Windows 11 Pro는 기본적으로 안전하지 않은 SMB 게스트 인증을 곧 비활성화합니다.

몇 달 전, 우리는 Microsoft가 Windows 11에서 SMB(Server Message Block) 인증을 크게 개선하고 있다는 사실을 알게 되었습니다. 당시 Microsoft는 SMB 인증 속도 제한기를 기본적으로 활성화하여 악의적인 행위자에게 덜 매력적인 공격 표면을 만들었습니다. 이제 SMB 인증에 대한 또 다른 변경 사항을 발표했습니다.

기술 블로그 게시물에서 Microsoft의 수석 프로그램 관리자인 Ned Pyle은 Windows 11 Pro가 곧 안전하지 않은 SMB 게스트 인증 폴백을 비활성화하기 시작할 것이라고 밝혔습니다. 실제로 최신 Insider Preview 빌드 25267 및 25276은 이미 이 보안 향상 기능을 구현했습니다.

이러한 변경에 대한 Microsoft의 근거는 게스트 인증이 감사 추적 및 서명 및 인증서와 같은 보안 메커니즘을 지원하지 않는다는 것입니다. 따라서 MITM(man-in-the-middle) 공격에 대한 매우 매력적인 공격 벡터이며 서버 시나리오에서도 활용할 수 있습니다. 최악의 경우 악의적인 행위자가 게스트 로그온을 사용하여 전체 네트워크에 대한 읽기 또는 복사 액세스 권한을 얻고 감사 추적을 남기지 않을 수 있습니다.

게스트 로그온은 Windows 2000 이후로 기본적으로 허용되지 않는다는 점에 유의해야 합니다. 마찬가지로 Windows 10 Education 및 Enterprise에서는 잘못된 암호 시도 후 SMB2 및 SMB3가 게스트 로그온으로 대체하는 것을 허용하지 않습니다. 흥미롭게도 Windows 11 Pro Insider 빌드는 기본적으로 게스트 인증을 비활성화하지만 Windows 10 Pro는 그렇지 않습니다.

Microsoft는 게스트 액세스를 요청하는 유일한 시나리오는 합법적인 타사 원격 저장 장치를 통하는 것이라고 말합니다. 그러나 Windows 11 Pro에서 시도하는 동안 오류가 발생하지 않습니다. 해결 방법은 원격 장치의 설명서를 살펴보고 게스트 인증 요구를 중지하는 방법을 알아내는 것입니다. 이것이 가능하지 않은 경우 일시적으로 SMB2 또는 SMB3 게스트 폴백을 활성화하여 액세스를 허용할 수 있습니다 . 그러나 레거시 프로토콜에 존재하는 보안 취약성으로 인해 SMB1을 사용해서는 안 됩니다.

Microsoft는 이 동작이 최근 Windows 11 Pro Insider 빌드에서 기본적으로 활성화되어 있으며 운영 체제의 “다음 주요 릴리스”에서 일반적으로 사용할 수 있게 될 것이라고 언급했습니다. 이러한 움직임은 Windows를 더 안전하게 만들기 위한 더 큰 계획처럼 보입니다. Redmond 기술 대기업도 몇 년 안에 Microsoft 지원 진단 도구(MSDT)를 없앨 계획입니다.