다음을 통해 공유

Windows 로그온 시나리오

IT 전문가를 위한 이 참조 토픽에는 일반적인 Windows 로그온 및 로그인 시나리오가 요약되어 있습니다.

Windows 운영 체제를 사용하려면 모든 사용자가 로컬 및 네트워크 리소스에 액세스하기 위해 유효한 계정을 사용하여 컴퓨터에 로그온해야 합니다. Windows 기반 컴퓨터는 사용자가 인증된 로그온 프로세스를 구현하여 리소스를 보호합니다. 사용자가 인증된 후 권한 부여 및 액세스 제어 기술은 리소스 보호의 두 번째 단계인 인증된 사용자가 리소스에 액세스할 수 있는 권한이 있는지 확인하는 단계를 구현합니다.

이 토픽의 내용은 이 토픽의 첫 부분에 나오는 적용 대상 목록에서 지정된 Windows 운영 체제 버전에 적용됩니다.

또한 애플리케이션 및 서비스는 사용자가 로그인하여 애플리케이션이나 서비스에서 제공하는 리소스에 액세스하도록 요구할 수 있습니다. 로그인 프로세스는 유효한 계정 및 올바른 자격 증명이 필요하지만 로그온 정보는 로컬 컴퓨터의 SAM(보안 계정 관리자) 데이터베이스 및 해당하는 경우 Active Directory에 저장된다는 점에서 로그온 프로세스와 유사합니다. 로그인 계정 및 자격 증명 정보는 애플리케이션 또는 서비스에서 관리하며 필요에 따라 자격 증명 보관에 로컬로 저장할 수 있습니다.

인증 작동 방식을 이해하려면 Windows 인증 개념을 참조하세요.

이 토픽에서는 다음 시나리오에 대해 설명합니다.

주의

사용자가 로컬 로그온을 수행할 때 해당 자격 증명은 네트워크를 통해 ID 공급자로 인증되기 전에 캐시된 복사본에 대해 로컬로 확인됩니다. 캐시 확인에 성공하면 디바이스가 오프라인인 경우에도 사용자가 데스크톱에 액세스할 수 있습니다. 그러나 사용자가 클라우드에서 암호를 변경하는 경우 캐시된 검증 도구는 업데이트되지 않으므로 이전 암호를 사용하여 로컬 컴퓨터에 계속 액세스할 수 있습니다.

대화형 로그온

로그온 프로세스는 사용자가 자격 증명 입력 대화 상자에 자격 증명을 입력하거나 스마트 카드 판독기에 스마트 카드를 삽입하거나 사용자가 생체 인식 디바이스와 상호 작용할 때 시작됩니다. 사용자는 로컬 사용자 계정 또는 도메인 계정을 사용해서 컴퓨터에 로그온하여 대화형 로그온을 수행할 수 있습니다.

다음 다이어그램에서는 대화형 로그온 요소 및 로그온 프로세스를 보여줍니다.

대화형 로그온 요소 및 로그온 프로세스를 보여주는 다이어그램

Windows 클라이언트 인증 아키텍처

로컬 및 도메인 로그온

사용자가 도메인 로그온에 대해 제공하는 자격 증명은 계정 이름, 암호 또는 인증서, Active Directory 도메인 정보 등 로컬 로그온에 필요한 모든 요소를 포함합니다. 이 프로세스에서는 사용자의 로컬 컴퓨터 또는 Active Directory 도메인의 보안 데이터베이스에 대한 사용자의 ID를 확인합니다. 이 필수 로그온 프로세스는 도메인의 사용자에 대해 꺼둘 수 없습니다.

사용자는 다음의 두 가지 방법 중 하나를 사용하여 컴퓨터에 대화형 로그온을 수행할 수 있습니다.

  • 로컬에서 사용자가 컴퓨터에 직접 물리적으로 액세스할 수 있거나 컴퓨터가 컴퓨터 네트워크의 일부인 경우.

    로컬 로그온은 사용자에게 로컬 컴퓨터에서 Windows 리소스에 액세스할 수 있는 권한을 부여합니다. 로컬 로그온을 사용하려면 사용자에게는 로컬 컴퓨터의 SAM(보안 계정 관리자)에 사용자 계정이 있어야 합니다. SAM은 로컬 컴퓨터 레지스트리에 저장된 보안 계정의 형태로 사용자 및 그룹 정보를 보호하여 관리합니다. 컴퓨터에 네트워크 액세스 권한이 있을 수 있지만 이것이 필수는 아닙니다. 로컬 사용자 계정 및 그룹 구성원 자격 정보는 로컬 리소스에 대한 액세스를 관리하는 데 사용됩니다.

    네트워크 로그온은 사용자에게 자격 증명의 액세스 토큰에 정의된 네트워크 컴퓨터의 리소스 외에도 로컬 컴퓨터의 Windows 리소스에 액세스할 수 있는 권한을 부여합니다. 로컬 로그온 및 네트워크 로그온을 모두 사용하려면 로컬 컴퓨터의 SAM(보안 계정 관리자)에 사용자 계정이 있어야 합니다. 로컬 사용자 계정 및 그룹 구성원 자격 정보는 로컬 리소스에 대한 액세스를 관리하는 데 사용되며, 사용자의 액세스 토큰은 네트워크 컴퓨터에서 액세스할 수 있는 리소스를 정의합니다.

    로컬 로그온 및 네트워크 로그온은 사용자 및 컴퓨터에 도메인 리소스에 액세스하고 사용할 수 있는 권한을 부여하기에 충분하지 않습니다.

  • 원격으로 터미널 서비스 또는 RDS(원격 데스크톱 서비스)를 통해 로그온을 원격 대화형으로 추가 한정합니다.

대화형 로그온 후 Windows는 사용자를 대신해서 애플리케이션을 실행하고 사용자는 해당 애플리케이션과 상호 작용할 수 있습니다.

로컬 로그온은 사용자에게 네트워크 컴퓨터의 리소스 또는 로컬 컴퓨터의 리소스에 액세스할 수 있는 권한을 부여합니다. 컴퓨터가 도메인에 가입된 경우 Winlogon 기능은 해당 도메인에 로그온을 시도합니다.

도메인 로그온은 사용자에게 로컬 및 도메인 리소스에 액세스할 수 있는 권한을 부여합니다. 도메인 로그온을 사용하려면 Active Directory에는 사용자 계정이 있어야 합니다. 컴퓨터에는 Active Directory 도메인에 계정이 있어야 하며 네트워크에 물리적으로 연결되어야 합니다. 또한 사용자에게는 로컬 컴퓨터 또는 도메인에 로그온할 수 있는 사용자 권한이 있어야 합니다. 도메인 사용자 계정 정보 및 그룹 구성원 자격 정보는 도메인 및 로컬 리소스에 대한 액세스를 관리하는 데 사용됩니다.

원격 로그온

Windows에서 원격 로그온을 통해 다른 컴퓨터에 액세스하기 위해 RDP(원격 데스크톱 프로토콜)를 사용합니다. 사용자가 원격 연결을 시도하기 전에 이미 클라이언트 컴퓨터에 로그온했어야 하므로 대화형 로그온 프로세스가 성공적으로 완료되었습니다.

RDP는 원격 데스크톱 클라이언트를 사용해서 사용자가 입력하는 자격 증명을 관리합니다. 이러한 자격 증명은 대상 컴퓨터를 위한 것이며 사용자에게는 해당 대상 컴퓨터에 계정이 있어야 합니다. 또한 원격 연결을 허용할 수 있도록 대상 컴퓨터를 구성해야 합니다. 인증 프로세스 수행을 시도하기 위해 대상 컴퓨터 자격 증명이 전송됩니다. 인증에 성공하는 경우 사용자가 제공된 자격 증명을 사용하여 액세스할 수 있는 로컬 및 네트워크 리소스에 연결됩니다.

네트워크 로그온

네트워크 로그온은 사용자, 서비스 또는 컴퓨터 인증을 수행한 후에만 사용할 수 있습니다. 네트워크 로그온 중에 프로세스에서는 자격 증명 입력 대화 상자를 사용하여 데이터를 수집하지 않습니다. 대신 이전에 설정된 자격 증명이나 자격 증명을 수집하는 다른 메서드가 사용됩니다. 이 프로세스는 사용자가 액세스를 시도 중인 네트워크 서비스에 대한 사용자의 ID를 확인합니다. 대체 자격 증명을 제공해야 하는 경우가 아닌 한 이 프로세스는 일반적으로 사용자에게 표시되지 않습니다.

이러한 유형의 인증을 제공하기 위해 보안 시스템에는 다음의 인증 메커니즘이 포함됩니다.

  • Kerberos 버전 5 프로토콜

  • 공개 키 인증서

  • SSL/TLS(Secure Sockets Layer/전송 계층 보안)

  • 다이제스트

  • Microsoft Windows NT 4.0 기반 시스템과의 호환성을 위한 NTLM

요소 및 프로세스에 대한 자세한 내용은 위에 있는 대화형 로그온 다이어그램을 참조하세요.

스마트 카드 로그온

스마트 카드는 로컬 계정이 아닌 도메인 계정으로 로그온하는 경우에만 사용할 수 있습니다. 스마트 카드 인증을 사용하기 위해서는 Kerberos 인증 프로토콜을 사용해야 합니다. Windows 2000 Server에 도입된 Windows 기반 운영 체제에서는 Kerberos 프로토콜의 초기 인증 요청에 대한 공개 키 확장이 구현됩니다. 공유 비밀 키 암호화와 달리 공개 키 암호화는 비대칭입니다. 즉, 암호화하는 키와 해독할 키 두 가지 키가 필요합니다. 두 작업을 함께 수행하는 데 필요한 키는 프라이빗/공개 키 쌍을 구성합니다.

일반적인 로그온 세션을 시작하기 위해 사용자는 사용자 및 기본 Kerberos 프로토콜 인프라에만 알려진 정보를 제공하여 자신의 ID를 증명해야 합니다. 비밀 정보란 사용자의 암호에서 파생된 암호화 공유 키입니다. 공유 비밀 키는 대칭이며 이는 암호화 및 암호 해독 모두에 동일한 키가 사용됨을 의미합니다.

다음 다이어그램에서는 스마트 카드 로그온에 필요한 요소와 프로세스를 보여 줍니다.

스마트 카드 로그온에 필요한 요소와 프로세스를 보여주는 다이어그램

스마트 카드 자격 증명 공급자 아키텍처

암호 대신 스마트 카드를 사용하는 경우 사용자의 스마트 카드에 저장된 프라이빗/공개 키 쌍이 사용자의 암호에서 파생된 공유 비밀 키로 대체됩니다. 프라이빗 키는 스마트 카드에만 저장됩니다. 공개 키는 기밀 정보를 교환하려는 소유자가 있는 모든 사용자가 사용할 수 있습니다.

Windows의 스마트 카드 로그온 프로세스에 대한 자세한 내용은 Windows에서 스마트 카드 로그인이 작동하는 방식을 참조하세요.

생체 인식 로그온

디바이스는 지문과 같은 아티팩트의 디지털 특성을 캡처하고 빌드하는 데 사용됩니다. 그런 다음 이 디지털 표현을 동일한 아티팩트 샘플과 비교하고 두 개의 항목이 성공적으로 비교되면 인증이 발생할 수 있습니다. 이 토픽의 시작 부분에 있는 적용 대상 목록에 지정된 운영 체제를 실행하는 컴퓨터는 이 형식의 로그온을 허용하도록 구성할 수 있습니다. 하지만 생체 인식 로그온이 로컬 로그온에 대해서만 구성된 경우 사용자는 Active Directory 도메인에 액세스할 때 도메인 자격 증명을 제공해야 합니다.

추가 리소스

Windows에서 로그온 프로세스 중에 제출된 자격 증명을 관리하는 방법에 대한 자세한 내용은 Windows의 자격 증명 관리를 참조하세요.

Windows 로그온 및 인증 기술 개요