내보내기(0) 인쇄
모두 확장

Windows Server 2003 보안 가이드

3장: 도메인 정책

업데이트 날짜: 2005년 12월 27일

이 페이지에서

개요
도메인 정책
계정 정책
암호 정책
계정 잠금 정책
Kerberos 정책
보안 옵션
요약

개요

이 장에서는 도메인 환경이라는 구조를 사용하여 Microsoft® Windows Server™ 2003 SP1(서비스 팩 1) 인프라 내의 보안 문제를 해결하는 방법을 보여 줍니다.

이 장에서는 다음 항목을 중점적으로 다룹니다.

  • 도메인 수준의 보안 설정 및 대책

  • 1장 "Windows Server 2003 보안 가이드 소개"에 정의된 LC(레거시 클라이언트), EC(엔터프라이즈 클라이언트) 및 SSLF(특수 보안 - 기능 제한) 환경에서 Windows Server 2003 도메인에 보안을 설정하는 방법

이 정보는 도메인 인프라 내에서 LC 환경에서 SSLF 환경으로 전환하는 데 필요한 기반 및 개념을 제공합니다.

Windows Server 2003 SP1에서 제공하는 기본 설정 값은 보안 상태로 설정되어 있습니다. 이 장에서는 꼭 필요한 정보만 전달하기 위해 기본값에서 수정된 설정에 대해서만 설명합니다. 모든 기본 설정에 대한 자세한 내용은 관련 가이드인 위협 및 대책 - Windows Server 2003 및
Windows XP용 보안 설정
을 참조하십시오. 이 가이드는 http://www.microsoft.com/korea/technet/security/topics/serversecurity/tcg/tcgch01.mspx 사이트에서 다운로드할 수 있습니다.

도메인 정책

그룹 정책 보안 설정은 몇 가지 다른 수준에서 적용할 수 있습니다. 2장 "Windows Server 2003 보안 강화 메커니즘"에 논의된 기준 환경에서는 그룹 정책을 사용하여 도메인 인프라의 다음 세 가지 계층 수준에서 설정을 적용했습니다.

  • 도메인 수준. 이 수준의 설정 값은 도메인의 모든 서버에 적용되어야 할 계정 및 암호 정책과 같은 일반적인 보안 요구 사항을 해결합니다.

  • 기준 수준. 이 수준의 설정 값은 도메인 인프라 내의 모든 서버에 공통된 특정 서버 보안 요구 사항을 해결합니다.

  • 역할별 수준. 이 수준의 설정 값은 특정 서버 역할의 보안 요구 사항을 해결합니다. 예를 들어 인프라 서버의 보안 요구 사항은 Microsoft IIS(인터넷 정보 서비스)를 실행하는 서버의 보안 요구 사항과는 다릅니다.

다음 섹션에서는 도메인 수준 정책에 대해서만 자세히 설명합니다. 여기서 설명하는 대부분의 도메인 보안 설정은 사용자 계정과 암호와 관련된 것입니다. 이러한 설정 및 권장 사항을 검토할 때는 모든 설정이 도메인 범위 내의 모든 사용자에게 적용된다는 사실에 유의하십시오.

도메인 정책 개요

그룹 정책을 사용하면 관리자가 표준 네트워크 컴퓨터 구성을 만들 수 있으므로 매우 편리합니다. GPO(그룹 정책 개체)는 관리자가 도메인 또는 도메인 하위 집합에 있는 모든 컴퓨터에서 보안 설정을 동시에 변경할 수 있도록 하므로 모든 규모의 조직에서 구성을 관리하는 중요한 솔루션이 될 수 있습니다.

다음 섹션에서는 Windows Server 2003 SP1의 보안을 개선하는 데 사용할 수 있는 보안 설정에 대해 자세히 설명합니다. 또한 각 설정을 요약해서 보여 주는 표와 각 설정의 보안 목표를 달성하는 방법에 대해서도 자세히 설명합니다. 설정은 Windows Server 2003 SCE(보안 구성 편집기) 사용자 인터페이스에 나타나는 범주로 구분됩니다.

그룹 정책을 통해 다음 종류의 보안 변경 내용을 동시에 적용할 수 있습니다.

  • 파일 시스템에 대한 사용 권한 수정

  • 레지스트리 개체에 대한 사용 권한 수정

  • 레지스트리의 설정 변경

  • 사용자 권한 할당 변경

  • 시스템 서비스 구성

  • 감사 및 이벤트 로그 구성

  • 계정 및 암호 정책 설정

이 가이드에서는 도메인 루트에서 새 그룹 정책을 만들어 이 장에 나오는 도메인 전체 정책을 적용할 것을 권장합니다. 이렇게 하면 변경 내용을 롤백해야 하는 경우에 간단히 비활성화할 수 있으므로 보다 쉽게 새로운 그룹 정책을 테스트하고 발생한 문제를 해결할 수 있습니다. 그러나 Active Directory와 함께 사용되도록 디자인된 일부 응용 프로그램은 기본 제공 기본 도메인 정책을 변경합니다. 이 가이드에 나오는 권장 사항대로 작업할 경우 이러한 응용 프로그램은 사용자가 구현한 새 그룹 정책을 인식하지 못합니다. 새 엔터프라이즈 응용 프로그램을 배포하기 전에 철저히 테스트해야 합니다. 문제가 발생하면 응용 프로그램이 계정 정책을 수정했는지, 새 사용자 계정을 만들었는지, 사용자 권한을 수정했는지 또는 기본 도메인 정책이나 로컬 컴퓨터 정책을 변경했는지 확인합니다.

계정 정책

암호 정책, 계정 잠금 정책, Kerberos 정책 보안 설정을 포함하는 계정 정책은 도메인 정책 중 이 가이드에서 설명하는 세 가지 환경과 모두 관련이 있는 정책입니다. 암호 정책은 보안 수준이 매우 높은 환경의 암호에 대해 복잡성과 변경 일정을 설정하는 방법을 제공합니다. 계정 잠금 정책을 사용하면 실패한 암호 로그온 시도를 추적하여 필요하면 계정을 잠글 수 있습니다. Kerberos 정책은 도메인 사용자 계정에 사용되며 티켓 수명 및 적용과 같은 Kerberos 인증 프로토콜 관련 설정을 결정합니다.

암호 정책

복잡한 암호를 사용하고 정기적으로 변경하면 암호 공격을 받을 가능성이 줄어듭니다. 암호 정책 설정을 통해 암호의 복잡성과 수명을 제어할 수 있습니다. 이 섹션에서는 각 암호 정책 설정에 대해 설명하고 각 설정이 이 가이드에 정의된 레거시 클라이언트, 엔터프라이즈 클라이언트 및 특수 보안 – 기능 제한의 세 가지 환경과 어떤 관련이 있는지 설명합니다.

암호 길이와 복잡성을 엄격하게 제한한다고 해서 사용자와 관리자가 반드시 강력한 암호를 사용하는 것은 아닙니다. 암호 정책을 통해 암호의 복잡성 요구 사항을 준수하도록 요구할 수 있지만 해독하기 어려운 암호를 만들도록 요구하는 강력한 보안 정책이 추가로 요구됩니다. 예를 들어 Breakfast!만으로도 복잡한 암호 요구 사항을 모두 충족시킬 수는 있지만 이런 암호를 알아내기란 그리 어렵지 않습니다.

암호를 만든 사람이 누구인지만 안다면 그 사람이 좋아하는 음식이나 자동차 또는 영화를 통해 암호를 추측할 수 있습니다. 조직의 보안 프로그램에서는 빈약한 암호를 보여 주는 포스터를 만들어 정수기나 복사기가 설치된 공공 장소 근처에 게시함으로써 강력한 암호 사용 방법을 교육할 수도 있습니다. 조직에서는 다음을 포함하는 강력한 암호 생성 지침을 설정해야 합니다.

  • 각종 언어 사전의 단어, 일반적이거나 고의로 맞춤법을 틀리게 쓰는 단어 등의 사용 금지

  • 단순히 현재 암호에 들어 있는 숫자를 증가시켜 새 암호를 만들지 못하도록 금지

  • 중간에 숫자가 들어 있는 암호보다 추측하기 쉬울 수 있으므로 숫자로 시작하거나 끝나는 암호 사용 금지

  • 다른 사람이 사용자 책상을 보고 쉽게 추측할 수 있는 암호(예: 애완견, 스포츠 팀, 가족 구성원의 이름) 사용 금지

  • 유행어 사용 금지

  • 키보드에서 두 손을 모두 사용하여 입력해야 하는 암호 사용 강요

  • 모든 암호에 대/소문자, 숫자 및 기호 사용 강요

  • Alt 키를 누를 때만 생성되는 공백 문자 및 문자 사용 강요

또한 조직의 모든 서비스 계정 암호에 대해서도 이러한 지침을 적용해야 합니다.

암호 정책 설정

다음 표에는 이 가이드에 정의된 세 가지 환경에 대한 암호 정책 설정 권장 사항이 포함되어 있습니다. 그룹 정책 개체 편집기의 다음 위치에서 암호 정책 설정을 구성할 수 있습니다.

컴퓨터 구성\Windows 설정\보안 설정\계정 정책\암호 정책

표 다음에 나오는 하위 섹션에 각 설정에 대한 추가 정보가 포함되어 있습니다.

표 3.1 암호 정책 권장 설정

설정

레거시 클라이언트

엔터프라이즈 클라이언트

특수 보안 – 기능 제한

최근 암호 기억

24개 암호 기억됨

24개 암호 기억됨

24개 암호 기억됨

최대 암호 사용 기간

42일

42일

42일

최소 암호 사용 기간

1일

1일

1일

최소 암호 길이

8문자

8문자

12문자

암호는 복잡성을 만족해야 함

사용

사용

사용

해독 가능한 암호화를 사용하여 암호 저장

사용 안 함

사용 안 함

사용 안 함

최근 암호 기억

이 정책 설정은 이전 암호를 다시 사용하기 전에 사용자 계정과 연결되어야 할 고유한 새 암호 수를 결정합니다. 이 값은 0에서 24 사이의 값으로 설정해야 합니다.

Windows Server 2003 SP1에서 최근 암호 기억 설정의 기본값은 최대값인 24개입니다. 이 값을 사용하면 이전 암호가 연속해서 재사용되지 않고, 일반적인 보안 취약점이 암호의 재사용과 관련되어 있으며, 이 설정에 대해 낮은 값을 지정하면 사용자가 몇 개의 암호를 반복해서 계속 사용할 수 있으므로 세 가지 환경에서 모두 권장됩니다. 또한 레거시 클라이언트를 포함하는 환경에서 이 권장 설정을 적용했을 때 발생하는 알려진 문제점은 없습니다.

이 정책 설정의 효과를 높이려면 최소 암호 사용 기간 설정을 사용하여 사용자가 암호를 즉시 변경하지 못하도록 합니다. 두 옵션을 함께 사용하면 실수로든 고의로든 사용자가 암호를 다시 사용하기 어렵습니다.

최대 암호 사용 기간

이 정책 설정은 암호를 알아낸 공격자가 암호가 만료되기 전에 그 암호를 사용하여 네트워크의 컴퓨터에 액세스할 수 있는 기간을 정의합니다. 이 정책 설정 값의 범위는 1일에서 999일까지입니다. 최대 암호 사용 기간 설정을 구성하여 사용자 환경의 필요에 맞게 암호가 만료되도록 만들 수 있습니다. 이 설정의 기본값은 42일입니다.

암호를 주기적으로 바꾸면 암호 노출을 방지할 수 있습니다. 공격자에게 충분한 시간과 컴퓨팅 능력이 있다면 대부분의 암호는 해독될 수 있습니다. 따라서 암호를 자주 변경할수록 공격자가 암호를 알아낼 수 있는 시간이 줄어듭니다. 그러나 이 값을 낮게 설정할수록 지원 부서에 대한 지원 요청이 많아질 수 있습니다.

이 가이드에 정의된 세 가지 환경에서는 최대 암호 사용 기간 설정을 기본값인 42일로 유지하는 것이 좋습니다. 이 구성을 사용하면 암호가 주기적으로 변경되지만 사용자가 자신도 기억할 수 없을 정도로 암호를 자주 변경할 필요도 없습니다. 레거시 클라이언트 및 엔터프라이즈 클라이언트 환경에서는 보안과 작업의 편리함 사이에서 균형을 이루도록 이 정책 설정 값을 늘릴 수 있습니다.

최소 암호 사용 기간

이 정책 설정은 사용자가 암호를 변경하기 전에 암호를 사용해야 하는 일 수를 결정합니다. 최소 암호 사용 기간 설정은 0일에서 999일까지로 지정되며 0값을 지정하면 암호를 즉시 변경할 수 있습니다. 이 정책 설정의 기본값은 1일입니다.

최대 암호 사용 기간 설정 값이 0으로 설정되어 암호가 만료되지 않음을 나타내는 경우가 아니면, 최소 암호 사용 기간 설정 값은 최대 암호 사용 기간 설정 값보다 작아야 합니다. 최근 암호 기억 설정을 유효하게 하려면 최소 암호 사용 기간을 0보다 큰 값으로 구성합니다. 최소 암호 사용 기간을 설정하지 않으면 사용자가 이전에 즐겨 쓰던 암호가 나올 때까지 반복해서 암호를 바꿀 수 있습니다.

이 가이드에 정의된 세 가지 환경에서는 최소 암호 사용 기간을 기본값인 1일로 적용하는 것이 좋습니다. 최근 암호 기억 설정에도 비슷한 낮은 값을 지정하여 이 설정 값과 함께 사용하면 동일한 암호를 계속해서 다시 사용할 수 있습니다. 예를 들어 최소 암호 사용 기간을 1일로 구성하고 최근 암호 기억을 2개로 구성하면 익숙한 이전 암호를 다시 사용하기 위해 2일만 기다리면 됩니다. 그러나 최소 암호 사용 기간을 1일로 구성하고 최근 암호 기억을 24개로 구성하면 암호를 다시 사용하기 위해 적어도 24일 동안 매일 암호를 변경해야 합니다.

최소 암호 길이

이 정책 설정은 최소한 지정된 문자 개수로 된 암호를 만들도록 요구합니다. 8문자 이상의 긴 암호는 일반적으로 짧은 암호보다 더 강력합니다. 최소 암호 길이 설정을 사용하면 빈 암호를 사용할 수 없으며 특정 자릿수의 암호를 만들어야 합니다. 이 설정의 기본값은 7문자입니다.

레거시 클라이언트 및 엔터프라이즈 클라이언트 환경에서 최소 암호 길이 설정을 8문자로 구성하는 것이 좋습니다. 이 구성은 일정 수준의 보안을 제공할 만큼 길이가 충분하지만 사용자가 쉽게 기억하기 좋을 정도로 길이가 짧습니다. 또한 이 구성은 일반적으로 악용되는 사전 공격 및 무단 공격에 대해 강력한 보호 장치를 제공합니다.

사전 공격은 단어 목록을 사용하여 시행 착오를 통해 암호를 알아냅니다. 무작위 공격은 가능한 모든 암호나 암호화된 텍스트 값을 하나씩 넣어 보면서 암호를 찾아냅니다. 무단 암호 공격의 성공 여부는 암호의 길이, 문자 집합의 크기 및 공격자의 컴퓨터 사용 능력에 달려 있습니다.

특수 보안 - 기능 제한 환경에서는 최소 암호 길이 설정을 12문자로 구성하는 것이 좋습니다.

암호 길이가 한 자리씩 길어질 때마다 복잡성은 엄청나게 증가합니다. 예를 들어 7자리 암호는 267 또는 1 x 107개의 조합이 가능합니다. 대/소문자를 구분하는 7자리 영문자 암호는 527개의 조합이 가능합니다. 문장 부호를 사용하지 않고 대/소문자를 구분하는 7자리의 영숫자 암호는 627개의 조합이 가능합니다. 초당 100만 번의 시도로 해독하는 데 약 40일이 걸립니다. 8자리 암호는 268 또는 2 x 1011개의 조합이 가능합니다. 이러한 조합의 수는 대단히 많은 것처럼 보이지만 대부분의 암호 해독 유틸리티에서 지원되는 초당 100만 번의 시도로 단 59시간만에 가능한 모든 암호를 시도해 볼 수 있습니다. 대체 문자와 그 밖의 특수 키보드 문자(예: ! 또는 @)를 사용하는 암호의 경우 해독하는 데 훨씬 많은 시간이 필요합니다.

암호는 단방향(복구 불가능) 해시 알고리즘을 통해 전달된 후 SAM(보안 계정 관리자) 데이터베이스나 Active Directory에 저장됩니다. 따라서 동일한 단방향 해시 알고리즘을 통해 암호를 실행한 후 그 결과를 비교하는 방법을 통해서만 자신이 올바른 암호를 가지고 있는지를 확인할 수 있습니다. 사전 공격은 암호화 프로세스 동안 전체 사전을 실행시켜 일치하는 항목을 찾아냅니다. 사전 공격은 계정 암호로 "password"나 "guest" 등의 일반적인 단어를 사용하는 사람이 누구인지를 알아낼 수 있는 간단하면서도 매우 효과적인 방법입니다.

이전 버전의 Windows에서는 LAN Manger 해시(LMHash)라고 하는 알려진 특정 유형의 해싱 알고리즘이 사용됩니다. 이 알고리즘은 암호를 7자 이내의 문자 블록으로 자른 후 각 블록에 대한 해시 값을 별도로 계산합니다. Windows 2000 Server, Windows XP 및 Windows Server 2003은 모두 최신 해싱 알고리즘을 사용하지만 이전 버전과의 호환성을 유지하기 위해 LMHash를 계산해서 저장합니다.

LMHash 값이 있으면 암호 공격자는 아주 편리하게 암호를 해독할 수 있습니다. 암호가 7자리 이하이면 LMHash의 두 번째 절반은 암호가 8자리보다 짧음을 공격자에게 알려 줄 수 있는 특정 값으로 풀이됩니다. 긴 암호의 경우 공격자가 각 암호에서 하나가 아닌 두 개의 부분을 해독해야 하므로 8자리 이상의 암호를 요구하면 미약한 LMHash도 강력해집니다 LMHash의 양쪽 절반을 모두 동시에 공격할 수 있으므로 LMHash의 두 번째 절반은 길이가 1자이며 밀리초 단위로 무작위 공격을 받을 수 있습니다. 따라서 암호가 대체 문자 집합에 속하지 않으면 이렇게 해도 보안이 완전히 보장되는 것은 아닙니다.

이 때문에 긴 암호 대신 짧은 암호를 사용하는 것은 권장되지 않습니다. 그러나 최소 암호 길이를 너무 길게 지정하면 암호를 잘못 입력하여 계정 잠금을 초래하게 되며 지원 부서로의 지원 요청이 늘어날 수 있습니다. 또한 너무 긴 암호를 요구하면 암호를 잊어버릴 경우에 대비하여 암호를 적어둘 가능성이 많아지므로 실제로 조직의 보안이 약해질 수 있습니다.

암호는 복잡성을 만족해야 함

이 정책 설정은 암호가 만들어질 때 모든 새 암호를 확인하여 복잡성 요구를 만족하는지 검사합니다. Windows Server 2003 정책 규칙은 직접 수정할 수는 없지만 Passfilt.dll 파일의 새 버전을 만들어 다른 규칙 집합을 적용할 수는 있습니다. 사용자 지정 Passfilt.dll 파일을 만드는 방법에 대한 자세한 내용은 MSDN® 문서인 "암호 필터 샘플 (영문)"(http://msdn.microsoft.com/library/default.asp?url=/library/en-us/secmgmt/
security/sample_password_filter.asp)을 참조하십시오.

기억하기 쉬우면서도 8자 암호보다 안전한 20자 이상의 암호도 설정할 수 있습니다. 예를 들어 27문자의 I love cheap tacos for $.99라는 암호는 P@55w0rd와 같은 짧은 암호보다 기억하기 더 쉬울 수도 있습니다.

최소 암호 길이를 8로 지정하여 이 설정과 함께 사용하면 무단 공격을 하는 것이 매우 어렵습니다. 대/소문자와 숫자를 모두 암호에 사용하면 사용 가능한 문자 개수가 26개에서 62개로 늘어납니다. 이 경우 8자 암호로 2.18 x 1014개의 조합이 가능해집니다. 이 경우 초당 100만 번의 시도로 가능한 모든 조합을 시도하는 데 6.9년이 걸리게 됩니다.

따라서 이 가이드에 정의된 세 가지 환경에서는 암호는 복잡성을 만족해야 함 설정을 사용으로 구성하는 것이 좋습니다.

해독 가능한 암호화를 사용하여 암호 저장

이 정책 설정은 운영 체제에서 해독 가능한 암호화를 사용하여 암호를 저장할지 여부를 결정합니다. 이 정책은 인증을 위해 사용자의 암호를 알아야 하는 프로토콜을 사용하는 응용 프로그램을 지원합니다.

복구 가능한 암호화 방법을 사용하여 저장한 암호는 복구 불가능 암호화를 사용하여 저장한 암호보다 더 쉽게 검색할 수 있습니다. 이 설정을 활성화하면 보안 취약점이 늘어납니다.

따라서 응용 프로그램 요구 사항이 암호 정보 보호의 필요성보다 더 중요하지 않으면 해독 가능한 암호화를 사용하여 암호 저장 설정을 사용 안 함으로 구성하는 것이 좋습니다. 또한 원격 액세스나 IAS를 통한 CHAP(Challenge-Handshake 인증 프로토콜)를 배포하는 환경 및 IIS(인터넷 정보 서비스)에 대해 다이제스트 인증을 사용하는 환경에서는 이 정책을 활성화해야 합니다.

필요한 경우를 제외하고 사용자가 자신의 암호를 변경하지 못하게 하는 방법

이전 섹션에 설명된 암호 정책 설정은 일련의 옵션 범위를 제공하지만 모든 사용자를 중앙에서 제어하는 시스템을 원하는 조직도 있을 수 있습니다. 따라서 이 섹션에서는 변경이 필요할 때를 제외하고 사용자가 암호를 변경하지 못하도록 하는 방법을 설명합니다.

사용자 암호의 중앙 제어는 잘 만들어진 Windows Server 2003 보안 구성의 기초가 됩니다. 그룹 정책을 사용하면 앞에서 살펴본 것처럼 최소 및 최대 암호 사용 기간을 설정할 수 있지만 암호를 자주 변경하도록 요구하면 사용자가 작업 환경의 암호 기억 설정을 무시할 수 있습니다. 너무 긴 암호를 지정하도록 하면 암호를 잊어버린 사람들이 지원 서비스에 문의하는 일이 많아질 수 있습니다.

사용자는 최소 및 최대 암호 사용 기간 설정 사이의 기간 중 자신의 암호를 변경할 수 있습니다. 그러나 특수 보안 - 기능 제한 환경 디자인에서는 암호가 42일 간의 최대 암호 사용 기간 설정에 도달한 후 운영 체제에서 암호를 변경하라는 메시지를 표시할 때만 사용자가 암호를 변경해야 합니다. 필요할 때를 제외하고 암호를 변경하지 못하게 하려면 Ctrl+Alt+Delete를 누를 때 나타나는 Windows 보안 대화 상자에서 암호 변경 옵션을 비활성화할 수 있습니다. 보안을 중요시 여기는 사용자는 암호를 더 자주 변경하려고 하고 이를 위해 관리자에게 자주 연락하므로 지원 비용이 증가합니다.

그룹 정책을 통해 전체 도메인에 대해 이 구성을 구현하거나 하나 이상의 특정 사용자에 대해 구성을 구현하도록 레지스트리를 편집할 수 있습니다. 이 구성에 대한 자세한 내용은 Microsoft 기술 자료 문서 "Windows Server 2003에서 필요한 경우를 제외하고 사용자가 암호를 변경하지 못하게 하는 방법"(http://support.microsoft.com/?kbid=324744)을 참조하십시오.

계정 잠금 정책

계정 잠금 정책은 지정한 기간 내에 로그온 시도가 여러 차례 실패하면 사용자 계정을 잠그는 Windows Server 2003 SP1 보안 기능입니다. 허용되는 시도 수와 기간은 구성된 해당 설정 값을 기반으로 합니다. Windows Server 2003 SP1은 로그온 시도를 추적하므로 미리 설정된 로그인 실패 횟수에 도달하면 계정을 사용하지 못하도록 하여 잠재적인 공격에 대응하도록 서버 소프트웨어를 구성할 수 있습니다.

이러한 정책 설정은 공격자가 암호를 추측하여 네트워크를 공격할 가능성을 줄여줍니다. 그러나 암호를 잊어버리거나 잘못 입력하여 지원 서비스에 문의하는 일이 많아지므로 높은 지원 비용이 발생할 수 있습니다. 다음 설정을 활성화하기 전에 조직이 이러한 추가 오버헤드를 감당할 수 있어야 합니다. 많은 조직에서는 도메인 컨트롤러의 보안 이벤트 로그를 자동으로 모니터링하고 누군가가 사용자 계정의 암호를 추측하려고 시도할 때 관리 경고를 생성하는 저렴하고 뛰어난 솔루션을 필요로 합니다. 이러한 설정 및 각 설정의 상호 작용 방식에 대한 자세한 내용은 관련 가이드인 위협 및 대책 - Windows Server 2003 및 Windows XP용 보안 설정의 2장 "도메인 수준 정책"을 참조하십시오.

계정 잠금 정책 설정

다음 표에서는 계정 잠금 정책에 대한 권장 설정을 요약해서 보여 줍니다. 그룹 정책 개체 편집기를 사용하여 다음 위치에서 도메인 그룹 정책의 계정 잠금 정책 설정을 구성할 수 있습니다.

컴퓨터 구성\Windows 설정\보안 설정\계정 정책\계정 잠금 정책

표 다음에 나오는 하위 섹션에 각 설정에 대한 추가 정보가 포함되어 있습니다.

표 3.2 계정 잠금 정책 설정

설정

레거시 클라이언트

엔터프라이즈 클라이언트

특수 보안 – 기능 제한

계정 잠금 기간

30분

30분

15분

계정 잠금 임계값

50번의 잘못된 로그온 시도

50번의 잘못된 로그온 시도

10번의 잘못된 로그온 시도

다음 시간 후 계정 잠금 수를 원래대로 설정

30분

30분

15분

계정 잠금 기간

이 정책 설정은 계정의 잠금을 해제하고 사용자가 다시 로그온을 시도하기 전까지 경과해야 하는 기간을 결정합니다. 이 설정은 잠겨진 계정을 사용할 수 없는 시간(분)을 지정합니다. 계정 잠금 기간 값을 0으로 설정하면 관리자가 계정의 잠금을 해제할 때까지 계정은 잠겨 있습니다. 이 정책 설정에 대한 Windows Server 2003 SP1 기본값은 정의되지 않음입니다.

자동으로 잠금이 해제되지 않도록 계정 잠금 기간 설정을 구성하는 것이 좋은 방법처럼 보일 수 있지만 이렇게 할 경우 지원 부서에 실수로 잠겨진 계정의 잠금 해제를 요청하는 문의가 증가할 수 있습니다.

계정 잠금 기간 설정을 레거시 클라이언트 및 엔터프라이즈 클라이언트 환경에서는 30분으로, 특수 보안 - 기능 제한 환경에서는 15분으로 구성하는 것이 좋습니다. 이 구성을 사용하면 DoS(서비스 거부) 공격 중에 작업 오버헤드가 줄어듭니다. DoS 공격에서 공격자는 악의적으로 조직의 모든 사용자에 대해 잘못된 로그온을 여러 번 시도하여 계정이 잠기도록 합니다. 이 설정을 권장 값으로 구성하면 계정이 잠긴 사용자가 지원 부서에 문의하지 않고 다시 로그온할 수 있는 충분한 시간이 보장됩니다. 그러나 이 설정 값에 대한 정보를 사용자에게 알려야 합니다.

계정 잠금 임계값

이 정책 설정은 계정이 잠기기 전에 해당 계정에 로그온하기 위해 시도할 수 있는 횟수를 결정합니다.

권한이 부여된 사용자의 계정은 여러 가지 방법으로 잠길 수 있습니다. 즉, 암호를 잘못 입력하거나 다른 컴퓨터에 로그온한 상태에서 이 컴퓨터의 암호를 변경할 수 있습니다. 컴퓨터에서 잘못된 암호로 계속해서 사용자를 인증하려고 시도할 경우 인증에 사용하는 암호가 틀리므로 결국에는 사용자 계정이 잠깁니다. 권한이 부여된 사용자의 계정이 실수로 잠기지 않도록 하려면 계정 잠금 임계값 설정을 더 큰 값으로 구성하십시오.

계정 잠금 임계값 설정 값이 구성되어 있을 때와 구성되어 있지 않을 때 모두 보안 문제가 발생할 수 있으므로 이러한 각각의 가능성에 대해 뚜렷한 대책이 정의됩니다. 조직에서는 확인된 위협과 완화시킬 위험을 기반으로 하는 두 가지 사이의 선택을 비교해야 합니다.

  • 계정 잠금을 방지하려면 계정 잠금 임계값을 0으로 설정합니다. 이렇게 하면 사용자가 실수로 자신의 계정을 잠글 수 없으므로 지원 부서에 대한 문의 요청이 줄어듭니다. 또한 조직의 계정을 잠그려고 시도하는 DoS 공격은 실패합니다. 그러나 무단 공격까지 막을 수는 없으므로 다음 두 조건을 모두 충족하는 경우에만 계정 잠금 임계값을 0으로 설정하는 것이 좋습니다.

    • 암호 정책은 모든 사용자에게 8자리 이상으로 구성된 복잡한 암호를 사용할 것을 요구합니다.

    • 해당 환경에서 일련의 로그온 실패가 발생할 경우 관리자에게 경고할 수 있는 강력한 감사 메커니즘이 적절히 사용되고 있습니다. 예를 들어 감사 메커니즘은 "로그온 실패. 로그온하려고 할 때 계정이 잠겨 있었습니다."를 나타내는 보안 이벤트 539를 모니터링해야 합니다. 이 이벤트는 로그온 시도가 이루어졌을 때 계정이 잠겼음을 의미합니다. 그러나 이벤트 539는 계정 잠금에 대해서만 알려주며, 실패한 암호 추정 시도에 대해서는 알려주지 않습니다. 따라서 관리자는 잘못된 암호로 로그온하려는 일련의 시도가 있는지도 모니터링해야 합니다.

  • 이러한 조건이 만족되지 않으면 사용자가 실수로 암호를 여러 번 잘못 입력할 때 계정이 잠기지 않도록 허용하는 충분히 큰 값으로 계정 잠금 임계값 설정을 구성하는 방법을 사용할 수 있습니다. 그러나 이렇게 해도 무단 암호 공격이 발생할 경우에는 여전히 계정이 잠깁니다.

레거시 클라이언트 및 엔터프라이즈 클라이언트 환경에서는 계정 잠금 임계값 설정 값을 50으로 구성하여 적절한 보안과 작업의 편리성을 보장하는 것이 좋습니다. 이 설정 값은 부주의로 인한 계정 잠금을 방지하고 지원 부서로의 지원 요청을 줄이지만 앞서 설명한 바와 같이 DoS 공격을 방지하지는 않습니다. 그러나 특수 보안 - 기능 제한 환경에서는 이 정책 설정 값을 10으로 구성하는 것이 좋습니다.

다음 시간 후 계정 잠금 수를 원래대로 설정

이 정책 설정은 계정 잠금 임계값이 0으로 다시 설정되고 계정의 잠금이 해제되기까지의 시간을 결정합니다. 계정 잠금 임계값을 정의한 경우 이 시간은 계정 잠금 기간 설정 값보다 작거나 같아야 합니다.

다음 시간 후 계정 잠금 수를 원래대로 설정을 다른 설정과 함께 적절히 사용하면 좋은 효과를 얻을 수 있습니다. 이 정책 설정을 기본값으로 두거나 너무 길게 구성하면 사용자 환경이 계정 잠금 DoS 공격을 받을 가능성이 높아집니다. 계정 잠금을 다시 설정하도록 결정된 정책 설정이 없으면 관리자가 모든 계정의 잠금을 직접 해제해야 합니다. 반대로 이 설정이 적당한 시간 값으로 구성되어 있으면 모든 계정의 잠금이 자동으로 해제될 때까지 정해진 기간 동안 사용자가 잠겨집니다.

레거시 클라이언트 및 엔터프라이즈 클라이언트 환경에서는 다음 시간 후 계정 잠금 수를 원래대로 설정 설정을 30분으로 구성하는 것이 좋습니다. 이 구성의 권장 설정 값은 사용자가 지원 부서에 문의하지 않고 기다리기에 적절한 시간을 정의합니다. 그러나 특수 보안 - 기능 제한 환경에서는 이 정책 설정을 15분으로 구성하는 것이 좋습니다.

Kerberos 정책

Kerberos 정책은 도메인 사용자 계정에 사용되며 티켓 수명 및 적용과 같은 Kerberos 버전 5 인증 프로토콜 관련 설정을 결정합니다. 로컬 컴퓨터 정책에는 Kerberos 정책이 존재하지 않습니다. Kerberos 티켓의 수명을 줄이면 공격자가 암호를 훔쳐 허가된 사용자 계정을 가장할 위험이 높아집니다. 그러나 이러한 정책을 유지 관리하기 위해서는 권한 부여에 따른 오버헤드가 증가합니다.

대부분의 환경에서 이러한 정책의 기본값을 변경하지 말아야 합니다. Kerberos 설정은 기본 도메인 정책에 포함되어 기본 도메인 정책으로 적용되므로 이 가이드와 함께 제공되는 보안 템플릿에는 관련 설정이 포함되어 있지 않습니다.

Kerberos 기본 정책은 변경하지 않는 것이 좋습니다. 이러한 정책 설정에 대한 자세한 내용은 관련 가이드인 위협 및 대책 - Windows Server 2003 및 Windows XP용 보안 설정을 참조하십시오. 이 가이드는 http://www.microsoft.com/korea/technet/security/topics/serversecurity/tcg/tcgch00.mspx 사이트에서 다운로드할 수 있습니다.

보안 옵션

이 장 앞부분에 설명된 세 가지 다른 종류의 계정 정책은 도메인 수준에서 정의되며 도메인의 모든 도메인 컨트롤러에 의해 적용됩니다. 도메인 컨트롤러가 포함된 OU에 적용되는 다른 계정 정책이 있더라도 도메인 컨트롤러는 항상 기본 도메인 정책 GPO로부터 계정 정책을 받습니다.

계정 정책과 비슷한 보안 옵션 설정에는 세 가지가 있습니다. 이러한 설정은 개별 OU가 아닌 전체 도메인 수준에서 적용해야 합니다. 이러한 설정은 그룹 정책 개체 편집기의 다음 위치에서 구성할 수 있습니다.

컴퓨터 구성\Windows 설정\보안 설정\로컬 정책\보안 옵션

보안 옵션 설정

다음 표에서는 보안 옵션 권장 설정을 요약해서 보여 줍니다. 표 다음에 나오는 하위 섹션에 각 설정에 대한 추가 정보가 포함되어 있습니다.

표 3.3 보안 옵션 설정

설정

레거시 클라이언트

엔터프라이즈 클라이언트

특수 보안 – 기능 제한

Microsoft 네트워크 서버: 로그온 시간이 만료되면 클라이언트 연결 끊기

사용

사용

사용

네트워크 액세스: 익명 SID/이름 변환 허용

사용 안 함

사용 안 함

사용 안 함

네트워크 보안: 로그온 시간이 만료되면 강제로 로그오프

사용

사용

사용

Microsoft 네트워크 서버: 로그온 시간이 만료되면 클라이언트 연결 끊기

이 정책 설정은 사용자 계정의 유효한 로그온 시간을 초과하여 로컬 컴퓨터에 연결되어 있는 사용자의 연결을 끊을지 여부를 결정합니다. 이 정책 설정은 SMB(서버 메시지 블록) 구성 요소에 영향을 미칩니다. 이 설정을 활성화하면 클라이언트 로그온 시간이 만료될 때 SMB 서비스와의 클라이언트 세션이 강제로 끊어지고 비활성화하면 클라이언트의 로그온 시간이 만료된 후에도 한 번 연결된 클라이언트 세션은 계속될 수 있습니다. 이 정책 설정을 활성화한 경우 네트워크 보안: 로그온 시간이 만료되면 강제로 로그오프 설정도 활성화해야 합니다.

조직에서 사용자의 로그온 시간을 구성한 경우에는 Microsoft 네트워크 서버: 로그온 시간이 만료되면 클라이언트 연결 끊기 설정을 활성화하는 것이 바람직합니다. 그렇지 않으면 로그온 시간을 벗어난 경우 네트워크 리소스에 대한 액세스 권한이 없는 사용자가 허용된 시간 동안 설정된 세션을 통해 네트워크 리소스를 계속 사용할 수 있습니다.

이 가이드에 정의된 세 가지 환경에서는 Microsoft 네트워크 서버: 로그온 시간이 만료되면 클라이언트 연결 끊기사용으로 구성하는 것이 좋습니다. 로그온 시간을 사용하지 않을 경우에는 이 정책 설정이 영향을 주지 않습니다.

네트워크 액세스: 익명 SID/이름 변환 허용

이 정책 설정은 익명 사용자가 다른 사용자의 SID를 요청할 수 있는지 여부를 결정합니다.

도메인 컨트롤러에서 네트워크 액세스: 익명 SID/이름 변환 허용 설정을 활성화하면 관리자의 잘 알려진 표준 SID 특성을 알고 있는 사용자가 마찬가지로 이 정책을 사용하는 컴퓨터에 연결하여 해당 SID로 관리자의 이름을 알아낼 수 있습니다. 그런 다음 해당 계정 이름을 사용하여 암호 추측 공격을 시작할 수 있습니다.

구성원 컴퓨터에서는 네트워크 액세스: 익명 SID/이름 변환 허용 설정의 기본 구성이 사용 안 함이므로 이 정책 설정의 영향을 받지 않습니다. 도메인 컨트롤러의 기본 설정은 사용입니다. 이 정책 설정을 비활성화하면 이전 운영 체제가 실행되는 컴퓨터에서는 Windows Server 2003 SP1을 기반으로 하는 도메인과 통신할 수 없습니다. 이러한 컴퓨터에는 다음이 포함됩니다.

  • Windows NT® 4.0 기반 원격 액세스 서비스 서버

  • Windows NT 3.x 기반 또는 Windows NT 4.0 기반 컴퓨터에서 실행되는 Microsoft SQL Servers™

  • Windows NT 3.x 또는 Windows NT 4.0 도메인에 위치한 Windows 2000 기반 컴퓨터에서 실행되는 원격 액세스 서비스 서버

이 가이드에 정의된 세 가지 환경에서는 네트워크 액세스: 익명 SID/이름 변환 허용 설정을 사용 안 함으로 구성하는 것이 좋습니다.

네트워크 보안: 로그온 시간이 만료되면 강제로 로그오프

이 정책 설정은 사용자 계정의 유효한 로그온 시간을 초과하여 로컬 컴퓨터에 연결되어 있는 사용자의 연결을 끊을지 여부를 결정합니다. 이 설정은 SMB 구성 요소에 영향을 미칩니다.

네트워크 보안: 로그온 시간이 만료되면 강제로 로그오프 설정을 활성화하면 사용자 로그온 시간이 만료될 때 SMB 서버와의 클라이언트 세션이 강제로 끊어집니다. 예약된 다음 액세스 시간이 될 때까지 해당 사용자는 컴퓨터에 로그온할 수 없습니다. 이 정책 설정을 비활성화하면 로그온 시간이 만료된 후에도 설정된 클라이언트 세션을 유지할 수 있습니다. 도메인 계정에 적용하려면 기본 도메인 정책에서 이 설정을 정의해야 합니다.

이 가이드에 정의된 세 가지 환경에서는 네트워크 보안: 로그온 시간이 만료되면 강제로 로그오프 설정을 사용으로 구성하는 것이 좋습니다.

요약

이 장에서는 조직 내의 모든 도메인 설정을 검토해야 하는 이유에 대해 설명했습니다. 각 도메인에는 암호, 계정 잠금, Kerberos 버전 5 인증 프로토콜 등으로 이루어진 정책을 한 가지만 구성할 수 있습니다. 다른 암호나 계정 잠금 설정은 구성원 서버에 있는 로컬 계정에만 영향을 줍니다. 따라서 도메인의 모든 구성원 서버에 적용되는 설정을 구성한 다음 이를 통해 조직 전체에 적절한 수준의 보안을 제공하는 계획을 수립해야 합니다.

추가 정보

다음 링크는 보안 및 Windows Server 2003 SP1이 실행되는 서버의 도메인 정책과 관련된 항목에 대한 추가 정보를 제공합니다.



다운로드

Windows Server 2003 보안 가이드 받기 (영문)

업데이트 알림

업데이트 및 최신 릴리스 정보 수신 등록 (영문)

사용자 의견 보내기

의견 및 제안 보내기



이 정보가 도움이 되었습니까?
(1500자 남음)
의견을 주셔서 감사합니다.
표시:
© 2014 Microsoft