Windows Defender Credential Guard: 요구 사항
적용 대상:
- Windows 11
- Windows 10
- WindowsServer 2019
- WindowsServer 2016
Windows Defender Credential Guard 보호를 제공하려면 보호하는 컴퓨터가 하드웨어 및 소프트웨어 요구 사항이라고 하는 특정 기준 하드웨어, 펌웨어 및 소프트웨어 요구 사항을 충족해야 합니다. 또한 Windows Defender Credential Guard는 특정 인증 기능을 차단하므로 차단 기능이 필요한 응용 프로그램은 중단됩니다. 이러한 요구 사항을 애플리케이션 요구 사항으로 참조합니다. 이러한 요구 사항 외에도 컴퓨터는 추가 하드웨어 및 펌웨어 자격을 충족하고 추가 보호를 받을 수 있습니다. 이러한 컴퓨터는 특정 위협에 대해 더욱 강화됩니다. 기본 보호와, 2015, 2016, 2017에서 사용 가능한 하드웨어 및 펌웨어 옵션과 관련하여 보안을 강화하는 추가 보호에 대한 자세한 내용은 보안 고려 사항의 표를 참조하세요.
하드웨어 및 소프트웨어 요구 사항
자격 증명 관리자 도메인 자격 증명, NTLM 및 Kerberos 파생 자격 증명을 읽으려는 OS 수준의 시도에 대한 기본 보호를 제공하기 위해 Windows Defender Credential Guard는 다음을 사용합니다.
- 가상화 기반 보안에 대한 지원(필수)
- 보안 부팅(필수)
- TPM(신뢰할 수 있는 플랫폼 모듈, 기본 설정 - 하드웨어에 바인딩 제공) 버전 1.2 및 2.0이 불연속 또는 펌웨어로 지원됩니다.
- UEFI 잠금(기본 - 간단한 레지스트리 키 변경을 통해 공격자가 사용하지 않도록 방지)
가상화 기반 보안에는 다음 항목이 필요합니다.
- 64비트 CPU
- CPU 가상화 확장 및 확장된 페이지 테이블
- Windows 하이퍼바이저(Hyper-V Windows 기능을 설치할 필요가 없음)
가상 컴퓨터에 Windows Defender Credential Guard 배포
Credential Guard는 실제 컴퓨터처럼 Hyper-V 가상 컴퓨터에서 암호를 보호할 수 있습니다. Credential Guard가 VM에 배포되면 VM 내부 공격으로부터 암호가 보호됩니다. Credential Guard는 호스트에서 시작되는 권한 있는 시스템 공격으로부터 추가 보호 기능을 제공하지는 않습니다.
Hyper-V 가상 컴퓨터에서 Windows Defender Credential Guard를 실행하기 위한 요구 사항
- Hyper-V 호스트는 IOMMU를 포함하고 최소한 WindowsServer 2016 또는 Windows10 버전 1607을 실행해야 합니다.
- Hyper-V 가상 컴퓨터는 2세대로서, 가상 TPM을 사용하도록 설정했고, 최소한 WindowsServer 2016 또는 Windows 10을 실행 중이어야 합니다.
- TPM은 요구 사항이 아니지만 TPM을 구현하는 것이 좋습니다.
다른 호스트 플랫폼에 대한 자세한 내용은 다른 플랫폼에서 Windows Server 2016 및 Hyper-V 가상화 기반 보안 기능 사용을 참조하세요.
Windows Defender Remote Credential Guard 하드웨어 및 소프트웨어 요구 사항에 대한 자세한 내용은 Windows Defender Remote Credential Guard 요구 사항을 참조하세요.
응용 프로그램 요구 사항
Windows Defender Credential Guard을 사용하면 특정 인증 기능이 차단되므로 차단된 기능이 필요한 응용 프로그램은 중단됩니다. 애플리케이션은 배포 전에 테스트하여 감소된 기능과의 호환성을 확인해야 합니다.
경고
도메인 컨트롤러에서는 Windows Defender Credential Guard를 사용할 수 없습니다. Windows Defender Credential Guard를 사용할 때 도메인 컨트롤러는 격리된 프로세스와 통합되는 인증 서비스를 호스팅하여 충돌을 일으킵니다.
참고
Windows Defender Credential Guard는 Active Directory 데이터베이스 또는 보안 계정 관리자(SAM)에 대한 보호를 제공하지 않습니다. Windows Defender Credential Guard를 사용할 때 Kerberos 및 NTLM으로 보호되는 자격 증명은 Active Directory 데이터베이스(도메인 컨트롤러에 위치)와 SAM(로컬 계정)에도 있습니다.
다음과 같이 필요한 경우 응용 프로그램이 중단됩니다.
- Kerberos DES 암호화 지원
- Kerberos 제한 없는 위임
- Kerberos TGT 추출
- NTLMv1
다음 항목이 필요한 경우 응용 프로그램은 자격 증명을 요청하며 이를 위험에 노출합니다.
- 다이제스트 인증
- 자격 증명 위임
- MS-CHAPv2
응용 프로그램이 격리된 Windows Defender Credential Guard 프로세스를 연결하려고 할 때 성능 문제가 발생할 수 있습니다.
공유 파일, 원격 데스크톱, BranchCache 같이 Kerberos를 기반으로 하는 서비스나 프로토콜은 계속 작업이 가능하고 Windows Defender Credential Guard에 의해 영향을 받지 않습니다.
보안 고려 사항
하드웨어, 펌웨어 및 소프트웨어에 대한 기본 보호를 충족하는 모든 컴퓨터는 Windows Defender Credential Guard를 사용할 수 있습니다. 추가 요건을 충족하는 컴퓨터는 추가 보호를 제공하여 공격 노출 범위를 더욱 줄일 수 있습니다. 다음 표에서는 기본 보호 기능과 함께, 2015, 2016 및 2017에서 사용 가능한 하드웨어 및 펌웨어 옵션과 관련하여 보안을 강화하는 추가 보호 기능에 대해 설명합니다.
참고
Windows 10 버전 1607부터 신뢰할 수 있는 플랫폼 모듈(TPM 2.0)을 새로 제공되는 컴퓨터에서 기본적으로 사용할 수 있어야 합니다.
OEM인 경우 Windows Defender Credential Guard 대한 PC OEM 요구 사항을 참조하세요.
기본 보호
| 기본 보호 | 설명 | 보안 이점 |
|---|---|---|
| 하드웨어: 64비트 CPU | 64비트 컴퓨터는 VBS를 제공하는 Windows 하이퍼바이저에 필요합니다. | |
| 하드웨어: CPU 가상화 확장 및 확장된 페이지 테이블 | 요구 사항: - 이러한 하드웨어 기능은 VBS에 필요합니다. 가상화 확장 중 하나: - VT-x(Intel) 또는 - AMD-V And: - 확장된 페이지 테이블(SLAT(Second Level Address Translation)이라고도 함) | VBS는 일반 운영 체제에서 보안 커널을 격리합니다. 이 격리 덕분에 일반 운영 체제의 취약성 및 제로 데이에 악용되지 않을 수 있습니다. |
| 하드웨어: TPM(신뢰할 수 있는 플랫폼 모듈) | 요구 사항: - TPM 1.2 또는 TPM 2.0( 불연속 또는 펌웨어) TPM 권장 사항 | TPM은 펌웨어에 저장된 VBS 암호화 키에 대한 보호 기능을 제공합니다. TPM은 BIOS 액세스 권한이 있는 실제 사용자와 관련된 공격으로부터 보호하는 데 도움이 됩니다. |
| 펌웨어: UEFI 보안 부팅을 사용하는 UEFI 펌웨어 버전 2.3.1.c 이상 | 요구 사항: - 다음 Windows 하드웨어 호환성 프로그램 요구 사항 참조: System.Fundamentals.Firmware.UEFISecureBoot | UEFI 보안 부팅은 디바이스가 권한 있는 코드만 부팅하도록 하고 부팅 키트 및 루트 키트가 다시 부팅 시 설치 및 유지되지 않도록 할 수 있습니다. |
| 펌웨어: 보안 펌웨어 업데이트 프로세스 | 요구 사항: - UEFI 펌웨어는 다음 Windows 하드웨어 호환성 프로그램 요구 사항인 System.Fundamentals.Firmware.UEFISecureBoot에 있는 보안 펌웨어 업데이트를 지원해야 합니다. | 소프트웨어처럼 UEFI 펌웨어에는 발견될 경우 펌웨어 업데이트를 통해 패치를 설치해야 하는 보안 취약성이 있을 수 있습니다. 패치를 설치하면 루트 킷이 설치되는 것을 방지할 수 있습니다. |
| 소프트웨어: 적격 Windows 운영 체제 | 요구 사항: - 적어도 Windows 10 Enterprise 또는 Windows Server 2016. | Windows Defender Credential Guard의 구성을 간소화하는 관리 기능 및 VBS를 지원합니다. |
중요
도메인 컨트롤러로 실행되는 Windows Server 2016은 Windows Defender Credential Guard를 지원하지 않습니다.
중요
다음 표에서는 보안 강화를 위한 추가 요건을 보여 줍니다. 그러나 Windows Defender Credential Guard에서 제공할 수 있는 보안 수준을 대폭 강화하기 위해 향상된 보안을 위한 요구 사항을 충족하는 것이 좋습니다.
2015 추가 보안 요건(Windows 10 버전 1507 및 Windows Server 2016 Technical Preview 4 이상)
| 향상된 보안을 위한 보호 기능 | 설명 |
|---|---|
| 하드웨어: IOMMU(입출력 메모리 관리 장치) | 요구 사항: - VT-D 또는 AMD Vi IOMMU 보안 이점: - IOMMU는 메모리 공격에 대한 시스템 복원력을 향상시킬 수 있습니다. 자세한 내용은 ACPI(고급 구성 및 전원 인터페이스) 설명 테이블을 참조하세요. |
| 펌웨어: 보안 부팅 구성 및 관리 | 요구 사항: - BIOS 암호 또는 더 강력한 인증이 지원되어야 합니다. - BIOS 구성에서 BIOS 인증이 설정되어야 합니다. - 운영 체제에 의한 BOOTORDER 수정을 재정의하면서 허용된 부팅 디바이스 목록 및 부팅 디바이스 순서를 구성하는 보호된 BIOS 옵션(예: "Boot only from internal hard drive”(내부 하드 드라이브에서만 부팅)")에 대한 지원이 있어야 합니다. - BIOS 구성에서, 보안 및 부팅 옵션과 관련된 BIOS(허용된 부팅 디바이스의 목록, 부팅 순서)는 다른 운영 체제가 시작되는 것을 방지하고 BIOS 설정이 변경되는 것을 방지하도록 보호되어야 합니다. |
| 펌웨어: 보안 MOR, 수정 버전 2 구현 | 요구 사항: - 보안 MOR, 수정 버전 2 구현 |
2016 추가 보안 요건(Windows 10 버전 1607 및 Windows Server 2016 이상)
중요
다음 표에서는 보안 강화를 위한 추가 요건을 보여 줍니다. 이러한 추가 요건을 갖춘 시스템은 더 많은 보호 기능을 제공할 수 있습니다.
| 향상된 보안을 위한 보호 기능 | 설명 | 보안 이점: |
|---|---|---|
| 펌웨어: 하드웨어 기반 신뢰 플랫폼 보안 부팅 | 요구 사항: - 부팅 무결성(플랫폼 보안 부팅)이 지원되어야 합니다. System.Fundamentals.Firmware.CS.UEFISecureBoot.ConnectedStandby에서 Windows 하드웨어 호환성 프로그램 요구 사항 참조 - HSTI(하드웨어 보안 테스트 인터페이스)를 구현해야 합니다. 하드웨어 보안 테스트 가능성 사양을 참조하세요. | • 전원 공급의 부팅 무결성(플랫폼 보안 부팅)에서 실제로 존재하는 공격자에 대한 보호 기능과 맬웨어에 대한 심층적인 방어 수단을 제공합니다. - HSTI는 적절히 보안된 실리콘 및 플랫폼에 대한 추가적인 보안 보증을 제공합니다. |
| 펌웨어: Windows 업데이트를 통한 펌웨어 업데이트 | 요구 사항: - 펌웨어는 Windows 업데이트 및 UEFI 캡슐화 업데이트를 통해 필드 업데이트를 지원해야 합니다. | 펌웨어 업데이트가 빠르고 안전하고 안정적이 되도록 보장합니다. |
| 펌웨어: 보안 부팅 구성 및 관리 | 요구 사항: - 필수 BIOS 기능: 제조 시에 OEM이 보안 부팅 DB에 ISV, OEM 또는 엔터프라이즈 인증서를 추가할 수 있는 기능입니다. - 필수 구성: 보안 부팅 DB에서 Microsoft UEFI CA를 제거해야 합니다. 타사 UEFI 모듈에 대한 지원이 허용되지만 특정 UEFI 소프트웨어의 OEM 인증서 또는 ISV에서 제공한 인증서를 활용해야 합니다. | - 기업은 독점 EFI 드라이버/응용 프로그램을 실행할 수 있도록 선택할 수 있습니다. - 보안 부팅 DB에서 Microsoft UEFI CA를 제거하면 운영 체제를 부팅하기 전에 실행되는 소프트웨어를 통해 모든 권한이 기업에 제공됩니다. |
2017 추가 보안 요건(Windows 10 버전 1703 이상)
다음 표에는 앞에 나온 모든 요건 외에 Windows 10 버전 1703에 대한 요건이 나열되어 있습니다.
| 향상된 보안을 위한 보호 기능 | 설명 | 보안 이점: |
|---|---|---|
| 펌웨어: UEFI 런타임 서비스에 대한 NX(No-Execute) 보호의 VBS 사용 | 요구 사항: - VBS는 UEFI 런타임 서비스 코드 및 데이터 메모리 지역에서 NX 보호를 사용하도록 설정합니다. UEFI 런타임 서비스 코드는 읽기 전용 페이지 보호를 지원해야 하며 UEFI 런타임 서비스 데이터는 실행될 수 없어야 합니다. UEFI 런타임 서비스는 다음 요구 사항을 충족해야 합니다. - UEFI 2.6 EFI_MEMORY_ATTRIBUTES_TABLE을 구현합니다. 다음 표에 모든 UEFI 런타임 서비스 메모리(코드 및 데이터)가 기술되어야 합니다. - PE 섹션은 메모리에 페이지 정렬되어야 합니다(비휘발성 스토리지에는 필요하지 않음). - 메모리 속성 테이블은 OS에 맞는 구성에 대해 코드 및 데이터를 RO/NX로 정확하게 표시해야 합니다. - 모든 항목에는 EFI_MEMORY_RO나 EFI_MEMORY_XP 또는 두 가지 특성 모두가 포함되어야 합니다. - 위의 특성 중 어느 것도 포함하지 않는 항목(메모리가 실행 가능하면서 쓰기 가능함을 나타냄)은 있을 수 없습니다. 메모리는 읽기 가능하고 실행 가능하거나 쓰기 가능하며 실행 불가능해야 합니다. (이 표 뒤의 중요한 정보 참조) | UEFI 런타임의 취약성(있는 경우)은 VBS 손상(예: UpdateCapsule 및 SetVariable과 같은 함수)에서 차단됩니다. - 시스템 펌웨어에서 VBS로 공격 표면을 줄입니다. |
| 펌웨어: SMM 보호를 위한 펌웨어 지원 | 요구 사항: - WSMT(Windows SMM 보안 완화 테이블) 사양 에는 Windows VBS(가상화 기반 보안) 기능을 지원하는 Windows 운영 체제에서 사용하기 위해 만든 ACPI 테이블의 세부 정보가 포함되어 있습니다. | - UEFI 런타임 서비스의 잠재적 취약성(있는 경우)이 손상되지 않도록 차단됩니다(예: UpdateCapsule 및 SetVariable과 같은 함수). - 시스템 펌웨어에서 VBS로 공격 표면을 줄입니다. - SMM에 대한 추가적인 보안 공격을 차단합니다. |
중요
UEFI 런타임 서비스에 대한 NX 보호의 VBS 사용과 관련하여:
UEFI 부팅 서비스 메모리가 아닌 UEFI 런타임 서비스 메모리에만 적용됩니다.
이 보호는 OS 페이지 테이블의 VBS에 의해 적용됩니다.
다음 사항에도 유의하세요.
쓰기 가능 및 실행 가능한 섹션은 사용하지 마세요.
실행 파일 시스템 메모리를 직접 수정하지 마세요.
동적 코드 사용 안 함
피드백
다음에 대한 사용자 의견 제출 및 보기