스마트 카드 그룹 정책 및 레지스트리 설정
IT 전문가 및 스마트 카드 개발자를 위한 이 문서에서는 스마트 카드 구성에 사용할 수 있는 그룹 정책 설정, 레지스트리 키 설정, 로컬 보안 정책 설정 및 자격 증명 위임 정책 설정에 대해 설명합니다.
다음 섹션 및 표에는 컴퓨터별로 설정할 수 있는 스마트 카드 관련 그룹 정책 설정 및 레지스트리 키가 나열되어 있습니다. GPO(도메인 그룹 정책 개체)를 사용하는 경우 로컬 또는 도메인 컴퓨터에 그룹 정책 설정을 편집하고 적용할 수 있습니다.
-
스마트 카드에 대한 기본 그룹 정책 설정
- 확장 키 사용 인증서 특성이 없는 인증서 허용
- 로그온 및 인증에 ECC 인증서를 사용할 수 있도록 허용
- 로그온 시 통합 차단 해제 화면이 표시되도록 허용
- 로그온에 유효한 서명 키 허용
- 잘못된 시간 인증서 허용
- 사용자 이름 힌트 허용
- 루트 인증서 클린 구성
- 스마트 카드 차단될 때 문자열 표시
- 중복 로그온 인증서 필터링
- 스마트 카드 모든 인증서를 강제로 읽습니다.
- 사용자에게 스마트 카드 드라이버 설치 성공 알림
- 일반 텍스트 PIN이 자격 증명 관리자에서 반환되지 않도록 방지
- 표시할 때 인증서에 저장된 주체 이름을 역방향으로 변경합니다.
- 스마트 카드 인증서 전파 켜기
- 스마트 카드 루트 인증서 전파 켜기
- 스마트 카드 플러그 앤 플레이 서비스 켜기
- 기본 CSP 및 스마트 카드 KSP 레지스트리 키
- CRL 레지스트리 키 확인
- 추가 스마트 카드 그룹 정책 설정 및 레지스트리 키
스마트 카드에 대한 기본 그룹 정책 설정
다음 스마트 카드 그룹 정책 설정은 컴퓨터 구성\관리 템플릿\Windows 구성 요소\스마트 카드에 있습니다.
레지스트리 키는 다음 위치에 있습니다.
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\ScPnP\EnableScPnP
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\SmartCardCredentialProvider
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CertProp
참고
스마트 카드 판독기 레지스트리 정보는 HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Calais\Readers있습니다.
스마트 카드 레지스트리 정보는 HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Calais\SmartCards있습니다.
다음 표에서는 이러한 GPO 설정의 기본값을 나열합니다. 변형은 이 문서의 정책 설명 아래에 설명되어 있습니다.
| 서버 유형 또는 GPO | 기본값 |
|---|---|
| 기본 도메인 정책 | 구성되지 않음 |
| 기본 도메인 컨트롤러 정책 | 구성되지 않음 |
| Stand-Alone 서버 기본 설정 | 구성되지 않음 |
| 도메인 컨트롤러 유효 기본 설정 | 해제됨 |
| 멤버 서버 유효 기본 설정 | 해제됨 |
| 클라이언트 컴퓨터 유효 기본 설정 | 해제됨 |
확장 키 사용 인증서 특성이 없는 인증서 허용
이 정책 설정을 사용하여 로그인에 사용할 EKU(확장 키 사용) 설정이 없는 인증서를 허용할 수 있습니다.
참고
확장 키 사용 인증서 특성을 확장 키 사용이라고도 합니다.
Windows Vista 이전의 Windows 버전에서 로그인하는 데 사용되는 스마트 카드 인증서에는 스마트 카드 로그온 개체 식별자가 있는 EKU 확장이 필요합니다. 이 정책 설정을 사용하여 해당 제한을 수정할 수 있습니다.
이 정책 설정을 켜면 다음 특성이 있는 인증서를 사용하여 스마트 카드 로그인할 수도 있습니다.
- EKU가 없는 인증서
- 모든 용도 EKU를 사용하는 인증서
- 클라이언트 인증 EKU를 사용하는 인증서
이 정책 설정이 켜져 있지 않으면 스마트 카드 로그온 개체 식별자가 포함된 인증서만 스마트 카드 사용하여 로그인할 수 있습니다.
| 항목 | 설명 |
|---|---|
| 레지스트리 키 | AllowCertificatesWithNoEKU |
| 기본값 | 운영 체제 버전당 변경 내용 없음 사용 안 함 및 구성되지 않음은 동일합니다. |
| 정책 관리 | 다시 시작 요구 사항: 없음 로그오프 요구 사항: 없음 정책 충돌: 없음 |
로그온 및 인증에 ECC 인증서를 사용할 수 있도록 허용
이 정책 설정을 사용하여 스마트 카드 ECC(타원 곡선 암호화) 인증서를 도메인에 로그인하는 데 사용할 수 있는지 여부를 제어할 수 있습니다.
이 설정을 켜면 스마트 카드 ECC 인증서를 사용하여 도메인에 로그인할 수 있습니다.
이 설정이 켜져 있지 않으면 스마트 카드 ECC 인증서를 사용하여 도메인에 로그인할 수 없습니다.
| 항목 | 설명 |
|---|---|
| 레지스트리 키 | EnumerateECCCerts |
| 기본값 | 운영 체제 버전당 변경 내용 없음 사용 안 함 및 구성되지 않음은 동일합니다. |
| 정책 관리 | 다시 시작 요구 사항: 없음 로그오프 요구 사항: 없음 정책 충돌: 없음 |
| 참고 사항 및 리소스 | 이 정책 설정은 도메인에 로그인하는 사용자의 기능에만 영향을 줍니다. 문서 서명과 같은 다른 애플리케이션에 사용되는 스마트 카드 ECC 인증서는 이 정책 설정의 영향을 받지 않습니다. ECDSA 키를 사용하여 로그인하는 경우 네트워크에 연결되지 않은 경우 로그인을 허용하도록 연결된 ECDH 키도 있어야 합니다. |
로그온 시 통합 차단 해제 화면이 표시되도록 허용
이 정책 설정을 사용하여 UI(로그인 사용자 인터페이스)에서 통합 차단 해제 기능을 사용할 수 있는지 여부를 확인할 수 있습니다. 이 기능은 Windows Vista의 자격 증명 보안 지원 공급자에서 표준 기능으로 도입되었습니다.
이 설정이 켜져 있으면 통합 차단 해제 기능을 사용할 수 있습니다.
이 설정이 켜져 있지 않으면 기능을 사용할 수 없습니다.
| 항목 | 설명 |
|---|---|
| 레지스트리 키 | AllowIntegratedUnblock |
| 기본값 | 운영 체제 버전당 변경 내용 없음 사용 안 함 및 구성되지 않음은 동일합니다. |
| 정책 관리 | 다시 시작 요구 사항: 없음 로그오프 요구 사항: 없음 정책 충돌: 없음 |
| 참고 사항 및 리소스 | 통합 차단 해제 기능을 사용하려면 스마트 카드 지원해야 합니다. 하드웨어 제조업체에 문의하여 스마트 카드 이 기능을 지원하는지 확인합니다. 스마트 카드 차단될 때 정책 설정 표시 문자열을 구성하여 스마트 카드 차단될 때 사용자에게 표시되는 사용자 지정 메시지를 만들 수 있습니다. |
로그온에 유효한 서명 키 허용
이 정책 설정을 사용하여 서명 키 기반 인증서를 열거하고 로그인에 사용할 수 있도록 할 수 있습니다.
이 설정을 켜면 서명 전용 키가 있는 스마트 카드 사용할 수 있는 모든 인증서가 로그인 화면에 나열됩니다.
이 설정이 켜져 있지 않으면 서명 전용 키가 있는 스마트 카드 사용할 수 있는 인증서가 로그인 화면에 나열되지 않습니다.
| 항목 | 설명 |
|---|---|
| 레지스트리 키 | AllowSignatureOnlyKeys |
| 기본값 | 운영 체제 버전당 변경 내용 없음 사용 안 함 및 구성되지 않음은 동일합니다. |
| 정책 관리 | 다시 시작 요구 사항: 없음 로그오프 요구 사항: 없음 정책 충돌: 없음 |
잘못된 시간 인증서 허용
이 정책 설정을 사용하여 만료되었거나 아직 유효하지 않은 인증서가 로그인에 표시되도록 허용할 수 있습니다.
참고
Windows Vista 이전에는 인증서가 유효한 시간을 포함하고 만료되지 않도록 해야 했습니다. 인증서를 사용하려면 도메인 컨트롤러에서 수락해야 합니다. 이 정책 설정은 클라이언트 컴퓨터에 표시되는 인증서만 제어합니다.
이 설정을 켜면 잘못된 시간이 있거나 유효 기간이 만료되었는지 여부에 관계없이 인증서가 로그인 화면에 나열됩니다.
이 정책 설정이 켜져 있지 않으면 만료되었거나 아직 유효하지 않은 인증서가 로그인 화면에 나열되지 않습니다.
| 항목 | 설명 |
|---|---|
| 레지스트리 키 | AllowTimeInvalidCertificates |
| 기본값 | 운영 체제 버전당 변경 내용 없음 사용 안 함 및 구성되지 않음은 동일합니다. |
| 정책 관리 | 다시 시작 요구 사항: 없음 로그오프 요구 사항: 없음 정책 충돌: 없음 |
사용자 이름 힌트 허용
이 정책 설정을 사용하여 로그인하는 동안 선택적 필드가 표시되는지 여부를 확인하고 사용자가 사용자 이름 또는 사용자 이름 및 도메인을 입력할 수 있는 후속 권한 상승 프로세스를 제공하여 인증서를 사용자와 연결합니다.
이 정책 설정을 켜면 사용자에게 사용자 이름 또는 사용자 이름 및 도메인을 입력할 수 있는 선택적 필드가 표시됩니다.
이 정책 설정이 켜져 있지 않으면 사용자에게 이 선택적 필드가 표시되지 않습니다.
| 항목 | 설명 |
|---|---|
| 레지스트리 키 | X509HintsNeeded |
| 기본값 | 운영 체제 버전당 변경 내용 없음 사용 안 함 및 구성되지 않음은 동일합니다. |
| 정책 관리 | 다시 시작 요구 사항: 없음 로그오프 요구 사항: 없음 정책 충돌: 없음 |
루트 인증서 클린 구성
이 정책 설정을 사용하여 루트 인증서의 정리 동작을 관리할 수 있습니다. 인증서는 신뢰 체인을 사용하여 확인되며 디지털 인증서에 대한 신뢰 앵커는 루트 CA(인증 기관)입니다. CA는 루트 인증서를 트리 구조의 최상위 인증서로 사용하여 여러 인증서를 발급할 수 있습니다. 프라이빗 키는 다른 인증서에 서명하는 데 사용됩니다. 이렇게 하면 루트 인증서 바로 아래에 모든 인증서에 대한 상속된 신뢰성이 만들어집니다.
이 정책 설정이 켜져 있으면 다음 정리 옵션을 설정할 수 있습니다.
- 정리가 없습니다. 사용자가 스마트 카드 로그아웃하거나 제거하면 세션 중에 사용된 루트 인증서가 컴퓨터에 유지됩니다.
- 스마트 카드 제거에서 인증서를 정리합니다. 스마트 카드 제거되면 루트 인증서가 제거됩니다.
- 로그오프할 때 인증서를 정리합니다. 사용자가 Windows에서 로그아웃하면 루트 인증서가 제거됩니다.
이 정책 설정이 켜져 있지 않으면 사용자가 Windows에서 로그아웃하면 루트 인증서가 자동으로 제거됩니다.
| 항목 | 설명 |
|---|---|
| 레지스트리 키 | RootCertificateCleanupOption |
| 기본값 | 운영 체제 버전당 변경 내용 없음 사용 안 함 및 구성되지 않음은 동일합니다. |
| 정책 관리 | 다시 시작 요구 사항: 없음 로그오프 요구 사항: 없음 정책 충돌: 없음 |
스마트 카드 차단될 때 문자열 표시
이 정책 설정을 사용하여 스마트 카드 차단된 경우 사용자에게 표시되는 기본 메시지를 변경할 수 있습니다.
이 정책 설정이 켜져 있으면 스마트 카드 차단될 때 사용자에게 표시되는 메시지를 만들고 관리할 수 있습니다.
이 정책 설정이 켜져 있지 않고 통합 차단 해제 기능도 사용하도록 설정되면 스마트 카드 차단될 때 시스템의 기본 메시지가 표시됩니다.
| 항목 | 설명 |
|---|---|
| 레지스트리 키 | IntegratedUnblockPromptString |
| 기본값 | 운영 체제 버전당 변경 내용 없음 사용 안 함 및 구성되지 않음은 동일합니다. |
| 정책 관리 | 다시 시작 요구 사항: 없음 로그오프 요구 사항: 없음 정책 충돌: 이 정책 설정은 로그온 정책 사용 시 통합 차단 해제 허용 화면이 표시될 때만 적용됩니다. |
중복 로그온 인증서 필터링
이 정책 설정을 사용하여 표시되는 유효한 로그인 인증서를 구성할 수 있습니다.
참고
인증서 갱신 기간 동안 사용자의 스마트 카드 동일한 인증서 템플릿에서 발급된 여러 개의 유효한 로그인 인증서를 가질 수 있으므로 어떤 인증서를 선택할지 혼동할 수 있습니다. 이 동작은 인증서가 갱신되고 이전 인증서가 아직 만료되지 않은 경우에 발생할 수 있습니다.
두 인증서가 동일한 주 버전이 있는 동일한 템플릿에서 발급되고 동일한 사용자(UPN에 의해 결정됨)에 대한 인증서인 경우 동일한 것으로 결정됩니다.
이 정책 설정이 켜져 있으면 필터링이 수행되므로 사용자가 가장 현재 유효한 인증서 중에서만 선택할 수 있습니다.
이 정책 설정이 켜져 있지 않으면 모든 인증서가 사용자에게 표시됩니다.
이 정책 설정은 잘못된 인증서 허용 정책 설정이 적용된 후 컴퓨터에 적용됩니다.
| 항목 | 설명 |
|---|---|
| 레지스트리 키 | FilterDuplicateCerts |
| 기본값 | 운영 체제 버전당 변경 내용 없음 사용 안 함 및 구성되지 않음은 동일합니다. |
| 정책 관리 | 다시 시작 요구 사항: 없음 로그오프 요구 사항: 없음 정책 충돌: 없음 |
| 참고 사항 및 리소스 | 스마트 카드 동일한 인증서가 두 개 이상 있고 이 정책 설정을 사용하도록 설정하면 만료 시간이 가장 먼 인증서가 표시됩니다. |
스마트 카드 모든 인증서를 강제로 읽습니다.
이 정책 설정을 사용하여 Windows가 로그인을 위해 스마트 카드 모든 인증서를 읽는 방법을 관리할 수 있습니다. 로그인하는 동안 Windows는 단일 호출에서 모든 인증서 검색을 지원하지 않는 한 스마트 카드 기본 인증서만 읽습니다. 이 정책 설정은 Windows가 스마트 카드 모든 인증서를 읽도록 강제합니다.
이 정책 설정이 켜져 있으면 Windows는 CSP 기능 집합에 관계없이 스마트 카드 모든 인증서를 읽으려고 시도합니다.
이 정책이 켜져 있지 않으면 Windows는 단일 호출에서 모든 인증서 검색을 지원하지 않는 스마트 카드에서 기본 인증서만 읽으려고 시도합니다. 기본값 이외의 인증서는 로그인에 사용할 수 없습니다.
| 항목 | 설명 |
|---|---|
| 레지스트리 키 | ForceReadingAllCertificates |
| 기본값 | 운영 체제 버전당 변경 내용 없음 사용 안 함 및 구성되지 않음은 동일합니다. |
| 정책 관리 | 다시 시작 요구 사항: 없음 로그오프 요구 사항: 없음 정책 충돌: 없음 중요: 이 정책 설정을 사용하도록 설정하면 특정 상황에서 로그인 프로세스 중 성능에 부정적인 영향을 줄 수 있습니다. |
| 참고 사항 및 리소스 | 스마트 카드 공급업체에 문의하여 스마트 카드 및 연결된 CSP가 필요한 동작을 지원하는지 확인합니다. |
사용자에게 스마트 카드 드라이버 설치 성공 알림
이 정책 설정을 사용하여 스마트 카드 디바이스 드라이버가 설치될 때 사용자에게 확인 메시지가 표시되는지 여부를 제어할 수 있습니다.
이 정책 설정이 켜져 있으면 스마트 카드 디바이스 드라이버가 설치될 때 사용자에게 확인 메시지가 표시됩니다.
이 설정이 켜져 있지 않으면 사용자에게 스마트 카드 디바이스 드라이버 설치 메시지가 표시되지 않습니다.
| -- | -- |
|---|---|
| 레지스트리 키 | ScPnPNotification |
| 기본값 | 운영 체제 버전당 변경 내용 없음 사용 안 함 및 구성되지 않음은 동일합니다. |
| 정책 관리 | 다시 시작 요구 사항: 없음 로그오프 요구 사항: 없음 정책 충돌: 없음 |
| 참고 사항 및 리소스 | 이 정책 설정은 Windows WHQL(하드웨어 품질 랩) 테스트 프로세스를 통과한 스마트 카드 드라이버에만 적용됩니다. |
일반 텍스트 PIN이 자격 증명 관리자에서 반환되지 않도록 방지
이 정책 설정을 사용하여 자격 증명 관리자가 일반 텍스트 PIN을 반환하지 못하도록 할 수 있습니다.
참고
자격 증명 관리자는 로컬 컴퓨터의 사용자가 제어하며 지원되는 브라우저 및 Windows 애플리케이션의 자격 증명을 저장합니다. 자격 증명은 사용자의 프로필 아래에 있는 컴퓨터의 특수 암호화된 폴더에 저장됩니다.
이 정책 설정이 켜져 있으면 자격 증명 관리자는 일반 텍스트 PIN을 반환하지 않습니다.
이 설정이 켜져 있지 않으면 자격 증명 관리자는 일반 텍스트 PIN을 반환할 수 있습니다.
| 항목 | 설명 |
|---|---|
| 레지스트리 키 | DisallowPlaintextPin |
| 기본값 | 운영 체제 버전당 변경 내용 없음 사용 안 함 및 구성되지 않음은 동일합니다. |
| 정책 관리 | 다시 시작 요구 사항: 없음 로그오프 요구 사항: 없음 정책 충돌: 없음 |
| 참고 사항 및 리소스 | 이 정책 설정을 사용하도록 설정하면 일부 스마트 카드가 Windows를 실행하는 컴퓨터에서 작동하지 않을 수 있습니다. 이 정책 설정을 사용하도록 설정해야 하는지 여부를 확인하려면 스마트 카드 제조업체에 문의하세요. |
표시할 때 인증서에 저장된 주체 이름을 역방향으로 변경합니다.
이 정책 설정을 사용하여 로그인하는 동안 주체 이름이 표시되는 방식을 제어할 수 있습니다.
참고
사용자가 한 인증서를 다른 인증서와 구별할 수 있도록 UPN(사용자 계정 이름)과 일반 이름이 기본적으로 표시됩니다. 예를 들어 이 설정을 사용하도록 설정하면 인증서 주체가 CN=User1, OU=Users, DN=example, DN=com 이고 UPN이 user1@example.com이면 User1 이 와 함께 user1@example.com표시됩니다. UPN이 없으면 전체 주체 이름이 표시됩니다. 이 설정은 해당 주체 이름의 모양을 제어하며 organization 맞게 조정해야 할 수 있습니다.
이 정책 설정을 켜면 로그인하는 동안 주체 이름이 인증서에 저장된 방식과 반대로 나타납니다.
이 정책 설정이 켜져 있지 않으면 주체 이름이 인증서에 저장된 것과 동일하게 표시됩니다.
| 항목 | 설명 |
|---|---|
| 레지스트리 키 | ReverseSubject |
| 기본값 | 운영 체제 버전당 변경 내용 없음 사용 안 함 및 구성되지 않음은 동일합니다. |
| 정책 관리 | 다시 시작 요구 사항: 없음 로그오프 요구 사항: 없음 정책 충돌: 없음 |
스마트 카드 인증서 전파 켜기
이 정책 설정을 사용하여 스마트 카드 삽입할 때 발생하는 인증서 전파를 관리할 수 있습니다.
참고
인증서 전파 서비스는 로그인한 사용자가 컴퓨터에 연결된 판독기에서 스마트 카드 삽입할 때 적용됩니다. 이 작업을 수행하면 스마트 카드 인증서를 읽을 수 있습니다. 그러면 인증서가 사용자의 개인 저장소에 추가됩니다.
이 정책 설정을 켜면 사용자가 스마트 카드 삽입할 때 인증서 전파가 발생합니다.
이 정책 설정을 해제하면 인증서 전파가 발생하지 않으며 Outlook과 같은 애플리케이션에서 인증서를 사용할 수 없습니다.
| 항목 | 설명 |
|---|---|
| 레지스트리 키 | CertPropEnabled |
| 기본값 | 운영 체제 버전당 변경 내용 없음 사용하도록 설정되고 구성되지 않음은 동일합니다. |
| 정책 관리 | 다시 시작 요구 사항: 없음 로그오프 요구 사항: 없음 정책 충돌: 이 정책 설정은 스마트 카드 루트 인증서 전파 켜기 설정이 활성화될 때 작동하도록 허용하도록 설정해야 합니다. |
스마트 카드 루트 인증서 전파 켜기
이 정책 설정을 사용하여 스마트 카드 삽입할 때 발생하는 루트 인증서 전파를 관리할 수 있습니다.
참고
인증서 전파 서비스는 로그인한 사용자가 컴퓨터에 연결된 판독기에서 스마트 카드 삽입할 때 적용됩니다. 이 작업을 수행하면 스마트 카드 인증서를 읽을 수 있습니다. 그러면 인증서가 사용자의 개인 저장소에 추가됩니다.
이 정책 설정을 켜면 사용자가 스마트 카드 삽입할 때 루트 인증서 전파가 발생합니다.
이 정책 설정이 켜져 있지 않으면 사용자가 스마트 카드 삽입할 때 루트 인증서 전파가 발생하지 않습니다.
| 항목 | 설명 |
|---|---|
| 레지스트리 키 | EnableRootCertificate Propagation |
| 기본값 | 운영 체제 버전당 변경 내용 없음 사용하도록 설정되고 구성되지 않음은 동일합니다. |
| 정책 관리 | 다시 시작 요구 사항: 없음 로그오프 요구 사항: 없음 정책 충돌: 이 정책 설정이 작동하려면 스마트 카드 정책에서 인증서 전파 켜기 설정도 사용하도록 설정해야 합니다. |
| 참고 사항 및 리소스 |
스마트 카드 플러그 앤 플레이 서비스 켜기
이 정책 설정을 사용하여 스마트 카드 플러그 앤 플레이 사용할 수 있는지 여부를 제어할 수 있습니다.
참고
사용자는 특별한 미들웨어 없이도 Windows 업데이트 통해 드라이버를 게시한 공급업체의 스마트 카드를 사용할 수 있습니다. 이러한 드라이버는 Windows의 다른 장치에 대한 드라이버와 동일한 방식으로 다운로드됩니다. Windows 업데이트 적절한 드라이버를 사용할 수 없는 경우 지원되는 Windows 버전에 포함된 PIV 규격 미니 드라이버가 이러한 카드에 사용됩니다.
이 정책 설정을 켜면 스마트 카드 스마트 카드 판독기에서 처음으로 삽입될 때 시스템에서 스마트 카드 디바이스 드라이버를 설치하려고 시도합니다.
이 정책 설정이 켜져 있지 않으면 스마트 카드 판독기에서 스마트 카드 삽입할 때 디바이스 드라이버가 설치되지 않습니다.
| 항목 | 설명 |
|---|---|
| 레지스트리 키 | EnableScPnP |
| 기본값 | 운영 체제 버전당 변경 내용 없음 사용하도록 설정되고 구성되지 않음은 동일합니다. |
| 정책 관리 | 다시 시작 요구 사항: 없음 로그오프 요구 사항: 없음 정책 충돌: 없음 |
| 참고 사항 및 리소스 | 이 정책 설정은 Windows WHQL(하드웨어 품질 랩) 테스트 프로세스를 통과한 스마트 카드 드라이버에만 적용됩니다. |
기본 CSP 및 스마트 카드 KSP 레지스트리 키
다음 레지스트리 키는 기본 CSP(암호화 서비스 공급자) 및 스마트 카드 KSP(키 스토리지 공급자)에 대해 구성할 수 있습니다. 다음 표에는 키가 나열되어 있습니다. 모든 키는 DWORD 형식을 사용합니다.
기본 CSP의 레지스트리 키는 의 레지스트리에 있습니다 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Microsoft Base Smart Card Crypto Provider.
스마트 카드 KSP의 레지스트리 키는 에 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Cryptography\Providers\Microsoft Smart Card Key Storage Provider있습니다.
기본 CSP 및 스마트 카드 KSP에 대한 레지스트리 키
| 레지스트리 키 | 설명 |
|---|---|
| AllowPrivateExchangeKeyImport | 0이 아닌 값을 사용하면 키 보관 시나리오에서 사용하기 위해 RSA 교환(예: 암호화) 프라이빗 키를 가져올 수 있습니다. 기본값: 00000000 |
| AllowPrivateSignatureKeyImport | 0이 아닌 값을 사용하면 주요 보관 시나리오에서 사용할 RSA 서명 프라이빗 키를 가져올 수 있습니다. 기본값: 00000000 |
| DefaultPrivateKeyLenBits | 원하는 경우 프라이빗 키의 기본 길이를 정의합니다. 기본값: 00000400 기본 키 생성 매개 변수: 1024비트 키 |
| RequireOnCardPrivateKeyGen | 이 키는 카드 프라이빗 키 생성(기본값)이 필요한 플래그를 설정합니다. 이 값을 설정하면 호스트에서 생성된 키를 스마트 카드 가져올 수 있습니다. 이는 카드 키 생성을 지원하지 않거나 키 에스크로가 필요한 스마트 카드에 사용됩니다. 기본값: 00000000 |
| TransactionTimeoutMilliseconds | 기본 시간 제한 값을 사용하면 과도한 시간이 걸리는 트랜잭션이 실패할지 여부를 지정할 수 있습니다. 기본값: 000005dc 스마트 카드 트랜잭션을 보유하기 위한 기본 제한 시간은 1.5초입니다. |
스마트 카드 KSP에 대한 추가 레지스트리 키:
| 레지스트리 키 | 설명 |
|---|---|
| AllowPrivateECDHEKeyImport | 이 값을 사용하면 주요 보관 시나리오에서 사용하기 위해 ECDHE(Ephemeral Elliptic Curve Diffie-Hellman) 프라이빗 키를 가져올 수 있습니다. 기본값: 00000000 |
| AllowPrivateECDSAKeyImport | 이 값을 사용하면 ECDSA(타원 곡선 디지털 서명 알고리즘) 프라이빗 키를 가져와 주요 보관 시나리오에서 사용할 수 있습니다. 기본값: 00000000 |
CRL 레지스트리 키 확인
다음 표에는 KDC(키 배포 센터) 또는 클라이언트에서 CRL(인증서 해지 목록) 확인을 해제하는 키와 해당 값이 나와 있습니다. CRL 검사를 관리하려면 KDC와 클라이언트 모두에 대한 설정을 구성해야 합니다.
| 레지스트리 키 | 세부 정보 |
|---|---|
HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Kdc\UseCachedCRLOnlyAndIgnoreRevocationUnknownErrors |
형식 = DWORD 값 = 1 |
HKEY_LOCAL_MACHINE\SYSTEM\CCS\Control\LSA\Kerberos\Parameters\UseCachedCRLOnlyAndIgnoreRevocationUnknownErrors |
형식 = DWORD 값 = 1 |
추가 스마트 카드 그룹 정책 설정 및 레지스트리 키
스마트 카드 배포에서는 사용 편의성 또는 보안을 향상시키기 위해 추가 그룹 정책 설정을 사용할 수 있습니다. 스마트 카드 배포를 보완할 수 있는 두 가지 정책 설정은 다음과 같습니다.
- 컴퓨터에 대한 위임 해제
- 대화형 로그온: Ctrl+Alt+DEL이 필요하지 않음(권장되지 않음)
다음 스마트 카드 관련 그룹 정책 설정은 컴퓨터 구성\Windows 설정\보안 설정\로컬 정책\보안 옵션에 있습니다.
로컬 보안 정책 설정
| 그룹 정책 설정 및 레지스트리 키 | Default | 설명 |
|---|---|---|
| 대화형 로그온: 스마트 카드 필요 scforceoption |
해제됨 | 이 보안 정책 설정을 사용하려면 사용자가 스마트 카드 사용하여 컴퓨터에 로그인해야 합니다. 사용 사용자는 스마트 카드 사용하여 컴퓨터에 로그인할 수 있습니다. 비활성화 사용자는 모든 방법을 사용하여 컴퓨터에 로그인할 수 있습니다. 참고: 사용하도록 설정하면 Windows LAPS 관리 로컬 계정이 이 정책에서 제외됩니다. |
| 대화형 로그온: 스마트 카드 제거 동작 scremoveoption |
이 정책 설정은 정의되지 않았습니다. 즉, 시스템에서 작업 없음으로 처리합니다. | 이 설정은 로그인한 사용자의 스마트 카드 스마트 카드 판독기에서 제거될 때 발생하는 작업을 결정합니다. 옵션은 다음과 같습니다. 작업 없음 워크스테이션 잠금: 스마트 카드 제거되면 워크스테이션이 잠기므로 사용자가 영역을 벗어나 스마트 카드 가져와서 보호된 세션을 유지할 수 있습니다. 강제 로그오프: 스마트 카드 제거되면 사용자가 자동으로 로그아웃됩니다. 원격 데스크톱 서비스 세션의 연결 끊기: 스마트 카드 제거하면 사용자를 로그아웃하지 않고 세션의 연결이 끊어집니다. 사용자는 다시 로그인하지 않고도 스마트 카드 다시 삽입하고 나중에 또는 스마트 카드 판독기가 장착된 다른 컴퓨터에서 세션을 다시 시작할 수 있습니다. 세션이 로컬인 경우 이 정책 설정은 워크스테이션 잠금 옵션과 동일하게 작동합니다. |
로컬 보안 정책 편집기(secpol.msc)에서 시스템 정책을 편집하고 적용하여 로컬 또는 도메인 컴퓨터에 대한 자격 증명 위임을 관리할 수 있습니다.
다음 스마트 카드 관련 그룹 정책 설정은 컴퓨터 구성\관리 템플릿\시스템\자격 증명 위임에 있습니다.
레지스트리 키는 에 있습니다 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\Credssp\PolicyDefaults.
참고
다음 표에서 새 자격 증명은 애플리케이션을 실행할 때 묻는 메시지가 표시됩니다.
자격 증명 위임 정책 설정
| 그룹 정책 설정 및 레지스트리 키 | Default | 설명 |
|---|---|---|
| 새 자격 증명 위임 허용 AllowFreshCredentials |
구성되지 않음 | 이 정책 설정은 다음과 같이 적용됩니다. 신뢰할 수 있는 X509 인증서 또는 Kerberos 프로토콜을 통해 서버 인증을 달성한 경우 CredSSP 구성 요소를 사용하는 애플리케이션(예: 원격 데스크톱 서비스). 사용: 사용자의 새 자격 증명을 위임할 수 있는 서버를 지정할 수 있습니다. 구성되지 않음: 적절한 상호 인증 후에는 모든 컴퓨터에서 실행되는 원격 데스크톱 서비스에 새 자격 증명 위임이 허용됩니다. 사용 안 함: 컴퓨터에 대한 새 자격 증명 위임은 허용되지 않습니다. 참고: 이 정책 설정은 하나 이상의 SPN(서비스 사용자 이름)으로 설정할 수 있습니다. SPN은 사용자 자격 증명을 위임할 수 있는 대상 서버를 나타냅니다. 예를 들어 SPN을 지정할 때 단일 와일드카드 문자가 허용됩니다. 모든 컴퓨터에서 실행되는 RD 세션 호스트(원격 데스크톱 세션 호스트)에 *TERMSRV/**를 사용합니다. host.humanresources.fabrikam.com 컴퓨터에서 실행되는 RD 세션 호스트에 TERMSRV/ host.humanresources.fabrikam.com 사용합니다. .humanresources.fabrikam.com 모든 컴퓨터에서 실행되는 RD 세션 호스트에 TERMSRV/* .humanresources.fabrikam.com 사용 |
| NTLM 전용 서버 인증을 사용하여 새 자격 증명 위임 허용 AllowFreshCredentialsWhenNTLMOnly |
구성되지 않음 | 이 정책 설정은 다음과 같이 적용됩니다. NTLM을 사용하여 서버 인증을 수행한 경우 CredSSP 구성 요소를 사용하는 애플리케이션(예: 원격 데스크톱). 사용: 사용자의 새 자격 증명을 위임할 수 있는 서버를 지정할 수 있습니다. 구성되지 않음: 적절한 상호 인증 후 모든 컴퓨터에서 실행되는 RD 세션 호스트(TERMSRV/*)에 새 자격 증명 위임이 허용됩니다. 사용 안 함: 컴퓨터에는 새 자격 증명 위임이 허용되지 않습니다. 참고: 이 정책 설정은 하나 이상의 SPN으로 설정할 수 있습니다. SPN은 사용자 자격 증명을 위임할 수 있는 대상 서버를 나타냅니다. SPN을 지정할 때 단일 와일드카드 문자(*)가 허용됩니다. 예제는 새 자격 증명 위임 허용 정책 설정 설명을 참조하세요. |
| 새 자격 증명 위임 거부 DenyFreshCredentials |
구성되지 않음 | 이 정책 설정은 CredSSP 구성 요소(예: 원격 데스크톱)를 사용하는 애플리케이션에 적용됩니다. 사용: 사용자의 새 자격 증명을 위임할 수 없는 서버를 지정할 수 있습니다. 사용 안함 또는 구성되지 않음: 서버가 지정되지 않았습니다. 참고: 이 정책 설정은 하나 이상의 SPN으로 설정할 수 있습니다. SPN은 사용자 자격 증명을 위임할 수 없는 대상 서버를 나타냅니다. SPN을 지정할 때 단일 와일드카드 문자(*)가 허용됩니다. 예를 들어 "새 자격 증명 위임 허용" 정책 설정을 참조하세요. |
스마트 카드 로그온과 함께 원격 데스크톱 서비스를 사용하는 경우 기본 및 저장된 자격 증명을 위임할 수 없습니다. 에 있는 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\Credssp\PolicyDefaults다음 표의 레지스트리 키와 해당 그룹 정책 설정은 무시됩니다.
| 레지스트리 키 | 해당 그룹 정책 설정 |
|---|---|
| AllowDefaultCredentials | 기본 자격 증명 위임 허용 |
| AllowDefaultCredentialsWhenNTLMOnly | NTLM 전용 서버 인증을 사용하여 기본 자격 증명 위임 허용 |
| AllowSavedCredentials | 저장된 자격 증명 위임 허용 |
| AllowSavedCredentialsWhenNTLMOnly | NTLM 전용 서버 인증을 사용하여 저장된 자격 증명 위임 허용 |