2026년 4월 Windows 누적 업데이트부터 Kerberos의 기본 동작이 변경됩니다. Active Directory 개체의 암호화 유형이 명시적으로 설정되지 않은 (null) 경우, Windows는 종종 RC4를 초래했던 레거시 기본값 대신 AES-SHA1을 기본값으로 사용하게 됩니다. 이는 Windows 플랫폼 보안 변경 사항이며, Azure Virtual Desktop 서비스 동작은 수정되지 않습니다.
이 변경 사항은 FSLogix 프로필 스토리지가 Active Directory와 통합된 SMB 파일 공유에 의존하는 FSLogix 고객(Azure Virtual Desktop 및 비 AVD)에게 영향을 미칠 수 있습니다. 종속 시스템(파일 서버, NAS 또는 서비스 계정 구성)이 Kerberos에 대해 AES-SHA1을 지원하지 않는 경우 인증에 실패할 수 있습니다.
다음과 같은 경우 영향을 받을 수 있습니다.
- FSLogix 프로필용 SMB 스토리지에 대한 Kerberos 기반 액세스를 사용하는 경우, 그리고
- 관련 AD 개체 또는 서비스 계정에 대한 Kerberos 암호화 설정이 RC4 전용이거나 설정되지 않은 (null) 경우.
언제 발생하나요:
* **2026년 4월:** 수동 롤백이 가능한 적용 단계: 명시적인 암호화 유형 설정이 없는 계정에 대해 도메인 컨트롤러가 AES-SHA1 전용 암호화를 사용하도록 Kerberos 기본 동작이 변경되며, Windows 도메인 컨트롤러에서 적용 모드가 기본적으로 활성화됩니다. 감사 모드는 2026년 7월까지 수동 롤백 옵션으로 계속 사용할 수 있습니다. * **2026년 7월:** 적용 단계: 감사 모드가 제거되며, 적용 모드만 유일한 옵션으로 남습니다.지금 해야 할 일:
- SMB 액세스(FSLogix 프로필 스토리지 포함)와 연결된 AD 개체에 대한 RC4 사용 및 null 암호화 설정을 식별합니다.
- AES 기반 Kerberos 암호화(AES-SHA1)를 지원하고 선호하도록 구성을 업데이트합니다.
- AVD 및 비 AVD 환경에 대한 종단 간 로그인 및 FSLogix 프로필 액세스를 검증합니다.
참고 자료:
- Azure 파일 ID 기반 인증 및 권한 부여 문제 해결(SMB) - Azure | Microsoft Learn
- 전체 강화 지침 읽기: CVE-2026-20833과 관련된 서비스 계정 티켓 발급 변경 사항에 대한 Kerberos KDC의 RC4 사용 관리 방법.
- Windows에서 RC4 사용 및 그 위험성에 대해 자세히 알아보기: Kerberos에서 RC4 사용 감지 및 해결.
- 관련 취약점에 대해 자세히 알아보기: CVE-2026-20833.
- Windows Server 블로그: Windows 인증을 위한 RC4를 넘어서