[윈도우서버] W-04 계정 잠금 임계값 설정

윈도우 서버 W-04 계정 잠금 임계값 설정

항목중요도 : 상

1. 취약점 개요

▶ 점검내용 : 계정 잠금 임계값의 설정 여부 점검

▶ 점검목적 : 계정 잠금 임계값을 설정하여 공격자의 자유로운 자동화 암호 유추 공격을 차단하기 위함

▶ 보안위협

 · 공격자는 시스템의 계정 잠금 임계값이 설정되지 않은 경우 자동화된 방법을 이용하여 모든 사용자 계정에 대해 암호조합 공격을 자유롭게 시도할 수 있으므로 사용자 계정 정보의 노출 위험이 있음

▶ 참고

※ 계정 잠금 임계값 설정은 사용자 계정이 잠기는 로그온 실패 횟수를 결정하며 잠긴 계정은 관리자가 재설정하거나 해당 계정의 잠금 유지 시간이 만료되어야 사용할 수 있음
※ 계정 잠금 정책: 해당 계정이 시스템으로부터 잠기는 환경과 시간을 결정하는 정책으로 ‘계정 잠금 기간’, ‘계정 잠금 임계값’, ‘다음 시간 후 계정 잠금 수를 원래대로 설정’의 세가지 하위 정책을 가짐
※ 관련 점검 항목 : W-47(중) 계정 잠금 기간 설정

2. 점검대상 및 판단 기준

▶  대상 : Windows NT, 2000, 2003, 2008, 2012, 2016, 2019

▶  판단기준

 · 양호 : 계정 잠금 임계값이 5 이하의 값으로 설정되어 있는 경우

 · 취약 : 계정 잠금 임계값이 6 이상의 값으로 설정되어 있는 경우

▶  조치방법  : 계정 잠금 임계값을 5번 이하의 값으로 설정

3. 윈도우서버 초기 설정값

확인방법

시작> 실행> SECPOL.MSC> 계정 정책> 계정 잠금 정책

 

윈도우 서버를 생성할 경우 초기값으로 계정 임계값이 설정되어있지 않음을 알 수 있습니다.

현재는 "0" 번의 잘못된 로그온시도 라고 되어있습니다.

현재 서버의 계정 임계값 진단 결과는 "취약" 이므로 조치가 필요합니다.

 

4. 조치

임계값은 계정의 비밀번호를 5회 틀리면 자동으로 계정이 잠기는 것을 의미합니다.

 

지금은 계정잠금 기간에 대한 설정을 하지 않았기 때문에 5번 틀리면 잠기는건가 싶었는데.... 적용을 누르니 기본적으로 10분으로 뜹니다.

기본적으로 계정잠금기간이 10분으로 설정되어 있으므로 비밀번호를 틀리셨다면 10분 뒤에 다시 비밀번호를 다시 입력해주면 됩니다.

(잠금 임계값 설정전에는 잠금기간이 30분이였는데.. 임계값 변경을 하고 나니 10분으로 자동 변경되었습니다. 아마도 윈도우서버 초기 설정값인 것 같습니다.)

아래 항목이 바로 "W-47 계정 잠금 기간 설정" 과 관련된 항목입니다.

W-47 항목은 정부에서는 권고는 60분입니다. 10분은 너무 짧습니다. 비밀번호 입력시도 후 잠김 이후 10분 뒤 다시 할 수 있는 것이기 때문에 길게 설정해 두는 것이 좋습니다. 단점은. 나도 1시간 기다려야하니 비밀번호는 처음부터 정확하게 입력해주는게 좋습니다.

 

5. 결과

계정 잠금 임계값 설정을 5번으로 변경 완료하였습니다.

정부에서는 6회 이상일 경우 취약으로 보고 있기때문에 그 미만으로 관리하신다면 상관없습니다. 3회, 4회로 설정하셔도됩니다.

 

이상 조치완료입니다.

 

 

 

윈도우서버를 마스터하는 그날까지

화이팅!