Windows에서 암호화를 요구하도록 SMB 클라이언트 구성(미리 보기)
적용 대상: Windows 참가자 빌드 및 Windows Server 2025(미리 보기)
Important
Windows 참가자 및 Windows Server 2025는 미리 보기로 제공됩니다. 이 정보는 릴리스되기 전에 상당히 수정될 수 있는 시험판 제품과 관련이 있습니다. Microsoft는 여기에 제공된 정보와 관련하여 명시적이거나 묵시적인 어떠한 보증도 하지 않습니다.
Windows 11 Insider Preview 빌드 25982(카나리아 채널) 및 Windows Server 2025부터 SMB 클라이언트는 모든 아웃바운드 SMB 연결의 암호화를 요구하도록 지원합니다. 관리자는 모든 대상 서버가 SMB 3.0 이상을 사용하여 암호화를 지원하도록 요구할 수 있습니다. 이 문서에서는 모든 아웃바운드 연결에 대해 암호화를 요구하도록 SMB 클라이언트를 구성하는 방법을 알아봅니다.
모든 아웃바운드 SMB 클라이언트 연결을 암호화하면 최고 수준의 네트워크 보안이 적용되고 SMB 서명에 대한 관리 패리티가 제공되므로 클라이언트 및 서버 요구 사항을 모두 사용할 수 있습니다. 사용하도록 설정하면 SMB 클라이언트가 SMB 3.0 이상을 지원하지 않거나 SMB 암호화를 지원하지 않는 SMB 서버에 연결되지 않습니다. 예를 들어 타사 SMB 서버는 SMB 3.0을 지원하지만 SMB 암호화는 지원하지 않을 수 있습니다.
SMB 암호화는 가로채기 공격 및 스누핑으로부터 SMB 데이터 엔드 투 엔드 보호를 제공합니다. SMB 클라이언트는 이 문서에 설명된 대로 매핑된 드라이브당, UNC 강화 또는 컴퓨터별 설정에서 암호화를 요구할 수 있습니다. SMB 서버는 공유 단위 또는 전체 파일 서버에 대해 SMB 암호화를 요구할 수도 있습니다. SMB 서버 및 UNC 강화에 대한 SMB 암호화에 대한 자세한 내용은 SMB 암호화를 참조하세요.
필수 조건
암호화가 필요하도록 SMB 클라이언트를 구성하려면 다음이 필요합니다.
- 다음 운영 체제 중 하나에서 실행되는 SMB 클라이언트입니다.
- Windows 11 Insider Preview 빌드 25982 이상.
- Windows Server 2025.
- 컴퓨터에 대한 관리 권한입니다.
- 도메인에서 그룹 정책을 사용하는 경우 GPO(그룹 정책 개체)를 만들거나 편집하고 적절한 OU(조직 구성 단위)에 연결할 수 있는 권한이 필요합니다.
그룹 정책을 사용하여 SMB 암호화 위임 구성
서버, 공유, UNC 강화 또는 매핑된 드라이브 요구 사항에 관계없이 항상 암호화를 요구하도록 SMB 클라이언트를 구성할 수 있습니다. 관리자는 모든 연결에서 Windows 컴퓨터에서 SMB 암호화(따라서 SMB 3.x)를 사용하도록 전역적으로 강제 적용할 수 있으며, SMB 서버가 지원하지 않는 경우 연결을 거부할 수 있습니다.
팁
SMB 암호화에는 성능 및 호환성 오버헤드가 관련되어 있습니다. SMB 서명은 성능 및 변조 방지 기능을 향상하지만 스누핑 보호를 제공하지는 않습니다. 암호화 및 서명을 완전히 포기하면 최상의 성능을 제공하지만 물론 연결 권한 부여 및 사전 인증 무결성 보호 이외의 보안은 제공하지 않습니다. SMB 암호화는 SMB 서명을 대체하고 동일한 수준의 변조 방지를 제공합니다. SMB 클라이언트에 서명이 필요한 경우 SMB 암호화가 해제됩니다.
그룹 정책 또는 PowerShell을 사용하여 아웃바운드 연결에 대한 암호화를 요구하도록 SMB 클라이언트를 구성할 수 있습니다.
그룹 정책을 사용하여 모든 아웃바운드 연결에 대한 암호화를 요구하도록 SMB 클라이언트를 구성하는 방법은 다음과 같습니다.
모든 SMB 서버(즉, 아웃바운드 연결의 경우)에 필요한 암호화를 위해 SMB 클라이언트를 구성하려면 다음을 수행합니다.
- 열기는 그룹 정책 관리 콘솔합니다.
- 사용하려는 GPO(그룹 정책 개체)를 편집하거나 만듭니다.
- 콘솔 트리에서 컴퓨터 구성 > 관리 템플릿 네트워크 > Lanman 워크스테이 > 션을 선택합니다.
- 설정의 경우 암호화 필요를 마우스 오른쪽 단추로 클릭하고 편집을 선택합니다.
- [사용]을 선택하고 [확인]을 선택합니다.
정책을 사용하지 않도록 설정하거나 구성하지 않으면 암호화 요구 사항이 제거됩니다.
Important
조직 전체에서 SMB 암호화를 배포할 때는 주의해야 합니다. Windows Server 2008 R2와 같은 레거시 SMB 서버는 SMB 3.0을 지원하지 않습니다. 경우에 따라 이전 타사 SMB 서버는 SMB 3.0을 지원할 수 있지만 암호화를 지원하지 않을 수도 있습니다.