다음을 통해 공유


정책 CSP - ADMX_CredSsp

이 CSP에는 사용하거나 사용하지 않도록 설정하기 위해 특별한 SyncML 형식이 필요한 ADMX 지원 정책이 포함되어 있습니다. SyncML의 데이터 형식을 로 <Format>chr</Format>지정해야 합니다. 자세한 내용은 ADMX 기반 정책 이해를 참조하세요.

SyncML의 페이로드는 XML로 인코딩되어야 합니다. 이 XML 인코딩의 경우 사용할 수 있는 다양한 온라인 인코더가 있습니다. 페이로드를 인코딩하지 않도록 MDM에서 지원하는 경우 CDATA를 사용할 수 있습니다. 자세한 내용은 CDATA 섹션을 참조하세요.

AllowDefaultCredentials

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ Windows 10, 버전 2004 및 KB5005101 [10.0.19041.1202] 이상
✅ Windows 10 버전 20H2 및 KB5005101 [10.0.19042.1202] 이상
✅ Windows 10 버전 21H1 및 KB5005101 [10.0.19043.1202] 이상
✅ Windows 11 버전 21H2 [10.0.22000] 이상
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowDefaultCredentials

이 정책 설정은 Cred SSP 구성 요소(예: 원격 데스크톱 연결)를 사용하는 애플리케이션에 적용됩니다.

이 정책 설정은 신뢰할 수 있는 X509 인증서 또는 Kerberos를 사용하여 서버 인증을 수행할 때 적용됩니다.

  • 이 정책 설정을 사용하도록 설정하면 사용자의 기본 자격 증명을 위임할 수 있는 서버를 지정할 수 있습니다(기본 자격 증명은 Windows에 처음 로그온할 때 사용하는 자격 증명임).

이 정책은 다음에 사용자가 Windows를 실행하는 컴퓨터에 로그온할 때 적용됩니다.

  • 이 정책 설정을 사용하지 않거나 구성하지 않으면(기본적으로) 기본 자격 증명 위임이 컴퓨터에 허용되지 않습니다. 이 위임 동작에 따라 애플리케이션이 인증에 실패할 수 있습니다. 자세한 내용은 KB를 참조하세요.

KB용 FWlink:

https://go.microsoft.com/fwlink/?LinkId=301508

참고

"기본 자격 증명 위임 허용" 정책 설정을 하나 이상의 SPN(서비스 사용자 이름)으로 설정할 수 있습니다. SPN은 사용자 자격 증명을 위임할 수 있는 대상 서버를 나타냅니다. SPN을 지정할 때 단일 와일드카드 문자의 사용이 허용됩니다.

예를 들어:

HOST.HUMANRESOURCES.FABRIKAM.COM 컴퓨터에서 실행되는 TERMSRV/host.humanresources.fabrikam.com 원격 데스크톱 세션 호스트입니다.

모든 컴퓨터에서 실행되는 TERMSRV/* 원격 데스크톱 세션 호스트입니다.

TERMSRV/*.humanresources.fabrikam.com .humanresources.fabrikam.com 모든 컴퓨터에서 실행되는 원격 데스크톱 세션 호스트입니다.

설명 프레임워크 속성:

속성 이름 속성 값
형식 chr (문자열)
액세스 유형 추가, 삭제, 가져오기, 바꾸기

ADMX 기반 정책이며 구성을 위해 SyncML 형식이 필요합니다. SyncML 형식의 예는 정책 사용을 참조하세요.

ADMX 매핑:

이름
이름 AllowDefaultCredentials
이름 기본 자격 증명 위임 허용
위치 컴퓨터 구성
경로 시스템 > 자격 증명 위임
레지스트리 키 이름 Software\Policies\Microsoft\Windows\CredentialsDelegation
레지스트리 값 이름 AllowDefaultCredentials
ADMX 파일 이름 CredSsp.admx

AllowDefCredentialsWhenNTLMOnly

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ Windows 10, 버전 2004 및 KB5005101 [10.0.19041.1202] 이상
✅ Windows 10 버전 20H2 및 KB5005101 [10.0.19042.1202] 이상
✅ Windows 10 버전 21H1 및 KB5005101 [10.0.19043.1202] 이상
✅ Windows 11 버전 21H2 [10.0.22000] 이상
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowDefCredentialsWhenNTLMOnly

이 정책 설정은 Cred SSP 구성 요소(예: 원격 데스크톱 연결)를 사용하는 애플리케이션에 적용됩니다.

이 정책 설정은 NTLM을 통해 서버 인증을 수행할 때 적용됩니다.

  • 이 정책 설정을 사용하도록 설정하면 사용자의 기본 자격 증명을 위임할 수 있는 서버를 지정할 수 있습니다(기본 자격 증명은 Windows에 처음 로그온할 때 사용하는 자격 증명임).

  • 이 정책 설정을 사용하지 않거나 구성하지 않으면(기본적으로) 기본 자격 증명 위임이 컴퓨터에 허용되지 않습니다.

참고

"NTLM 전용 서버 인증을 사용하여 기본 자격 증명 위임 허용" 정책 설정을 하나 이상의 SPN(서비스 사용자 이름)으로 설정할 수 있습니다. SPN은 사용자 자격 증명을 위임할 수 있는 대상 서버를 나타냅니다. SPN을 지정할 때 단일 와일드카드 문자의 사용이 허용됩니다.

예를 들어:

HOST.HUMANRESOURCES.FABRIKAM.COM 컴퓨터에서 실행되는 TERMSRV/host.humanresources.fabrikam.com 원격 데스크톱 세션 호스트입니다.

모든 컴퓨터에서 실행되는 TERMSRV/* 원격 데스크톱 세션 호스트입니다.

TERMSRV/*.humanresources.fabrikam.com .humanresources.fabrikam.com 모든 컴퓨터에서 실행되는 원격 데스크톱 세션 호스트입니다.

설명 프레임워크 속성:

속성 이름 속성 값
형식 chr (문자열)
액세스 유형 추가, 삭제, 가져오기, 바꾸기

ADMX 기반 정책이며 구성을 위해 SyncML 형식이 필요합니다. SyncML 형식의 예는 정책 사용을 참조하세요.

ADMX 매핑:

이름
이름 AllowDefCredentialsWhenNTLMOnly
이름 NTLM 전용 서버 인증을 사용하여 기본 자격 증명 위임 허용
위치 컴퓨터 구성
경로 시스템 > 자격 증명 위임
레지스트리 키 이름 Software\Policies\Microsoft\Windows\CredentialsDelegation
레지스트리 값 이름 AllowDefCredentialsWhenNTLMOnly
ADMX 파일 이름 CredSsp.admx

AllowEncryptionOracle

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ Windows 10, 버전 2004 및 KB5005101 [10.0.19041.1202] 이상
✅ Windows 10 버전 20H2 및 KB5005101 [10.0.19042.1202] 이상
✅ Windows 10 버전 21H1 및 KB5005101 [10.0.19043.1202] 이상
✅ Windows 11 버전 21H2 [10.0.22000] 이상
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowEncryptionOracle

암호화 Oracle 수정.

이 정책 설정은 CredSSP 구성 요소(예: 원격 데스크톱 연결)를 사용하는 애플리케이션에 적용됩니다.

일부 버전의 CredSSP 프로토콜은 클라이언트에 대한 암호화 oracle 공격에 취약합니다. 이 정책은 취약한 클라이언트 및 서버와의 호환성을 제어합니다. 이 정책을 사용하면 암호화 oracle 취약성에 대해 원하는 보호 수준을 설정할 수 있습니다.

이 정책 설정을 사용하도록 설정하면 다음 옵션에 따라 CredSSP 버전 지원이 선택됩니다.

강제 업데이트된 클라이언트: CredSSP를 사용하는 클라이언트 애플리케이션은 안전하지 않은 버전으로 대체될 수 없으며 CredSSP를 사용하는 서비스는 패치되지 않은 클라이언트를 허용하지 않습니다. 이 설정은 모든 원격 호스트가 최신 버전을 지원할 때까지 배포해서는 안 됩니다.

완화됨: CredSSP를 사용하는 클라이언트 애플리케이션은 안전하지 않은 버전으로 대체될 수 없지만 CredSSP를 사용하는 서비스는 패치되지 않은 클라이언트를 허용합니다. 패치가 적용되지 않은 나머지 클라이언트에 의해 발생하는 위험에 대한 중요한 정보는 아래 링크를 참조하세요.

취약: CredSSP를 사용하는 클라이언트 애플리케이션은 안전하지 않은 버전으로 대체를 지원하여 원격 서버를 공격에 노출하고 CredSSP를 사용하는 서비스는 패치되지 않은 클라이언트를 허용합니다.

보호에 대한 취약성 및 서비스 요구 사항에 대한 자세한 내용은 다음을 참조하세요. https://go.microsoft.com/fwlink/?linkid=866660

설명 프레임워크 속성:

속성 이름 속성 값
형식 chr (문자열)
액세스 유형 추가, 삭제, 가져오기, 바꾸기

ADMX 기반 정책이며 구성을 위해 SyncML 형식이 필요합니다. SyncML 형식의 예는 정책 사용을 참조하세요.

ADMX 매핑:

이름
이름 AllowEncryptionOracle
이름 암호화 Oracle 수정
위치 컴퓨터 구성
경로 시스템 > 자격 증명 위임
레지스트리 키 이름 Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters
ADMX 파일 이름 CredSsp.admx

AllowFreshCredentials

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ Windows 10, 버전 2004 및 KB5005101 [10.0.19041.1202] 이상
✅ Windows 10 버전 20H2 및 KB5005101 [10.0.19042.1202] 이상
✅ Windows 10 버전 21H1 및 KB5005101 [10.0.19043.1202] 이상
✅ Windows 11 버전 21H2 [10.0.22000] 이상
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowFreshCredentials

이 정책 설정은 Cred SSP 구성 요소(예: 원격 데스크톱 연결)를 사용하는 애플리케이션에 적용됩니다.

이 정책 설정은 신뢰할 수 있는 X509 인증서 또는 Kerberos를 통해 서버 인증을 수행할 때 적용됩니다.

  • 이 정책 설정을 사용하도록 설정하면 사용자의 새 자격 증명을 위임할 수 있는 서버를 지정할 수 있습니다(새 자격 증명은 애플리케이션을 실행할 때 묻는 메시지임).

  • 이 정책 설정을 구성하지 않으면(기본적으로) 적절한 상호 인증 후에 모든 컴퓨터에서 실행되는 원격 데스크톱 세션 호스트(TERMSRV/*)에 새 자격 증명 위임이 허용됩니다.

  • 이 정책 설정을 사용하지 않도록 설정하면 컴퓨터에서 새 자격 증명 위임이 허용되지 않습니다.

참고

"새 자격 증명 위임 허용" 정책 설정을 하나 이상의 SPN(서비스 사용자 이름)으로 설정할 수 있습니다. SPN은 사용자 자격 증명을 위임할 수 있는 대상 서버를 나타냅니다. SPN을 지정할 때 단일 와일드카드를 사용할 수 있습니다.

예를 들어:

TERMSRV/host.humanresources.fabrikam.com.

host.humanresources.fabrikam.com 컴퓨터에서 실행되는 원격 데스크톱 세션 호스트입니다.

모든 컴퓨터에서 실행되는 TERMSRV/* 원격 데스크톱 세션 호스트입니다.

TERMSRV/*.humanresources.fabrikam.com .humanresources.fabrikam.com 모든 컴퓨터에서 실행되는 원격 데스크톱 세션 호스트입니다.

설명 프레임워크 속성:

속성 이름 속성 값
형식 chr (문자열)
액세스 유형 추가, 삭제, 가져오기, 바꾸기

ADMX 기반 정책이며 구성을 위해 SyncML 형식이 필요합니다. SyncML 형식의 예는 정책 사용을 참조하세요.

ADMX 매핑:

이름
이름 AllowFreshCredentials
이름 새 자격 증명 위임 허용
위치 컴퓨터 구성
경로 시스템 > 자격 증명 위임
레지스트리 키 이름 Software\Policies\Microsoft\Windows\CredentialsDelegation
레지스트리 값 이름 AllowFreshCredentials
ADMX 파일 이름 CredSsp.admx

AllowFreshCredentialsWhenNTLMOnly

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ Windows 10, 버전 2004 및 KB5005101 [10.0.19041.1202] 이상
✅ Windows 10 버전 20H2 및 KB5005101 [10.0.19042.1202] 이상
✅ Windows 10 버전 21H1 및 KB5005101 [10.0.19043.1202] 이상
✅ Windows 11 버전 21H2 [10.0.22000] 이상
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowFreshCredentialsWhenNTLMOnly

이 정책 설정은 Cred SSP 구성 요소(예: 원격 데스크톱 연결)를 사용하는 애플리케이션에 적용됩니다.

이 정책 설정은 NTLM을 통해 서버 인증을 수행할 때 적용됩니다.

  • 이 정책 설정을 사용하도록 설정하면 사용자의 새 자격 증명을 위임할 수 있는 서버를 지정할 수 있습니다(새 자격 증명은 애플리케이션을 실행할 때 묻는 메시지임).

  • 이 정책 설정을 구성하지 않으면(기본적으로) 적절한 상호 인증 후에 모든 컴퓨터에서 실행되는 원격 데스크톱 세션 호스트(TERMSRV/*)에 새 자격 증명 위임이 허용됩니다.

  • 이 정책 설정을 사용하지 않도록 설정하면 컴퓨터에서 새 자격 증명 위임이 허용되지 않습니다.

참고

"NTLM 전용 서버 인증을 사용하여 새 자격 증명 위임 허용" 정책 설정을 하나 이상의 SPN(서비스 사용자 이름)으로 설정할 수 있습니다. SPN은 사용자 자격 증명을 위임할 수 있는 대상 서버를 나타냅니다. SPN을 지정할 때 단일 와일드카드 문자의 사용이 허용됩니다.

예를 들어:

HOST.HUMANRESOURCES.FABRIKAM.COM 컴퓨터에서 실행되는 TERMSRV/host.humanresources.fabrikam.com 원격 데스크톱 세션 호스트입니다.

모든 컴퓨터에서 실행되는 TERMSRV/* 원격 데스크톱 세션 호스트입니다.

TERMSRV/*.humanresources.fabrikam.com humanresources.fabrikam.com 모든 컴퓨터에서 실행되는 원격 데스크톱 세션 호스트입니다.

설명 프레임워크 속성:

속성 이름 속성 값
형식 chr (문자열)
액세스 유형 추가, 삭제, 가져오기, 바꾸기

ADMX 기반 정책이며 구성을 위해 SyncML 형식이 필요합니다. SyncML 형식의 예는 정책 사용을 참조하세요.

ADMX 매핑:

이름
이름 AllowFreshCredentialsWhenNTLMOnly
이름 NTLM 전용 서버 인증을 사용하여 새 자격 증명 위임 허용
위치 컴퓨터 구성
경로 시스템 > 자격 증명 위임
레지스트리 키 이름 Software\Policies\Microsoft\Windows\CredentialsDelegation
레지스트리 값 이름 AllowFreshCredentialsWhenNTLMOnly
ADMX 파일 이름 CredSsp.admx

AllowSavedCredentials

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ Windows 10, 버전 2004 및 KB5005101 [10.0.19041.1202] 이상
✅ Windows 10 버전 20H2 및 KB5005101 [10.0.19042.1202] 이상
✅ Windows 10 버전 21H1 및 KB5005101 [10.0.19043.1202] 이상
✅ Windows 11 버전 21H2 [10.0.22000] 이상
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowSavedCredentials

이 정책 설정은 Cred SSP 구성 요소(예: 원격 데스크톱 연결)를 사용하는 애플리케이션에 적용됩니다.

이 정책 설정은 신뢰할 수 있는 X509 인증서 또는 Kerberos를 통해 서버 인증을 수행할 때 적용됩니다.

  • 이 정책 설정을 사용하도록 설정하면 사용자의 저장된 자격 증명을 위임할 수 있는 서버를 지정할 수 있습니다(저장된 자격 증명은 Windows 자격 증명 관리자를 사용하여 저장/기억하도록 선택한 자격 증명).

  • 이 정책 설정을 구성하지 않으면(기본적으로) 적절한 상호 인증 후에 저장된 자격 증명 위임이 모든 컴퓨터에서 실행되는 원격 데스크톱 세션 호스트(TERMSRV/*)에 허용됩니다.

  • 이 정책 설정을 사용하지 않도록 설정하면 저장된 자격 증명 위임이 컴퓨터에 허용되지 않습니다.

참고

"저장된 자격 증명 위임 허용" 정책 설정을 하나 이상의 SPN(서비스 사용자 이름)으로 설정할 수 있습니다. SPN은 사용자 자격 증명을 위임할 수 있는 대상 서버를 나타냅니다. SPN을 지정할 때 단일 와일드카드 문자의 사용이 허용됩니다.

예를 들어:

HOST.HUMANRESOURCES.FABRIKAM.COM 컴퓨터에서 실행되는 TERMSRV/host.humanresources.fabrikam.com 원격 데스크톱 세션 호스트입니다.

모든 컴퓨터에서 실행되는 TERMSRV/* 원격 데스크톱 세션 호스트입니다.

TERMSRV/*.humanresources.fabrikam.com humanresources.fabrikam.com 모든 컴퓨터에서 실행되는 원격 데스크톱 세션 호스트입니다.

설명 프레임워크 속성:

속성 이름 속성 값
형식 chr (문자열)
액세스 유형 추가, 삭제, 가져오기, 바꾸기

ADMX 기반 정책이며 구성을 위해 SyncML 형식이 필요합니다. SyncML 형식의 예는 정책 사용을 참조하세요.

ADMX 매핑:

이름
이름 AllowSavedCredentials
이름 저장된 자격 증명 위임 허용
위치 컴퓨터 구성
경로 시스템 > 자격 증명 위임
레지스트리 키 이름 Software\Policies\Microsoft\Windows\CredentialsDelegation
레지스트리 값 이름 AllowSavedCredentials
ADMX 파일 이름 CredSsp.admx

AllowSavedCredentialsWhenNTLMOnly

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ Windows 10, 버전 2004 및 KB5005101 [10.0.19041.1202] 이상
✅ Windows 10 버전 20H2 및 KB5005101 [10.0.19042.1202] 이상
✅ Windows 10 버전 21H1 및 KB5005101 [10.0.19043.1202] 이상
✅ Windows 11 버전 21H2 [10.0.22000] 이상
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowSavedCredentialsWhenNTLMOnly

이 정책 설정은 Cred SSP 구성 요소(예: 원격 데스크톱 연결)를 사용하는 애플리케이션에 적용됩니다.

이 정책 설정은 NTLM을 통해 서버 인증을 수행할 때 적용됩니다.

  • 이 정책 설정을 사용하도록 설정하면 사용자의 저장된 자격 증명을 위임할 수 있는 서버를 지정할 수 있습니다(저장된 자격 증명은 Windows 자격 증명 관리자를 사용하여 저장/기억하도록 선택한 자격 증명).

  • 이 정책 설정을 구성하지 않으면(기본적으로) 적절한 상호 인증 후에 클라이언트 컴퓨터가 도메인의 구성원이 아닌 경우 저장된 자격 증명 위임이 모든 컴퓨터(TERMSRV/*)에서 실행되는 원격 데스크톱 세션 호스트에 허용됩니다. 클라이언트가 도메인에 가입된 경우 기본적으로 저장된 자격 증명 위임은 컴퓨터에 허용되지 않습니다.

  • 이 정책 설정을 사용하지 않도록 설정하면 저장된 자격 증명 위임이 컴퓨터에 허용되지 않습니다.

참고

"NTLM 전용 서버 인증을 사용하여 저장된 자격 증명 위임 허용" 정책 설정을 하나 이상의 SPN(서비스 사용자 이름)으로 설정할 수 있습니다. SPN은 사용자 자격 증명을 위임할 수 있는 대상 서버를 나타냅니다. SPN을 지정할 때 단일 와일드카드 문자의 사용이 허용됩니다.

예를 들어:

HOST.HUMANRESOURCES.FABRIKAM.COM 컴퓨터에서 실행되는 TERMSRV/host.humanresources.fabrikam.com 원격 데스크톱 세션 호스트입니다.

모든 컴퓨터에서 실행되는 TERMSRV/* 원격 데스크톱 세션 호스트입니다.

TERMSRV/*.humanresources.fabrikam.com humanresources.fabrikam.com 모든 컴퓨터에서 실행되는 원격 데스크톱 세션 호스트입니다.

설명 프레임워크 속성:

속성 이름 속성 값
형식 chr (문자열)
액세스 유형 추가, 삭제, 가져오기, 바꾸기

ADMX 기반 정책이며 구성을 위해 SyncML 형식이 필요합니다. SyncML 형식의 예는 정책 사용을 참조하세요.

ADMX 매핑:

이름
이름 AllowSavedCredentialsWhenNTLMOnly
이름 NTLM 전용 서버 인증을 사용하여 저장된 자격 증명 위임 허용
위치 컴퓨터 구성
경로 시스템 > 자격 증명 위임
레지스트리 키 이름 Software\Policies\Microsoft\Windows\CredentialsDelegation
레지스트리 값 이름 AllowSavedCredentialsWhenNTLMOnly
ADMX 파일 이름 CredSsp.admx

DenyDefaultCredentials

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ Windows 10, 버전 2004 및 KB5005101 [10.0.19041.1202] 이상
✅ Windows 10 버전 20H2 및 KB5005101 [10.0.19042.1202] 이상
✅ Windows 10 버전 21H1 및 KB5005101 [10.0.19043.1202] 이상
✅ Windows 11 버전 21H2 [10.0.22000] 이상
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/DenyDefaultCredentials

이 정책 설정은 Cred SSP 구성 요소(예: 원격 데스크톱 연결)를 사용하는 애플리케이션에 적용됩니다.

  • 이 정책 설정을 사용하도록 설정하면 사용자의 기본 자격 증명을 위임할 수 없는 서버를 지정할 수 있습니다(기본 자격 증명은 Windows에 처음 로그온할 때 사용하는 자격 증명임).

  • 이 정책 설정을 사용하지 않거나 구성하지 않으면(기본적으로) 이 정책 설정은 서버를 지정하지 않습니다.

참고

"기본 자격 증명 위임 거부" 정책 설정을 하나 이상의 SPN(서비스 사용자 이름)으로 설정할 수 있습니다. SPN은 사용자 자격 증명을 위임할 수 없는 대상 서버를 나타냅니다. SPN을 지정할 때 단일 와일드카드 문자의 사용이 허용됩니다.

예를 들어:

HOST.HUMANRESOURCES.FABRIKAM.COM 컴퓨터에서 실행되는 TERMSRV/host.humanresources.fabrikam.com 원격 데스크톱 세션 호스트입니다.

모든 컴퓨터에서 실행되는 TERMSRV/* 원격 데스크톱 세션 호스트입니다.

TERMSRV/*.humanresources.fabrikam.com .humanresources.fabrikam.com 모든 컴퓨터에서 실행되는 원격 데스크톱 세션 호스트입니다.

이 정책 설정은 "기본 자격 증명 위임 허용" 정책 설정과 함께 사용하여 "기본 자격 증명 위임 허용" 서버 목록에서 와일드카드 문자를 사용할 때 허용되는 특정 서버에 대한 예외를 정의할 수 있습니다.

설명 프레임워크 속성:

속성 이름 속성 값
형식 chr (문자열)
액세스 유형 추가, 삭제, 가져오기, 바꾸기

ADMX 기반 정책이며 구성을 위해 SyncML 형식이 필요합니다. SyncML 형식의 예는 정책 사용을 참조하세요.

ADMX 매핑:

이름
이름 DenyDefaultCredentials
이름 기본 자격 증명 위임 거부
위치 컴퓨터 구성
경로 시스템 > 자격 증명 위임
레지스트리 키 이름 Software\Policies\Microsoft\Windows\CredentialsDelegation
레지스트리 값 이름 DenyDefaultCredentials
ADMX 파일 이름 CredSsp.admx

DenyFreshCredentials

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ Windows 10, 버전 2004 및 KB5005101 [10.0.19041.1202] 이상
✅ Windows 10 버전 20H2 및 KB5005101 [10.0.19042.1202] 이상
✅ Windows 10 버전 21H1 및 KB5005101 [10.0.19043.1202] 이상
✅ Windows 11 버전 21H2 [10.0.22000] 이상
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/DenyFreshCredentials

이 정책 설정은 Cred SSP 구성 요소(예: 원격 데스크톱 연결)를 사용하는 애플리케이션에 적용됩니다.

  • 이 정책 설정을 사용하도록 설정하면 사용자의 새 자격 증명을 위임할 수 없는 서버를 지정할 수 있습니다(새 자격 증명은 애플리케이션을 실행할 때 묻는 메시지임).

  • 이 정책 설정을 사용하지 않거나 구성하지 않으면(기본적으로) 이 정책 설정은 서버를 지정하지 않습니다.

참고

"새 자격 증명 위임 거부" 정책 설정을 하나 이상의 SPN(서비스 사용자 이름)으로 설정할 수 있습니다. SPN은 사용자 자격 증명을 위임할 수 없는 대상 서버를 나타냅니다. SPN을 지정할 때 단일 와일드카드 문자의 사용이 허용됩니다.

예를 들어:

HOST.HUMANRESOURCES.FABRIKAM.COM 컴퓨터에서 실행되는 TERMSRV/host.humanresources.fabrikam.com 원격 데스크톱 세션 호스트입니다.

모든 컴퓨터에서 실행되는 TERMSRV/* 원격 데스크톱 세션 호스트입니다.

TERMSRV/*.humanresources.fabrikam.com .humanresources.fabrikam.com 모든 컴퓨터에서 실행되는 원격 데스크톱 세션 호스트입니다.

이 정책 설정은 "새 자격 증명 위임 허용" 정책 설정과 함께 사용하여 "새 자격 증명 위임 허용" 서버 목록에서 와일드카드 문자를 사용할 때 허용되는 특정 서버에 대한 예외를 정의할 수 있습니다.

설명 프레임워크 속성:

속성 이름 속성 값
형식 chr (문자열)
액세스 유형 추가, 삭제, 가져오기, 바꾸기

ADMX 기반 정책이며 구성을 위해 SyncML 형식이 필요합니다. SyncML 형식의 예는 정책 사용을 참조하세요.

ADMX 매핑:

이름
이름 DenyFreshCredentials
이름 새 자격 증명 위임 거부
위치 컴퓨터 구성
경로 시스템 > 자격 증명 위임
레지스트리 키 이름 Software\Policies\Microsoft\Windows\CredentialsDelegation
레지스트리 값 이름 DenyFreshCredentials
ADMX 파일 이름 CredSsp.admx

DenySavedCredentials

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ Windows 10, 버전 2004 및 KB5005101 [10.0.19041.1202] 이상
✅ Windows 10 버전 20H2 및 KB5005101 [10.0.19042.1202] 이상
✅ Windows 10 버전 21H1 및 KB5005101 [10.0.19043.1202] 이상
✅ Windows 11 버전 21H2 [10.0.22000] 이상
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/DenySavedCredentials

이 정책 설정은 Cred SSP 구성 요소(예: 원격 데스크톱 연결)를 사용하는 애플리케이션에 적용됩니다.

  • 이 정책 설정을 사용하도록 설정하면 사용자의 저장된 자격 증명을 위임할 수 없는 서버를 지정할 수 있습니다(저장된 자격 증명은 Windows 자격 증명 관리자를 사용하여 저장/기억하도록 선택한 자격 증명).

  • 이 정책 설정을 사용하지 않거나 구성하지 않으면(기본적으로) 이 정책 설정은 서버를 지정하지 않습니다.

참고

"저장된 자격 증명 위임 거부" 정책 설정을 하나 이상의 SPN(서비스 사용자 이름)으로 설정할 수 있습니다. SPN은 사용자 자격 증명을 위임할 수 없는 대상 서버를 나타냅니다. SPN을 지정할 때 단일 와일드카드 문자의 사용이 허용됩니다.

예를 들어:

HOST.HUMANRESOURCES.FABRIKAM.COM 컴퓨터에서 실행되는 TERMSRV/host.humanresources.fabrikam.com 원격 데스크톱 세션 호스트입니다.

모든 컴퓨터에서 실행되는 TERMSRV/* 원격 데스크톱 세션 호스트입니다.

TERMSRV/*.humanresources.fabrikam.com .humanresources.fabrikam.com 모든 컴퓨터에서 실행되는 원격 데스크톱 세션 호스트입니다.

이 정책 설정은 "저장된 자격 증명 위임 허용" 정책 설정과 함께 사용하여 "저장된 자격 증명 위임 허용" 서버 목록에서 와일드카드 문자를 사용할 때 허용되는 특정 서버에 대한 예외를 정의할 수 있습니다.

설명 프레임워크 속성:

속성 이름 속성 값
형식 chr (문자열)
액세스 유형 추가, 삭제, 가져오기, 바꾸기

ADMX 기반 정책이며 구성을 위해 SyncML 형식이 필요합니다. SyncML 형식의 예는 정책 사용을 참조하세요.

ADMX 매핑:

이름
이름 DenySavedCredentials
이름 저장된 자격 증명 위임 거부
위치 컴퓨터 구성
경로 시스템 > 자격 증명 위임
레지스트리 키 이름 Software\Policies\Microsoft\Windows\CredentialsDelegation
레지스트리 값 이름 DenySavedCredentials
ADMX 파일 이름 CredSsp.admx

RestrictedRemoteAdministration

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ Windows 10, 버전 2004 및 KB5005101 [10.0.19041.1202] 이상
✅ Windows 10 버전 20H2 및 KB5005101 [10.0.19042.1202] 이상
✅ Windows 10 버전 21H1 및 KB5005101 [10.0.19043.1202] 이상
✅ Windows 11 버전 21H2 [10.0.22000] 이상
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/RestrictedRemoteAdministration

제한된 관리자 또는 원격 Credential Guard 모드에서 실행하는 경우 참여하는 앱은 로그인했거나 제공된 자격 증명을 원격 호스트에 노출하지 않습니다. 제한된 관리자는 자격 증명이 위임되지 않으므로 원격 호스트의 다른 서버 또는 네트워크에 있는 리소스에 대한 액세스를 제한합니다. 원격 Credential Guard는 모든 요청을 클라이언트 디바이스로 다시 리디렉션하기 때문에 리소스에 대한 액세스를 제한하지 않습니다.

참여 앱:

원격 데스크톱 클라이언트.

  • 이 정책 설정을 사용하도록 설정하면 다음 옵션이 지원됩니다.

자격 증명 위임 제한: 참여하는 애플리케이션은 제한된 관리자 또는 원격 Credential Guard를 사용하여 원격 호스트에 연결해야 합니다.

원격 Credential Guard 필요: 참여하는 애플리케이션은 원격 Credential Guard를 사용하여 원격 호스트에 연결해야 합니다.

제한된 관리자 필요: 참여 애플리케이션은 제한된 관리자를 사용하여 원격 호스트에 연결해야 합니다.

  • 이 정책 설정을 사용하지 않거나 구성하지 않으면 제한된 관리자 및 원격 Credential Guard 모드가 적용되지 않으며 참여하는 앱은 원격 디바이스에 자격 증명을 위임할 수 있습니다.

참고

대부분의 자격 증명 위임을 사용하지 않도록 설정하려면 관리 템플릿 설정(컴퓨터 구성\관리 템플릿\시스템\자격 증명 위임에 있음)을 수정하여 CredSSP(자격 증명 보안 지원 공급자)에서 위임을 거부하는 것으로 충분할 수 있습니다.

참고

Windows 8.1 및 Windows Server 2012 R2에서 이 정책을 사용하도록 설정하면 선택한 모드에 관계없이 제한된 관리 모드가 적용됩니다. 이러한 버전은 Remote Credential Guard를 지원하지 않습니다.

설명 프레임워크 속성:

속성 이름 속성 값
형식 chr (문자열)
액세스 유형 추가, 삭제, 가져오기, 바꾸기

ADMX 기반 정책이며 구성을 위해 SyncML 형식이 필요합니다. SyncML 형식의 예는 정책 사용을 참조하세요.

ADMX 매핑:

이름
이름 RestrictedRemoteAdministration
이름 원격 서버로 자격 증명 위임 제한
위치 컴퓨터 구성
경로 시스템 > 자격 증명 위임
레지스트리 키 이름 Software\Policies\Microsoft\Windows\CredentialsDelegation
레지스트리 값 이름 RestrictedRemoteAdministration
ADMX 파일 이름 CredSsp.admx

정책 구성 서비스 공급자