사용자 티켓 최대 수명
사용자 티켓 최대 수명 정책 설정에 대한 모범 사례, 위치, 값, 정책 관리 및 보안 고려 사항을 설명합니다.
참조
사용자 티켓 최대 수명 정책 설정은 사용자의 TGT(Ticket-Granting Ticket)를 사용할 수 있는 최대 시간(시간)을 결정합니다. 사용자의 TGT(Ticket-Granting Ticket)가 만료되면 새 TGT를 요청하거나 기존 TGT를 갱신해야 합니다.
그룹 정책 설정의 가능한 값은 다음과 같습니다.
사용자 정의 시간(시간) 범위: 0-99,999
정의되지 않음
이 정책 설정의 값이 너무 높으면 사용자가 로그온 시간 외에 네트워크 리소스에 액세스하거나, 계정이 사용하지 않도록 설정된 사용자가 계정이 사용하지 않도록 설정되기 전에 발급된 유효한 서비스 티켓을 사용하여 네트워크 서비스에 계속 액세스할 수 있습니다. 값을 0으로 설정하면 TGT(Ticket-Granting Ticket)가 만료되지 않습니다.
모범 사례
- 사용자 티켓 최대 수명을 10시간으로 설정하는 것이 좋습니다.
위치
컴퓨터 구성\Windows 설정\보안 설정\계정 정책\Kerberos 정책
기본값
다음 표에는 실제 유효한 기본 정책 값이 나와 있습니다. 기본값은 정책의 속성 페이지에도 나와 있습니다.
| 서버 유형 또는 GPO | 기본값 |
|---|---|
기본 도메인 정책 |
10시간 |
기본 도메인 컨트롤러 정책 |
정의되지 않음 |
독립 실행형 서버 기본 설정 |
해당 없음 |
도메인 컨트롤러의 유효한 기본 설정 |
10시간 |
구성원 서버의 유효한 기본 설정 |
해당 없음 |
클라이언트 컴퓨터의 유효한 기본 설정 |
해당 없음 |
정책 관리
이 섹션에서는 이 정책을 관리하는 데 도움이 되는 기능, 도구 및 지침을 설명합니다.
이 정책 설정을 적용하기 위해 컴퓨터를 다시 시작하지 않아도 됩니다.
이 정책 설정은 도메인 컨트롤러에서 구성됩니다.
그룹 정책
클라이언트 디바이스는 다음 예약된 그룹 정책이 성공적으로 새로 고쳐질 때 새 설정을 가져옵니다. 그러나 도메인 컨트롤러가 이러한 새 설정을 즉시 할당하려면 gpupdate.exe /force가 필요합니다. 로컬 컴퓨터에서 보안 구성 엔진은 이 설정을 약 5분 내에 새로 고칩니다.
설정은 GPO(그룹 정책 개체)를 통해 다음 순서대로 적용되며, 다음에 그룹 정책을 업데이트할 때 로컬 컴퓨터의 설정을 덮어씁니다.
로컬 정책 설정
사이트 정책 설정
도메인 정책 설정
OU 정책 설정
로컬 설정이 회색으로 표시되면 이는 현재 GPO가 해당 설정을 제어함을 나타냅니다.
보안 고려 사항
이 섹션에서는 공격자가 기능 또는 기능의 구성을 어떻게 악용할 수 있는지와 이에 대한 보호 조치를 시행하는 방법 및 보호 조치를 시행함으로써 발생할 수 있는 부정적인 결과를 설명합니다.
취약성
사용자 티켓 최대 수명 설정의 값을 너무 높게 구성하면 사용자가 로그온 시간 외에 네트워크 리소스에 액세스할 수 있습니다. 또한 계정이 사용하지 않도록 설정된 사용자가 계정이 사용하지 않도록 설정되기 전에 발급된 유효한 사용자 티켓을 사용하여 네트워크 서비스에 계속 액세스할 수 있습니다. 이 값을 너무 낮게 구성하면 KDC에 대한 티켓 요청이 KDC 성능에 영향을 주고 DoS 공격이 발생할 수 있습니다.
보호 조치
사용자 티켓 최대 수명 설정을 4-10시간 사이 값으로 구성합니다.
잠재적 영향
이 설정을 기본값에서 줄이면 사용자에게 권한이 없는 리소스에 액세스하는 데 TGT(Ticket-Granting Ticket)가 사용될 가능성이 감소합니다. 그러나 사용자 대신 TGT(Ticket-Granting Ticket)에 대한 요청을 KDC에 더 자주 요구합니다. 대부분 KDC에서는 너무 많은 추가 부담 없이 4시간 값을 지원할 수 있습니다.