[윈도우/계정관리] 패스워드 최소 사용 기간 (W-51)
- 취약점 점검/윈도우
- 2021. 11. 15.
패스워드 최소 사용 기간
취약점 개요
■ 위험도
- 중
■ 점검 목적
- 암호를 변경할 수 있기 전까지 경과해야 하는 최소 날짜를 설정하여 원래 패스워드로 즉시 변경할 수 없도록 함
■ 보안 위협
- 패스워드 변경 후 최소 사용 기간이 설정되지 않은 경우 사용자에게 익숙한 패스워드로 즉시 변동이 가능하여, 이를 재사용함으로써 원래 암호를 같은 날 다시 사용할 수 있음
- 패스워드 변경 정책에 따른 주기적인 패스워드 변경이 무의미해질 수 있으며, 이로 인해 조직의 계정 보안성을 낮출 수 있음
점검 및 조치 방법
■ 판단 기준
- 양호 : 최소 암호 사용 기간이 0보다 큰 값으로 설정되어 있는 경우
- 취약 : 최소 암호 사용 기간이 0으로 설정되어 있는 경우
■ 조치 방법
- 최소 암호 사용 기간 1일 설정
■ 점검 및 조치 사례
Windows NT
Step 1) 시작> 프로그램> 관리도구> 도메인 사용자 관리자> 정책> 계정
Step 2) "최소 암호 사용 기간"에서 "사용 기간"을 "1일"로 설정
Windows 2000, 2003, 2008, 2012, 2016, 2019
Step 1) 시작> 실행> SECPOL.MSC> 계정정책> 암호 정책
Step 2) "최소 암호 사용 기간"을 "1일"로 설정
■ 스크립트
echo. W-51 START
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo [ W-51 "패스워드 최소 사용 기간" ] >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
type [RESULT]_%COMPUTERNAME%_Local_Security_Policy.txt | Find /I "MinimumPasswordAge" >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo W-51 END >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo ====================================================================================== >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
■ 용어 설명 / 팁
※ 암호정책: 사용자에게 암호를 정기적으로 변경하게 하고, 암호의 최소 길이를 지정하며, 암호가 특정 복잡성을 만족시키도록 하는 등 암호 설정을 강제하여 컴퓨터를 보호하는 정책
※ 이 정책은 이전 암호를 그대로 재사용 하는 것을 방지하기 위해 W-55(중) ‘최근 암호 기억’ 정책과 같이 적용될 경우 보안성이 훨씬 강화됨
※ 관련 점검 항목 : W-48(중), W-49(중), W-50(중), W-55(중)