■ 개념
주요정보통신기반시설 취약점 분석 및 평가 중 점검대상 윈도우 서버의 W-48 패스워드 복잡성 설정 점검항목에 대해 알아보겠습니다. 해당 포스팅은 윈도우 서버(Windows Server 2012 R2)를 기준으로 진단 및 실습합니다.
| 항목명 |
패스워드 복잡성 설정
|
|
| 항목코드 | W-48 | |
| 위험도 | 중 | |
| 점검내용 |
계정 패스워드 복잡성 정책 설정 여부 점검
|
|
| 점검목적 |
패스워드 설정 시 문자/숫자/특수문자를 모두 포함한 강화된 패스워드를 사용하여 패스워드 복잡성을 만족하도록 함
|
|
| 보안위협 |
사용자 암호가 패스워드 복잡성을 만족하지 못하는 반복되는 문자, 연속되는 숫자, 계정이름이 포함된 패스워드 등을 사용할 경우 무작위 대입 공격(Brute Force Attack)이나 패스워드 추측 공격(Password Guessing Attack)에 쉽게 크랙될 수 있음
※ 패스워드 설정 시 영문/숫자/특수문자를 모두 포함하여 강력한 패스워드가 설정될 수 있도록 암호 복잡성을 설정하여야 함 ※ 영∙숫자만으로 이루어진 암호는 현재 공개된 패스워드 크랙 유틸리티에 의해 쉽게 유추할 수 있으므로 패스워드 조합 및 길이에 따라 최소 암호 길이 및 암호 복잡성을 적절하게 설정하여 패스워드를 알아낼 수 있는 평균 시간을 증가시킬 수 있도록 설정하여야 함 |
|
|
판단기준
|
양호 |
"암호는 복잡성을 만족해야 함" 정책이 "사용" 으로 되어 있는 경우
|
| 취약 |
"암호는 복잡성을 만족해야 함" 정책이 "사용 안 함" 으로 되어 있는 경우
|
|
| 조치방법 |
암호는 복잡성을 만족해야 함 → 사용
|
|
■ 실습
해당 점검항목은 윈도우 서버 계정의 패스워드 복잡성 정책 설정 여부를 확인하여 양호/취약을 판단합니다. 아래 메뉴를 통해 확인하시기 바랍니다.
- 시작> 실행> SECPOL.MSC> 계정 정책> 암호 정책
- "암호는 복잡성을 만족해야 함"을 "사용"으로 설정
- ※ 이 정책 설정은 암호를 변경하거나 새로운 암호 생성 시 아래와 같은 일련의 규정을 만족하는지 결정함. 영문, 숫자, 특수문자 중 2종류 이상을 조합하여 최소 10자리 이상 또는, 3 종류 이상을 조합하여 최소 8자리 이상의 길이로 구성
■ 진단 스크립트 결과 확인
PasswordComplexity 값으로 계정의 패스워드 복잡성 정책 설정 여부를 판단합니다. PasswordComplexity 값이 1일 경우 "암호는 복잡성을 만족해야 함" 정책이 "사용"으로 되어 있는 경우이고, PasswordComplexity 값이 0일 경우 "암호는 복잡성을 만족해야 함" 정책이 "사용 안 함"으로 되어 있는 경우입니다.
본 포스팅 내용은 한국인터넷진흥원(KISA)에서 발행한 주요정보통신기반시설 평가기준을 바탕으로 작성했습니다.
수고하셨습니다.
궁금한 사항은 댓글로 남겨주세요.
반응형
'주요정보통신기반시설 취약점 진단 > 윈도우서버' 카테고리의 다른 글
| 주요정보통신기반시설 윈도우 서버 W-50 패스워드 최대 사용 기간 (0) | 2026.03.19 |
|---|---|
| 주요정보통신기반시설 윈도우 서버 W-49 패스워드 최소 암호 길이 (0) | 2026.03.18 |
| 주요정보통신기반시설 윈도우 서버 W-47 계정 잠금 기간 설정 (0) | 2026.03.16 |
| 주요정보통신기반시설 윈도우 서버 W-46 Everyone 사용 권한을 익명 사용자에 적용 해제 (0) | 2026.03.13 |
| 주요정보통신기반시설 윈도우 서버 W-45 디스크볼륨 암호화 설정 (0) | 2026.03.12 |
댓글