi win32_operatingsystem).OSArchitecture 하도록 하기 $OSArch = $((gwmi win32_operatingsystem).OSArchitecture).tolower() 위해 스크립트 내에서 대신으로 변경 합니다. 알려진 문제입니다.

Windows Defender Credential Guard 성능 검토

Windows Defender Credential Guard가 실행 중입니까?

시스템 정보를 사용하여 Windows Defender Credential Guard가 PC에서 실행 중인지 확인할 수 있습니다.

  1. 시작을 클릭하고 msinfo32.exe를 입력한 다음 시스템 정보를 클릭합니다.
  2. 시스템 요약을 클릭합니다.
  3. 가상 기반 보안 서비스 구성됨 옆에 Credential Guard가 표시되는지 확인합니다.

    예를 들면 다음과 같습니다.

    시스템 정보

Windows Defender Device Guard 및 Windows Defender Credential Guard 하드웨어 준비 도구를 사용하여 Windows Defender Credential Guard가 실행 중인지 확인할 수도 있습니다.

DG_Readiness_Tool_v3.6.ps1 -Ready

중요

영어가 아닌 운영 체제에서 Windows Defender Device Guard 및 Windows Defender 자격 증명 보호 하드웨어 준비 도구를 실행 하는 경우에는 해당 도구가 작동 *$OSArch = $(gwmi win32_operatingsystem).OSArchitecture 하도록 하기 $OSAch = $((gwmi win32_operatingsystem).OSArchitecture).tolower() 위해 스크립트 내에서 대신으로 변경 합니다. 알려진 문제입니다.

참고

Windows 10 1703을 실행하는 클라이언트 시스템의 경우, 다른 기능에 대해 가상화 기반 보안을 사용하도록 설정할 때마다 LsaIso.exe가 실행됩니다.

  • 장치가 도메인에 가입되기 전에 Windows Defender Credential Guard를 사용하도록 설정하는 것이 좋습니다. 도메인 가입 후 Windows Defender Credential Guard를 사용하도록 설정된 경우, 사용자 및 장치 암호가 이미 손상되었을 수 있습니다. 즉, Credential Guard 사용하도록 설정해도 이미 손상된 장치나 ID를 보호하는 데는 도움이 되지 않기 때문에 최대한 빨리 Credential Guard 기능을 켜는 것이 좋습니다.

  • Windows Defender Credential Guard를 사용하도록 설정된 PC에 대해 정기적인 검토를 수행해야 합니다. 이러한 검토는 보안 감사 정책 또는 WMI 쿼리를 사용하여 수행할 수 있습니다. 찾아야 할 WinInit 이벤트 ID는 다음과 같습니다.

    • 이벤트 ID 13 Windows Defender Credential Guard(LsaIso.exe)가 시작되었으며 LSA 자격 증명을 보호합니다.
    • 이벤트 ID 14 Windows Defender Credential Guard(LsaIso.exe) 구성: 0x1, 0
      • 첫 번째 변수 0x1은 Windows Defender Credential Guard가 실행되도록 구성되었음을 의미합니다. 0x0은 실행되도록 구성되지 않았음을 의미합니다.
      • 두 번째 변수 0은 보호 모드에서 실행되도록 구성되었음을 의미합니다. 1은 테스트 모드에서 실행되도록 구성되었음을 의미합니다. 이 변수는 항상 0이어야 합니다.
    • 이벤트 ID 15 Windows Defender Credential Guard(LsaIso.exe)가 구성되었지만 보안 커널이 실행 중이 아닙니다. Windows Defender Credential Guard 없이 계속 진행합니다.
    • 이벤트 ID 16 Windows Defender Credential Guard(LsaIso.exe)를 실행하지 못했습니다. [오류 코드]
    • 이벤트 ID 17 Windows Defender Credential Guard(LsaIso.exe) UEFI 구성을 읽는 동안 오류 발생: [오류 코드] Microsoft -> Windows -> 커널 부팅 이벤트 원본에서 이벤트 ID 51을 확인하여 키 보호를 위해 TPM을 사용 중인지 확인할 수도 있습니다. TPM을 실행하는 경우 TPM PCR 마스크 값은 0 이외의 값이 됩니다.
      • 이벤트 ID 51 VSM 마스터 암호화 키 프로비저닝. 캐시된 복사본 사용 상태: 0x0. 캐시된 복사본 봉인 해제 상태: 0x1. 새 키 생성 상태: 0x1. 봉인 상태: 0x1. TPM PCR 마스크: 0x0.

Windows Defender Credential Guard 사용 안 함

Windows Defender Credential Guard를 사용 하지 않도록 설정 하려면 다음 절차 또는 장치 가드 및 자격 증명 보호 하드웨어 준비 도구를 사용할 수 있습니다. UEFI 잠금으로 자격 증명 가드를 사용 하도록 설정한 경우, 설정이 EFI (펌웨어) 변수에 유지 되 고 컴퓨터에 실제 현재 위치에서 변경 내용을 적용 하려면 기능 키를 눌러야 하는 경우 다음 절차를 사용 해야 합니다. UEFI 잠금 없이 Credential Guard를 사용 하도록 설정한 경우 그룹 정책을 사용 하 여 해제할 수 있습니다.

  1. 그룹 정책을 사용한 경우 Windows Defender Credential Guard를 활성화하는 데 사용한 그룹 정책 설정을 비활성화합니다(컴퓨터 구성 -> 관리 템플릿 -> 시스템 -> Device Guard -> 가상화 기반 보안 켜기).
  2. 다음 레지스트리 설정을 삭제합니다.
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\LsaCfgFlags
    • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags
  3. 또한 가상화 기반 보안을 사용 하지 않도록 설정 하려면 다음 레지스트리 설정을 삭제 합니다.

    • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity
    • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures > [!IMPORTANT] > 이러한 레지스트리 설정을 수동으로 제거하는 경우 모두 삭제해야 합니다. 모두 제거하지 않으면 장치가 BitLocker 복구 모드로 될 수도 있습니다.
  4. bcdedit를 사용하여 Windows Defender Credential Guard EFI 변수를 삭제합니다. 관리자 권한 명령 프롬프트에서 다음 명령을 입력합니다.

    mountvol X: /s
    copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
    bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
    bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
    mountvol X: /d
    
  5. PC를 다시 시작합니다.

  6. 프롬프트를 수락하여 Windows Defender Credential Guard를 사용하지 않도록 설정합니다.
  7. 또는 가상화 기반 보안 기능을 사용하지 않도록 설정하여 Windows Defender Credential Guard를 끌 수도 있습니다.

참고

EFS로 암호화된 파일과 같은 콘텐츠의 암호를 해독하려면 PC에 도메인 컨트롤러에 대한 일회성 액세스 권한이 있어야 합니다. Windows Defender Credential Guard와 가상화 기반 보안을 모두 해제 하려면 모든 가상화 기반 보안 그룹 정책 및 레지스트리 설정을 해제 한 후 다음 bcdedit 명령을 실행 합니다.

bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS
bcdedit /set vsmlaunchtype off

참고

Azure IaaS Vm을 사용 하는 경우 자격 증명 보호 및 장치 가드가 현재 지원 되지 않습니다. 이러한 옵션은 향후 Gen 2 Vm에서 사용할 수 있게 됩니다.

가상화 기반 보안 및 Windows Defender Device Guard에 대한 자세한 내용은 Windows Defender Device Guard 배포 가이드를 참조하세요.

Windows Defender Device Guard 및 Windows Defender Credential Guard 하드웨어 준비 도구를 사용하여 Windows Defender Credential Guard를 사용하지 않도록 설정

또한 Windows Defender Device Guard 및 Windows Defender Credential Guard 하드웨어 준비 도구를 사용하여 Windows Defender Credential Guard를 사용하지 않도록 설정할 수 있습니다.

DG_Readiness_Tool_v3.6.ps1 -Disable -AutoReboot

중요

영어가 아닌 운영 체제에서 Windows Defender Device Guard 및 Windows Defender 자격 증명 보호 하드웨어 준비 도구를 실행 하는 경우에는 해당 도구가 작동 *$OSArch = $(gwmi win32_operatingsystem).OSArchitecture 하도록 하기 $OSArch = $((gwmi win32_operatingsystem).OSArchitecture).tolower() 위해 스크립트 내에서 대신으로 변경 합니다. 알려진 문제입니다.

가상 컴퓨터에 대해 Windows Defender Credential Guard를 사용하지 않도록 설정

호스트에서 가상 컴퓨터에 대해 Windows Defender Credential Guard를 사용하지 않도록 설정할 수 있습니다.

Set-VMSecurity -VMName <VMName> -VirtualizationBasedSecurityOptOut $true