W-60 보안 채널 데이터 디지털 암호화 또는 서명

가이드라인 원문

상세 설명

1. 항목 개요

이 항목은 **도메인 구성원(서버)**과 도메인 컨트롤러(DC) 간에 주고받는 보안 채널(Secure Channel) 트래픽을 **암호화(Encryption)**하거나 **서명(Signing)**할지 여부를 결정합니다. 총 3가지 관련 정책이 있습니다.

1. 보안 채널 데이터를 디지털 암호화 또는 서명(항상)
2. 보안 채널 데이터를 디지털 암호화(가능한 경우)
3. 보안 채널 데이터 디지털 서명(가능한 경우)

2. 왜 이 항목이 필요한가요?

도메인 통신 보호

• 중간자 공격 방지: 서버와 DC 사이의 통신(인증, 정책 업데이트 등)이 평문으로 전송되면, 중간에서 공격자가 패킷을 가로채거나(Sniffing) 변조(Tampering)할 수 있습니다.
• 무결성 보장: 디지털 서명을 통해 통신 내용을 누가 변조하지 않았음을 보증합니다.

보안 위협 시나리오

1. 공격자가 네트워크 스니핑 수행
2. 멤버 서버가 DC와 통신하며 주고받는 인증 토큰이나 정책 데이터 캡처
3. 데이터를 위/변조하여 서버의 보안 정책을 무력화하거나 가짜 인증 수행

3. 점검 대상

• Windows NT, 2000, 2003, 2008, 2012, 2016, 2019, 2022 서버 (도메인 멤버인 경우)

4. 판단 기준

5. 점검 방법

방법 1: 로컬 보안 정책 확인 (도메인 조인 상태여야 유효함)

1
2
3
4
5
6

1. 시작 > 실행 > secpol.msc
2. 로컬 정책 > 보안 옵션
3. 다음 3가지 항목 확인:
   - 도메인 구성원: 보안 채널 데이터를 디지털 암호화 또는 서명(항상)
   - 도메인 구성원: 보안 채널 데이터를 디지털 암호화(가능한 경우)
   - 도메인 구성원: 보안 채널 데이터 디지털 서명(가능한 경우)

방법 2: 레지스트리 확인

1

Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters" | Select-Object RequireSignOrSeal, SignSecureChannel, SealSecureChannel

• RequireSignOrSeal: 1 (항상)
• SignSecureChannel: 1 (서명)
• SealSecureChannel: 1 (암호화)

6. 조치 방법

모든 보안 채널 통신을 암호화/서명하도록 설정합니다.

방법 1: 로컬 보안 정책 설정 (권장 - GPO 사용)

1
2
3
4
5
6
7

1. 시작 > 실행 > secpol.msc (또는 GPO 편집기)
2. 로컬 정책 > 보안 옵션
3. 아래 3개 정책을 찾아 모두 **[사용]**으로 변경
   - **도메인 구성원: 보안 채널 데이터를 디지털 암호화 또는 서명(항상)**
   - **도메인 구성원: 보안 채널 데이터를 디지털 암호화(가능한 경우)**
   - **도메인 구성원: 보안 채널 데이터 디지털 서명(가능한 경우)**
4. 확인

7. 조치 시 주의사항

8. 참고 자료

• Microsoft Docs: Domain member: Digitally encrypt or sign secure channel data (always)

요약

W-60 보안채널데이터디지털암호화또는서명는 서버와 본사(DC) 간의 통신 내용을 밀봉(암호화)하고 도장(서명)을 찍어 보내는 것입니다.