Active Directory 도메인의 사용자 계정에 대한 높은 수준의 보안을 보장하려면 관리자가 도메인 암호 정책을 구성하고 구현해야 합니다. 암호 정책은 충분한 복잡성, 암호 길이, 사용자 및 서비스 계정 암호 변경 빈도를 제공해야 합니다. 따라서 공격자가 네트워크를 통해 보낼 때 사용자 암호를 무차별 대입하거나 캡처하는 것을 어렵게 만들 수 있습니다.
기본 도메인 정책의 비밀번호 정책
기본적으로 AD 도메인의 사용자 비밀번호에 대한 공통 요구사항을 설정하기 위해 그룹 정책(GPO) 설정이 사용됩니다. 도메인 사용자 계정의 비밀번호 정책은 기본 도메인 정책에서 구성됩니다. . 이 정책은 도메인의 루트에 연결되며 PDC 에뮬레이터 역할이 있는 도메인 컨트롤러에 적용되어야 합니다.
- AD 계정 비밀번호 정책을 구성하려면 그룹 정책 관리 콘솔(
gpmc.msc
); - 도메인을 확장하고 기본 도메인 정책이라는 GPO를 찾습니다. . 마우스 오른쪽 버튼으로 클릭하고 수정을 선택합니다.;
- 암호 정책은 다음 GPO 섹션에 있습니다. 컴퓨터 구성-> 정책-> Windows 설정->보안 설정 -> 계정 정책 -> 암호 정책;
- 정책 설정을 두 번 클릭하여 수정합니다. 특정 정책 설정을 사용하려면 이 정책 설정 정의를 선택하세요. 필요한 값을 지정합니다(아래 스크린샷에서 최소 암호 길이를 8자로 설정했습니다). 변경 사항을 저장합니다.
- 새 비밀번호 정책 설정은 컴퓨터 부팅 중 일정 시간(90분) 후에 백그라운드의 모든 도메인 컴퓨터에 적용되거나
gpupdate /force
를 실행하여 즉시 정책을 적용할 수 있습니다. 명령.
GPO 관리 콘솔에서 또는 PowerShell cmdlet Set-ADDefaultDomainPasswordPolicy를 사용하여 암호 정책 설정을 변경할 수 있습니다.
Set-ADDefaultDomainPasswordPolicy -Identity woshub.com -MinPasswordLength 10 -LockoutThreshold 3
Windows의 기본 비밀번호 정책 설정
사용 가능한 모든 Windows 암호 설정을 고려해 보겠습니다. GPO에는 6가지 암호 설정이 있습니다.
- 비밀번호 기록 시행 – AD에 저장된 구 비밀번호의 개수를 결정하여 사용자가 이전 비밀번호를 사용하지 못하도록 합니다. 그러나 AD에서 비밀번호 재설정 권한을 위임받은 도메인 관리자 또는 사용자는 계정에 대한 이전 비밀번호를 수동으로 설정할 수 있습니다.
- 최대 비밀번호 사용 기간 – 암호 만료를 일 단위로 설정합니다. 암호가 만료되면 Windows에서 사용자에게 암호를 변경하도록 요청합니다. 사용자에 의한 암호 변경의 규칙성을 보장합니다. PowerShell을 사용하여 특정 사용자의 암호가 만료되는 시점을 확인할 수 있습니다.
Get-ADUser -Identity j.werder -Properties msDS-UserPasswordExpiryTimeComputed | select-object @{Name="ExpirationDate";Expression= {[datetime]::FromFileTime($_."msDS-UserPasswordExpiryTimeComputed") }}
- 최소 비밀번호 길이 – 암호에는 최소 8개의 기호가 포함되어야 합니다(여기에 0을 지정하면 암호가 필요하지 않음).
- 최소 비밀번호 사용 기간 – 사용자가 비밀번호를 변경할 수 있는 빈도를 설정합니다. 이 설정을 사용하면 사용자가 암호를 너무 자주 변경하여 암호를 연속으로 여러 번 변경한 후 암호 기록에서 제거하여 원하는 이전 암호로 되돌릴 수 없습니다. 일반적으로 여기에서 1일을 설정하면 사용자가 비밀번호가 손상된 경우 스스로 변경할 수 있습니다(그렇지 않으면 관리자가 비밀번호를 변경해야 함).
- 암호는 복잡성 요구 사항을 충족해야 합니다. – 정책이 활성화된 경우 사용자는 비밀번호에 계정 이름을 사용할 수 없습니다(
username
의 2개 이하의 기호). 또는Firstname
연속), 숫자(0–9), 대문자, 소문자 및 특수 문자($, #, % 등)의 3가지 유형의 기호도 비밀번호에 사용해야 합니다. 또한 (비밀번호 사전에서) 약한 비밀번호를 사용하지 않도록 AD 도메인의 사용자 비밀번호를 정기적으로 감사하는 것이 좋습니다. - 가역 암호화를 사용하여 비밀번호 저장 – 사용자 비밀번호는 AD 데이터베이스에 암호화되어 저장되지만 경우에 따라 일부 앱에 사용자 비밀번호에 대한 액세스 권한을 부여해야 합니다. 이 정책 설정을 사용하면 암호가 덜 보호됩니다(거의 일반 텍스트). 안전하지 않습니다(DC가 손상된 경우 공격자가 암호 데이터베이스에 액세스할 수 있습니다. RODC(읽기 전용 도메인 컨트롤러)를 보호 조치 중 하나로 사용할 수 있음).
사용자가 도메인의 비밀번호 정책과 일치하지 않는 비밀번호를 변경하려고 하면 오류 메시지가 나타납니다.
Unable to update the password. The value provided for the new password does not meet the length, complexity, or history requirements of the domain.
또한 GPO 섹션 계정 잠금 암호에서 다음 암호 설정을 구성해야 합니다. :
- 계정 잠금 임계값 – 사용자가 계정을 잠그기 전에 실패한 로그인 시도 횟수(잘못된 비밀번호 사용)
- 계정 잠금 기간 – 사용자가 잘못된 비밀번호를 여러 번 입력한 경우 계정이 잠기는 기간
- 다음 이후에 계정 잠금 카운터 재설정 – 계정 잠금 임계값 카운터가 재설정되는 시간(분)입니다.
AD 도메인에서 암호 정책의 기본 설정은 아래 표에 나열되어 있습니다.
정책 | 기본값 |
비밀번호 기록 시행 | 24개의 비밀번호 |
최대 비밀번호 사용 기간 | 42일 |
최소 비밀번호 사용 기간 | 1일 |
최소 비밀번호 길이 | 7 |
암호는 복잡성 요구 사항을 충족해야 합니다. | 활성화됨 |
가역 암호화를 사용하여 비밀번호 저장 | 비활성화됨 |
계정 잠금 기간 | 설정되지 않음 |
계정 잠금 임계값 | 0 |
다음 이후 계정 잠금 카운터 재설정 | 설정되지 않음 |
Microsoft는 Security Compliance Toolkit에서 다음 암호 정책 설정을 사용할 것을 권장합니다.
- 암호 기록 적용:24
- 최대 비밀번호 사용 기간:설정되지 않음
- 최소 비밀번호 사용 기간:설정되지 않음
- 최소 비밀번호 길이:14
- 암호는 복잡성을 충족해야 함:활성화됨
- 가역 암호화를 사용하여 비밀번호 저장:비활성화됨
AD 도메인의 현재 비밀번호 정책은 어떻게 확인하나요?
gpmc.msc
의 기본 도메인 정책에서 현재 비밀번호 정책 설정을 볼 수 있습니다. 콘솔(설정 탭에서).
PowerShell을 사용하여 암호 정책 정보를 표시할 수도 있습니다(AD PowerShell 모듈이 컴퓨터에 설치되어 있어야 함).
Get-ADDefaultDomainPasswordPolicy
ComplexityEnabled: True DistinguishedName: DC=woshub,DC=com LockoutDuration: 00:20:00 LockoutObservationWindow: 00:30:00 LockoutThreshold: 0 MaxPasswordAge: 60.00:00:00 MinPasswordAge: 1.00:00:00 MinPasswordLength: 8 objectClas : {domainDNS} PasswordHistoryCount: 24 ReversibleEncryptionEnabled: False
또한 gpresult 명령을 사용하여 모든 도메인 컴퓨터에서 현재 AD 암호 정책 설정을 확인할 수 있습니다.
Active Directory 도메인의 여러 비밀번호 정책
PDC 에뮬레이터 FSMO 역할의 소유자인 도메인 컨트롤러는 도메인 암호 정책을 관리합니다. 기본 도메인 정책을 수정하려면 도메인 관리자 권한이 필요합니다. 설정.
처음에는 도메인에 하나의 비밀번호 정책만 있을 수 있습니다. 이 정책은 도메인 루트에 적용되고 예외 없이 모든 사용자에게 영향을 미칩니다(약간의 뉘앙스가 있지만 나중에 이야기하겠습니다). 다른 암호 설정으로 새 GPO를 생성하고 Enforced 및 Block Inheritance 매개변수를 사용하여 특정 OU에 적용하더라도 사용자에게는 적용되지 않습니다.
도메인 암호 정책은 사용자 AD 개체에만 영향을 줍니다. 도메인 트러스트 관계를 제공하는 컴퓨터 암호에는 고유한 GPO 설정이 있습니다.Windows Server 2008의 Active Directory 이전에는 도메인당 하나의 암호 정책만 구성할 수 있었습니다. 최신 버전의 AD에서는 세분화된 암호 정책(FGPP)을 사용하여 여러 사용자 또는 그룹에 대해 여러 암호 정책을 만들 수 있습니다. 세분화된 암호 정책을 사용하면 다양한 PSO(암호 설정 개체)를 만들고 적용할 수 있습니다. 예를 들어 도메인 관리자 계정에 대해 암호 길이 또는 복잡성이 증가된 PSO를 만들거나(AD 도메인에서 관리자 계정 보안 문서 참조) 일부 계정의 암호를 더 단순하게 만들거나 완전히 비활성화할 수도 있습니다.
작업 그룹 환경에서는 로컬 GPO 편집기(gpedit.msc)를 사용하여 각 컴퓨터에서 암호 정책을 구성하거나 이 방법을 사용하여 컴퓨터 간에 로컬 GPO 정책 설정을 전송할 수 있습니다.