Aruba Clearpass 윈도우11 MSCHAPv2 인증 안됨 현상

Aruba Clearpass를 급작스럽게 도입하게 되었다.

그리고 윈도우 PC 대부분은 윈도우10 OS이고 큰 문제가 없다.

그런데 윈도우 11에서 로그인 전에 자동으로 와이파이 연결이 되지 않았다.

원인이 무엇이고 어떻게 해결해야 할까?

 

이 원인을 찾는데 며칠 걸렸는데, 이것은 윈도우 버전 때문이었다.

현시점 최신 윈도우 11 OS의 경우 23H2이다.

윈도우11 23H2

 

 

 

윈도우11 22H2부터 Credential Guard라는 것이 기본적으로 활성화된다.

Credential Guard가 활성화 되면 NTLMv1, MSCHAPv2 등을 이용한 로그인된 자격 증명을 사용할 수 없다고 한다.

Credential Guard 보호 한도. 출처 : MS

 

 

 

 

결과적으로 Credential Guard를 끄면, 다시 MSCHAPv2를 사용할 수 있는 것일까? 정답은 그렇다.

 

테스트를 통해 확인해보니 21H2는 아무 문제가 없다.

한번 연결한 인증 정보로 무선 와이파이에 부팅 시 자동 연결할 수 있다.

하지만 23H2는 계속되지 않았다.

단, 수동으로 무선 네트워크에 연결시 문제가 없다.

이유는 MS의 글을 보면 알 수 있다.

윈도우11 22H2에서는 Credential Guard가 기본 활성화이며 이때 수동으로 재인증을 해야 된다고 되어 있다. 출처 : MS

 

 

 

 

그리고 MS는 보안상 PEAP-TLS 또는 EAP-TLS로 전환하는 것을 권장하는 걸로 보인다. 두 가지 유형 모두 인증서 기반 인증이다.

MSCHAPv2 기반 연결에서 인증서 기반 인증으로 전환을 권장. 출처 : MS

 

테스트로 Credential Guard를 꺼봤는데 정상 동작한다.

보안 사항이라 끄면 좀 찝찝하지만, 일단은 무선 네트워크는 부팅시 연결이 되어야 하는 상황이다. 필요하다면 Credential Guard를 GPO에서 배포할 수도 있다. 하지만 윈도우11 PC가 몇 대 없기 때문에 직접 PC의 로컬 그룹 편집기에서 적용시켜보기로 했다. 윈도우11 PC가 많아지기 전에 인증서 기반으로 전환 준비를 해야 할 거 같다. 

가상화 기반 보안 켜기에서 사용 안함을 체크하고 재부팅 하면 Credential Guard가 꺼지고 정상 동작한다.

 

 

참조 링크 : https://learn.microsoft.com/en-us/windows/security/identity-protection/credential-guard/how-it-works

How Credential Guard works - Windows Security

참조 링크 : https://learn.microsoft.com/en-us/windows/security/identity-protection/credential-guard/considerations-known-issues

Considerations and known issues when using Credential Guard - Windows Security