SMB에서 NTLM 연결 차단
이제 SMB 클라이언트는 원격 아웃바운드 연결에 대한 NTLM 인증 차단을 지원합니다. NTLM 인증을 차단하면 악의적인 행위자가 클라이언트를 속여 악의적인 서버에 NTLM 요청을 보내고, 무차별 암호 대입, 크래킹 및 해시 전달 공격을 방지할 수 있습니다. 또한 NTLM 차단은 조직의 인증 프로토콜을 Kerberos로 전환하는 데 필요하며, 이는 티켓 시스템으로 서버 ID를 확인할 수 있기 때문에 NTLM보다 더 안전합니다. 그러나 조직은 NTLM을 완전히 사용하지 않도록 설정하지 않고도 이 보호 계층을 사용하도록 설정할 수 있습니다.
필수 조건
SMB 클라이언트에 대한 NTLM 차단에는 다음 필수 구성 요소가 필요합니다.
- 다음 운영 체제 중 하나를 실행 중인 SMB 클라이언트.
- Windows Server 2025 이상.
- Windows 11 버전 24H2 이상.
- Kerberos를 사용할 수 있는 SMB 서버입니다.
팁
NTLM 차단은 SMB 클라이언트 기능입니다. SMB 클라이언트는 Windows Server 및 Windows 클라이언트 운영 체제 모두에 기본 제공됩니다. 대상 SMB 서버는 PKU2U 또는 kerberos를 사용할 수 있는 모든 운영 체제일 수 있습니다.
SMB 클라이언트 NTLM 차단 구성
Windows Server 2025 및 Windows 11 버전 24H2부터 NTLM을 차단하도록 SMB를 구성하는 옵션이 있습니다. 이전 버전의 Windows를 실행하는 배포의 보안을 향상하려면 관련 그룹 정책을 편집하거나 PowerShell에서 특정 명령을 실행하여 NTLM을 수동으로 사용하지 않도록 설정해야 합니다.
NTLM 차단을 구성하려면 다음을 수행하세요.
열기는 그룹 정책 관리 콘솔합니다.
콘솔 트리에서, 컴퓨터 구성> 관리 템플릿> 네트워크> Lanman 워크스테이션으로 이동합니다.
NTLM 차단(LM, NTLM, NTLMv2)을 마우스 오른쪽 단추로 클릭하고 편집을 선택합니다.
사용을 선택합니다.
NTLM 차단에 예외 사용
특정 컴퓨터가 전역적으로 차단하는 대신 NTLM을 사용하도록 허용해야 하는 시나리오가 있을 수 있습니다. 예를 들어 연결하려는 SMB 서버가 Active Directory 도메인에 가입되지 않은 경우입니다.
NTLM 차단에 대한 예외 목록을 사용하도록 설정하려면 다음을 수행합니다.
그룹 정책 편집기 콘솔 트리에서 컴퓨터 구성> 관리 템플릿> 네트워크> Lanman 워크스테이션으로 이동합니다.
NTLM 차단 서버 예외 목록을 마우스 오른쪽 단추로 클릭하고 편집을 선택합니다.
사용을 선택합니다.
NTLM 인증을 허용하려는 원격 머신의 IP 주소, NetBIOS 이름 및 FQDN(정규화된 도메인 이름)을 입력합니다.
SMB 드라이브를 매핑하는 동안 NTLM 차단
다음 명령을 실행하여 새 SMB 드라이브를 매핑할 때 NTLM을 차단할 수도 있습니다.
NET USE를 사용하여 드라이브를 매핑할 때 NTLM 차단을 지정하려면 다음 명령을 실행합니다.
NET USE \\server\share /BLOCKNTLM
이 명령을 실행하여 SMB 드라이브를 매핑할 때 NTLM 차단을 지정합니다.
New-SmbMapping -RemotePath \\server\share -BlockNTLM $true