다음을 통해 공유

SMB2 및 SMB3에서 안전하지 않은 게스트 로그온을 사용하도록 설정하는 방법

  • 아티클

이 문서에서는 SMB(서버 메시지 블록) 안전하지 않은 게스트 로그온 기본 동작, 게스트 액세스를 사용하도록 설정할 수 있는 이유 및 그룹 정책 및 PowerShell을 사용하여 SMB 클라이언트에 사용하도록 설정하는 방법을 설명합니다.

Windows 2000 이후 Windows는 인바운드 게스트 액세스를 사용하지 않도록 설정했으며 Windows 10 이후 SMB2 및 SMB3 클라이언트 게스트 인증을 차단했습니다. 그러나 사용자 이름 및 암호를 지원하지 않는 타사 디바이스에 연결할 때는 게스트 자격 증명이 여전히 필요할 수 있습니다. 게스트 인증만 지원하는 타사 소프트웨어 또는 디바이스를 업그레이드하거나 교체하는 것이 좋습니다.

기본 동작

Windows 10 버전 1709 및 Windows Server 2019부터 SMB2 및 SMB3 클라이언트는 기본적으로 다음 작업을 더 이상 허용하지 않습니다.

  • 원격 서버에 대한 게스트 계정 액세스.
  • 잘못된 자격 증명이 제공된 후 게스트 계정으로 대체합니다.

SMB2 및 SMB3은 다양한 버전의 Windows에 대해 다음과 같은 동작을 수행합니다.

  • 기본적으로 게스트 자격 증명은 원격 서버에서 요청한 경우에도 Windows 10 Enterprise, Windows 10 Pro for Workstations 및 Windows 10 Education의 원격 공유에 연결하는 데 사용할 수 없습니다.

  • 원격 공유에 연결하기 위해 게스트 자격 증명을 사용하는 것은 원격 서버에서 요청한 경우에도 Windows Server 2019 Datacenter 및 Standard 버전에서 기본적으로 더 이상 허용되지 않습니다.

  • Windows 10 Home 및 Pro 버전에서는 이전과 마찬가지로 게스트 인증을 기본적으로 사용할 수 있습니다.

  • Windows 11 Pro Insider Preview 빌드 25267 및 모든 후속 빌드에서는 원격 서버에서 요청한 경우에도 게스트 자격 증명을 사용하여 기본적으로 원격 공유에 연결할 수 없습니다.

  • SMB 서명은 기본적으로 Windows 11 Insiders, Windows Server Insiders Preview 및 이후 빌드에 필요하며 서명이 성공하지 못하면 게스트 인증과 호환성 문제가 발생합니다.

참고 항목

이 동작은 KB5003173 설치된 경우 1709, 1803, 1903, 1909, 2004, 20H2 및 21H1을 포함하여 다양한 버전의 Windows 10에 있습니다.

게스트 로그온을 사용하도록 설정하는 이유

사용자가 서버의 리소스에 액세스해야 하지만 서버에서 사용자 계정을 제공하지 않고 게스트 액세스만 제공하는 경우 게스트 로그온을 사용하도록 설정해야 할 수 있습니다.

주의

게스트 로그온을 사용하도록 설정하면 다음과 같은 보안 위협이 발생할 수 있습니다.

  • 공격자가 자격 증명 오류 또는 프롬프트를 생성하지 않고 스푸핑된 악성 서버에 연결하도록 사용자를 속입니다.
  • 게스트 로그온을 통해 랜섬웨어와 같은 악성 코드 실행
  • 게스트 로그온은 네트워크에서 중요한 데이터를 노출할 수 있는 악의적인 중간 공격에 취약합니다.

따라서 필요한 특정 상황에서만 게스트 로그온을 사용하도록 설정하는 것이 좋습니다. Windows는 기본적으로 안전하지 않은 게스트 로그온을 사용하지 않도록 설정합니다. 안전하지 않은 게스트 로그온을 사용하지 않는 것이 좋습니다.

필수 조건

SMB 클라이언트에 대한 안전하지 않은 게스트 로그온 수정을 시작하기 전에 다음이 필요합니다.

  • Administrators 그룹의 구성원이거나 해당하는 계정입니다.

  • 다음 운영 체제 중 하나에서 실행되는 SMB 클라이언트:

    • Windows 10 이상.

    • Windows Server 2019 이상

안전하지 않은 게스트 로그온에 대한 감사를 사용하도록 설정하려는 경우 SMB 클라이언트가 다음 운영 체제 중 하나에서 실행되고 있어야 합니다.

  • Windows 11 Insider Preview 빌드 25267 이상.
  • Windows Server Insider Preview 빌드 25991 이상.

안전하지 않은 게스트 로그온 사용

그룹 정책 또는 PowerShell을 통해 안전하지 않은 게스트 로그온을 사용하도록 설정할 수 있습니다.

참고 항목

Active Directory 도메인 기반 그룹 정책을 수정해야 하는 경우 그룹 정책 관리(gpmc.msc)를 사용합니다.

  1. 시작을 선택하고 gpedit.msc를 입력한 다음 그룹 정책 편집을 선택합니다.
  2. 로컬 컴퓨터 정책 아래의 왼쪽 창에서 컴퓨터 구성\관리 템플릿\네트워크\Lanman 워크스테이션으로 이동합니다.
  3. 안전하지 않은 게스트 로그온 사용, [사용], [확인]을 선택합니다.

게스트 로그온을 사용하려면 그룹 정책에서 SMB 서명 및 SMB 암호화 정책을 모두 사용하지 않도록 설정해야 합니다. 이렇게 하면 잠재적으로 클라이언트의 보안이 손상되고 사용자가 자격 증명 도난 및 릴레이 공격에 노출될 수 있습니다.

참고 항목

게스트 로그온은 SMB 클라이언트가 게스트 로그온을 허용하도록 설정된 경우에도 SMB 서명 및 SMB 암호화와 같은 표준 보안 기능을 지원하지 않습니다.

안전하지 않은 게스트 로그온 감사

안전하지 않은 게스트 로그온 정책을 사용하도록 설정하면 이러한 이벤트가 이벤트 뷰어 캡처됩니다. 이러한 로그를 검토하려면 다음 단계를 수행합니다.

  1. 시작을 마우스 오른쪽 단추로 클릭하고 이벤트 뷰어 선택합니다.
  2. 왼쪽 창에서 애플리케이션 및 서비스 로그\Microsoft\Windows\SMBClient\Security로 이동합니다.

가운데 창에서 이러한 이벤트에 대한 다음 정보를 검토할 수 있습니다.

이벤트 ID 출력
3023 로그 이름: Microsoft-Windows-SmbServer/Security
원본: Microsoft-Windows-SMBServer
기록됨: 날짜/시간
작업 범주: InsecureGuestLogon
수준: 정보 제공
키워드: 인증
사용자: SYSTEM
컴퓨터:

설명: SMB 클라이언트가 게스트 계정으로 로그온되었습니다.
31017 로그 이름: Microsoft-Windows-SmbClient/Security
출처: Microsoft-Windows-SMBClient
기록됨: 날짜/시간
작업 범주: RejectedInsecureGuestAuth
수준: 오류
키워드: 인증
사용자: NETWORK SERVICE
컴퓨터:

설명: 안전하지 않은 게스트 로그온을 거부했습니다. 컴퓨터가 안전하지 않은 게스트 로그온을 사용하여 서버에 연결하려고 했습니다. 서버에서 연결을 거부했습니다. 게스트 계정이 서버에서 사용하도록 설정되고 네트워크에서 액세스를 허용하도록 구성되었는지 확인합니다.
31018 로그 이름: Microsoft-Windows-SmbClient/Security
출처: Microsoft-Windows-SMBClient
기록됨: 날짜/시간
작업 범주: InsecureGuestAuthEnabled
수준: 경고
키워드: 인증
사용자: NETWORK SERVICE
컴퓨터:

설명: 관리자가 AllowInsecureGuestAuth를 사용하도록 설정했습니다. 안전하지 않은 게스트 로그온을 사용하는 클라이언트는 공격자-중간, 피싱 및 맬웨어에 더 취약합니다.
31022 로그 이름: Microsoft-Windows-SmbClient/Security
출처: Microsoft-Windows-SMBClient
기록됨: 날짜/시간
작업 범주: AllowedInsecureGuestAuth
수준: 경고
키워드: 인증
사용자: SYSTEM
컴퓨터:

설명: 안전하지 않은 게스트 로그온이 허용되었습니다. 이 이벤트는 서버가 사용자를 인증되지 않은 게스트로 로그온하려고 시도했으며 클라이언트에서 허용되었음을 나타냅니다.

사용자 이름: nonexistantaccount
서버 이름: