[윈도우/계정관리] 계정 잠금 임계값 설정 (W-04)

취약점 개요

■ 위험도
- 상

■ 점검 목적
- 계정 잠금 임계값을 설정하여 공격자의 자유로운 자동화 암호 유추 공격을 차단하기 위함

■ 보안 위협
- 공격자는 시스템의 계정 잠금 임계값이 설정되지 않은 경우 자동화된 방법을 이용하여 모든 사용자 계정에 대해 암호 조합 공격을 자유롭게 시도할 수 있으므로 사용자 계정 정보의 노출 위험이 있음

점검 및 조치 방법

■ 판단 기준
- 양호: 계정 잠금 임계값이 5 이하의 값으로 설정되어 있는 경우
- 취약: 계정 잠금 임계값이 5 이하의 값으로 설정되어 있지 않은 경우

■ 조치 방법
계정 잠금 임계값을 5번 이하의 값으로 설정

- Window 2000, 2003, 2008
1. 시작> 실행> SECPOL.SC> 계정 정책> 계정 잠금 정책
2. “계정 잠금 임계값”을 “5” 이하의 값으로 설정


■ 스크립트

@echo off
setlocal
chcp 437
mode con cols=80 lines=25
title Windows 2008 R2 Server Vulnerable Check Script

set resultfile="c:\test\bin\report\report.txt"
cd report
if exist %resultfile% del %resultfile%
secedit /export /cfg secedit.txt >nul 2>&1

echo [W-04] 계정 잠금 임계값 설정 >> %resultfile%
echo ===================================================== >> %resultfile%
echo [양호] 계정 잠금 임계값이 5 이하의 값으로 설정되어 있는 경우 >> %resultfile%
echo [취약] 계정 잠금 임계값이 5 이하의 값으로 설정되어 있지 않은 경우 >> %resultfile%
echo ===================================================== >> %resultfile%

type secedit.txt | findstr /i "lockoutbadcount" | findstr /i 0 >nul 2>&1
if %errorlevel% == 0 (
echo [W-04] * [취약] 계정 잠금 임계값이 5 이하의 값으로 설정되어 있지 않은 경우 >> %resultfile%
) else (
type secedit.txt | findstr /i "lockoutbadcount" | findstr /i "1 2 3 4" >nul 2>&1
if %errorlevel% == 0 (
echo [W-04] * [취약] 5회 미만 less >> %resultfile%
) else (
echo [W-04] [양호] 5회 이상 up >> %resultfile%
)
)
type secedit.txt | findstr /i "lockoutbadcount" >> %resultfile%

echo. >> %resultfile%
echo. >> %resultfile%