Microsoft Defender Credential Guard 하드웨어 요구 사항

Microsoft Defender Credential Guard는 가상화 기반 보안을 사용하여 비밀(예: NTLM 암호 해시 및 Kerberos Ticket Granting Ticket)을 격리하고 보호하여 통과 해시 또는 티켓 전달(PtH) 공격을 차단합니다. Microsoft Defender Credential Guard를 사용하면 NTLMv1, MS-CHAPv2, Digest 및 CredSSP가 로그온 자격 증명을 사용할 수 없습니다. 따라서 이러한 프로토콜에서는 Single Sign-On이 작동하지 않습니다. 그러나 애플리케이션은 자격 증명을 묻는 메시지를 표시할 수 있으며 Windows Vault에 저장된 Microsoft Defender Credential Guard의 보호를 받지 않는 자격 증명과 함께 이러한 프로토콜을 사용할 수 있습니다.

로그온 자격 증명과 같은 중요한 자격 증명은 이러한 프로토콜과 함께 사용하지 않는 것이 좋습니다. 도메인 또는 Azure AD 사용자가 이러한 프로토콜을 사용해야 하는 경우 해당 사용 사례를 위해 보조 자격 증명을 프로비전해야 합니다.

Microsoft Defender Credential Guard를 사용하면 Kerberos에서는 로그온 자격 증명 및 프롬프트를 통한/저장된 자격 증명에 대해 제약이 없는 Kerberos 위임 또는 DES 암호화를 허용하지 않습니다.

참고: Windows 10 버전 1709 및 Windows Server 버전 1709부터 BIOS를 통해 플랫폼에 Intel TXT 또는 SGX가 사용하도록 설정되면 HCVI(Hypervisor-Protected Code Integrity) 및 Credential Guard는 영향을 받지 않으며 예상대로 작동합니다. BIOS를 통해 플랫폼에 Intel TXT 또는 SGX가 사용하도록 설정되면 HVCI 및 Credential Guard는 이전 버전의 Windows에서 지원되지 않습니다.

Microsoft Defender Credential Guard가 무엇이고 어떤 공격으로부터 보호하는지 더 잘 이해하려면 Credential Guard에 대한 심층 분석을 참조하세요.

IT 전문가: 엔터프라이즈에서 Microsoft Defender Credential Guard를 배포하는 방법을 알아보려면 Credential Guard를 사용하여 파생된 도메인 자격 증명 보호를 참조하세요.

디바이스가 WHCR(Windows 하드웨어 호환성 요구 사항)에 지정된 대로 Microsoft Defender Credential Guard를 지원하려면 OEM에서 다음과 같은 하드웨어, 소프트웨어 또는 펌웨어 기능을 제공해야 합니다.

요구 사항	세부 정보
보안 부팅	하드웨어 기반 보안 부팅이 지원되어야 합니다. 자세한 내용은 보안 부팅을 참조하세요.
보안 부팅 구성 및 관리	제조 시 보안 부팅 데이터베이스에 ISV, OEM 또는 Enterprise 인증서를 추가할 수 있어야 합니다. 보안 부팅 데이터베이스에서 Microsoft UEFI CA를 제거해야 합니다. 타사 UEFI 모듈에 대한 지원이 허용되지만 특정 UEFI 소프트웨어의 OEM 인증서 또는 ISV에서 제공한 인증서를 활용해야 합니다.
보안 펌웨어 업데이트 프로세스	UEFI 소프트웨어와 마찬가지로 UEFI 펌웨어에도 보안 취약성이 있을 수 있습니다. 펌웨어 업데이트를 통해 이러한 취약성이 발견되면 즉시 패치할 수 있는 기능이 있어야 합니다. UEFI 펌웨어는 System.Fundamentals.Firmware.UEFISecureBoot에서 Windows 10용 시스템의 하드웨어 호환성 사양에 따라 보안 펌웨어 업데이트를 지원해야 합니다.
UEFI(United Extensible Firmware Interface)	자세한 내용은 UEFI(United Extensible Firmware Interface) 펌웨어 요구 사항을 참조하세요.
VBS(가상화 기반 보안)	하이퍼바이저로 보호된 코드 무결성을 위해서는 VBS가 필요합니다. VBS(가상화 기반 보안)를 읽고 VBS에 대해 자세히 알아볼 수 있습니다.

Hypervisor-Protected Code Integrity 및 Credential Guard 준비 도구

디바이스가 HVCI 및 Credential Guard를 실행할 수 있는지 확인하려면 HVCI 및 Credential Guard 하드웨어 준비 도구를 다운로드합니다.

관련 항목

• OEM을 위한 Windows 10 S 보안 기능 및 요구 사항
• VBS(가상화 기반 보안)
• Microsoft Defender Application Guard 하드웨어 요구 사항