다른 언어로 사이트를 보시겠습니까?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
언어 변경
목차

소개

네트워크 수준 인증(NLA)은 원격 데스크톱 프로토콜에 대한 핵심 보안 제어로, 전체 세션이 생성되기 전에 인증되지 않은 사용자를 차단합니다. 그러나 NLA가 실패하면 IT 팀은 차단된 로그온, 모호한 오류 메시지, 그리고 중요한 서버에 접근할 수 없는 불만을 가진 최종 사용자와 마주하게 됩니다. 이 가이드는 NLA가 무엇인지, 이러한 오류가 발생하는 이유, 그리고 RDP 보안 태세를 약화시키지 않으면서 NLA 문제를 체계적으로 문제 해결하고 해결하는 방법을 설명합니다.

RDP에서 NLA란 무엇인가요?

네트워크 수준 인증은 Windows Vista 및 Windows Server 2008과 함께 도입된 RDP 보안 강화 기능입니다. 전체 원격 데스크톱 세션을 구축한 후 자격 증명을 요청하는 대신, NLA는 사용자가 먼저 인증하도록 요구합니다. 성공적인 인증 후에만 RDP 스택이 그래픽 세션을 생성합니다.

NLA는 사용자 자격 증명을 대상 시스템에 안전하게 전달하기 위해 CredSSP(자격 증명 보안 지원 공급자)에 의존합니다. 도메인에 가입된 환경에서는 CredSSP가 세션이 설정되기 전에 계정을 검증하기 위해 Active Directory와 통신합니다. 독립형 또는 작업 그룹 호스트에서는 CredSSP가 원격 로그온을 위해 구성된 로컬 계정을 검증합니다.

NLA의 주요 이점은 다음과 같습니다:

  • 노출된 RDP 엔드포인트에 대한 무차별 대입 및 서비스 거부 공격의 창을 줄이기
  • 활성화 싱글 사인온 도메인 사용자를 위한 (SSO), 사용자 경험 향상
  • 세션 생성 전에 인증을 수행하여 성능 향상

그러나 NLA는 OS 버전 및 패치에 민감합니다. TLS 구성 및 도메인 상태. 이러한 전제 조건 중 하나라도 실패하면 NLA는 유효한 연결을 완전히 차단할 수 있습니다.

RDP에서 NLA 오류의 일반적인 증상은 무엇인가요?

NLA 관련 문제는 근본 원인에 관계없이 유사한 메시지로 나타나는 경우가 많습니다. 다음과 같은 상황에서 NLA 문제에 직면할 가능성이 높습니다:

  • 원격 컴퓨터는 네트워크 수준 인증(NLA)을 요구하지만, 귀하의 컴퓨터는 이를 지원하지 않습니다.
  • 인증 오류가 발생했습니다. 요청한 기능은 지원되지 않습니다.
  • “CredSSP 암호화 오라클 수정 오류.”
  • 귀하의 자격 증명이 작동하지 않았습니다.
  • 초기 RDP 핸드셰이크 중 또는 자격 증명을 입력한 직후의 시간 초과 또는 갑작스러운 연결 끊김

이러한 증상은 도메인에 가입된 호스트와 독립 실행형 호스트 모두에 영향을 미칠 수 있습니다. 실제로, 이들은 종종 일치하지 않는 보안 정책, 차단된 도메인 컨트롤러 접근 또는 양쪽의 구식 RDP 구성 요소로 인해 발생합니다.

RDP에서 NLA 오류의 원인은 무엇인가요?

일반적인 근본 원인을 이해하면 문제를 신속하게 해결하고 NLA를 영구적으로 비활성화하는 것과 같은 위험한 우회 방법을 피할 수 있습니다.

  • 클라이언트 또는 서버 OS 호환성 문제
  • 도메인 컨트롤러에 연결할 수 없음
  • CredSSP 패치 불일치
  • TLS 또는 RDP 암호화 잘못 구성
  • 그룹 정책 또는 레지스트리 충돌
  • 손상된 사용자 프로필 또는 자격 증명
  • 워크그룹 및 비도메인 시나리오

클라이언트 또는 서버 OS 호환성 문제

구버전 Windows 또는 서드파티 RDP 클라이언트는 NLA 또는 현대 CredSSP 동작을 완전히 지원하지 않을 수 있습니다. 예를 들어, 구형 Windows XP 또는 초기 Vista 빌드는 특정 업데이트 없이 NLA가 적용된 서버에 연결할 수 없습니다. 지원되는 시스템에서도 구식 RDP 클라이언트 바이너리는 OS가 명목상 지원하더라도 "귀하의 컴퓨터는 NLA를 지원하지 않습니다"라는 오류를 발생시킬 수 있습니다.

도메인 컨트롤러에 연결할 수 없음

도메인에 가입된 환경에서 NLA는 자격 증명을 검증하고 기계의 보안 채널을 유지하기 위해 도메인 컨트롤러에 도달하는 데 의존합니다. 도메인 컨트롤러가 오프라인이거나 차단된 경우, 방화벽 신뢰 문제로 인해 서버 자체는 작동 중이더라도 NLA 인증이 실패할 수 있습니다. 도메인 컨트롤러 연결 또는 일반적인 "인증 오류가 발생했습니다"라는 메시지를 언급하는 오류를 자주 볼 수 있습니다.

CredSSP 패치 불일치

2018년 “암호화 오라클 수정” 업데이트부터 CredSSP는 자격 증명이 보호되는 방식에 대해 더 엄격해졌습니다. 클라이언트가 업데이트를 받았지만 서버가 그렇지 않거나 그 반대의 경우, 두 엔드포인트는 안전한 구성에 대해 동의하지 않을 수 있습니다. 이 불일치는 “CredSSP 암호화 오라클 수정” 오류를 발생시킬 수 있으며, 양쪽 모두 패치되거나 그룹 정책이 조정될 때까지 NLA 로그온을 방지합니다.

TLS 또는 RDP 암호화 잘못 구성

NLA는 자격 증명 교환을 보호하기 위해 전송 계층 보안(TLS)에 의존합니다. TLS 1.0/1.1이 비활성화되고 TLS 1.2가 올바르게 활성화되지 않거나 약한 암호 모음이 적용되면 클라이언트와 서버 간의 핸드셰이크가 NLA가 완료되기 전에 실패할 수 있습니다. 사용자 지정 보안 강화, FIPS 모드 또는 잘못 구성된 인증서는 NLA를 중단시킬 수 있지만 NLA 없이 표준 RDP는 여전히 일부 조건에서 작동할 수 있습니다.

그룹 정책 또는 레지스트리 충돌

그룹 정책 개체(GPO)와 로컬 보안 정책은 RDP, CredSSP 및 암호화의 동작 방식을 제어합니다. 상충되거나 지나치게 엄격한 정책은 클라이언트가 지원하지 않거나 클라이언트가 사용할 수 없는 FIPS 준수 알고리즘을 요구하는 시나리오에서 NLA를 강제할 수 있습니다. SCHANNEL 또는 CredSSP에 대한 레지스트리 재정의는 유사한 불일치를 초래할 수 있으며, 이로 인해 "요청된 기능이 지원되지 않습니다"와 같은 일반적인 오류가 발생할 수 있습니다.

손상된 사용자 프로필 또는 자격 증명

가끔 문제는 단일 사용자 또는 기계로 한정됩니다. 손상된 캐시 자격 증명, 잘못 정렬된 보안 식별자 (SID) 또는 손상된 Default.rdp 파일은 모두 NLA 인증에 방해가 될 수 있습니다. 이러한 경우, 다른 사용자가 동일한 장치에서 로그인할 수 있거나 동일한 사용자가 다른 클라이언트에서 로그인할 수 있지만, 두 사용자가 함께 로그인할 수는 없습니다.

워크그룹 및 비도메인 시나리오

NLA는 사용자 신원이 강력하게 인증될 수 있는 환경을 가정하며, 일반적으로 Active Directory를 통해 이루어집니다. 작업 그룹 시스템에서는 로컬 계정을 신중하게 구성해야 하며 Remote Desktop을 통해 로그인할 수 있는 권한이 있어야 합니다. NLA가 적용되지만 도메인 컨트롤러가 없거나 로컬 계정 설정이 올바르지 않은 경우, 서버에 접근할 수 있는 것처럼 보이더라도 NLA 관련 오류가 발생할 가능성이 높습니다.

RDP에서 NLA 오류를 수정하는 방법은?

다음 단계를 순서대로 사용하세요. 가장 덜 침해적인 방법에서 가장 침해적인 방법으로 진행합니다. 이 접근 방식은 가능한 한 보안을 유지하면서 접근을 복원하는 데 도움이 됩니다.

  • 클라이언트 및 서버에서 NLA 지원 확인
  • 도메인 컨트롤러에 대한 연결 확인 (해당되는 경우)
  • CredSSP 패치 수준 및 정책 정렬
  • 필수 TLS 프로토콜 활성화 및 검증
  • 그룹 정책 검토 및 조정
  • NLA를 일시적으로 비활성화하여 액세스를 복구합니다.
  • RDP 클라이언트 및 네트워크 구성 재설정

클라이언트 및 서버에서 NLA 지원 확인

먼저, 두 엔드포인트가 NLA를 지원하는지 확인하십시오.

  • 실행 윈도우 버전 클라이언트와 서버 모두가 Windows Vista / Windows Server 2008 이상인지 확인합니다.
  • 최신 원격 데스크톱 클라이언트 업데이트가 설치되어 있는지 확인하십시오(Windows 업데이트 또는 비 Windows 플랫폼의 Microsoft 원격 데스크톱 앱을 통해).
  • 타사 RDP 클라이언트를 사용하는 경우, NLA 지원이 클라이언트 설정에 명시적으로 문서화되어 있고 활성화되어 있는지 확인하십시오.

NLA를 지원하지 않는 쪽이 있다면, 보안을 전 세계적으로 약화시키기보다는 해당 구성 요소를 업그레이드하거나 교체할 계획을 세우십시오.

도메인 컨트롤러에 대한 연결 확인 (해당되는 경우)

도메인에 가입된 컴퓨터에서 RDP 설정을 변경하기 전에 도메인 연결을 확인하십시오.

  • 도메인 컨트롤러에 대한 기본 네트워크 도달 가능성 테스트 (예: ping dc01.yourdomain.com ).
  • 사용하다 nltest /dsgetdc:yourdomain.com 클라이언트가 도메인 컨트롤러를 찾을 수 있음을 확인하기 위해.
  • PowerShell에서 실행하십시오. Test-ComputerSecureChannel 기계의 도메인에 대한 보안 채널을 확인합니다.

보안 채널이 끊어진 경우, 다음으로 수리하십시오: 

Test-ComputerSecureChannel -Repair -Credential (Get-Credential)

수리 후, 메시지가 표시되면 기계를 재부팅한 다음 NLA를 다시 테스트하십시오. 도메인 접근을 간헐적으로 차단할 수 있는 DNS 잘못 구성, 방화벽 규칙 또는 VPN 문제를 해결하십시오.

CredSSP 패치 수준 및 정책 정렬

다음으로 클라이언트와 서버 모두 현재 보안 업데이트가 적용되어 있는지 확인하십시오. 특히 CredSSP와 관련된 업데이트입니다.

  • 모든 중요 및 보안 업데이트를 두 엔드포인트에 설치하십시오.
  • 그룹 정책이 “암호화 오라클 수정”을 구성하는 데 사용되었는지 확인하십시오:
    컴퓨터 구성 → 관리 템플릿 → 시스템 → 자격 증명 위임 .

테스트 환경에서 임시로 정책을 보다 관대한 값으로 설정하여 엄격한 설정이 실패를 초래하고 있는지 확인할 수 있습니다. 운영 환경에서는 장기적인 해결책으로 모든 시스템을 일관된 패치 수준으로 맞추는 것이 좋으며, 정책을 영구적으로 완화하는 것은 피해야 합니다.

필수 TLS 프로토콜 활성화 및 검증

TLS 1.2가 지원되고 활성화되어 있는지 확인하십시오. 많은 환경에서 이제 이전 TLS 버전을 비활성화합니다.

Windows Server에서 레지스트리의 SCHANNEL 설정을 확인하십시오: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

TLS 1.2 클라이언트 지원을 위해 확인하십시오: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client

"Enabled"=dword:00000001

서버 측 TLS 1.2 키를 조정해야 할 수도 있으며, 그런 다음 서버 또는 최소한 원격 데스크톱 서비스를 재시작해야 합니다. 또한 RDP 인증서가 유효하고 신뢰할 수 있으며 더 이상 사용되지 않는 서명을 사용하지 않는지 확인하십시오.

그룹 정책 검토 및 조정

그룹 정책은 종종 NLA 시행 및 RDP 보안 구성이 정의되는 곳입니다.

열다 gpedit.msc (또는 해당 GPMC 객체)로 이동하여:

컴퓨터 구성 → Windows 설정 → 보안 설정 → 로컬 정책 → 보안 옵션

특히 확인하십시오:

  • “원격 연결을 위해 네트워크 수준 인증을 사용하여 사용자 인증을 요구합니다.”
  • FIPS 준수 알고리즘을 강제하거나 암호화 유형을 제한하는 모든 정책

NLA 시행이 귀하의 클라이언트가 처리할 수 있는 것과 일치하는지 확인하십시오. 액세스를 복원하기 위해 정책을 완화하는 경우 변경 사항을 문서화하고 약한 설정을 무기한 유지하는 대신 기본 클라이언트 문제를 수정할 시간을 예약하십시오.

NLA를 일시적으로 비활성화하여 액세스를 복구합니다.

중요한 서버에 대한 모든 원격 액세스를 잃어버린 경우, NLA를 일시적으로 끄는 것이 필요한 최후의 수단이 될 수 있습니다.

당신은 할 수 있습니다:

  • 네트워킹이 포함된 안전 모드로 부팅하고 원격 데스크톱 설정을 조정하거나
  • 복구 미디어를 사용하여 부팅하고, 시스템 하이브를 로드한 다음, 레지스트리에서 RDP-Tcp 키를 편집합니다.

설정: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

"UserAuthentication"=dword:00000000

이것은 RDP 리스너에 대한 NLA를 비활성화합니다. 액세스를 복구한 후, 근본 원인(도메인 연결, 패치, TLS 또는 정책)을 수정한 다음, 값을 1로 복원하여 NLA를 다시 활성화하십시오. NLA를 장기적으로 비활성화하면 무차별 대입 및 악용 시도에 대한 노출이 크게 증가합니다.

RDP 클라이언트 및 네트워크 구성 재설정

특정 클라이언트 장치에 NLA 문제가 고립된 것으로 보이면 서버 정책을 변경하기 전에 로컬 재설정을 수행하십시오.

  • 삭제하십시오 Default.rdp 파일 내에서 %userprofile%\Documents 캐시된 설정을 지우기 위해.
  • Windows 자격 증명 관리자에서 저장된 자격 증명을 제거한 후 다시 추가하십시오.
  • TCP 3389(또는 사용자 지정 RDP 포트)가 로컬 방화벽 및 중간 네트워크 장치를 통해 허용되는지 확인하십시오.
  • 다른 클라이언트에서 동일한 네트워크로 테스트하여 문제가 클라이언트 특정인지 아니면 더 광범위한 것인지 확인하십시오.

이 간단한 위생 단계는 종종 RDP 클라이언트에서 손상된 캐시 자격 증명 또는 잘못 적용된 디스플레이 및 보안 옵션과 관련된 문제를 해결합니다.

미래에 NLA 오류를 피하기 위한 모범 사례는 무엇인가요?

즉각적인 문제가 해결되면, NLA가 안전하고 신뢰할 수 있도록 환경을 강화하십시오.

  • 운영 체제 및 RDP 클라이언트를 최신 상태로 유지하십시오.
  • 도메인 및 아이덴티티 상태 모니터링
  • GPO를 통해 RDP 및 NLA 정책 표준화
  • 이벤트 로그 및 보안 모니터링 활성화
  • RDP를 안전한 진입 지점 뒤에 격리하십시오.

운영 체제 및 RDP 클라이언트를 최신 상태로 유지하십시오.

서버와 엔드포인트 모두에 대해 표준 패치 주기를 유지하십시오. 지원되는 Windows 버전에 맞추고 이전의 패치되지 않은 클라이언트를 프로덕션에 남기지 않도록 하십시오. 일관된 업데이트 기준선은 일반적으로 NLA를 중단시키는 CredSSP 및 TLS 불일치를 줄입니다.

도메인 및 아이덴티티 상태 모니터링

도메인에 가입된 시스템의 경우 도메인 컨트롤러 상태를 RDP 스택의 일부로 간주하십시오. [다음과 같은 도구를 사용하십시오] dcdiag , repadmin 도메인 컨트롤러 이벤트 로그와 도메인 복제 또는 DNS 문제를 조기에 포착합니다. 간헐적인 도메인 실패는 사용자가 다른 증상을 인지하기 훨씬 이전에 RDP 및 NLA 문제로 나타날 수 있습니다.

GPO를 통해 RDP 및 NLA 정책 표준화

당신의 정의 RDP 암호화, NLA 시행 및 CredSSP 정책을 중앙에서 관리합니다. 장치 역할에 따라 OU 또는 보안 그룹별로 적용합니다. 예를 들어, 프로덕션 서버와 테스트 실험실을 구분합니다. 표준화는 구성 편차를 줄이고 문제가 발생할 때 문제 해결을 훨씬 더 빠르게 만듭니다.

이벤트 로그 및 보안 모니터링 활성화

RDP 호스트에서 이벤트 뷰어 모니터링, 특히:

  • Windows 로그 → 보안
  • Windows 로그 → 시스템
  • 응용 프로그램 및 서비스 로그 → Microsoft → Windows → TerminalServices

반복된 실패한 로그인, TLS 핸드셰이크 실패 또는 CredSSP 오류를 가능한 경우 SIEM과 연관시킵니다. 이 모니터링은 구성 문제와 활성 공격을 구별하는 데 도움이 됩니다.

RDP를 안전한 진입 지점 뒤에 격리하십시오.

NLA가 있더라도 RDP를 인터넷에 직접 노출하는 것은 높은 위험을 동반합니다. RDP를 안전한 게이트웨이, VPN 또는 ZTNA 스타일의 프록시 뒤에 배치하십시오. 가능한 경우 MFA를 추가하십시오. TSplus Advanced Security와 같은 도구는 사용자가 연결하는 위치, 시간 및 방법을 추가로 제한하여 NLA 관련 사건이 서버에 도달할 확률을 줄일 수 있습니다.

TSplus 고급 보안으로 RDP 보안 강화

NLA는 RDP 위험 방정식의 일부만 해결합니다. TSplus 고급 보안 Windows 서버와 원격 데스크톱 주위에 추가적인 방어 계층을 추가하여 전체 VDI 스택의 복잡성 없이 보호합니다. 동적 브루트포스 보호, IP 및 국가 기반 제한, 근무 시간 정책, 애플리케이션 수준 접근 규칙과 같은 기능이 공격자를 차단하는 동시에 합법적인 사용자가 생산성을 유지하도록 돕습니다.

RDP에 의존하지만 더 강력하고 간단한 보안 제어를 원하는 조직을 위해 NLA와 결합하여 TSplus 고급 보안 원격 액세스를 강화하고 사고 대응 작업 부담을 줄이는 실용적인 방법을 제공합니다.

결론

RDP에서 NLA 오류는 특히 환경에 명백한 변화 없이 발생할 때 실망스럽습니다. 실제로 이러한 오류는 거의 항상 OS 버전, 도메인 연결, CredSSP 패치, TLS 구성 또는 보안 정책의 특정 문제를 가리킵니다. 구조화된 체크리스트를 통해 작업함으로써 위험한 영구적인 우회 방법에 의존하지 않고 안전한 액세스를 복원할 수 있습니다.

NLA를 선택적 기능이 아닌 기본 보안 제어로 간주하십시오. 전체 원격 액세스 태세의 일환으로 이를 활성화하고, 검증하고, 모니터링하십시오. 비활성화해야 할 경우, 피해 범위를 제한하고, 근본적인 문제를 해결한 후 가능한 한 빨리 NLA를 다시 켜십시오.

공유:

Facebook 트위터 LinkedIn

당신의 TSplus 팀

추가 읽기

back to top of the page icon