윈도 서버/윈도pc를 사용하시는 분들이 윈도의 보안을 위해 설정해야 하는 항목중
패스워드에 대한 조치내용입니다.
패스워드 복잡도 설정
- 시작>실행>SECPOL.MSC
- 계정 정책>암호 정책>암호는 복잡성을 만족해야 함 설정 되도록 합니다.
패스워드 최근 암호 기억 설정
- 시작>실행>SECPOL.MSC
- 계정 정책>암호 정책>”최근 암호 기억”을 2개로 설정
패스워드 최대 사용기간 설정
- 시작>실행>SECPOL.MSC
- 계정 정책>암호 정책>”최대 암호 사용 기간”을 90이하로 설정
패스워드 입력 실패 시 계정 잠금 기간 설정
- 시작>실행>SECPOL.MSC
- 계정 정책>”계정잠금기간간”을 30이상으로 설정
계정 잠금 임계값 설정
- 시작>실행>SECPOL.MSC
- 계정 정책>”계정잠금임계값”을 5이하로 설정
설명 - 패스워드 복잡도 설정
영숫자만으로 이루어진 암호는 간단한 프로그램을 사용하여 아주 쉽게 공격할 수 있기 때문에,
패스워드가 공격당하는 것을 방지하려면 암호에 광범위한 문자를 설정할 수 있도록 해야합니다.
임호 복잡성 정책을 사용하면 아래의 최소 요구 사항을 만족 해야 합니다.
- 사용자의 계정 이름이나 연속되는 문자 2개를 초과하는 사용자 전체 이름의 일부를 포함하지 않음.
- 길이가 최소한 6자 이상이어야 함.
- 다음 네 가지 범주 중 세 가지의 문자를 포함해야 함
- 영문 대문자(A - Z)
- 영문 소문자(a - z)
- 기본 10개 숫자(0 - 9)
- 알파벳 이외의 문자(예: !, $, #, %)
설명 - 패스워드 최근 암호 기억 설정
특정 계정에서 오래된 비밀번호를 계속 사용할수록 무작위 공격으로 공격자가 비밀번호를 추측할 가능성이 커집니다.
좋은 비밀번호 정책의 효과를 높이려면 이전 비밀번호를 재사용하지 못하도록 하거나,
일정 수의 이전 비밀번호만 재사용할 수 있게 제한하는 것이 중요합니다.
설명 - 패스워드 최소 사용기간 설정
사용자가 암호를 계속 바꿔서 이전에 즐겨 쓰던 암호를 다시 사용할 수 있다면,
암호를 정기적으로 바꾸도록 요구하는 것은 효과가 없습니다.
정책 설정을 최근 암호 기억 설정과 함께 사용하면 이전 암호를 다시 사용하는 것을 막을 수 있다.
최근 암호 기억 설정을 유효하게 하려면 최소 암호 사용 기간 정책 설정을 0보다 큰 값으로 구성해야 한다.
특정 계정에 같은 암호를 오래 사용할수록 공격자가 무작위 공격을 통해 암호를 확인할 수 있는 가능성이 커지며,
암호를 변경해야 할 경우 암호를 다시 사용하는 것을 금지하지 않거나
적은 수의 암호를 계속해서 다시 사용할 수 있도록 허용하면 좋은 암호 정책의 효과가 크게 반감됩니다.
설명 - 패스워드 입력 실패 시 계정 잠금 기간 설정
잠긴 계정이 자동으로 잠금 해제되기 전에 잠금 상태를 유지하는 시간(분)을 결정합니다.
계정 잠금 기간을 0으로 설정하면 관리자가 명시적으로 잠금을 해제할 때까지 계정이 잠겨있게 됩니다.
계정 잠금 기간을 설정하지 않으면 사전공격 같은 무차별 공격에 아이디와 패스워드를 획득이 가능하기에, 설정이 필요합니다.
설명 - 계정 잠금 임계값 설정
이 설정은 사용자 계정이 잠기는 로그온 실패 횟수입니다.
잠긴 계정은 관리자가 재설정하거나 해당 계정의 잠금 유지 시간이 만료되어야 사용할 수 있습니다.
로그온 실패 회수를 제한하지 않으면 사전공격 같은 무차별 공격에 아이디와 패스워드를 획득이 가능하기에, 설정이 필요합니다.