Windows ID 보호
Windows의 ID 보호 기술에 대해 자세히 알아보세요.
Warning
비즈니스용 Windows Hello 및 FIDO2 보안 키는 Windows용 최신 2단계 인증 방법입니다. 가상 스마트 카드를 사용하는 고객은 비즈니스용 Windows Hello 또는 FIDO2로 이동하는 것이 좋습니다. 새 Windows 설치의 경우 비즈니스용 Windows Hello 또는 FIDO2 보안 키를 사용하는 것이 좋습니다.
암호 없는 로그인
| 기능 이름 | 설명 |
|---|---|
| 비즈니스용 Windows Hello | Windows 11 디바이스는 첫날부터 암호를 사용할 필요가 없도록 제거하여 사용자 ID를 보호할 수 있습니다. organization 적합한 메서드를 쉽게 시작할 수 있습니다. 암호는 프로비전 프로세스 중에 한 번만 사용해야 할 수 있으며, 그 후에는 PIN, 얼굴 또는 지문을 사용하여 자격 증명을 잠금 해제하고 디바이스에 로그인합니다. 비즈니스용 Windows Hello 보안 키 또는 인증서를 PIN 또는 생체 인식 데이터와 결합한 다음 설치하는 동안 자격 증명을 사용자 계정에 매핑하여 사용자 이름과 암호를 대체합니다. organization 요구 사항에 따라 비즈니스용 Windows Hello 배포하는 방법에는 여러 가지가 있습니다. 인증서를 사용하는 조직은 일반적으로 온-프레미스 PKI(공개 키 인프라)를 사용하여 인증서 신뢰를 통한 인증을 지원합니다. 키 트러스트 배포를 사용하는 조직에는 도메인 컨트롤러의 인증서에서 제공하는 신뢰 루트가 필요합니다. |
| Windows 존재 감지 | Windows 프레즌스 감지는 하이브리드 작업자를 위한 또 다른 데이터 보안 보호 계층을 제공합니다. Windows 11 장치는 가정, 사무실 또는 공공 환경에서 작업하든 관계없이 안전하고 생산적인 상태를 유지하는 데 도움이 되도록 사용자의 현재 상태에 지능적으로 적응할 수 있습니다. Windows 프레즌스 감지는 현재 상태 감지 센서와 Windows Hello 안면 인식을 결합하여 사용자가 떠날 때 자동으로 장치를 잠그고, 디바이스의 잠금을 해제한 다음, 돌아올 때 Windows Hello 얼굴 인식을 사용하여 로그인합니다. OEM 지원 하드웨어가 필요합니다. |
| 비즈니스용 Windows Hello ESS(보안 강화 로그인) | Windows Hello 생체 인식은 또한 특수 하드웨어 및 소프트웨어 구성 요소를 사용하여 생체 인식 로그인에 대한 보안 기준을 더욱 높이는 향상된 로그인 보안을 지원합니다. 향상된 로그인 보안 생체 인식은 VBS 및 TPM을 사용하여 사용자 인증 프로세스와 데이터를 격리하고 정보가 전달되는 경로를 보호합니다. 이러한 특수 구성 요소는 생체 인식 샘플 주입, 재생, 변조 등을 포함하는 공격 클래스로부터 보호합니다. 예를 들어 지문 판독기에서는 키 협상 및 Microsoft 발급 인증서를 사용하여 사용자 인증 데이터를 보호하고 안전하게 저장하는 보안 디바이스 연결 프로토콜을 구현해야 합니다. 얼굴 인식의 경우 SDEV(Secure Devices) 테이블과 같은 구성 요소와 트러스트렛을 통한 프로세스 격리는 추가 공격 클래스를 방지하는 데 도움이 됩니다. |
| Windows 암호 없는 환경 | Windows 암호 없는 환경은 특정 인증 시나리오에서 암호의 필요성을 제거하여 Microsoft Entra 조인된 디바이스에 대한 보다 사용자 친화적인 환경을 만드는 것을 목표로 하는 보안 정책입니다. 이 정책을 사용하도록 설정하면 이러한 시나리오에서 암호를 사용할 수 있는 옵션이 사용자에게 제공되지 않으므로 시간이 지남에 따라 조직에서 암호에서 벗어나는 데 도움이 됩니다. |
| 암호 키 | 암호는 암호에 비해 웹 사이트 및 애플리케이션에 로그인하는 보다 안전하고 편리한 방법을 제공합니다. 사용자가 기억하고 입력해야 하는 암호와 달리 암호는 디바이스에 비밀로 저장되며 디바이스의 잠금 해제 메커니즘(예: 생체 인식 또는 PIN)을 사용할 수 있습니다. 다른 로그인 챌린지 없이도 암호를 사용할 수 있으므로 인증 프로세스를 더 빠르고 안전하며 편리하게 만들 수 있습니다. |
| FIDO2 보안 키 | FIDO(Fast Identity Online) 정의 CTAP 및 WebAuthN 사양은 피싱할 수 없는 강력한 인증을 제공하고, 사용자에게 친숙하며, 주요 플랫폼 공급자 및 신뢰 당사자의 구현에 대한 개인 정보를 존중하는 개방형 표준이 되고 있습니다. FIDO 표준 및 인증은 기업, 정부 및 소비자 시장에서 보안 인증 솔루션을 만들기 위한 선도적인 표준으로 인식되고 있습니다. Windows 11 FIDO2 인증 암호 없는 솔루션이기도 한 Windows Hello 함께 인증에 외부 FIDO2 보안 키를 사용할 수 있습니다. Windows 11 널리 사용되는 많은 ID 관리 서비스의 FIDO 인증자로 사용할 수 있습니다. |
| Windows Service용 스마트 카드 | 조직에는 생체 인식 로그인을 미리 날짜로 지정하는 인증 방법인 스마트 카드를 사용할 수도 있습니다. 스마트 카드는 변조 방지 휴대용 스토리지 장치로, 클라이언트를 인증하고, 코드를 서명하고, 전자 메일을 보호하고, Windows 도메인 계정으로 로그인할 때 Windows 보안을 강화할 수 있습니다. 스마트 카드는 로컬 계정이 아닌 도메인 계정에 로그인하는 데만 사용할 수 있습니다. 암호가 도메인 계정에 로그인하는 데 사용되는 경우 Windows는 인증에 Kerberos 버전 5(v5) 프로토콜을 사용합니다. 스마트 카드 사용하는 경우 운영 체제는 X.509 v3 인증서와 함께 Kerberos v5 인증을 사용합니다. |
고급 자격 증명 보호
| 기능 이름 | 설명 |
|---|---|
| 웹 로그인 | 웹 로그인은 TAP(임시 액세스 패스)만 지원하는 Windows 10 처음 도입된 자격 증명 공급자입니다. Windows 11 릴리스하면서 웹 로그인의 지원되는 시나리오와 기능이 확장되었습니다. 예를 들어 사용자는 Microsoft Authenticator 앱 또는 페더레이션 ID를 사용하여 Windows에 로그인할 수 있습니다. |
| 페더레이션 로그인 | Windows 11 Education 버전은 비 Microsoft ID 공급자와의 페더레이션 로그인을 지원합니다. 페더레이션 로그인을 사용하면 QR 코드 또는 그림과 같은 메서드를 통해 보안 로그인이 가능합니다. |
| Windows LAPS | Windows LAPS(Windows 로컬 관리자 암호 솔루션)는 Microsoft Entra 가입 또는 Windows Server Active Directory 조인 디바이스에서 로컬 관리자 계정의 암호를 자동으로 관리하고 백업하는 Windows 기능입니다. 또한 Windows LAPS를 사용하여 Windows Server Active Directory 도메인 컨트롤러에서 DSRM(Directory Services 복원 모드) 계정 암호를 자동으로 관리하고 백업할 수 있습니다. 권한 있는 관리자는 DSRM 암호를 검색하여 사용할 수 있습니다. |
| 계정 잠금 정책 | 계정 잠금 정책 설정은 실패한 로그온 시도에 대한 응답 임계값과 임계값에 도달한 후 수행할 작업을 제어합니다. |
| SmartScreen을 사용하여 향상된 피싱 보호 | 여전히 암호를 사용하는 사용자는 강력한 자격 증명 보호를 활용할 수 있습니다. Microsoft Defender SmartScreen에는 사용자가 앱 또는 웹 사이트에 Microsoft 암호를 입력하는 시기를 자동으로 감지하는 향상된 피싱 보호 기능이 포함되어 있습니다. 그런 다음 Windows는 앱 또는 사이트가 Microsoft에 안전하게 인증되는지 확인하고 자격 증명이 위험에 처했는지 경고합니다. 자격 증명 도난이 발생할 수 있는 시점에 사용자에게 경고가 표시되므로 암호가 해당 사용자 또는 organization 대해 사용되기 전에 선제적 조치를 취할 수 있습니다. |
| Access Control(ACL/SACL) | Windows의 액세스 제어를 통해 공유 리소스를 리소스 소유자 이외의 사용자 및 그룹에서 사용할 수 있으며 무단 사용으로부터 보호됩니다. IT 관리자는 네트워크 또는 컴퓨터의 개체 및 자산에 대한 사용자, 그룹 및 컴퓨터의 액세스를 관리할 수 있습니다. 사용자가 인증되면 Windows 운영 체제는 기본 제공 권한 부여 및 액세스 제어 기술을 사용하여 인증된 사용자에게 올바른 권한이 있는지 확인하여 리소스를 보호하는 두 번째 단계를 구현합니다. ACL(Access Control Lists)은 특정 개체에 대한 권한을 설명하고 SACL(시스템 Access Control Lists)을 포함할 수도 있습니다. SACL은 사용자가 파일 시스템 개체에 액세스하려고 할 때와 같은 특정 시스템 수준 이벤트를 감사하는 방법을 제공합니다. 이러한 이벤트는 중요하거나 중요한 개체에 대한 추적 작업에 필수적이며 추가 모니터링이 필요합니다. 리소스가 운영 체제의 일부를 읽거나 쓰려고 할 때 감사할 수 있는 것은 잠재적인 공격을 이해하는 데 중요합니다. |
| Credential Guard | Windows 11 Enterprise 기본적으로 사용하도록 설정된 Credential Guard는 하드웨어 지원 VBS(가상화 기반 보안)를 사용하여 자격 증명 도난으로부터 보호합니다. Credential Guard를 사용하면 LSA(로컬 보안 기관)가 나머지 운영 체제에서 액세스할 수 없는 격리된 환경에서 비밀을 저장하고 보호합니다. LSA는 원격 프로시저 호출을 사용하여 격리된 LSA 프로세스와 통신합니다. 가상화 기반 보안으로 LSA 프로세스를 보호함으로써 Credential Guard는 패스-더 해시 또는 pass-the-ticket과 같은 자격 증명 도난 공격 기술로부터 시스템을 보호합니다. 또한 프로세스가 관리자 권한으로 실행되는 경우에도 맬웨어가 시스템 비밀에 액세스하지 못하도록 방지할 수 있습니다. |
| 원격 Credential Guard | Remote Credential Guard를 사용하면 Kerberos 요청을 연결을 요청하는 디바이스로 다시 리디렉션하여 원격 데스크톱 연결을 통해 자격 증명을 보호할 수 있습니다. 또한 원격 데스크톱 세션에 대한 Single Sign-On 환경을 제공합니다. 관리자 자격 증명은 높은 권한이 있으며 보호되어야 합니다. 원격 데스크톱 세션 중에 원격 Credential Guard를 사용하여 연결하는 경우 자격 증명 및 자격 증명 파생 항목은 네트워크를 통해 대상 디바이스로 전달되지 않습니다. 대상 디바이스가 손상된 경우 자격 증명이 노출되지 않습니다. |
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기