이벤트 로그 - Cryptographic Services failed while processing the OnIdentity() call in the System Writer Object.

다음과 같은 이벤트 로그 항목이 있습니다.

Log Name:      Application
Source:        Microsoft-Windows-CAPI2
Date:          2017-11-23 오후 2:07:11
Event ID:      513
Task Category: None
Level:         Error
Keywords:      Classic
User:          N/A
Computer:      TESTMAIN.TESTAD.com
Description:
Cryptographic Services failed while processing the OnIdentity() call in the System Writer Object.

Details:
AddLegacyDriverFiles: Unable to back up image of binary Microsoft Link-Layer Discovery Protocol.

System Error:
Access is denied.

원인은 다음의 글에 자세한 설명이 있습니다.

Error source CAPI2 id 513 - Cryptographic Services failed while processing the OnIdentity() call in the System Writer Object 
; https://social.technet.microsoft.com/Forums/windows/en-US/156d3b56-0863-47fb-851f-82ea78a7cff2/error-source-capi2-id-513-cryptographic-services-failed-while-processing-the-onidentity-call-in?forum=w8itprogeneral

"Microsoft Link-Layer Discovery Protocol"은 \Windows\system32\DRIVERS\mslldp.sys에 구현된 기능이고 레지스트리 설정이 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsLldp"라고 합니다. 그리고 VSS 백업 프로세스가 NETWORK SERVICE 권한으로 cryptcatsvc를 사용하는데 그중에 MSLLDP 드라이버에 대해 CSystemWriter::AddLegacyDriverFiles() 함수를 호출하는 중 권한이 부족해 오류가 발생한다는 것입니다.

sysinternals의 accesschk.exe로 다음과 같이 검사할 수 있고,

C:\WINDOWS\system32>accesschk -c mslldp

Accesschk v6.01 - Reports effective permissions for securable objects
Copyright (C) 2006-2016 Mark Russinovich
Sysinternals - www.sysinternals.com

mslldp
  RW NT AUTHORITY\SYSTEM
  RW BUILTIN\Administrators
  R  S-1-5-32-549
  R  NT SERVICE\NlaSvc

따라서 MSLLDP 드라이버에 대해 NETWORK SERVICE 계정이 접근할 수 있도록 변경해야 합니다.

이를 위해 현재 MSLLDP 접근 권한을 SDDL 문자열로 알아내고,

C:\WINDOWS\system32> SC sdshow MSLLDP

D:(D;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BG)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;SO)(A;;LCRPWP;;;S-1-5-80-3141615172-2057878085-1754447212-2405740020-3916490453)

NETWORK SERVICE에 해당하는 아래의 SDDL 문자열을,

(A;;CCLCSWLOCRRC;;;SU)

더해서 설정해 주면 됩니다.

C:\WINDOWS\system32> sc sdset MSLLDP D:(D;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BG)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;SO)(A;;LCRPWP;;;S-1-5-80-3141615172-2057878085-1754447212-2405740020-3916490453)(A;;CCLCSWLOCRRC;;;SU)
[SC] SetServiceObjectSecurity SUCCESS

잘 설정되었는지 확인도 해 주고!

C:\WINDOWS\system32> accesschk -c mslldp

Accesschk v6.01 - Reports effective permissions for securable objects
Copyright (C) 2006-2016 Mark Russinovich
Sysinternals - www.sysinternals.com

mslldp
  RW NT AUTHORITY\SYSTEM
  RW BUILTIN\Administrators
  R  S-1-5-32-549
  R  NT SERVICE\NlaSvc
  R  NT AUTHORITY\SERVICE

---

[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]

[최초 등록일: 11/25/2017]
[최종 수정일: 11/25/2017]


이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

by SeongTae Jeong, mailto:techsharer at outlook.com