Credential Guard 개요

Credential Guard는 NTLM 암호 해시, Kerberos TGT(Ticket Granting Tickets) 및 애플리케이션에서 도메인 자격 증명으로 저장된 자격 증명을 보호하여 자격 증명 도난 공격을 방지합니다.

Credential Guard는 권한 있는 시스템 소프트웨어만 액세스할 수 있도록 VBS(가상화 기반 보안) 를 사용하여 비밀을 격리합니다. 이러한 비밀에 대한 무단 액세스는 해시를 전달 하고 티켓을 전달하는 것과 같은 자격 증명 도난 공격으로 이어질 수 있습니다.

사용하도록 설정하면 Credential Guard는 다음과 같은 이점을 제공합니다.

  • 하드웨어 보안: NTLM, Kerberos 및 자격 증명 관리자는 보안 부팅 및 가상화를 비롯한 플랫폼 보안 기능을 활용하여 자격 증명을 보호합니다.
  • 가상화 기반 보안: NTLM, Kerberos 파생 자격 증명 및 기타 비밀은 실행 중인 운영 체제에서 격리된 보호된 환경에서 실행됩니다.
  • 고급 영구 위협 방지: VBS를 사용하여 자격 증명을 보호하면 많은 대상 공격에 사용되는 자격 증명 도난 공격 기술과 도구가 차단됩니다. 관리 권한이 있는 운영 체제에서 실행되는 맬웨어는 VBS로 보호되는 비밀을 추출할 수 없습니다.

참고

Credential Guard는 강력한 완화이지만 지속적인 위협 공격은 새로운 공격 기술로 전환될 가능성이 높으며 다른 보안 전략 및 아키텍처도 통합해야 합니다.

중요

Windows 11 버전 22H2부터 VBS 및 Credential Guard는 시스템 요구 사항을 충족하는 모든 디바이스에서 기본적으로 사용하도록 설정됩니다.
Credential Guard의 기본 사용과 관련된 알려진 문제에 대한 자세한 내용은 Credential Guard: 알려진 문제를 참조하세요.

시스템 요구 사항

Credential Guard가 보호를 제공하려면 디바이스가 특정 하드웨어, 펌웨어 및 소프트웨어 요구 사항을 충족해야 합니다.

최소 요구 사항보다 더 많은 하드웨어 및 펌웨어 자격을 충족하는 디바이스는 추가 보호를 받으며 특정 위협에 대해 더욱 강화됩니다.

하드웨어 및 소프트웨어 요구 사항

Credential Guard에는 다음 기능이 필요합니다.

필수는 아니지만 추가 보호를 제공하려면 다음 기능을 사용하는 것이 좋습니다.

  • TPM(신뢰할 수 있는 플랫폼 모듈)은 하드웨어에 바인딩을 제공합니다. TPM 버전 1.2 및 2.0은 불연속 또는 펌웨어 중 하나에서 지원됩니다.
  • 공격자가 레지스트리 키 변경으로 Credential Guard를 사용하지 않도록 설정하는 것을 방지하므로 UEFI 잠금

하드웨어 및 펌웨어 옵션과 관련된 향상된 보안을 위한 보호에 대한 자세한 내용은 추가 보안 자격을 참조하세요.

가상 머신의 Credential Guard

Credential Guard는 물리적 컴퓨터와 마찬가지로 Hyper-V 가상 머신의 비밀을 보호할 수 있습니다. VM에서 Credential Guard를 사용하도록 설정하면 비밀이 VM 의 공격으로부터 보호됩니다. Credential Guard는 호스트에서 발생하는 권한 있는 시스템 공격으로부터 보호를 제공하지 않습니다.

Hyper-V 가상 머신에서 Credential Guard를 실행하기 위한 요구 사항은 다음과 같습니다.

  • Hyper-V 호스트에는 IOMMU가 있어야 합니다.
  • Hyper-V 가상 머신은 2세대여야 합니다.

참고

Credential Guard는 Hyper-V 또는 Azure 1세대 VM에서 지원되지 않습니다. Credential Guard는 2세대 VM에서만 사용할 수 있습니다.

Windows 버전 및 라이선싱 요구 사항

다음 표에는 Credential Guard를 지원하는 Windows 버전이 나와 있습니다.

Windows Pro Windows Enterprise Windows Pro Education/SE Windows Education
아니오 아니오

Credential Guard 라이선스 자격은 다음 라이선스에 의해 부여됩니다.

Windows Pro/Pro Education/SE Windows Enterprise E3 Windows Enterprise E5 Windows Education A3 Windows Education A5
아니오

Windows 라이선싱에 대한 자세한 내용은 Windows 라이선싱 개요를 참조하세요.

응용 프로그램 요구 사항

Credential Guard를 사용하도록 설정하면 특정 인증 기능이 차단됩니다. 이러한 기능이 필요한 애플리케이션은 중단됩니다. 이러한 요구 사항을 애플리케이션 요구 사항이라고 합니다.

애플리케이션은 배포 전에 테스트하여 축소된 기능과의 호환성을 확인해야 합니다.

Warning

도메인 컨트롤러에서 Credential Guard를 사용하도록 설정하는 것은 권장되지 않습니다. Credential Guard는 도메인 컨트롤러에 추가된 보안을 제공하지 않으며 도메인 컨트롤러에서 애플리케이션 호환성 문제를 일으킬 수 있습니다.

참고

Credential Guard는 Active Directory 데이터베이스 또는 SAM(보안 계정 관리자)에 대한 보호를 제공하지 않습니다. Credential Guard를 사용할 때 Kerberos 및 NTLM으로 보호되는 자격 증명은 Active Directory 데이터베이스(도메인 컨트롤러에 위치)와 SAM(로컬 계정)에도 있습니다.

애플리케이션이 필요한 경우 중단됩니다.

  • Kerberos DES 암호화 지원
  • Kerberos 제한 없는 위임
  • Kerberos TGT 추출
  • NTLMv1

애플리케이션은 다음이 필요한 경우 자격 증명을 프롬프트하고 위험에 노출합니다.

  • 다이제스트 인증
  • 자격 증명 위임
  • MS-CHAPv2

애플리케이션은 격리된 Credential Guard 프로세스를 LSAIso.exe연결하려고 할 때 성능 문제가 발생할 수 있습니다.

파일 공유 또는 원격 데스크톱과 같이 Kerberos를 사용하는 서비스 또는 프로토콜은 계속 작동하며 Credential Guard의 영향을 받지 않습니다.

다음 단계