그룹 정책을 통한 기본 원격 데스크톱 서버 인증 인증서 변경
원격 데스크톱 연결 시 신뢰되지 않은 인증서라는 경고 메시지를 제거하고자 할 때

1. 인증서 템플릿 콘솔 실행
2. 목록 중 컴퓨터 > 우클릭 > 템플릿 복제

3. Windows Server 2003 Enterprise 선택

4. 템플릿 표시 이름과 템플릿 이름 동일하게 설정(예: RemoteDesktopComputer)

5. 확장 탭에서 응용 프로그램 정책 > 편집

6. 클라이언트 인증 선택 > 제거

7. 확인 > 확인

8. 인증서 관리 콘솔 > 인증서 템플릿 > 우클릭 > 새로 만들기 > 발급할 인증서 템플릿

9. 복제한 인증서(예: RemoteDesktopComputer) 선택 > 확인

10. 그룹 정책에서 다음 항목을 적용
컴퓨터 구성 > 정책 > 관리 템플릿 > Windows 구성 요소 > 터미널 서비스 > 원격 데스크톱 세션 호스트 > 보안
서버 인증 인증서 템플릿 > 인증서 템플릿 이름 입력(예: RemoteDesktopComputer)

Active Directory FSMO 이동 명령줄 CLI

명령줄에서 ntdsutil 실행
아래 내용 중 <TargetServerName> 을 이동할 대상 서버 이름으로 변경 후 순서대로 입력

roles

connections

connect to server <TargetServerName>

q

Transfer infrastructure master

Transfer naming master

Transfer PDC

Transfer RID master

Transfer schema master

명령줄로 빠져 나와 아래 명령을 이용해 FSMO 이동 결과 확인
netdom query fsmo

 

인증서 서비스의 CRL 배포 지점(CDP) 설정

레지스트리 편집기 실행 HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration 로 이동한 후
CRLPublicationURLs 값의 아래 http 값을 외부에서 연결 가능한 서버 주소로 수정한다.

Windows Server 2003
certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
인증서 서비스 재시작(certsvc)

Windows Server 2008
certutil -setreg policy\SubjectAltName enabled
certutil -setreg policy\SubjectAltName2 enabled
인증서 서비스 재시작(certsvc)

인증서 요청 방법
1. http://servername/certsrv 접속
2. 인증서 템플릿: 웹 서버
3. 키 옵션 설정
- 새 키 집합 만들기
- CSP: Microsoft RSA SChannel Cryptographic Provider
- 키 사용: 교환
- 키 크기: 1024 - 16384
- 자동 키 컨테이너 이름
- 인증서를 로컬 컴퓨터의 인증서 저장소에 저장
4. 고급 옵션의 요청 형식을 CMC로 설정
5. 특성에 다음과 같은 형태로 SAN 입력
san:dns=dns.name[&dns=dns.name]
예)ABC.Domain.Com과 123.Domain.Com을 SAN에 포함하는 경우
san:dns=ABC.Domain.Com&dns=123.Domain.Com

그룹 정책 편집기에서 컴퓨터 구성 > 정책 > Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션으로 이동

I. Kerberos vs. NTLM
NTLM 인증: Challenge-Response mechanism
1. 클라이언트가 서버로 사용자 이름을 보낸다.
2. 서버는 이에 대한 요청 값을 생성해 클라이언트로 보낸다.
3. 클라이언트는 이 요청 값을 사용자 암호로 암호화해 서버로 응답을 보낸다.
4. 로컬 계정인 경우 서버는 SAM(Security Account Manager)을 검색해 사용자의 응답을 검증한다.
5. 도메인 계정인 경우 서버는 이 응답을 도메인 컨트롤러로 전달해 검증하고 사용자 계정에 대한 그룹 정책을 받는다.
6. Access Token을 발급하고 세션을 맺는다.

Kerberos 인증: Trust-Third-Party Scheme
- Kerberos 인증 방법은 표준 프로토콜로 네트워크에서 클라이언트와 서버를 상호 인증하는 방식이다.
- 세 가지 주 요소는 KDC(Key Distribution Center), 클라이언트, 접근할 서비스를 가지는 서버
- KDC는 도메인 컨트롤러의 일부로서 설치되며 다음 두 가지 기능을 수행한다.
-- AS(Authentication Service), TGS(Ticket-Granting Service)

1. 사용자가 네트워크에 로그온하면 AS에 TGT(Ticket Grant Ticket)을 요청한다.
2. 클라이언트는 네트워크 자원에 접근할 때 TGT와 인증자(Authenticator), 대상 서버의 SPN(Service Principal Name)을 제시한다.
3. 클라이언트는 네트워크 서비스와의 통신에 사용될 세션 티켓을 받기위해 서비스 계정 도메인의 TGS에 접속한다.
4. 대상 서버가 인증자를 검증하고 나면 클라이언트 사용자에 대한 Access Token을 생성한다.


II. Kerberos와 NTLM 인증의 요구 사항
Kerberos
1. 클라이언트와 서버는 반드시 도메인 구성원이어야 한다. 만약 클라이언트와 서버가 서로 다른 도메인에 속하는 경우 두 도메인은 양방향 신뢰가 구성되어 있어야 한다.
2. SPN 등록. SPN은 서버에서 실행 중인 서비스에 대한 고유한 식별자다. Kerberos 인증을 필요로 하는 서비스는 SPN을 가지고 있어야 클라이언트가 네트워크에서 서비스를 식별할 수 있게 된다.

SPN(Service Principal Name)
SQL Server에 대한 SPN은 다음과 같은 요소로 구성된다.
- ServiceClass: 서비스를 식별하는 요소. SQL Server에 대한 Service Class는 MSSQLSvc이다.
- Host: SQL Server가 실행 중인 컴퓨터의 FQDN
- Port: 실행 중인 서비스가 수신 대기 중인 포트
예) MSSQLSvc/sqlserver.domain.com:1433

NTLM
NTLM은 요청-응답의 과정을 위해 사용자 암호를 요구한다. 이후 서버는 클라이언트로부터 암호를 요구하지 않고 클라이언트를 식별할 수 있게 된다. 만약 클라이언트가 시스템 계정으로 실행 중이라면 인증 정보를 보낼 수가 없기 때문에 인증은 실패하게 된다.

NTLM Fallback
NTLM(NT LAN Manager)는 Windows NT와 Windows 2000 Workgroup 환경에서 사용되던 인증 프로토콜이다.
Windows Server 2003, Windows XP, Windows 2000은 어느 인증 프로토콜을 사용할지 협상하는 알고리즘을 사용한다. Kerberos 프로토콜이 기본 값이며 Kerberos 인증이 실패할 경우 NTLM 인증을 시도한다.


III. SQL Server 2005에 접속 시 Kerberos와 NTLM
1. 만약 SPN이 존재하면 TCP/IP를 통한 원격 접속 시 Kerberos가 사용된다.
2. SPN이 존재하고 XP 컴퓨터의 로컬 TCP 연결을 하는 경우 Kerberos가 사용된다.
3. Windows Server 2003의 로컬 연결의 경우 NTLM이 사용된다.
4. 명명된 파이프 연결의 경우 NTLM이 사용된다.
5. SPN을 찾을 수 없고 TCP를 통해 연결하는 경우 NTLM이 사용된다.

SETSPN.EXE
1. SQL Server가 LocalSystem 또는 NetworkService 계정으로 실행 중인 경우 SPN 확인
SETSPN -L <SQL Server가 설치된 서버 이름>
2. SQL Server가 도메인 사용자 계정으로 실행 중인 경우 SPN 확인
SETSPN -L <도메인>\<사용자 계정>
3. 만약 도메인 계정이 관리자 계정이 아닌 상황에서 Kerberos 인증을 반드시 사용해야 하는 경우 SPN 등록
SETSPN -A <도메인>\<사용자 계정>
4. SQL Server는 다음 항목이 만족되는 경우 서비스 시작 시 자동으로 SPN을 등록한다. 아래 항목이 충족되지 않는 경우 Kerberos인증을 위해서는 SPN을 수동으로 등록해야만 한다.
- SQL Server가 LocalSystem 또는 Network Service 또는 도메인 관리자 계정으로 실행 중이다.
- TCP/IP 프로토콜이 활성화되어 있다.

일반적으로 클라이언트가 SQL Server로 TCP 연결을 맺는 경우 클라이언트의 SQL 드라이버는 SQL Server가 실행 중인 서버의 FQDN을 풀게된다. 그 다음 SQL Server의 SPN을 검색하고 협상 과정을 거쳐 KDC의 SPN 검증 여부에 따라 NTLM 또는 Kerberos를 사용해 인증을 시도한다. 만약 Kerberos 인증이 실패할 경우 NTLM 인증을 시도한다. 명명된 파이프로 접속하는 경우에는 SQL 드라이버는 빈 SPN을 생성해 NTLM 인증으로 인증을 시도한다.

그룹 정책을 통한 UAC 메시지 제거 방법

1.     도메인 컨트롤러에서 그룹 정책 편집기 실행

2.     기본 도메인 정책을 수정하거나 별도의 그룹 정책 생성 후 수정 -> 편집

3.     그룹 정책 편집기 창에서 다음 위치까지 이동
컴퓨터 구성
          -> 정책
                -> Windows 설정
                                -> 보안 설정
                                           -> 로컬 정책
                                                      -> 보안 옵션

4.     오른쪽 목록 중에서 다음 세 가지 옵션 설정 후 적용

-       영문판의 경우
User Account Control: Detect application installations and prompt for elevation -> Disabled
User Account Control: Behavior of the elevation prompt for administrator users -> No prompt
User Account Control: Run all administrators in Admin Approval Mode -> Disabled

-       한글판의 경우
사용자 계정 컨트롤: 응용 프로그램 설치할 때 권한 상승 확인 -> 사용 안 함
사용자 계정 컨트롤: 관리자 계정일 때 관리 승인 모드에서 권한 상승 확인 방법 -> 권한 상승 전에 확인 안 함
사용자 계정 컨트롤: 관리자 계정의 경우 관리 승인 모드에서 모든 어플리케이션 실행 -> 사용 안 함