서비스 티켓 최대 수명
서비스 티켓 최대 수명 보안 정책 설정에 대한 모범 사례, 위치, 값, 정책 관리 및 보안 고려 사항을 설명합니다.
참조
서비스 티켓 최대 수명 정책 설정은 특정 서비스에 액세스하는 데 부여된 세션 티켓을 사용할 수 있는 최대 시간(분)을 결정합니다. 값은 10분 이상이어야 하고 서비스 티켓 최대 수명 정책 설정의 값보다 작거나 같아야 합니다.
그룹 정책 설정의 가능한 값은 다음과 같습니다.
사용자 정의 시간(분) 범위: 10~99,999 또는 0(서비스 티켓이 만료되지 않는 경우)
정의되지 않음.
클라이언트에서 서버 연결을 요청할 때 만료된 세션 티켓을 제공하면 서버에서는 오류 메시지를 반환합니다. 클라이언트에서는 Kerberos V5 KDC에서 새 세션 티켓을 요청해야 합니다. 그러나 연결이 인증되고 나면 세션 티켓이 유효한지는 더 이상 문제가 되지 않습니다. 세션 티켓은 서버에서 새 연결을 인증하는 데만 사용됩니다. 연결을 인증한 세션 티켓이 연결 중에 만료해도 진행 중인 작업이 중단되지 않습니다.
이 정책 설정 값이 너무 높으면 사용자가 로그온 시간 외에 네트워크 리소스에 액세스할 수 있습니다. 또한 계정이 사용하지 않도록 설정된 사용자가 계정이 사용하지 않도록 설정되기 전에 발급된 유효한 서비스 티켓을 사용하여 네트워크 서비스에 계속 액세스할 수 있습니다. 값을 0으로 설정하면 서비스 티켓이 만료되지 않습니다.
모범 사례
- 서비스 티켓 최대 수명을 600분으로 설정하는 것이 좋습니다.
위치
컴퓨터 구성\Windows 설정\보안 설정\계정 정책\Kerberos 정책
기본값
다음 표에는 실제 유효한 기본 정책 값이 나와 있습니다. 기본값은 정책의 속성 페이지에도 나와 있습니다.
| 서버 유형 또는 GPO | 기본값 |
|---|---|
기본 도메인 정책 |
600분 |
기본 도메인 컨트롤러 정책 |
정의되지 않음 |
독립 실행형 서버 기본 설정 |
해당 없음 |
DC의 유효한 기본 설정 |
600분 |
구성원 서버의 유효한 기본 설정 |
해당 없음 |
클라이언트 컴퓨터의 유효한 기본 설정 |
해당 없음 |
정책 관리
이 섹션에서는 이 정책을 관리하는 데 도움이 되는 기능, 도구 및 지침을 설명합니다.
이 정책 설정을 적용하기 위해 디바이스를 다시 시작하지 않아도 됩니다.
이 정책 설정은 도메인 컨트롤러에서 구성됩니다.
그룹 정책
클라이언트 컴퓨터는 다음 예약된 그룹 정책이 성공적으로 새로 고쳐질 때 새 설정을 가져옵니다. 그러나 도메인 컨트롤러가 이러한 새 설정을 즉시 할당하려면 gpupdate.exe /force가 필요합니다. 로컬 디바이스에서 보안 구성 엔진은 이 설정을 약 5분 내에 새로 고칩니다.
설정은 GPO(그룹 정책 개체)를 통해 다음 순서대로 적용되며, 다음에 그룹 정책을 업데이트할 때 로컬 컴퓨터의 설정을 덮어씁니다.
로컬 정책 설정
사이트 정책 설정
도메인 정책 설정
OU 정책 설정
로컬 설정이 회색으로 표시되면 이는 현재 GPO가 해당 설정을 제어함을 나타냅니다.
보안 고려 사항
이 섹션에서는 공격자가 기능 또는 기능의 구성을 어떻게 악용할 수 있는지와 이에 대한 보호 조치를 시행하는 방법 및 보호 조치를 시행함으로써 발생할 수 있는 부정적인 결과를 설명합니다.
취약성
서비스 티켓 최대 수명 설정의 값을 너무 높게 구성하면 사용자가 로그온 시간 외에 네트워크 리소스에 액세스할 수 있습니다. 또한 계정이 사용하지 않도록 설정된 사용자가 계정이 사용하지 않도록 설정되기 전에 발급된 유효한 서비스 티켓을 사용하여 네트워크 서비스에 계속 액세스할 수 있습니다.
보호 조치
서비스 티켓 최대 수명 설정을 600분으로 구성합니다.
잠재적 영향
없음. 기본 구성입니다.