윈도우 서버 W-80 컴퓨터 계정 암호 최대 사용 기간

윈도우 서버 W-80 컴퓨터 계정 암호 최대 사용 기간

항목중요도 : 중

1. 취약점 개요

▶ 점검내용 : 컴퓨터 계정 암호 최대 사용 기간 설정 여부 점검

▶ 점검목적 : 컴퓨터 계정 암호 최대 사용 기간을 설정하기 위함

▶ 보안위협

 · 기본적으로 도메인 구성원은 도메인 암호 변경 주기가 적절하지 않은 경우 공격자가 무단 공격을 실행하여 하나 이상의 컴퓨터 계정 암호를 추측하기에 충분한 시간을 제공할 수 있음

▶ 참고

※ 도메인 구성원이 해당 컴퓨터 계정 암호를 정기적으로 변경할지를 결정할 수 있으며, 기본적으로 도메인 구성원이 사용하는 도메인 암호 변경 기간은 ‘자동’으로 설정되어 있음

2. 점검대상 및 판단 기준

▶  대상 : Windows 2000, 2003, 2008, 2012, 2016, 2019

▶  판단기준

 · 양호 : "컴퓨터 계정 암호 변경 사용 안 함" 정책을 사용하지 않으며, "컴퓨터 계정 암호 최대 사용 기간" 정책이 "90일"로 설정되어 있는 경우

 · 취약 : "컴퓨터 계정 암호 변경 사용 안 함" 정책이 “사용”으로 설정되어 있거나 "컴퓨터 계정 암호 최대 사용 기간" 정책이 “90일” 로 설정되어 있지 않은 경우

▶  조치방법

컴퓨터 계정 암호 변경 사용 안 함 → 사용 안 함
컴퓨터 계정 암호 최대 사용 기간 → 90일

 

3. 윈도우서버 초기 설정값

※ 테스트한 윈도우 서버의 버전은 windows server 2022 입니다.

 

확인방법

1) 시작> 실행> SECPOL.MSC> 로컬 정책> 보안 옵션
2) 도메인 구성원: 컴퓨터 계정 암호 변경 사항 사용 안 함 → 사용 안 함
 도메인 구성원: 컴퓨터 계정 암호의 최대 사용 기간 → 90일
※ Windows Server 2000 이하 버전 해당 사항 없음

 

도메인 구성원: 컴퓨터 계정 암호 변경 사항 사용 안 함 → 사용 안 함

도메인 구성원: 컴퓨터 계정 암호의 최대 사용 기간 → 30일 (90일 미만)

으로 설정되어있기 때문에 양호입니다.

4. 조치

조치를 해보겠습니다.

 

1) 도메인 구성원: 컴퓨터 계정 암호 변경 사항 사용 안 함 → 사용 안 함

2) 도메인 구성원: 컴퓨터 계정 암호의 최대 사용 기간 → 90

사실 90일 미만이기만 하면되기때문에 30일로 그냥 두셔도 상관은 없습니다.

5. 결과

사용으로 변경하셨다면 양호입니다!

 

윈도우서버를 마스터하는 그날까지

화이팅!