Microsoft는 SMB 서명을 기본값으로 설정한 후 “오래된 안전하지 않은” 게스트 액세스에 대한 해결 방법을 자세히 설명합니다.

Microsoft는 SMB 서명을 기본값으로 설정한 후 “오래된 안전하지 않은” 게스트 액세스에 대한 해결 방법을 자세히 설명합니다.

이달 초 Microsoft는 Windows 및 Windows 서버의 보안을 개선하기 위해 모든 연결에서 기본적으로 서버 메시지 블록(SMB) 서명을 의무화 했습니다. 회사는 별도의 블로그 게시물에서 변경 사항에 대해 자세히 설명했습니다. 이것은 작년에 시작된 Redmond 거인의 지속적인 노력의 일부였습니다 . 변경 결과 게스트 액세스도 불가능하며 유효성 검사 방법이 없기 때문에 “오래된 안전하지 않은” 동작으로 간주되었습니다.

오늘 Windows Server 엔지니어링 그룹의 수석 프로그램 관리자인 Ned Pyle은 게스트 인증 문제와 이에 대한 해결 방법을 논의하는 새로운 기술 커뮤니티 블로그 게시물을 게시했습니다.

게스트 액세스를 시도하면 다음 두 메시지 중 하나가 표시됩니다.

  • 조직의 보안 정책이 인증되지 않은 게스트 액세스를 차단하기 때문에 이 공유 폴더에 액세스할 수 없습니다. 이러한 정책은 네트워크에서 안전하지 않거나 악의적인 장치로부터 PC를 보호하는 데 도움이 됩니다.
  • 오류 코드: 0x80070035
    네트워크 경로를 찾을 수 없습니다.

Pyle은 이 문제를 진정으로 해결할 수 있는 유일한 방법은 변경을 피할 방법이 없기 때문에 게스트 자격 증명 사용을 중지하는 것이라고 덧붙였습니다. 따라서 실제로는 “수정”이 아니라 수용에 가깝습니다. 그들은 다음과 같이 설명합니다.

고치다

Microsoft에서 권장하는 해결 방법은 게스트 자격 증명을 사용하여 타사 장치에 액세스하는 것을 중지하는 것입니다. 장치를 볼 수 있는 모든 사람은 암호나 감사 추적 없이 모든 데이터에 액세스할 수 있습니다. 장치 제조업체는 암호를 잊어버린 고객을 처리하거나 더 복잡한 설정 프로세스를 요구하지 않도록 게스트 액세스를 구성합니다. 개인 생활이나 직업 생활을 저장하기에 안전하지 않은 장소입니다. 이러한 장치 중 다수는 사용자 이름과 암호를 구성할 수 있는 기능이 있습니다. 공급업체 문서를 참조하십시오. 다른 사람들은 소프트웨어를 업그레이드할 수 있습니다. 그리고 다른 것들은 안전하지 않을 수 있습니다. 그러한 경우 신뢰할 수 있는 제품으로 교체하고 이전 장치에서 모든 데이터를 이동하고 드라이브를 깨끗이 닦은 다음 재활용해야 합니다.

하지만 게스트 인증 이외의 접근 방법이 없는 경우에는 SMB 싱잉 요구 사항을 비활성화해야 하는데, 이는 더욱 취약한 환경으로 이어질 것으로 예상됩니다. 아래 인용된 해결 방법 섹션에서 Ned Pyle은 기본 SMB 서명을 비활성화하는 모든 방법을 제시했습니다.

해결 방법

제3자의 게스트 사용을 비활성화할 수 없는 경우 SMB 서명 요구 사항을 비활성화해야 합니다. 분명히 이것은 이제 게스트 액세스를 사용하고 있을 뿐만 아니라 클라이언트가 신뢰할 수 있는 장치에 대한 서명을 보장하지 못하게 하고 있음을 의미합니다. 이것이 바로 해결 방법일 뿐 권장하지 않는 이유입니다.

세 가지 방법으로 SMB 서명 요구 사항을 비활성화할 수 있습니다.

그래픽(한 장치의 로컬 그룹 정책)

  1. Windows 장치에서 로컬 그룹 정책 편집기(gpedit.msc)를 엽니다.
  2. 콘솔 트리에서 컴퓨터 구성 > Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션을 선택합니다.
  3. Microsoft 네트워크 클라이언트: 디지털 서명 통신(항상)을 두 번 클릭합니다.
  4. 비활성화됨 > 확인을 선택합니다.

명령줄(한 장치의 PowerShell)

  1. 관리자 권한 PowerShell 콘솔을 엽니다.
  2. 실행: Set-SmbClientConfiguration RequireSecuritySignature $false

도메인 기반 그룹 정책(IT 관리 플릿)

  1. 이 설정을 Windows 장치에 적용하는 보안 정책을 찾습니다(클라이언트에서 GPRESULT /H를 사용하여 SMB 서명이 필요한 그룹 정책을 표시하는 결과 정책 보고서 집합을 생성할 수 있습니다).
  2. GPMC.MSC에서 컴퓨터 구성 > 정책 > Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션을 변경합니다.
  3. Microsoft 네트워크 클라이언트 설정: 디지털 서명 통신(항상)을 비활성화됨으로 설정합니다.
  4. SMB를 통한 게스트 액세스가 필요한 Windows 장치에 업데이트된 정책을 적용합니다.

Microsoft 사이트 의 Tech Community 블로그 게시물에서 공식 블로그 게시물을 볼 수 있습니다 .

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다