[윈도우 서버 - 계정관리] 4. 계정 잠금 임계값 설정

항목 코드 : W-04

중요도 : 상

점검 내용 : 계정 잠금 임계값의 설정 여부 점검한다.

(계정 잠금 임계값 : 사용자 계정이 잠기는 로그온 실패 횟수 결정, 잠긴 계정은 관리자가 재설정하거나 해당 계정의 잠금 유지 시간이 만료되어야 사용 가능)

점검 목적 : 공격자의 자유로운 자동화 암호 유추 공격을 차단하기 위해서이다.

-> 시스템의 계정 잠금 임계값이 설정되지 않은 경우, 공격자는 자동화된 방법을 이용하여 모든 사용자 계정에 대해 암호조합 공격(무작위 대입 공격, 패스워드 추측 공격 등)을 자유롭게 시도할 수 있으므로 사용자 계정 정보의 노출 위험이 있다.

 

 

+) Administrator 계정은 계정 잠금 임계값 설정해도 잠기지 않는다.

   그래서 비밀번호 설정 및 이름 변경이 필요!!

 

 

[점검]

대상 : Windows Server 2019

취약 판단 기준 : 계정 잠금 임계값이 6 이상의 값으로 설정되어 있는 경우

조치방법 : 계정 잠금 임계값을 5번 이하의 값으로 설정한다.

 

 

1. 시작 > 실행 > SECPOL.MSC > 계정 정책 > 계정 잠금 정책 > 계정 잠금 임계값 : "5"이하의 값으로 설정

(SECPOL.MSC : 로컬 보안 정책)

 

 

2. 배치 스크립트

 

-> 원래 이렇게 작성했지만, findstr "1 2 3 4 5"에서 오류를 발견했다.

    잘 돌아가는 것처럼 보이지만 만약 임계값이 10일 경우에도 문자열 1이 포함되었기 때문에 양호로 나왔다.

    그래서 임계값과 권장값을 실제로 비교할 수 있게 다시 작성해보았다.

 

 

+) net accounts : 계정 정책 및 암호 정책과 같은 로컬 컴퓨터에서 정책 설정을 지정하는 데 사용한다.

 

0) Force user logoff how long after time expires? : 만료 시간이 지난 얼마 후에 강제 로그오프 하시겠습니까?

1) Minimum password age (days) : 최소 암호 사용 기간 (0 ~ 998)

2) Maximum password age (days) : 최대 암호 사용 기간 (0 ~ 999)

-> 0 : 만료되지 않는다.

3) Minimum password length : 최소 암호 길이

4) Length of password history maintained : 암호 기록 개수

ex) 4 : 최근 4개의 암호 재사용 금지

5) Lockout threshold : 계정 잠금 임계값 (0 ~ 999)

6) Lockout duration (min): 계정 잠금 기간 (0 ~ 99,999)

7) Lockout observation window (min) : 계정 잠금 임계값이 시행되기 위한 시간

ex) 5 : 5분동안 계정 잠금 임계값을 넘겨야 잠김

     계정 잠금 임계값이 4 -> 첫번째 시도 후 5분동안 3번을 더 시도해야 잠긴다.

 

 

++) else는 꼭 괄호가 이어져야 한다. ) else (

 

[결과]