위협 및 대책
2장: 도메인 수준 정책
업데이트 날짜: 2005년 12월 27일
이 장에서는 도메인 수준에서 적용되는 그룹 정책 설정에 대해 설명합니다. 기본 제공된 기본 도메인 컨트롤러 정책에는 통칭하여 계정 정책이라고 하는 이러한 정책에 대한 기본 설정값이 포함됩니다.
이 페이지에서
계정 정책
계정 정책에는 암호 정책, 계정 잠금 정책 및 Kerberos 인증 프로토콜 정책과 같이 도메인 수준에서 적용되는 그룹 정책 설정에 대해 설명합니다. Microsoft Windows Server 2003 도메인 하나에는 이러한 정책이 각각 하나씩 있을 수 있습니다. Active Directory의 다른 수준에서 이러한 정책을 설정하면 구성원 서버에 있는 로컬 계정에만 영향을 줍니다.
참고: 도메인 계정의 경우 계정 정책이 도메인당 하나만 있을 수 있습니다. 계정 정책은 기본 도메인 정책 또는 해당 도메인의 루트에 연결되는 새 정책에서 정의되어야 하며 해당 도메인을 구성하는 도메인 컨트롤러에서 적용하는 기본 도메인 정책보다 우선해야 합니다. 도메인 컨트롤러가 포함된 OU에 적용되는 다른 계정 정책이 있더라도 도메인 컨트롤러는 항상 도메인의 루트로부터 계정 정책을 가져옵니다. 도메인의 루트는 도메인의 최상위 컨테이너입니다. 포리스트의 루트 도메인과는 혼동하지 마십시오. 포리스트의 루트 도메인은 해당 포리스트 내의 최상위 도메인입니다.
그룹 정책의 계정 정책 설정은 모두 도메인 수준에서 적용됩니다. 기본값은 암호 정책, 계정 잠금 정책 및 Kerberos 정책의 기본 제공된 기본 도메인 컨트롤러 정책에 제공됩니다. Active Directory 디렉터리 서비스에서 이러한 정책을 구성할 경우 Microsoft Windows에서는 도메인 트리의 루트 도메인에 적용되는 계정 정책 하나만 허용한다는 점에 유의하십시오. 도메인 계정 정책은 해당 도메인의 구성원인 Windows 컴퓨터의 기본 계정 정책이 됩니다.
이 규칙에 대한 유일한 예외는 OU(조직 구성 단위)에 대해 다른 계정 정책이 정의되는 경우입니다. OU에 대한 계정 정책 설정은 OU에 포함된 모든 컴퓨터의 로컬 정책에 영향을 줍니다. 예를 들어 OU 정책이 최대 암호 사용 기간을 도메인 수준 계정 정책과 다르게 정의하는 경우 OU 정책은 사용자가 로컬 컴퓨터에 로그온할 때만 적용됩니다. OU 계정 정책이나 도메인 정책이 적용되지 않는 도메인이나 작업 그룹의 컴퓨터에는 기본 로컬 컴퓨터 정책만 적용됩니다.
이러한 각 정책 유형에 대한 설정을 이 장 전체에서 살펴봅니다.
암호 정책
Windows와 다른 여러 운영 체제에서 사용자의 ID를 인증하는 데 가장 많이 사용되는 방법은 비밀 통과 구문 또는 암호를 사용하는 것입니다. 보안 네트워크 환경에서는 모든 사용자가 강력한 암호(문자, 숫자 및 기호의 조합이 포함된 10개 이상의 문자로 된 암호)를 사용해야 합니다. 이러한 암호는 권한이 없는 사용자가 직접 또는 자동화 도구를 통해 강력하지 않은 암호를 추측하여 사용자 계정과 관리 계정을 손상시키는 것을 방지하는 데 도움이 됩니다. 강력한 암호를 정기적으로 바꿔서 사용하면 암호 공격의 가능성이 줄어듭니다. 강력한 암호에 대한 자세한 내용은 이 장의 뒷부분에 있는 "암호는 복잡성을 만족해야 함" 섹션에 제공됩니다.
적절한 암호 정책을 통해 강력한 암호 사용을 적용할 수 있습니다. 암호 정책 설정을 통해 암호의 복잡성과 수명을 제어할 수 있습니다. 이 섹션에서는 각각의 특정 암호 정책 계정 설정에 대해 살펴봅니다. 이 설명서에는 기본 설정이 문서화되어 있는 Microsoft Excel 통합 문서 "Windows 기본 보안 및 서비스 구성"도 포함되어 있습니다.
그룹 정책 개체 편집기의 다음 위치에서 암호 정책 설정을 구성할 수 있습니다.
컴퓨터 구성\Windows 설정\보안 설정\계정 정책\암호 정책
별도의 암호 정책이 필요한 그룹이 있을 경우 추가적인 모든 요구 사항을 기반으로 해당 그룹을 다른 도메인이나 포리스트로 분할해야 합니다.
최근 암호 기억
이 정책 설정은 이전 암호를 다시 사용하기 전에 사용자 계정과 연결되어야 할 고유한 새 암호 수를 결정합니다.
최근 암호 기억 설정에 사용할 수 있는 값은 다음과 같습니다.
사용자가 지정한 0과 24 사이의 값
정의되지 않음
보안 문제
암호를 다시 사용하는 것은 모든 조직의 중요한 관심 사항입니다. 자신의 계정에 오랜 기간 동안 동일한 암호를 사용하거나 다시 사용하기를 원하는 사용자가 많습니다. 특정 계정에 같은 암호를 오래 사용할수록 공격자가 무작위 공격을 통해 암호를 확인할 수 있는 가능성이 커집니다. 또한 손상된 계정은 암호를 바꾸지 않는 한 계속 악용될 수 있습니다. 암호를 변경해야 할 경우 암호를 다시 사용하는 것을 금지하지 않거나 적은 수의 암호를 계속해서 다시 사용할 수 있도록 허용하면 좋은 암호 정책의 효과가 크게 반감됩니다.
이 정책 설정에 문자 수를 적게 지정하면 사용자가 적은 수의 암호를 반복적으로 사용할 수 있게 됩니다. 또한 최소 암호 사용 기간 설정을 구성하지 않으면 사용자가 암호를 반복적으로 변경하여 원래 암호를 다시 사용할 수 있게 됩니다.
대책
암호를 다시 사용할 때 발생하는 취약성을 최소화하기 위해 최근 암호 기억 설정을 최대 설정인 24로 구성합니다.
조직에서 이 설정을 사용하려면 최소 암호 사용 기간 설정을 구성할 때 암호가 즉시 변경될 수 없도록 하십시오. 최근 암호 기억 값은 조직의 모든 사용자에 대해 최대 암호 사용 기간과 암호 변경 간격을 적절히 조합할 수 있는 수준에서 설정되어야 합니다.
잠재적 영향
이 구성의 주요 영향은 사용자가 이전 암호를 변경해야 할 때마다 새 암호를 만들어야 한다는 것입니다. 사용자 암호를 고유한 새 값으로 바꾸도록 요구하기 때문에 사용자가 암호를 잊어버리지 않도록 기록해 둠으로써 위험 가능성이 높아집니다. 또 다른 위험은 사용자가 기억을 돕기 위해 점진적으로 바뀌는 암호(예: password01, password02 등)를 만들 수 있다는 것입니다. 또한 최소 암호 사용 기간 설정에 너무 작은 값을 지정하면 암호를 잊어버린 사용자들이 암호를 다시 설정하기 위해 지원 서비스에 지원 요청하는 경우가 많아지므로 관리 부담이 증가할 수 있습니다.
최대 암호 사용 기간
이 정책 설정은 사용자가 암호를 변경하기 전에 암호를 사용할 수 있는 일 수를 결정합니다.
최대 암호 사용 기간 설정에 사용할 수 있는 값은 다음과 같습니다.
사용자가 지정한 0과 999 사이의 일 수
정의되지 않음
보안 문제
시간과 컴퓨터 처리 능력이 충분한 공격자는 가장 복잡한 암호를 포함하여 모든 암호를 추측하거나 "공격"할 수 있습니다. 다음 정책 설정 중 일부는 적당한 시간 내에 암호를 공격하기 어렵도록 만듭니다. 사용자가 암호를 자주 바꾸도록 하면 유효한 암호가 공격 당하는 위험을 줄일 뿐 아니라 누군가가 불법으로 획득한 암호를 사용하여 무단 로그온하는 위험을 줄일 수 있습니다. 사용자가 암호를 변경할 필요가 없도록 최대 암호 사용 기간을 구성할 수 있지만 그렇게 할 경우 주요 보안 위험이 발생합니다.
대책
조직의 비즈니스 요구 사항에 적합한 값으로 최대 암호 사용 기간 설정을 구성합니다. Microsoft에서는 대부분 조직의 경우 90일을 권장합니다. 바람직하지는 않지만 암호가 만료되지 않도록 최대 암호 사용 기간 설정을 0으로 구성할 수 있습니다.
잠재적 영향
최대 암호 사용 기간 설정을 너무 낮게 설정하면 사용자가 암호를 매우 자주 바꿔야 합니다. 사용자가 암호를 잊어버릴 경우에 대비하여 암호를 적어 두고 이를 안전하지 않은 장소에 보관하거나 분실할 수 있으므로 이러한 구성은 실제로는 조직의 보안을 저하시킬 수 있습니다. 정책 설정값을 너무 높게 구성하면 잠재적인 공격자에게 사용자의 암호를 공격하거나 손상된 계정을 사용할 수 있는 시간을 훨씬 많이 허용하게 되므로 조직 내의 보안 수준이 낮아집니다.
최소 암호 사용 기간
이 정책 설정은 사용자가 암호를 변경하기 전에 암호를 사용해야 하는 일 수를 결정합니다. 최소 암호 사용 기간 값은 최대 암호 사용 기간 값보다 작아야 합니다.
최근 암호 기억 설정을 유효하게 하려면 최소 암호 사용 기간을 0보다 큰 값으로 구성합니다. 최근 암호 기억 설정을 0으로 구성하면 암호를 바꾸라는 메시지가 나타날 때 사용자가 새 고유한 암호를 선택할 필요가 없습니다. 암호 기록을 사용하는 경우 사용자는 자신의 암호를 바꿀 때 고유한 새 암호를 입력해야 합니다.
최소 암호 사용 기간 설정에 사용할 수 있는 값은 다음과 같습니다.
사용자가 지정한 0과 998 사이의 일 수
정의되지 않음
보안 문제
사용자가 암호를 계속 바꿔서 이전에 즐겨 쓰던 암호를 다시 사용할 수 있다면 암호를 정기적으로 바꾸도록 요구하는 것은 효과가 없습니다. 이 정책 설정을 최근 암호 기억 설정과 함께 사용하면 이전 암호를 다시 사용하는 것을 막을 수 있습니다. 예를 들어 최소 암호 사용 기간 설정을 0보다 큰 값으로 구성하지 않은 상태에서 최근에 사용한 12개의 암호를 다시 사용하지 못하도록 최근 암호 기억 설정을 구성하면 몇 분만에 암호를 13번 바꿔서 원래 사용하던 암호를 다시 사용할 수 있습니다.최근 암호 기억 설정을 유효하게 하려면 최소 암호 사용 기간 정책 설정을 0보다 큰 값으로 구성해야 합니다.
대책
최소 암호 사용 기간 설정값을 2일이상으로 설정합니다. 날짜 수를 0으로구성하면암호를 바로 변경할 수 있지만 이것은 권장되지 않습니다.
잠재적 영향
최소 암호 사용 기간을 0보다 큰 값으로 설정하는 것과 관련된 사소한 문제가 하나 있습니다. 관리자가 사용자의 암호를 설정한 다음 이 암호를 사용자가 처음 로그온할 때 바꾸도록 하려면 관리자는 다음 로그온할 때 반드시 암호 변경 확인란을 선택해야 합니다. 그렇지 않을 경우 사용자는 다음 날까지 암호를 바꾸지 못하게 됩니다.
최소 암호 길이
이 정책 설정은 사용자 계정의 암호를 구성하는 최소 문자 수를 결정합니다. 조직에 가장 적합한 암호 길이를 결정하는 방법에 대해서는 여러 가지 많은 이론이 있지만 "통과 구문"이 "암호"보다 더 좋은 용어가 될 수 있습니다. Microsoft Windows 2000 이상의 버전에서는 통과 구문이 아주 길 수 있으며 공백, 문장 부호 및 유니코드 문자를 포함할 수 있습니다. 따라서 "I want to drink a $5 beverage!"와 같은 구는 올바른 통과 구문입니다. 이러한 구문은 임의의 숫자와 문자로 된 8자리 또는 10자리 문자열보다 훨씬 강력하면서도 더 쉽게 기억할 수 있습니다.
최소 암호 길이 설정에 사용할 수 있는 값은 다음과 같습니다.
사용자가 지정한 0과 14 사이의 수
정의되지 않음
보안 문제
특정 사용자 계정의 암호를 알아내기 위해 수행할 수 있는 암호 공격의 유형은 몇 가지가 있습니다. 이러한 공격에는 일반적인 단어와 구 사용을 시도하는 사전 공격과 가능한 모든 문자의 조합을 시도하는 무작위 공격이 포함됩니다. 또한 공격자는 계정 데이터베이스를 얻고 유틸리티를 사용하여 계정과 암호를 공격할 수도 있습니다.
대책
최소 암호 길이 설정값을 8 이상으로 설정합니다. 문자 수가 0으로 설정되면 암호가 필요 없게 됩니다.
대부분의 환경에서 8자리의 암호를 사용하면 적절한 보안이 제공될 뿐만 아니라 사용자가 쉽게 기억할 수 있습니다. 이 구성은 무작위 공격을 적절히 방어할 수 있습니다. 복잡성 요구 사항을 추가하면 사전 공격의 가능성을 줄일 수 있습니다. 복잡성 요구 사항에 대해서는 이 장의 다음 섹션에서 살펴봅니다. 일부 국가는 암호 길이에 대한 법적 요구 사항이 있습니다.
잠재적 영향
사용자가 암호를 잊어버릴 경우에 대비하여 암호를 적어 두고 이를 안전하지 않은 장소에 보관하거나 분실할 수 있으므로 너무 긴 암호를 요구하면 실제로는 조직의 보안을 저하시킬 수 있습니다. 그러나 위에 설명한 대로 사용자가 통과 구문을 사용할 수 있다는 것을 알게 되면 암호를 쉽게 기억할 수 있습니다.
짧은 암호는 사전 공격 또는 무작위 공격을 수행하는 도구로 쉽게 해독할 수 있으므로 짧은 암호를 허용할 경우 보안이 취약해집니다. 아주 긴 암호를 요구하면 암호를 잘못 입력하여 계정 잠금을 초래하게 되며 따라서 지원 부서에 대한 지원 요청이 늘어날 수 있습니다.
Windows 98 및 Windows NT 4.0과 같은 Windows 이전 버전은 14자 이상의 암호를 지원하지 않습니다. 이러한 이전 운영 체제를 실행하는 컴퓨터는 긴 암호를 요구하는 계정을 사용하는 컴퓨터나 도메인을 인증할 수 없습니다.
암호는 복잡성을 만족해야 함
이 정책 설정은 암호가 강력한 암호로 간주되는 데 필요한 일련의 규정을 만족시키는지 여부를 결정합니다.
이 정책 설정을 사용하는 경우 사용자 암호는 다음 요구 사항을 만족해야 합니다.
암호는 적어도 6자 이상이어야 합니다.
암호에는 다음 네 가지 중 세 가지 범주의 문자가 포함되어야 합니다.
대문자(A, B, C, ...)
소문자(a, b, c, ...)
숫자(0, 1, 2, 3, 4, 5, 6, 7, 8, 9)
영숫자 이외의 문자와 유니코드 문자(( ) ` ~ ! @ # $ % ^ & * - + = | \ { } [ ] : ; " ' < > , . ? / € Γ ƒ λ 및 공백)
암호는 사용자 계정 이름이나 표시 이름의 문자를 3개 이상 연속하여 포함하지 않습니다. 계정 이름이 3개 미만의 문자인 경우 암호 거부 비율이 너무 높기 때문에 이 검사는 수행되지 않습니다. 사용자의 전체 이름을 확인할 때 쉼표, 마침표, 대시/하이픈, 밑줄, 공백, 파운드 기호, 탭 등의 문자는 이름을 개별 토큰으로 분리하는 구분 기호로 처리됩니다. 암호에서 세 자리 이상의 토큰을 검색하며 이러한 토큰이 있을 경우 암호 변경이 거부됩니다.
예를 들어 이름 Erin M. Hagens는 Erin, M 및 Hagens의 세 토큰으로 분리됩니다. 두 번째 토큰은 1개의 문자이므로 무시됩니다. 그러므로 이 사용자는 "erin" 또는 "hagens"가 암호에 하위 문자열로 포함된 암호를 사용할 수 없습니다. 이러한 모든 검사는 대/소문자를 구분합니다.
이러한 복잡성 요구 조건은 암호를 변경하거나 새 암호를 만드는 경우에 적용됩니다.
Windows Server 2003 정책에 포함된 규칙은 직접 수정할 수 없지만 Passfilt.dll 파일의 새 버전을 만들어 다른 규칙 집합을 적용할 수는 있습니다. 고유한 암호 필터를 만드는 방법에 대한 자세한 내용은 MSDN의 Windows Platform SDK(소프트웨어 개발 키트)에서 https://msdn.microsoft.com/library/en-us/secmgmt/security/password\_filters.asp의 Password Filters (영문)(암호 필터) 설명서를 참조하십시오.
암호는 복잡성을 만족해야 함 설정에 사용할 수 있는 값은 다음과 같습니다.
사용
사용 안 함
정의되지 않음
보안 문제
영숫자만으로 이루어진 암호는 공개되어 있는 유틸리티를 사용하여 아주 쉽게 공격할 수 있습니다. 암호가 공격당하는 것을 방지하려면 암호에 광범위한 문자가 있어야 합니다.
대책
암호는 복잡성을 만족해야 함 설정을 사용으로 구성합니다.
최소 암호 길이를 8로 지정하여 이 정책 설정과 함께 사용하면 하나의 암호를 만들 수 있는 경우의 수가 매우 많아져 무작위 공격을 성공하는 것이 불가능한 것은 아니지만 어려워집니다. 초당 백만 개의 암호를 충분히 테스트할 수 있는 처리 성능을 가진 공격자는 대략 7일 반나절 이내에 해당 암호를 알아낼 수 있습니다. 최소 암호 길이 설정을 높이면 공격에 성공하는 데 필요한 평균 시간도 함께 증가합니다.
잠재적 영향
기본 암호 복잡성 구성을 유지하면 영문자가 아닌 문자가 포함된 암호를 사용하는 것에 사용자가 익숙하지 않을 수도 있기 때문에 지원 부서에 잠겨진 계정에 대한 지원 요청이 추가로 발생할 수 있습니다. 하지만 모든 사용자가 이 복잡성 요구 사항을 크게 어렵지 않게 준수할 수 있습니다.
조직의 보안 요구 사항이 보다 엄격할 때는 Passfilt.dll 파일의 사용자 지정 버전을 만들어 임의의 복잡성을 가진 암호 강도 규칙을 사용할 수 있습니다. 예를 들어 사용자 지정 암호 필터가 윗줄 문자가 아닌 문자의 사용을 요구할 수 있습니다. 윗줄 문자는 Shift 키를 누른 채로 1 - 10 숫자를 누르는 방식으로 입력되는 문자입니다. 사용자 암호 필터는 사전 검사를 수행하여 사전에 나오는 일반적인 단어나 단어의 일부가 제안된 암호에 없는지 확인할 수도 있습니다.
또한 ALT 키 문자 조합의 사용도 암호의 복잡성을 크게 높일 수 있습니다. 그러나 그러한 엄격한 암호 요구 사항을 따르게 하면 사용자가 불편해지고 지원 부서가 너무 바빠질 수 있습니다. 다른 방법으로 모든 관리자 암호에서 0128 - 0159 범위의 Alt 문자를 사용하는 요구 사항을 고려해 볼 수도 있습니다. 이 범위 외의 Alt 문자는 암호에 추가적인 복잡성을 더하지 않는 표준 영숫자를 나타낼 수 있습니다.
도메인 내의 모든 사용자에 대해 해독 가능한 암호화를 사용하여 암호 저장
이 정책 설정은 Microsoft Windows Server 2003, Windows 2000 Server, Windows 2000 Professional 및 Windows XP Professional에서 암호를 저장할 때 해독 가능한 암호화를 사용할지 여부를 결정합니다.
도메인 내의 모든 사용자에 대해 해독 가능한 암호화를 사용하여 암호 저장 설정을 사용하면 인증을 위해 사용자 암호를 알아야 하는 응용 프로그램 프로토콜이 지원됩니다. 하지만 해독 가능한 방식으로 저장되는 암호화된 암호는 해독할 수 있습니다. 이 암호화를 공격할 수 있는 공격자가 노출된 계정을 사용하여 네트워크 리소스에 로그온할 수 있습니다.
주의: 업무 요구 사항이 암호 정보 보호의 필요성보다 더 중요하지 않으면 이 정책 설정을 절대 사용하지 마십시오.
원격 액세스 또는 IAS(인터넷 인증 서비스) 서비스를 통해 CHAP(Challenge Handshake 인증 프로토콜) 인증을 사용하려면 이 정책 설정을 사용해야 합니다. CHAP는 Microsoft 원격 액세스 및 네트워크 연결에서 사용할 수 있는 인증 프로토콜입니다.
도메인 내의 모든 사용자에 대해 해독 가능한 암호화를 사용하여 암호 저장 설정에 사용할 수 있는 값은 다음과 같습니다.
사용
사용 안 함
정의되지 않음
보안 문제
이 정책 설정은 Windows Server 2003에서 손상에 훨씬 더 취약한 형식으로 암호를 저장할지 여부를 결정합니다.
대책
도메인 내의 모든 사용자에 대해 해독 가능한 암호화를 사용하여 암호 저장 설정을 사용 안 함으로 구성합니다.
잠재적 영향
원격 액세스, IAS 서비스 또는 IIS의 다이제스트 인증을 사용하는 경우 이 정책 설정을 사용으로 구성해야 합니다. 이 설정은 MMC(Microsoft Management Console) Active Directory 사용자 및 컴퓨터 스냅인에서 적절한 사용자 계정 개체를 열어야 하므로 사용자 단위로 그룹 정책을 적용하기에는 아주 위험합니다.
계정 잠금 정책
컴퓨터에 로그온하려고 시도하는 동안 두세 차례 이상 암호 제출에 실패하는 것은 공격자가 무작위 시도와 오류를 통해 계정 암호를 알아내려고 하는 것일 수 있습니다. Windows Server 2003 SP1에서는 로그온 시도를 추적하며, 미리 설정한 기간 내에 지정한 횟수만큼 로그온 시도에 실패한 계정을 비활성화하도록 운영 체제를 구성할 수 있습니다. 계정 잠금 정책 설정은 이러한 대응에 대한 임계값과 해당 임계값에 도달할 경우 취할 작업을 제어합니다. 이 설명서에는 기본 설정이 문서화되어 있는 Microsoft Excel 통합 문서 "Windows 기본 보안 및 서비스 구성"도 포함되어 있습니다.
그룹 정책 개체 편집기의 다음 위치에서 계정 잠금 정책 설정을 구성할 수 있습니다.
컴퓨터 구성\Windows 설정\보안 설정\계정 정책\계정 잠금 정책
계정 잠금 기간
이 정책 설정은 잠겨진 계정의 잠금이 자동으로 해제되기 전에 잠겨진 상태로 유지되는 시간을 분 단위로 결정합니다. 사용 가능한 범위는 1분에서 99,999분까지입니다. 관리자가 잠금을 직접 해제할 때까지 계정이 잠겨 있도록 지정하려면 값을 0으로 구성합니다. 계정 잠금 임계값이 정의되는 경우 계정 잠금 기간은 재설정 시간보다 크거나 같아야 합니다.
계정 잠금 기간 설정에 사용할 수 있는 값은 다음과 같습니다.
사용자가 분 단위로 정의한 0과 99,999 사이의 값
정의되지 않음
보안 문제
공격자가 계정 잠금 임계값을 악용하여 특정 계정에 로그온하려고 반복적으로 시도하는 경우 DoS(서비스 거부) 상황이 발생할 수 있습니다. 계정 잠금 임계값설정을 구성하면 지정된 횟수만큼 로그온 시도에 실패한 후 해당 계정이 잠겨집니다. 계정 잠금 기간을 0으로 구성하면 관리자가 해당 계정의 잠금을 직접 해제할 때까지 계정이 잠겨진 상태로 유지됩니다.
대책
계정 잠금 기간 설정을 환경에 적합한 값으로 구성합니다. 관리자가 잠금을 직접 해제할 때까지 계정이 잠겨 있도록 지정하려면 값을 0으로 설정합니다. 계정 잠금 기간 설정이 0이 아닌 값으로 구성되면 이 기간 동안 기다린 후 특정 계정에 대해 암호를 자동으로 추측하려 다시 시도합니다. 계정 잠금 임계값 설정과 함께 이 설정을 사용하면 자동으로 암호를 추측하는 것이 어려워지거나 효과가 없어질 수 있습니다.
잠재적 영향
계정 잠금을 자동으로 해제하지 않도록 이 정책 설정을 구성하는 것이 적절해 보일 수 있지만 이와 같이 구성하면 조직의 지원 부서에서는 실수로 잠겨진 계정에 대한 해제 요청을 많이 받을 수 있습니다.
계정 잠금 임계값
이 정책 설정은 사용자 계정의 잠금을 초래하게 되는 실패한 로그온 시도 수를 결정합니다. 관리자가 다시 설정할 때까지 또는 계정의 잠금 기간이 만료될 때까지는 잠겨진 계정을 사용할 수 없습니다. 실패한 로그온 시도를 최대 999까지 지정하거나 값을 0으로 설정하여 계정이 잠기지 않도록 지정할 수 있습니다. 계정 잠금 임계값을 정의하는 경우 계정 잠금 기간은 재설정 시간보다 크거나 같아야 합니다.
Ctrl+Alt+Delete 또는 암호로 보호된 화면 보호기를 사용하여 잠겨진 워크스테이션이나 구성원 서버에 대한 암호 시도 실패는 대화형 로그온: 워크스테이션 잠금 해제를 위해 도메인 컨트롤러 인증 필요 정책 설정을 사용하지 않는 경우 실패한 로그온 시도 수로 계산되지 않습니다. 이 정책 설정을 사용하는 경우 워크스테이션 잠금 해제를 위한 반복된 암호 시도 실패 횟수는 계정 잠금 임계값에 대해 계산됩니다.
계정 잠금 임계값 설정에 사용할 수 있는 값은 다음과 같습니다.
사용자가 정의한 0과 999 사이의 값
정의되지 않음
보안 문제
암호 공격에서는 자동화된 방법을 통해 모든 사용자 계정에 대해 수천 또는 수백만 개의 암호 조합을 시도합니다. 가능한 로그온 실패 수를 제한하면 그러한 공격의 효과가 거의 없어집니다.
그러나 계정 잠금 임계값이 구성된 도메인에서 DoS 공격을 수행할 수 있다는 것에 주의해야 합니다. 악의적인 공격자가 조직의 모든 사용자에 대해 프로그래밍 방식으로 일련의 암호 공격을 시도할 수 있습니다. 시도 수가 계정 잠금 임계값보다 크면 공격자가 모든 계정을 잠글 수 있게 됩니다.
대책
이 값이 구성되어 있을 때와 구성되어 있지 않을 때 모두 보안 문제가 발생할 수 있으므로 두 가지 별도의 대책이 정의됩니다. 조직에서는 확인된 위협과 완화시킬 위험을 기준으로 이 두 가지를 비교하여 선택해야 합니다. 두 가지 대책 옵션은 다음과 같습니다.
계정 잠금 임계값 설정을 0으로 구성합니다. 이렇게 구성하면 계정이 잠기지 않게 되며, 모든 계정 또는 일부 특정 계정을 고의적으로 잠그려는 DoS 공격을 방지합니다. 또한 사용자가 자신의 계정을 실수로 잠그지 못하게 되므로 지원 부서로의 지원 요청이 줄어듭니다.
그러나 무작위 공격은 막지 못하므로 다음 두 조건을 모두 충족하는 경우에만 이 구성을 선택하는 것이 좋습니다.
암호 정책은 모든 사용자가 8자 이상으로 구성된 복잡한 암호를 사용하도록 합니다.
해당 환경에서 일련의 로그온 실패가 발생할 경우 관리자에게 경고하기 위해 강력한 감사 메커니즘이 적절히 사용되고 있습니다.
조직에서 이전 기준을 충족하지 못하는 경우 무작위 암호 공격 시에는 계정이 잠기도록 하면서 사용자가 실수로 암호를 여러 번 잘못 입력할 때는 계정이 잠기지 않도록 할 수 있는 충분히 큰 값으로 계정 잠금 임계값 설정을 구성합니다. 이와 같은 경우에는 잘못된 로그온 시도 수를 50과 같은 높은 숫자로 구성하는 것이 좋습니다. 이렇게 하면 부주의로 인한 계정 잠금을 방지하고 지원 부서로의 지원 요청 수를 줄일 수 있으나 위에서 설명한 바와 같이 DoS 공격을 방지할 수는 없습니다.
잠재적 영향
이 정책 설정을 사용하면 관리자가 다시 설정하거나 계정 잠금 기간이 만료될 때까지 잠겨진 계정을 사용하지 못하게 됩니다. 이로 인해 지원 부서로의 추가적인 지원 요청이 생길 수 있습니다. 실제로 많은 조직에서 지원 부서로 지원이 요청되는 가장 큰 이유가 잠겨진 계정 때문입니다.
계정 잠금 임계값을 0으로 구성하고 강력한 감사 메커니즘을 적절히 사용하지 않는 경우, 감지되지 않고 진행될 수 있는 무작위 암호 공격을 사용하여 공격자가 암호 공격을 시도할 가능성이 있습니다.
다음 시간 후 계정 잠금 수를 원래대로 설정
이 정책 설정은 로그온 시도 실패 수를 추적하고 계정 잠금을 트리거하는 카운터가 0으로 다시 설정되기 전에 경과되어야 하는 시간을 분 단위로 결정합니다.계정 잠금 임계값을 정의한 경우 이 재설정 시간은 계정 잠금 기간 설정 구성보다 작거나 같아야 합니다.
다음 시간 후 계정 잠금 수를 원래대로 설정에 사용할 수 있는 값은 다음과 같습니다.
사용자가 분 단위로 정의한 1과 99,999 사이의 수
정의되지 않음
보안 문제
사용자가 암호를 여러 번 잘못 입력하여 자신의 계정을 실수로 잠글 수 있습니다. 이렇게 실수로 잠글 가능성을 줄이기 위해 다음 시간 후 계정 잠금 수를 원래대로 설정은 로그온 시도 실패 수를 추적하고 계정 잠금을 트리거하는 카운터가 0으로 다시 설정되기 전에 경과되어야 하는 시간을 분 단위로 결정합니다
대책
다음 시간 후 계정 잠금 수를 원래대로 설정을 30분으로 구성합니다.
잠재적 영향
이 정책 설정을 구성하지 않거나 값을 너무 긴 간격으로 구성하면 DoS 공격을 받을 수 있습니다. 이전 단락에서 설명된 바와 같이 악의적인 공격자는 각 사용자의 계정에 로그온하려고 여러 차례 시도한 후 해당 계정을 잠그려고 시도할 수 있습니다. 다음 시간 후 계정 잠금 수를 원래대로 설정을 구성하지 않으면 관리자가 모든 계정의 잠금을 직접 해제해야 합니다. 이 정책 설정을 적절한 값으로 구성하면 일정 기간 동안 사용자가 잠겨 있지만 그 이후에는 계정의 잠금이 자동으로 해제됩니다. 이 정책 설정에 사용되는 값을 사용자에게 통지하여 로그온할 수 없다고 지원 부서에 문의하기 전에 잠금 타이머가 만료될 때까지 기다리도록 해야 합니다.
Kerberos 정책
Windows Server 2003 SP1에서는 Kerberos 버전 5 인증 프로토콜이 도메인 인증 서비스에 대한 기본 메커니즘과 사용자가 리소스에 액세스하여 해당 리소스에 대한 작업을 수행하는 데 필요한 인증 데이터를 제공합니다. Kerberos 티켓의 수명을 줄이면 공격자가 합법적인 사용자의 자격 증명을 강탈하여 사용할 수 있는 위험이 줄어듭니다. 그러나 인증 오버헤드는 늘어납니다.
대부분의 환경에서는 Kerberos 정책 설정을 변경하지 말아야 합니다. 이러한 정책 설정은 도메인 수준에서 적용되며, 기본값은 Windows 2000 또는 Windows Server 2003 Active Directory 도메인의 기본 설치에 있는 기본 도메인 정책 GPO에서 구성됩니다. 이 설명서에는 기본 설정이 문서화되어 있는 Microsoft Excel 통합 문서 "Windows 기본 보안 및 서비스 구성"도 포함되어 있습니다.
그룹 정책 개체 편집기의 다음 위치에서 Kerberos 정책 설정을 구성할 수 있습니다.
컴퓨터 구성\Windows 설정\보안 설정\계정 정책\Kerberos 정책
사용자 로그온 제한을 실시
이 정책 설정은 KDC(키 배포 센터)에서 세션 티켓에 대한 모든 요청의 유효성을 사용자 계정의 사용자 권한 정책에 대해 검사할지 여부를 결정합니다. 세션 티켓에 대한 각 요청의 유효성 검사는 추가 단계로 인해 시간이 걸리고 서비스에 대한 네트워크 액세스 속도가 느려질 수 있으므로 선택 사항입니다.
사용자 로그온 제한을 실시 설정에 사용할 수 있는 값은 다음과 같습니다.
사용
사용 안 함
정의되지 않음
보안 문제
이 정책 설정을 사용하지 않으면 로그온한 후 권한이 제거되었기 때문에 더 이상 사용 권한이 없는 서비스에 대한 세션 티켓을 사용자가 받을 수 있습니다.
대책
사용자 로그온 제한을 실시 설정을 사용으로 구성합니다.
잠재적 영향
없음: 기본 구성입니다.
서비스 티켓 최대 수명
이 정책 설정은 허용된 세션 티켓을 사용하여 특정 서비스에 액세스할 수 있는 최대 시간을 분 단위로 결정합니다. 이 설정은 10분 이상이면서 사용자 티켓 최대 수명에 대한 설정의 구성보다 작거나 같아야 합니다.
서버에 대한 연결을 요청하는 경우 클라이언트가 만료된 세션 티켓을 제공하면 서버에서 오류 메시지가 반환하며 클라이언트는 KDC에 새 세션 티켓을 요청해야 합니다. 그러나 연결이 인증된 후에는 세션 티켓이 유효한 상태인지 여부가 더 이상 문제 되지 않습니다. 세션 티켓은 서버와의 새로운 연결을 인증하기 위해서만 사용됩니다. 연결을 인증한 세션 티켓이 해당 연결 중에 만료되어도 작업이 중단되지 않습니다.
서비스 티켓 최대 수명 설정에 사용할 수 있는 값은 다음과 같습니다.
사용자가 정의한 10과 99,999 사이의 값. 이 정책 설정을 0으로 구성하면 서비스 티켓이 만료되지 않습니다.
정의되지 않음
보안 문제
서비스 티켓 최대 수명 설정값을 너무 높게 구성하면 사용자가 자신의 로그온 시간을 초과하여 네트워크 리소스에 액세스할 수 있습니다. 또한 계정을 사용하지 않는 사용자가 해당 계정이 비활성화되기 전에 발급된 유효한 서비스 티켓을 사용하여 네트워크 리소스에 계속해서 액세스할 수도 있습니다.
대책
서비스 티켓 최대 수명 설정을 600분으로 구성합니다.
잠재적 영향
없음: 기본 구성입니다.
사용자 티켓 최대 수명
이 정책 설정은 사용자의 TGT(티켓 발급 허가 티켓)의 최대 시간을 시간 단위로 결정합니다. 사용자의 TGT가 만료되면 새로운 TGT를 요청하거나 기존 TGT를 "갱신"해야 합니다.
사용자 티켓 최대 수명 설정에 사용할 수 있는 값은 다음과 같습니다.
사용자가 분 단위로 정의한 0과 99,999 사이의 값. 기본값은 10시간입니다.
정의되지 않음
보안 문제
사용자 티켓 최대 수명 설정값을 너무 높게 구성하면 사용자가 자신의 로그온 시간을 초과하여 네트워크 리소스에 액세스할 수 있습니다. 또한 계정을 사용하지 않는 사용자가 해당 계정이 비활성화되기 전에 발급된 유효한 서비스 티켓을 사용하여 네트워크 리소스에 계속해서 액세스할 수도 있습니다.
대책
사용 티켓 최대 수명 설정을 10시간으로 구성합니다.
잠재적 영향
없음: 기본 구성입니다.
사용자 티켓 갱신 최대 수명
이 정책 설정은 사용자의 TGT(티켓 발급 허가 티켓)를 갱신할 수 있는 기간(일 수)을 결정합니다.
사용자 티켓 갱신 최대 수명 설정에 사용할 수 있는 값은 다음과 같습니다.
사용자가 분 단위로 정의한 0과 99,999 사이의 값
정의되지 않음
보안 문제
사용자 티켓 갱신 최대 수명 설정값을 너무 높게 구성하면 사용자가 아주 오래된 사용자 티켓을 갱신할 수 있습니다.
대책
사용자 티켓 갱신 최대 수명 설정을 10080분(7일)로 구성합니다.
잠재적 영향
없음: 기본 구성입니다.
컴퓨터 시계 동기화 최대 허용 오차
이 정책 설정은 클라이언트 시계의 시간과 Kerberos 인증을 제공하는 Windows Server 2003 기반 도메인 컨트롤러의 시간 사이에 Kerberos가 허용하는 최대 시간차를 분 단위로 결정합니다.
컴퓨터 시계 동기화 최대 허용 오차 설정에 사용할 수 있는 값은 다음과 같습니다.
사용자가 분 단위로 정의한 1과 99,999 사이의 값
정의되지 않음
보안 문제
"Replay 공격"을 방지하기 위해 Kerberos 인증 프로토콜은 타임스탬프를 프로토콜 정의의 일부로 사용합니다. 타임스탬프가 제대로 작동하기 위해서는 클라이언트와 도메인 컨트롤러의 시계가 최대한 동기화되어야 합니다. 두 컴퓨터의 시계가 동기화되지 않은 상태일 경우가 많으므로 관리자는 이 정책을 사용하여 Kerberos 협상을 마쳐야 하는 최대 경과 시간을 설정할 수 있습니다. 경과 시간은 타임스탬프로부터 계산됩니다. 이 설정의 제한값은 도메인 컨트롤러와 클라이언트 컴퓨터 간에 허용되는 최대 시간차입니다.
대책
컴퓨터 시계 동기화 최대 허용 오차 설정을 5분으로 구성합니다.
잠재적 영향
없음: 기본 구성입니다.
추가 정보
다음 링크에서는 Windows Server 2003 SP1이 실행되는 도메인 컨트롤러의 보안 강화와 관련된 항목에 대한 추가 정보를 제공합니다.
Windows에서 암호 복잡성이 작동하는 방법과 기억하기 쉬운 강력한 암호를 만드는 방법에 대한 자세한 내용은 www.microsoft.com/smallbusiness/support/articles/select\_sec\_passwords.mspx의 "Selecting Secure Passwords"(보안 암호 선택) 문서를 참조하십시오.
Microsoft에서 제공하는 인증 보안 지침에 대한 자세한 내용은 www.microsoft.com/korea/technet/security/secnews/articles/enterprisesecbp.mspx의 Enterprise Security Best Practices(최상의 엔터프라이즈 보안 방법)를 참조하십시오.
레지스트리에 저장되어 있고 Windows의 각 버전에 대해 제공되는 모든 설정의 경로 및 값 목록을 포함하여 그룹 정책에 대한 자세한 내용은 www.microsoft.com/downloads/details.aspx?FamilyId=7821C32F-DA15-438D-8E48-45915CD2BC14의 “Group Policy Settings Reference for Windows Server 2003 with Service Pack 1 (영문)”(Windows Server 2003 SP1의 그룹 정책 기본 설정)을 참조하십시오.
다운로드
업데이트 알림
사용자 의견