[윈도우/보안 관리] 컴퓨터 계정 암호 최대 사용 기간 (W-80)
- 취약점 점검/윈도우
- 2021. 12. 14.
컴퓨터 계정 암호 최대 사용 기간
취약점 개요
■ 위험도
- 중
■ 점검 목적
- 컴퓨터 계정 암호 최대 사용 기간을 설정하기 위함
■ 보안 위협
- 기본적으로 도메인 구성원은 도메인 암호 변경 주기가 적절하지 않은 경우 공격자가 무단 공격을 실행하여 하나 이상의 컴퓨터 계정 암호를 추측하기 에 충분한 시간을 제공할 수 있음
점검 및 조치 방법
■ 판단 기준
- 양호 : "컴퓨터 계정 암호 변경 사용 안 함" 정책을 사용하지 않으며, "컴퓨터 계정 암호 최대 사용 기간" 정책이 "90일"로 설정되어 있는 경우
- 취약 : "컴퓨터 계정 암호 변경 사용 안 함" 정책이 “사용”으로 설정되어 있거나 "컴퓨터 계정 암호 최대 사용 기간" 정책이 “90일” 로 설정되어 있지 않은 경우
■ 조치 방법
"컴퓨터 계정 암호 변경 사용 안 함" 정책이 “사용”으로 설정되어 있거나 "컴퓨터 계정 암호 최대 사용 기간" 정책이 “90일” 로 설정되어 있지 않은 경우
■ 점검 및 조치 사례
Windows 2003, 2008, 2012, 2016, 2019
Step 1) 시작> 실행> SECPOL.MSC> 로컬 정책> 보안 옵션
Step 2) 도메인 구성원: 컴퓨터 계정 암호 변경 사항 사용 안 함 → 사용 안 함 도메인 구성원: 컴퓨터 계정 암호의 최대 사용 기간 → 90일
※ Windows Server 2000 이하 버전 해당 사항 없음
■ 스크립트
echo. W-80 START
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo [ W-80 "컴퓨터 계정 암호 최대 사용 기간" ] >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
reg query "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters" | find /I "DisablePasswordChange" >> [RESULT]_%COMPUTERNAME%_WINSVR.txt 2>&1
reg query "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters" | find /I "MaximumPasswordAge" >> [RESULT]_%COMPUTERNAME%_WINSVR.txt 2>&1
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo W-80 END >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo ====================================================================================== >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
■ 용어 설명 / 팁
※ 도메인 구성원이 해당 컴퓨터 계정 암호를 정기적으로 변경할지를 결정할 수 있으며, 기 본적으로 도메인 구성원이 사용하는 도메인 암호 변경 기간은 ‘자동’으로 설정되어 있음