[주요정보통신기반시설 취약점 분석 평가] 윈도우즈(Windows) 서버 - 계정관리 <1.9~1.12>

개인적으로 교육 교안으로 활용하기 위해 작성하였습니다.

 

------------------------------------------------------------------------------------------------------------------------

 

 

1.9 패스워드 복잡성 설정

[점검 방법]

secedit /EXPORT /CFG xxx.txt 명령을 활용하면 xxx.txt 파일에 로컬 보안 정책들의 설정값이 저장됩니다.

아래 보시면 명령 사용 후에 dir로 확인했을 때, 텍스트 파일이 생성된 것을 볼 수 있습니다.

해당 텍스트 파일을 열어보면 설정 값들이 출력되고

그 중에 PasswordComplexity 라는 속성이 패스워드 복잡성에 대한 설정 값입니다. 

 

 

[분석 평가]

패스워드 복잡성 설정이 0으로 사용 안 함으로 되어있어, 취약합니다.

윈도우즈 서버 사용자 혹은 운영자가 패스워드를 설정할 때, 문자/숫자/특수문자를 모두 포함한 강화된 패스워드를 사용하도록 설정하는 기능입니다.

영문과 숫자만으로 이뤄진 패스워드는 크랙 유틸리티로 쉽게 뚤리기 때문에 해당 설정을 사용해야 합니다.

참고로 이 설정과 더불어 문자(영문)/숫자/특수문자 2종류 이상 조합하여 최소 10자리 이상 또는 3종류 이상 최소 8자리 이상 길이로 구성하는 것이 안전합니다.

 

[조치 방법]

"제어판 > 관리도구 > 로컬 보안 정책 > 계정 정책 > 암호 정책 > 암호는 복잡성을 만족해야 함"를 통해 조치를 진행합니다. 사용으로 바꿉니다.

 

[이행 점검]

PasswordComplexity 설정이 1(사용)으로 변경되어 취약점이 조치되었습니다.

 

------------------------------------------------------------------------------------------------------------------------

 

1.10 패스워드 최소 암호 길이

[점검 방법]

net accounts 명령은 계정 정책에 관한 정보를 나타냅니다. 이 중 최소 암호 길이를 확인하여 점검합니다.

 

[분석 평가]

Minimum password length(최소 암호 길이) 값이 3으로 되어 있어, 취약합니다.

위의 경우 Default 설정인 3으로 되어 있어 취약합니다.

패스워드가 짧게 사용되는 경우 당연히 크래킹 공격을 할 때 조합하기 더 쉬워 위험에 노출됩니다.

 

[조치 방법]

"제어판 > 관리도구 > 로컬 보안 정책 > 계정 정책 > 암호 정책 > 최소 암호 길이"를 통해 조치를 진행합니다. 8 이상으로 설정합니다.

[이행 점검]

최소 암호 길이 값이 8로 변경되어 양호로 조치되었습니다.

 

------------------------------------------------------------------------------------------------------------------------

 

1.11 패스워드 최대 사용 기간

 

[점검 방법]

net accounts 명령은 계정 정책에 관한 정보를 나타냅니다. 이 중 최대 암호 사용 기간을 확인하여 점검합니다.

 

[분석 평가]

패스워드 최대 사용 기간이 100으로 되어 있어 취약합니다.

패스워드 최대 사용 기간은 사용자가 패스워드를 주기적으로 변경하도록 하는 안전 장치가 되는 설정입니다.

패스워드를 자주 바꿀수록 공격자의 암호 크래킹 공격이 어려워지게 됩니다.

주요정보통신기반시설 기준으로 90일 이하로 설정되는 것이 기준입니다.

 

[조치 방법]

"제어판 > 관리도구 > 로컬 보안 정책 > 계정 정책 > 암호 정책 > 최대 암호 사용 기간"를 통해 조치를 진행합니다. 42일로 변경합니다.

(참고로 사실 Default 42일로 되어있습니다.)

 

[이행 점검]

Maximum password age가 42로 변경되어 조치되었습니다.

 

------------------------------------------------------------------------------------------------------------------------

 

1.12 패스워드 최소 사용 기간

[점검 방법]

net accounts 명령은 계정 정책에 관한 정보를 나타냅니다. 이 중 최소 암호 사용 기간을 확인하여 점검합니다.

 

[분석 평가]

패스워드 최소 사용 기간이 0으로 되어있어 취약합니다.

패스워드 최소 사용 기간은 패스워드를 변경할 수 있기 전까지 경과해야 하는 최소 날짜를 의미하며, 1이라고 가정한다면 패스워드 변경 후에 1일이 지나야 재변경이 가능합니다. 

패스워드 변경에 따른 피해를 최소화하기 위한 설정입니다. 또한 사용자가 익숙한 패스워드로 즉시 변경하여 재사용하는 경우를 방지할 수 있습니다. (크리덴셜 스터핑 공격을 일부 방어할 수 있다는 점입니다.)

 

[조치 방법]

"제어판 > 관리도구 > 로컬 보안 정책 > 계정 정책 > 암호 정책 > 최소 암호 사용 기간"를 통해 조치를 진행합니다. 1일로 변경합니다.

 

[이행 점검]

Minimum password age가 1로 변경되어 조치되었습니다.