Windows Server 2022 Azure Edition 및 Windows Server Insider(미리 보기)에서 QUIC 클라이언트 액세스 제어를 통해 SMB 구성
Important
Windows 참가자 및 Windows Server 참가자 빌드는 미리 보기로 제공됩니다. 이 정보는 릴리스되기 전에 상당히 수정될 수 있는 시험판 제품과 관련이 있습니다. Microsoft는 여기에 제공된 정보와 관련하여 명시적이거나 묵시적인 어떠한 보증도 하지 않습니다.
QUIC 클라이언트 액세스 제어를 통해 SMB를 사용하면 QUIC 서버를 통해 SMB에 액세스할 수 있는 클라이언트를 제한할 수 있습니다. 클라이언트 액세스 제어는 디바이스가 파일 서버에 연결할 수 있도록 허용 및 차단 목록을 만듭니다. 클라이언트 액세스 제어는 SMB 연결을 만들 때 사용되는 인증을 변경하지 않고 조직에 더 많은 보호를 제공하며 최종 사용자 환경을 변경하지도 않습니다.
이 문서에서는 PowerShell을 사용하여 Windows 11 및 Windows Server 2022 Datacenter: Azure Edition에서 QUIC를 통해 SMB에 대한 클라이언트 액세스 제어를 구성하는 방법을 설명합니다. 지침을 진행하려면 3월 업데이트 KB5035853 또는 KB5035857가 설치되어 있거나, 최근 Windows 11 참가자 빌드 또는 Windows Server 참가자 빌드를 실행 중이어야 합니다.
QUIC를 통한 SMB를 구성하는 방법에 대한 자세한 내용은 QUIC 를 통한 SMB를 참조하세요.
클라이언트 액세스 제어의 작동 방식
클라이언트 액세스 제어는 서버에 연결하는 클라이언트가 알려진 클라이언트 인증서를 사용하거나 공유 루트 인증서에서 발급한 인증서가 있는지 확인합니다. 관리자는 클라이언트에 이 인증서를 발급하고 서버에서 유지 관리하는 허용 목록에 해시를 추가합니다. 클라이언트가 서버에 연결하려고 하면 서버는 클라이언트 인증서를 허용 목록과 비교합니다. 인증서가 유효한 경우, 서버 인증서는 UDP 포트 443을 통해 TLS 1.3 암호화 터널을 만들고 공유에 대한 클라이언트 액세스 권한을 부여합니다. 클라이언트 액세스 제어는 주체 대체 이름을 가진 인증서도 지원합니다.
인증서를 해지하거나 특정 디바이스 액세스를 명시적으로 거부하여 액세스를 차단하도록 QUIC를 통해 SMB를 구성할 수도 있습니다.
참고 항목
Active Directory 도메인에서 QUIC를 통해 SMB를 사용하는 것이 좋지만, 필수는 아닙니다. 로컬 사용자 자격 증명 및 NTLM을 사용하여 작업 그룹 가입 서버에서 QUIC를 통해 SMB를 사용할 수도 있습니다.
필수 조건
클라이언트 액세스 제어를 구성하려면 다음 필수 구성 요소가 있는 SMB 서버가 필요합니다.
- Windows Server 2022 Datacenter: 2024년 3월 12일-KB5035857 업데이트 Azure Edition 을 실행하는 SMB 서버 또는 Windows Server 참가자 빌드 25977 이상. 미리 보기 기능의 잠금을 해제하려면 Windows Server 2022 KB5035857 240302_030531 기능 미리 보기도 설치해야 합니다.
- 서버에서 QUIC를 통해 SMB를 사용하도록 설정하고 구성했습니다. QUIC를 통해 SMB를 구성하는 방법에 대한 자세한 내용은 QUIC 를 통한 SMB를 참조하세요.
- 다른 CA(인증 기관)에서 발급한 클라이언트 인증서를 사용하는 경우 서버에서 CA를 신뢰할 수 있는지 확인해야 합니다.
- 구성 중인 SMB 서버에 대한 관리자 권한입니다.
Important
KB5035857가 설치되면 그룹 정책에서 이 기능을 사용하도록 설정해야 합니다.
- 시작을 클릭하고 gpedit를 입력한 다음 그룹 정책 편집을 선택합니다.
- Computer Configuration\Administrative Templates\KB5035857 240302_030531 Feature Preview\Windows Server 2022로 이동합니다.
- KB5035857 240302_030531 기능 미리 보기 정책을 열고 사용을 선택합니다.
또한 다음 필수 구성 요소가 있는 SMB 클라이언트가 필요합니다.
- 다음 운영 체제 중 하나를 실행 중인 SMB 클라이언트.
- Windows Server 2022 Datacenter: 2024년 3월 12일 - KB5035857 업데이트가 적용된 Azure Edition. 미리 보기 기능의 잠금을 해제하려면 Windows Server 2022 KB5035857 240302_030531 기능 미리 보기도 설치해야 합니다.
- 2024년 3월 12일 - KB5035853 업데이트가 적용된 Windows 11. 미리 보기 기능의 잠금을 해제하려면 Windows Server 11(원본 릴리스) KB5035854 240302_030535 기능 미리 보기도 설치해야 합니다.
- Windows Server 사용자용 빌드 25977 이상.
- Windows 11 Insider Preview 빌드 25977(카나리아 채널) 이상.
- 클라이언트 인증서는 다음과 같습니다.
- 클라이언트 인증(EKU 1.3.6.1.5.5.7.3.2)에 대해 발급됩니다.
- SMB 서버에서 신뢰할 수 있는 인증 기관에서 발급합니다.
- 클라이언트의 인증서 저장소에 설치됩니다.
- 구성 중인 SMB 서버에 대한 관리자 권한입니다.
Important
KB5035857가 설치되면 그룹 정책에서 이 기능을 사용하도록 설정해야 합니다.
- 시작을 클릭하고 gpedit를 입력한 다음 그룹 정책 편집을 선택합니다.
- Computer Configuration\Administrative Templates\KB5035854 240302_030535 Feature Preview\Windows 11 (원본 릴리스)로 이동합니다.
- KB5035854 240302_030535 기능 미리 보기 정책을 열고 사용을 선택합니다.
SMB 클라이언트 구성
SMB 클라이언트 인증서 정보 수집
PowerShell을 사용하여 클라이언트 인증서 해시를 수집하려면 다음을 수행합니다.
SMB 클라이언트에서 관리자 권한 PowerShell 프롬프트를 엽니다.
다음 명령을 실행하여 클라이언트의 인증서 저장소에 인증서를 나열합니다.
Get-ChildItem -Path Cert:\LocalMachine\My다음 명령을 실행하여 변수에 인증서를 저장합니다.
<subject name>를 사용하려는 인증서 개체의 이름으로 바꿉니다.$clientCert = Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object {$_.Subject -Match "<subject name>"}다음 명령을 실행하여 클라이언트 인증서의 SHA256 해시를 기록해 둡다. 클라이언트 액세스 제어를 구성할 때 이 식별자가 필요합니다.
$clientCert.GetCertHashString("SHA256")
참고 항목
$clientCert 개체에 저장된 지문은 SHA1 알고리즘을 사용합니다. 이는 다음과 같은 New-SmbClientCertificateMapping 명령에서 사용됩니다. 또한 클라이언트 액세스 제어를 구성하려면 SHA256 지문이 필요합니다. 이러한 지문은 동일한 인증서에 대해 다른 알고리즘을 사용하여 파생됩니다.
클라이언트 인증서를 SMB 클라이언트에 매핑
클라이언트 인증서를 SMB 클라이언트에 매핑하기.
SMB 클라이언트에서 관리자 권한 PowerShell 프롬프트를 엽니다.
New-SmbClientCertificateMapping명령을 실행하여 클라이언트 인증서를 매핑합니다.<namespace>을 SMB 서버의 FQDN(정규화된 도메인 이름)으로 바꾸고 변수를 사용하여 이전 섹션에서 수집한 SHA1 클라이언트 인증서 지문을 사용합니다.New-SmbClientCertificateMapping -Namespace <namespace> -Thumbprint $clientCert.Thumbprint -StoreName My
완료되면 SMB 클라이언트에서 인증서를 받은 클라이언트를 사용하여 FQDN과 일치하는 SMB 서버에 인증합니다.
클라이언트 액세스 제어 구성
개별 클라이언트 부여
단계에 따라 클라이언트 액세스 제어를 사용하여 SMB 서버에 대한 특정 클라이언트 액세스 권한을 부여합니다.
SMB 서버에 로그인합니다.
SMB 서버에서 관리자 권한 PowerShell 프롬프트를 엽니다.
클라이언트 인증서에 대한 액세스 권한을 부여하려면
Grant-SmbClientAccessToServer을 실행합니다.<name>을 SMB 서버의 호스트 이름으로 바꾸고 SMB 클라이언트 인증서 정보 수집 섹션에서 수집한 SHA256 클라이언트 인증서 식별자를 사용하여<hash>를 대체합니다.Grant-SmbClientAccessToServer -Name <name> -IdentifierType SHA256 -Identifier <hash>
이제 클라이언트 인증서에 대한 액세스 권한을 부여했습니다. Get-SmbClientAccessToServer 명령을 실행하여 클라이언트 인증서 액세스를 확인할 수 있습니다.
특정 인증 기관 부여
단계에 따라 클라이언트 액세스 제어를 사용하여 발급자라고도 하는 특정 인증 기관에서 클라이언트를 부여합니다.
SMB 서버에 로그인합니다.
SMB 서버에서 관리자 권한 PowerShell 프롬프트를 엽니다.
클라이언트 인증서에 대한 액세스 권한을 부여하려면
Grant-SmbClientAccessToServer을 실행합니다.<name>을 중소기업 서버의 호스트 이름으로 바꾸고<subject name>를 발행자 인증서의 전체 X.500 고유 이름으로 바꿉니다. 예들 들어CN=Contoso CA, DC=Contoso, DC=com입니다.Grant-SmbClientAccessToServer -Name <name> -IdentifierType ISSUER -Identifier "<subject name>"
QUIC를 통한 SMB 비활성화
Windows 11 참가자 빌드 26090부터, 관리자는 이제 다음 명령을 실행하여 클라이언트에 대해 QUIC를 통해 SMB를 사용하지 않도록 설정할 수 있습니다.
Set-SmbClientConfiguration -EnableSMBQUIC $false
마찬가지로 다음 경로에서 QUIC 정책에 대해 SMB를 사용하도록 설정하지 않도록 하여 그룹 정책에서 이 작업을 수행할 수 있습니다.
- Computer Configuration\Administrative Templates\Network\Lanman Workstation
SMB Server에 연결
완료되면 다음 명령 중 하나를 실행하여 서버에 연결할 수 있는지 테스트합니다.
NET USE \\<server DNS name>\<share name> /TRANSPORT:QUIC
또는
New-SmbMapping -RemotePath \\<server DNS name>\<share name> -TransportType QUIC
서버에 연결할 수 있는 경우 클라이언트 액세스 제어를 사용하여 QUIC를 통해 SMB를 성공적으로 구성했습니다.