반복되는 악의적인 로그인 시도를 방지하기 위해 Microsoft Entra Domain Services 관리되는 도메인은 정의된 임계값 이후에 계정을 잠급니다. 이 계정 잠금은 로그인 공격 인시던트 없이 실수로 발생할 수도 있습니다. 예를 들어 사용자가 잘못된 암호를 반복적으로 입력하거나 서비스에서 이전 암호를 사용하려고 하면 계정이 잠깁니다.
이 문제 해결 문서에서는 계정 잠금이 발생하는 이유와 동작을 구성하는 방법 및 보안 감사를 검토하여 잠금 이벤트 문제를 해결하는 방법을 간략하게 설명합니다.
계정 잠금이란?
실패한 로그인 시도에 대한 정의된 임계값이 충족되면 Domain Services 관리되는 도메인의 사용자 계정이 잠깁니다. 이 계정 잠금 동작은 자동화된 디지털 공격을 나타낼 수 있는 반복적인 무차별 암호 대입 로그인 시도로부터 보호하도록 설계되었습니다.
기본적으로 2분 내에 5번의 잘못된 암호 시도가 있는 경우 계정이 잠깁니다. 30분 후에 자동으로 잠금이 해제됩니다.
기본 계정 잠금 임계값은 세분화된 암호 정책을 사용하여 구성됩니다. 특정 요구 사항 집합이 있는 경우 이러한 기본 계정 잠금 임계값을 재정의할 수 있습니다. 그러나 계정 잠금 수를 줄이기 위해 임계값 제한을 늘리지 않는 것이 좋습니다. 먼저 계정 잠금 동작의 원본 문제를 해결합니다.
세분화된 암호 정책
FGP(세분화된 암호 정책)를 사용하면 도메인의 다른 사용자에게 암호 및 계정 잠금 정책에 대한 특정 제한을 적용할 수 있습니다. FGPP는 관리되는 도메인 내의 사용자에게만 영향을 줍니다. Microsoft Entra ID에서 관리되는 도메인으로 동기화된 클라우드 사용자 및 도메인 사용자는 관리되는 도메인 내의 암호 정책에 의해서만 영향을 받습니다. Microsoft Entra ID 또는 온-프레미스 디렉터리의 계정은 영향을 받지 않습니다.
정책은 관리되는 도메인의 그룹 연결을 통해 배포되며, 변경한 내용은 다음 사용자 로그인 시 적용됩니다. 정책을 변경해도 이미 잠긴 사용자 계정의 잠금이 해제되지는 않습니다.
세분화된 암호 정책과 Domain Services에서 직접 만든 사용자와 Microsoft Entra ID에서 동기화된 사용자 간의 차이점에 대한 자세한 내용은 암호 구성 및 계정 잠금 정책참조하세요.
일반적인 계정 잠금 이유
악의적인 의도나 요인 없이 계정을 잠그는 가장 일반적인 이유는 다음과 같습니다.
-
사용자가 스스로 잠금 해제할 수 없게 되었습니다.
- 최근 암호 변경 후 사용자가 이전 암호를 계속 사용하게 되었나요? 2분 동안 5번의 실패한 시도의 기본 계정 잠금 정책은 사용자가 실수로 이전 암호를 다시 시도하여 발생할 수 있습니다.
-
이전 암호가 있는 애플리케이션 또는 서비스가 있습니다.
- 애플리케이션 또는 서비스에서 계정을 사용하는 경우 해당 리소스는 이전 암호를 사용하여 로그인을 반복적으로 시도할 수 있습니다. 이 동작으로 인해 계정이 잠깁니다.
- 여러 애플리케이션 또는 서비스에서 계정 사용을 최소화하고 자격 증명이 사용되는 위치를 기록해 보세요. 계정 암호가 변경되면 연결된 애플리케이션 또는 서비스를 적절하게 업데이트합니다.
-
암호가 다른 환경에서 변경되었으며 새 암호가 아직 동기화되지 않았습니다.
- 계정 암호가 온-프레미스 AD DS 환경과 같이 관리되는 도메인 외부에서 변경되는 경우 암호 변경이 Microsoft Entra ID를 통해 관리되는 도메인으로 동기화되는 데 몇 분 정도 걸릴 수 있습니다.
- 암호 동기화 프로세스가 완료되기 전에 관리되는 도메인의 리소스에 로그인하려고 하면 계정이 잠깁니다.
보안 감사를 사용하여 계정 잠금 문제 해결
계정 잠금 이벤트가 발생하는 시기와 원인을 파악하려면 Domain Services 에 대한 보안 감사 기능을활성화하십시오. 감사 이벤트는 기능을 사용하도록 설정한 시점부터만 캡처됩니다. 보안 감사 를 사용하도록 설정하는 것이 좋습니다. 이는 계정 잠금 문제가 전에 발생할 경우 문제를 해결하기 위함입니다. 사용자 계정에 잠금 문제가 반복적으로 발생하는 경우 다음에 상황이 발생할 때 보안 감사를 준비할 수 있습니다.
보안 감사를 사용하도록 설정한 후 다음 샘플 쿼리에서는 계정 잠금 이벤트, 코드 4740검토하는 방법을 보여 줍니다.
지난 7일 동안의 모든 계정 잠금 이벤트를 봅니다.
AADDomainServicesAccountManagement
| where TimeGenerated >= ago(7d)
| where OperationName has "4740"
driley계정에 대한 지난 7일 동안의 모든 계정 잠금 이벤트를 봅니다.
AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where OperationName has "4740"
| where "driley" == tolower(extract("Logon Account:\t(.+[0-9A-Za-z])",1,tostring(ResultDescription)))
2020년 6월 26일 오전 9시부터 2020년 7월 1일 자정 사이에 날짜 및 시간을 기준으로 오름차순으로 정렬된 모든 계정 잠금 이벤트를 봅니다.
AADDomainServicesAccountManagement
| where TimeGenerated >= datetime(2020-06-26 09:00) and TimeGenerated <= datetime(2020-07-01)
| where OperationName has "4740"
| sort by TimeGenerated asc
4776 및 4740 이벤트에서 "원본 워크스테이션: " 필드가 비어 있을 수 있습니다. 다른 디바이스를 통해 네트워크 로그온을 통해 잘못된 암호가 발생했기 때문입니다.
예를 들어 RADIUS 서버는 도메인 서비스에 인증을 전달할 수 있습니다.
03/04 19:07:29 [LOGON] [10752] contoso: SamLogon: contoso\Nagappan.Veerappan의 전이적 네트워크 로그온(LOB11-RADIUS통해) 입력됨
03/04 19:07:29 [LOGON] [10752] contoso: SamLogon: contoso\Nagappan.Veerappan의 전이적 네트워크 로그온 (LOB11-RADIUS통해) 반환 0xC000006A
03/04 19:07:35 [LOGON] [10753] contoso: SamLogon: contoso\Nagappan.Veerappan의 전이적 네트워크 로그온(LOB11-RADIUS경유) 기록됨
03/04 19:07:35 [LOGON] [10753] contoso: SamLogon: contoso\Nagappan.Veerappan의 트랜지티브 네트워크 로그온이 LOB11-RADIUS를 통해 이루어짐, 반환 값 0xC000006A
NSG에서 DC에 RDP를 활성화하여 백엔드를 통해 진단 캡처(netlogon)를 구성합니다. 요구 사항에 대한 자세한 내용은 인바운드 보안 규칙참조하세요.
기본 NSG를 이미 수정한 경우 포트 3389 - 원격 데스크톱사용하여 관리합니다.
모든 서버에서 Netlogon 로그를 사용하도록 설정하려면 Netlogon 서비스대한 디버그 로깅을 사용하도록 설정합니다.
다음 단계
계정 잠금 임계값을 조정하는 세분화된 암호 정책에 대한 자세한 내용은 암호 및 계정 잠금 정책구성을 참조하세요.
VM을 관리 도메인에 조인하는 데 여전히 문제가 있는 경우, 도움을 받으시려면 Microsoft Entra ID 에 대한 지원 티켓을 발급하십시오.