시스템 암호화: 암호화, 해시, 서명에 FIPS 규격 알고리즘 사용
적용 대상:
- Windows 11
- Windows 10
IT 전문가를 위한 이 보안 정책 참조 항목에서는 이 정책 설정에 대한 모범 사례, 위치, 값, 정책 관리 및 보안 고려 사항에 대해 설명합니다.
참고자료
FIPS(Federal Information Processing Standard) 140은 암호화 소프트웨어를 인증하기 위해 설계된 보안 구현입니다. Windows는 이러한 인증된 알고리즘을 구현하여 미국 연방 정부의 부서 및 기관에서 사용할 암호화 모듈에 대한 요구 사항 및 표준을 충족합니다.
TLS/SSL
이 정책 설정은 TLS/SSL 보안 공급자가 TLS_RSA_WITH_3DES_EDE_CBC_SHA 알려진 FIPS 규격 강력한 암호 제품군만 지원하는지 여부를 결정합니다. 즉, 공급자는 TLS 프로토콜을 클라이언트 컴퓨터로, 서버로만 지원합니다(해당하는 경우). TLS 트래픽 암호화에는 3DES(Triple Data Encryption Standard) 암호화 알고리즘만 사용하고, TLS 키 교환 및 인증을 위한 RSA(Rivest-Shamir-Adleman) 공개 키 알고리즘만 사용하고, TLS 해시 요구 사항에 대한 SHA-1(보안 해시 알고리즘 버전 1) 해시 알고리즘만 사용합니다.
EFS(파일 시스템) 암호화
EFS 서비스의 경우 이 정책 설정은 NTFS 파일 시스템에서 지원하는 파일 데이터를 암호화하기 위한 3DES 및 AES(고급 암호화 표준) 암호화 알고리즘을 지원합니다. 파일 데이터를 암호화하기 위해 기본적으로 EFS는 Windows Server 2003, Windows Vista 이상에서 256비트 키와 함께 AES(Advanced Encryption Standard) 알고리즘을 사용하며 Windows XP에서 DESX 알고리즘을 사용합니다.
RDS(원격 데스크톱 서비스)
원격 데스크톱 서비스를 사용하는 경우 이 정책 설정은 3DES 암호화 알고리즘이 지원되는 경우에만 사용하도록 설정해야 합니다.
BitLocker
BitLocker의 경우 암호화 키가 생성되기 전에 이 정책 설정을 사용하도록 설정해야 합니다. 이 정책을 사용할 때 Windows Server 2012 R2 및 Windows 8.1 이상에서 만든 복구 암호는 R2 및 Windows 8.1 Windows Server 2012 전에 운영 체제의 BitLocker와 호환되지 않습니다. ; BitLocker는 이러한 시스템에서 복구 암호를 만들거나 사용할 수 없으므로 복구 키를 대신 사용해야 합니다. 또한 데이터 드라이브가 암호로 보호되는 경우 암호를 제공한 후 FIPS 규격 컴퓨터에서 액세스할 수 있지만 드라이브는 읽기 전용입니다.
가능한 값
- Enabled
- 사용 안 함
- 정의되지 않음
모범 사례
FIPS 140-2를 준수하려는 고객은 FIPS 140-2 승인 모드에서 작동할 때 Windows에서 제공하는 FIPS 140-2 유효성 검사 암호화를 활용하도록 솔루션을 구성할 수 있도록 사용할 수 있는 애플리케이션 및 프로토콜의 구성 설정을 조사하는 것이 좋습니다.
Microsoft에서 권장하는 구성 설정의 전체 목록은 Windows 보안 기준을 참조하세요. Windows 및 FIPS 140-2에 대한 자세한 내용은 FIPS 140 유효성 검사를 참조하세요.
위치
컴퓨터 구성\Windows 설정\보안 설정\로컬 정책\보안 옵션
기본값
다음 표에서는 이 정책에 대한 실제 및 유효 기본값을 나열합니다. 기본값은 정책의 속성 페이지에도 나열됩니다.
| 서버 유형 또는 GPO | 기본값 |
|---|---|
| 기본 도메인 정책 | 정의되지 않음 |
| 기본 도메인 컨트롤러 정책 | 정의되지 않음 |
| Stand-Alone 서버 기본 설정 | 해제됨 |
| DC 유효 기본 설정 | 해제됨 |
| 멤버 서버 유효 기본 설정 | 해제됨 |
| 클라이언트 컴퓨터 유효 기본 설정 | 해제됨 |
운영 체제 버전 차이
이 설정을 사용하도록 설정하면 EFS(파일 시스템 암호화) 서비스는 파일 데이터를 암호화하기 위한 Triple DES 암호화 알고리즘만 지원합니다. 기본적으로 EFS의 Windows Vista 및 Windows Server 2003 구현에서는 256비트 키와 함께 AES(Advanced Encryption Standard)를 사용합니다. Windows XP 구현에서는 DESX를 사용합니다.
이 설정을 사용하도록 설정하면 BitLocker는 다음 버전에 적용할 수 있는 복구 암호 또는 복구 키를 생성합니다.
| 운영 체제 | 적용 |
|---|---|
| Windows 10, Windows 8.1 및 Windows Server 2012 R2 | 이러한 운영 체제에서 만든 경우 복구 암호는 이 표에 나열된 다른 시스템에서 사용할 수 없습니다. |
| Windows Server 2012 및 Windows 8 | 이러한 운영 체제에서 만들 때 복구 키는 이 표에 나열된 다른 시스템에서도 사용할 수 있습니다. |
| Windows Server 2008 R2 및 Windows 7 | 이러한 운영 체제에서 만들 때 복구 키는 이 표에 나열된 다른 시스템에서도 사용할 수 있습니다. |
| Windows Server 2008 및 Windows Vista | 이러한 운영 체제에서 만들 때 복구 키는 이 표에 나열된 다른 시스템에서도 사용할 수 있습니다. |
정책 관리
이 섹션에서는 이 정책을 관리하는 데 도움이 되는 기능 및 도구에 대해 설명합니다.
재시작 요구 사항
없음. 이 정책의 변경 내용은 로컬로 저장되거나 그룹 정책 통해 배포될 때 디바이스를 다시 시작하지 않고 적용됩니다.
그룹 정책
그룹 정책 사용하여 이 정책을 설정하고 배포하는 것이 로컬 디바이스의 설정보다 우선합니다. 그룹 정책 구성되지 않음으로 설정된 경우 로컬 설정이 적용됩니다.
보안 고려 사항
이 섹션에서는 공격자가 기능 또는 기능의 구성을 악용할 수 있는 방법, 대책을 구현하는 방법 및 대책 구현의 부정적인 결과 가능성에 대해 설명합니다.
취약성
이 정책 설정을 사용하도록 설정하여 디바이스가 디지털 암호화, 해시 및 서명에 사용할 수 있는 가장 강력한 알고리즘을 사용하도록 설정할 수 있습니다. 이러한 알고리즘을 사용하면 권한이 없는 사용자가 디지털 암호화 또는 서명된 데이터의 손상 위험을 최소화할 수 있습니다.
대책
시스템 암호화 사용: 암호화, 해시 및 서명 설정에 FIPS 규격 알고리즘을 사용합니다.
잠재적인 영향
이 정책 설정을 사용하도록 설정한 클라이언트 디바이스는 이러한 알고리즘을 지원하지 않는 서버와 디지털 암호화 또는 서명된 프로토콜을 통해 통신할 수 없습니다. 이러한 알고리즘을 지원하지 않는 네트워크 클라이언트는 네트워크 통신에 필요한 서버를 사용할 수 없습니다. 예를 들어 많은 Apache 기반 웹 서버는 TLS를 지원하도록 구성되지 않습니다. 이 설정을 사용하도록 설정하는 경우 TLS를 사용하도록 Internet Explorer®도 구성해야 합니다. 이 정책 설정은 RDP(원격 데스크톱 프로토콜)에 사용되는 암호화 수준에도 영향을 줍니다. 원격 데스크톱 연결 도구는 RDP 프로토콜을 사용하여 터미널 서비스를 실행하는 서버 및 원격 제어를 위해 구성된 클라이언트 컴퓨터와 통신합니다. 두 디바이스가 동일한 암호화 알고리즘을 사용하도록 구성되지 않은 경우 RDP 연결이 실패합니다.