Microsoft 네트워크 서버: 서버 SPN 대상 이름 유효성 검사 수준 이 정책 설정은 클라이언트 컴퓨터에서 SMB(서버 메시지 블록) 프로토콜을 사용하여 세션을 설정할 때 제공되는 공유 폴더 또는 프린터(서버)가 ...

Microsoft 네트워크 서버: 서버 SPN 대상 이름 유효성 검사 수준

이 정책 설정은 클라이언트 컴퓨터에서 SMB(서버 메시지 블록) 프로토콜을 사용하여 세션을 설정할 때 제공되는 공유 폴더 또는 프린터(서버)가 있는 컴퓨터의 유효성 검사 수준을 제어합니다.

SMB(서버 메시지 블록) 프로토콜은 파일 및 인쇄 공유와 Windows 관리 같은 기타 네트워킹 작업의 기반을 제공합니다. SMB 프로토콜은 인증 BLOB 내에서 SMB 클라이언트에서 제공한 SMB 서버 SPN(서비스 사용자 이름)의 유효성 확인을 지원하여 SMB 릴레이 공격이라는 공격 유형으로부터 SMB 서버를 방어합니다. 이 설정은 SMB1과 SMB2 모두에 영향을 줍니다.

이 보안 설정은 SMB 서버에 대한 세션을 설정할 때 SMB 클라이언트에서 제공한 SPN(서비스 사용자 이름)에 대해 수행되는 SMB 서버의 유효성 검사 수준을 결정합니다.

옵션은 다음과 같습니다.

끄기 \x2013 SPN이 필요하지 않거나 SMB 클라이언트에서 제공한 SPN의 유효성을 SMB 서버에서 검사하지 않습니다.

클라이언트에서 제공하는 경우 수락 \x2013 SMB 서버가 SMB 클라이언트에서 제공한 SPN을 수락하고 유효성을 검사하여 SMB 서버의 자체 SPN 목록과 일치하는 경우 세션 설정을 허용합니다. SPN이 일치하지 않으면 SMB 클라이언트의 세션 요청이 거부됩니다.

클라이언트에 SPN 요구 - 세션 설정 시 SMB 클라이언트가 SPN 이름을 반드시 보내야 하고 제공한 SPN 이름이 연결 요청 대상 SMB 서버의 SPN 이름과 일치해야 합니다. 클라이언트에서 SPN을 제공하지 않거나 제공한 SPN이 일치하지 않으면 세션 요청이 거부됩니다.

기본값: 끄기

모든 Windows 운영 체제는 클라이언트 쪽 SMB 구성 요소와 서버 쪽 SMB 구성 요소를 모두 지원합니다. 이 설정은 서버 SMB 동작에 적용되므로 파일 및 인쇄 서비스 기능에 영향을 주지 않으려면 신중하게 평가하고 테스트하여 구현해야 합니다. 이 설정을 구현하고 사용하여 SMB 서버를 보호하는 방법에 대한 자세한 내용은 Microsoft 웹 사이트에서 관련 문서(http://go.microsoft.com/fwlink/?LinkId=144505)를 참조하십시오.