이 점을 고려해야하는 이유
계정 잠금 정책은 현재 계정 잠금 임계값을 권장 값으로 설정하지 않습니다. 계정 잠금 임계값은 계정이 잠기지 않도록 0으로 설정해야 하며(및 DoS(서비스 거부) 공격이 방지됨) 충분히 높은 값으로 설정하여 사용자가 실수로 비밀번호를 여러 번 잘못 입력해도 계정이 잠기지 않도록 하되 무차별 암호 대입 공격으로 계정이 잠길 수 있도록 해야 합니다.
고객 엔지니어가 문제를 설명하는 것을 보세요
상황 배경 & 모범 사례
암호 공격은 자동화된 방법을 사용하여 모든 사용자 계정에 대해 수백만 개의 암호 조합을 시도할 수 있습니다. 수행할 수 있는 로그온 실패 횟수를 제한하면 이러한 공격의 효과를 크게 줄일 수 있습니다. 그러나 계정 잠금 임계값이 구성된 도메인에서 DoS(서비스 거부) 공격을 수행할 수 있습니다. 공격자는 프로그래밍 방식으로 조직의 모든 사용자에 대해 일련의 암호 공격을 시도할 수 있습니다. 시도 횟수가 계정 잠금 임계값보다 크면 공격자가 모든 계정을 잠글 수 있습니다.
이 값을 구성하는 경우와 구성하지 않는 경우에 각각 취약성이 있을 수 있기 때문에 두 가지 별도의 조치가 정의되어 있습니다. 조직에서는 파악된 위협과 완화하고자 하는 위험에 따라 두 가지 중에 적절한 옵션을 선택해야 합니다. 두 가지 조치 옵션은 다음과 같습니다.
-
계정 잠금 임계값 설정을 0으로 구성합니다. 이 구성은 계정이 잠기지 않도록 하고 의도적으로 계정을 잠그려고 시도하는 DoS 공격을 방지합니다. 또한 이 구성은 사용자가 실수로 계정을 잠글 수 없기 때문에 헬프 데스크 호출을 줄이는 데도 도움이 됩니다. 이 구성은 무차별 암호 대입 공격(brute force attack)을 방지하지 않으므로 다음 조건이 모두 충족되는 경우에만 선택해야 합니다.
- 암호 정책에서 모든 사용자가 8자 이상의 복잡한 암호를 사용하도록 요구합니다.
- 환경에서 일련의 실패한 로그온이 발생할 경우 관리자에게 알리는 강력한 감사 메커니즘이 갖추어져 있습니다. 예를 들어, 감사 솔루션은 로그온 실패인 보안 이벤트(539)를 모니터링해야 합니다. 이 이벤트는 로그온 시도 시 계정에 잠금이 있음을 식별합니다.
- 계정 잠금 임계값 설정을 충분히 높은 값으로 설정하여 사용자가 실수로 암호를 여러 번 잘못 입력한 후에 시스템이 잠기지만 무차별 암호 대입 공격(brute force attack) 시 여전히 계정이 잠겨 있도록 합니다. 따라서 이 설정은 실수인 계정 잠금을 방지하고 헬프 데스크 호출을 줄이지만 DoS 공격을 방지하지는 않습니다.
이 정책 설정을 켜면 관리자가 재설정하거나 계정 잠금 기간이 만료될 때까지 잠긴 계정을 사용할 수 없습니다. 이 설정은 다수의 추가적인 헬프 데스크 호출을 만들 수 있습니다. 실제로 많은 조직에서 잠긴 계정때문에 헬프 데스크에 가장 많이 전화를 걸게 됩니다. 이 설정을 적용하면 공격자가 여러 사용자에 대해 의도적으로 실패한 로그온을 생성하여 서비스 거부 조건을 유발할 수 있으므로 계정 잠금 기간을 15분과 같이 상대적으로 낮은 값으로 구성해야 합니다.
권장 조치
GPME(그룹 정책 관리 편집기)를 사용하여 도메인에 대한 효과적인 암호 정책을 포함하는 GPO(그룹 정책 개체)를 엽니다. 이 GPO는 기본 도메인 정책 또는 연결된 사용자 지정 GPO(즉, 보다 높은 우선 순위)일 수 있습니다.
GPME에서 Computer Configuration\Windows Settings\Security Settings\Account Policies\Account Lockout Policy로 이동합니다.
계정이 잠기지 않도록 계정 잠금 임계값 설정을 0으로 구성하십시오. 또는 n으로 구성하십시오. 여기서 n은 계정이 잠기기 전에 실수로 암호를 여러 번 잘못 입력할 수 있는 기능을 사용자에게 제공하기에 충분히 높은 값입니다. 하지만 무차별 암호 대입 공격(brute force attack)이 여전히 계정을 잠글 수 있습니다. 현재 Microsoft 보안 규정 준수 도구 키트(SCT) 기준인 n 권장값은 10입니다.
세분화된 암호 정책을 사용하는 경우 기본 도메인 정책이 모든 계정에 영향을 주지 않을 수 있습니다. 이러한 경우 이러한 세분화된 암호 정책에서 되돌릴 수 있는 암호화 설정을 확인해야 합니다.
자세히 알아보기
계정 잠금 설정에 대한 자세한 내용은 계정 잠금 구성을 참조하세요.