이 페이지에서는 선택한 서버를 인증하려고 하는 컴퓨터에 대한 정보가 수집됩니다.
이러한 보안 설정에 따라 네트워크 로그온에 사용되는 챌린지/응답 인증 프로토콜이 결정됩니다. 여기서 선택한 내용은 클라이언트에서 사용하는 인증 프로토콜 수준, 협상된 세션 보안 수준, 서버에서 허용하는 인증 수준에 영향을 미칩니다.
또한 이러한 보안 설정은 다음 암호 변경 시 새 암호에 대한 LM(LAN Manager) 해시 값의 저장 여부도 결정합니다. LM 해시는 더 강력하게 암호화하는 NTLM 해시에 비해 비교적 약하기 때문에 공격에 노출되기 쉽습니다. LM 해시는 로컬 컴퓨터의 보안 데이터베이스에 저장되므로 보안 데이터베이스가 공격을 받으면 암호가 노출될 수 있습니다.
중요 | |
이 설정은 네트워크를 통해 Windows NT Server 4.0 및 이전 버전이 실행되는 컴퓨터와 통신하는 컴퓨터의 기능에 영향을 줄 수 있습니다. 예를 들어 Windows NT Server 4.0 SP4(서비스 팩 4) 및 이전 버전이 실행되는 컴퓨터는 NTLMv2(NTLM 버전 2)를 지원하지 않으며 Windows 95 및 Windows 98을 실행하는 컴퓨터는 NTLM을 지원하지 않습니다. |
레지스트리 키
-
HKLM\System\CurrentControlSet\Control\LSA\LMCompatibilityLevel
-
HKLM\System\CurrentControlSet\Control\LSA\NoLMHash
관련 보안 설정
-
네트워크 보안: LAN Manager 인증 수준
-
네트워크 보안: 다음 암호 변경 시 LAN Manager 해시 값 저장 안 함
부정확한 정보를 제공하면 네트워크의 컴퓨터 간에 통신이 중단될 수 있습니다.
이러한 보안 설정에 대한 자세한 내용은 다음을 참조하십시오.
-
"네트워크 보안: LAN Manager 인증 수준"(
https://go.microsoft.com/fwlink/?LinkID=17765(페이지는 영문일 수 있음) )
-
"네트워크 보안: 다음 암호 변경 시 LAN Manager 해시 값 저장 안 함"(
https://go.microsoft.com/fwlink/?LinkID=17766(페이지는 영문일 수 있음) )
도메인 컨트롤러의 경우
서버 역할 선택 페이지에서 도메인 컨트롤러(Active Directory) 역할을 선택하는 경우 추가 옵션이 표시됩니다. 다음 옵션은 도메인 컨트롤러에만 해당됩니다.
RAS 또는 VPN을 사용하여 Windows Server 2003 서비스 팩 1 이상을 실행하지 않는 RAS 서버에 연결하는 컴퓨터
IAS(인터넷 인증 서비스) 서버와 라우팅 및 원격 액세스가 실행되는 서버에는 Windows Server 2003 SP1(서비스 팩 1)이 필요하며 NTLMv2만을 수락하는 도메인 컨트롤러로 사용자를 인증하려면 PEAP-MSCHAPv2 전용 인증 지원이 필요합니다.
IAS 서버와 라우팅 및 원격 액세스가 실행되는 서버는 NTLM을 사용하여 클라이언트의 도메인 자격 증명을 인증합니다. 즉, IAS 또는 라우팅 및 원격 액세스 클라이언트를 인증해야 하는 도메인 컨트롤러는 NTLMv2 인증만 수락하도록 구성할 수 없습니다. 그러나 Windows Server 2003 SP1부터 도메인 컨트롤러가 IAS 서버와 라우팅 및 원격 액세스가 실행되는 서버에서는 NTML을 수락하지만 그 이외의 모든 서버에서는 NTLMv2만 수락하는 것이 가능해졌습니다. 이러한 예외는 Windows Server 2003 SP1 및 IAS 또는 라우팅 및 원격 액세스가 실행되며 PEAP-MSCHAPv2(NTLMv2와 동등한 보안 보호 기능을 제공)를 사용하는 서버에서 기본적으로 발생합니다. 이 예외는 Windows Server 2003 SP1 및 IAS 또는 라우팅 및 원격 액세스가 실행되는 서버에서 PPP-MSCHAPv2를 사용하여 클라이언트를 인증할 경우에는 기본적으로 발생하지 않습니다.
Windows Server 2003 SP1 및 IAS 또는 라우팅 및 원격 액세스가 실행되는 서버에서 이러한 기본 예외가 발생하지 않도록 하려면 도메인 컨트롤러에 다음 레지스트리 값을 설정합니다.
HKLM\System\CurrentControlSet\LSA\DisallowMsvChapv2
이 레지스트리 값이 도메인 컨트롤러에 설정되어 있으며 도메인 컨트롤러가 NTLMv2만 수락하도록 구성되면 모든 해당 서버에서 Windows Server 2003 SP1이 실행되더라도 도메인 컨트롤러는 IAS 또는 라우팅 및 원격 액세스 클라이언트를 인증할 수 없게 됩니다. 따라서 DisallowMsvChapv2 레지스트리 값이 도메인 컨트롤러에 설정되어 있고 도메인 컨트롤러가 IAS 또는 라우팅 및 원격 액세스 클라이언트를 인증해야 할 경우에는 IAS 또는 라우팅 및 원격 액세스가 실행되는 모든 서버에서 Windows Server 2003 SP1 또한 실행되고 있다 하더라도 인바운드 인증 방법 페이지에서 RAS 또는 VPN을 사용하여 Windows Server 2003 서비스 팩 1 이상을 실행하지 않는 RAS 서버에 연결하는 컴퓨터 확인란을 선택해야 합니다. 이 확인란을 선택하면 NTLMv2만 수락하도록 도메인 컨트롤러를 구성할 수 없으므로 DisallowMsvChapv2 레지스트리 값을 설정하지 않는 것이 좋습니다.