[PC_Windows] "계정관리" 취약점 점검 (주요통신기반시설 기술적 취약점 분석 가이드)

패스워드의 주기적 변경 PC-01(상)

점검내용) 최대 암호 사용 기간이 “90일” 이하로 설정되어 있는지 점검

보안위협) 계정의 패스워드를 주기적으로 변경하지 않고 오랫동안 사용할 경우 계정 패스워드가 외부에 유출될 수 
있다. 또한 이전에 사용하던 패스워드를 재사용한다면 비밀번호 추측 공격에 의해 계정을 탈취당할 우려가 있다.

판단기준) 최대 암호 사용 기간이 “90일”이하로 설정되어 있으면 양호함

점검 및 조치사례) 

최대 암호 사용 기간이 90일 이하로 설정되어 있어야 함

1) 명령 프롬포트에서 "최소 암호 길이" 확인

방법: CMD에서 net accounts 명령어를 입력하여 최소 암호 길이를 확인한다.

 

2) 제어판을 이용하여 계정 정책에 대한 암호 설정

방법: 제어판 ⇨ 관리도구 ⇨ 실행 ⇨ gpedit.msc 입력 ⇨ 컴퓨터 구성 ⇨ Windows 설정 ⇨ 보안 설정 ⇨ 계정 정책 ⇨ 암호 설정

"최대 암호 사용 기간":90일 "최근 암호 기억": 24개 "최소 암호 사용 기간": 1일

 

패스워드 정책이 해당 기관의 보안 정책에 적합하게 설정 PC-02(상)

 

점검내용) 패스워드 설정 정책이 복잡성을 만족하는지 확인한다.

보안위협) 패스워드 정책에 적합하게 패스워드 설정이 안 된 경우, 무작위 대입 공격(Brute Force Attack), 패스워드 추측 공격(Password Guessing) 등 패스워드가 비교적 단순하거나 비교적 자주 쓰이는 패스워드로 비인가 접근을 시도할 수 있다.

* 무작위 대입 공격(Brute Force Attack) : 컴퓨터로 암호를 해독하기 위해 가능한 모든 키를 하나하나 추론해 보는 시도를 말한다.

* 사전 공격(Dictionary attack): 사전에 있는 단어를 입력하여 암호를 알아내거나 해독하는 컴퓨터 공격법

판단기준) 패스워드 복잡성을 만족하는 패스워드 정책이 설정되어 있어야 양호함

점검 및 조치사례)

1. 제어판> 관리 도구> 로컬 보안 정책> 보안 설정> 계정 정책> 암호 정책 (윈도우키+영문자R 키 입력 > 실행 > “gpedit.msc” 입력> 컴퓨터 구성> Windows 설정> 보안 설정> 계정 정책> 암호 설정

2. "최소 암호 길이 속성"을 "8문자(이상)"으로 설정

3. “암호는 복잡성을 만족해야 함”을 “사용함”으로 설정

4. CMD 명령어 이용하여 최소 암호 길이를 설정하는 방법

* 관리자 권한으로 CMD 실행

- Windows 10 : 시작> 실행> “cmd” 입력> “net accounts /MINPWLEN:8” 입력

참고)

PasswordComplexity = 0

⇨ C 드라이브 아래 Local_Security_Policy.txt 파일이 존재한다.

⇨ PasswordComplexity는 패스워드 복잡성에 대한 설정 값이다. 해당 값이 1로 설정되어 있는 경우 패스워드 복잡성을 사용하고 있으므로 양호하다.

 

[패스워드 설정 기준]

1. 영문, 숫자, 특수문자를 조합하여 계정명과 상이한 8자 이상의 패스워드 설정 (다음 각 항목의 문자 종류 중 2종류 이상을 조합하여 최소 10자리 이상 또는, 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성)

가. 영문 대문자(26개)

나. 영문 소문자(26개)

다. 숫자(10개)

라. 특수문자(32개)

2. 패스워드는 비인가자에 의한 추측이 어렵도록 다음의 사항을 반영하여 설계

(1) Null(공백) 패스워드 사용 금지

(2) 문자 또는 숫자만으로 구성 금지

(3) 사용자 ID와 동일하거나 유사하지 않은 패스워드 금지

(4) 연속적인 문자나 숫자 사용 (예) 1111, 1234, abcd) 사용 금지

(5) 주기성 패스워드 재사용 금지

(6) 전화번호, 생일과 같이 추측하기 쉬운 개인정보를 패스워드로 사용 금지

 

복구 콘솔에서 자동 로그온을 금지하도록 설정 PC-15(중)

점검내용) 윈도우 복구 콘솔 자동 로그인 설정이 허용되어 있는지 점검

보안위협) 윈도우 복구 콘솔(Recovery Console) 자동 로그온 설정은 시스템 액세스 허가 전 Administrator 계정의 암호 제공 여부를 결정하는 것으로 이 옵션을 사용하면 비인가자의 경우에도 복구 콘솔을 이용해 관리자 권한으로 시스템에 자동으로 로그온 할 수 있다. “사용 안 함”으로 설정할 경우 비인가자의 복구 콘솔을 통한 관리자 권한 탈취 등의 위험을 방지하지 할 수 있다.

판단기준) 복구 콘솔 자동 로그인 허용이 “사용 안 함”으로 설정되어 있어야 양호함

점검 및 조치사례)

* Home 버전에서는 관련 설정할 수 없음

1. 제어판> 관리 도구> 로컬 보안 정책> 보안 설정> 로컬 정책> 보안 옵션(윈도우키+영문자R 키 입력> 실행> “gpedit.msc” 입력> 컴퓨터 구성> Windows 설정> 보안 설정> 로컬 정책> 보안 옵션)

2. 복구 콘솔: 자동 관리 로그인 허용 속성: “사용 안 함” 설정

3. 레지스트리 값으로 설정하는 방법

키: HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Setup\RecoveryConsole

값: [Value Name] SecurityLevel / [DataType] DWORD 값 / [Value] 0

→ 값이 0일 경우 “사용 안 함”, 1일 경우 “사용”