Credential Guard의 작동 방식
Kerberos, NTLM 및 Credential Manager는 VBS(가상화 기반 보안)를 사용하여 비밀을 격리합니다. 이전 버전의 Windows는 LSA(로컬 보안 기관) 프로세스 lsass.exe
에서 프로세스 메모리에 비밀을 저장했습니다.
Credential Guard를 사용하도록 설정하면 운영 체제의 LSA 프로세스는 해당 비밀을 LSAIso.exe
저장하고 보호하는 격리된 LSA 프로세스라는 구성 요소와 협상합니다. 격리된 LSA 프로세스에 의해 저장된 데이터는 VBS를 사용하여 보호되며 나머지 운영 체제에서는 액세스할 수 없습니다. LSA는 원격 프로시저 호출을 사용하여 격리된 LSA 프로세스와 통신합니다.
격리된 LSA 프로세스는 보안상의 이유로 장치 드라이버를 호스트하지 않습니다. 대신, 보안에 필요한 운영 체제 이진 파일의 소규모 하위 집합만 호스트하며 이외에 다른 항목은 호스트하지 않습니다. 모든 이진 파일은 VBS가 신뢰하는 인증서로 서명되고 보호된 환경에서 파일을 시작하기 전에 서명의 유효성이 검사됩니다.
Credential Guard 보호 제한
자격 증명을 저장하는 몇 가지 방법은 다음과 같은 Credential Guard로 보호되지 않습니다.
- Credential Guard를 사용하도록 설정하면 NTLMv1, MS-CHAPv2, Digest 및 CredSSP에서 로그인한 자격 증명을 사용할 수 없습니다. 따라서 Single Sign-On은 이러한 프로토콜에서 작동하지 않습니다. 그러나 애플리케이션은 자격 증명을 묻는 메시지를 표시하거나 Windows 자격 증명 모음에 저장된 자격 증명을 사용할 수 있습니다. 이 자격 증명은 이러한 프로토콜로 Credential Guard로 보호되지 않습니다.
주의
로그인 자격 증명과 같은 중요한 자격 증명은 NTLMv1, MS-CHAPv2, Digest 또는 CredSSP 프로토콜과 함께 사용되지 않는 것이 좋습니다.
- Windows 기능을 통해 보호되지 않는 자격 증명을 관리하는 소프트웨어
- 로컬 계정 및 Microsoft 계정
- Credential Guard는 Windows Server 도메인 컨트롤러에서 실행되는 Active Directory 데이터베이스를 보호하지 않습니다. 또한 원격 데스크톱 게이트웨이를 실행하는 Windows Server와 같은 자격 증명 입력 파이프라인을 보호하지 않습니다. Windows Server OS를 클라이언트 PC로 사용하는 경우 Windows 클라이언트 OS를 실행할 때와 동일한 보호를 받습니다.
- 키 로거
- 실제 공격
- PC에서 맬웨어가 있는 공격자가 자격 증명과 관련된 권한을 사용하는 것을 방지하지 않습니다. IT 전문가 및 조직의 고부가가치 자산에 액세스할 수 있는 사용자와 같은 고부가가치 계정에 전용 PC를 사용하는 것이 좋습니다.
- 비 Microsoft 보안 패키지
- NTLM 인증에 대해 제공된 자격 증명은 보호되지 않습니다. 사용자에게 메시지가 표시되어 NTLM 인증을 위한 자격 증명을 입력할 경우 이러한 자격 증명은 LSASS 메모리에서 쉽게 노출되어 읽힐 수 있습니다. 이러한 동일한 자격 증명은 키 로거에도 취약합니다.
- Kerberos 서비스 티켓은 Credential Guard로 보호되지 않지만 Kerberos TGT(Ticket Granting Ticket)는 보호됩니다.
- Credential Guard를 사용하도록 설정하면 Kerberos는 로그인한 자격 증명뿐만 아니라 메시지가 표시되거나 저장된 자격 증명에 대해서도 제한되지 않는 Kerberos 위임 또는 DES 암호화를 허용하지 않습니다.
- VM에서 Credential Guard를 사용하도록 설정하면 VM 내의 공격으로부터 비밀을 보호합니다. 그러나 호스트에서 발생하는 권한 있는 시스템 공격으로부터 보호는 제공하지 않습니다.
- Windows 로그온 캐시된 암호 검증 도구(일반적으로 캐시된 자격 증명이라고 함)는 인증을 위해 다른 컴퓨터에 표시할 수 없고 자격 증명을 확인하는 데 로컬로만 사용할 수 있기 때문에 자격 증명으로 적합하지 않습니다. 로컬 컴퓨터의 레지스트리에 저장되며 사용자 로그온 중에 도메인에 가입된 컴퓨터가 AD DS에 연결할 수 없는 경우 자격 증명에 대한 유효성 검사를 제공합니다. 이러한 캐시된 로그온 또는 더 구체적으로 캐시된 도메인 계정 정보는 보안 정책 설정 대화형 로그온: 도메인 컨트롤러를 사용할 수 없는 경우 캐시할 이전 로그온 수를 사용하여 관리할 수 있습니다.
다음 단계
- Credential Guard를 구성하는 방법 알아보기
- 추가 완화 문서에서 Credential Guard를 사용하여 환경을 보다 안전하고 강력하게 만들기 위한 조언 및 샘플 코드를 검토합니다.
- Credential Guard를 사용할 때 고려 사항 및 알려진 문제 검토