암호 정책 구성하기
많은 조직에서 사용자 계정의 암호의 취약점으로 인해서 보안 사고가 자주 발생하고 있습니다. 그러므로 도메인을 운영하는 경우 중앙에서 모든 컴퓨터의 암호를 정책적으로 제한하는 것이 중요합니다.
그룹 정책을 이용한 암호 정책 구성
1. 시작을 클릭하고 관리 도구에서 Active Directory 사용자 및 컴퓨터를 선택합니다.
2. Active Directory 사용자 및 컴퓨터 창의 왼쪽 트리에서 도메인을 오른쪽 클릭하여 등록 정보를 열고 그룹 정책 탭을 클릭합니다.
3. Default Domain Policy를 선택하고 편집을 클릭하거나 도메인 수준에서 새로운 GPO를 생성하여 편집을 클릭합니다. GPMC가 설치되어 있을 경우에는 GPMC에서 작업하면 편리합니다.
4. 컴퓨터 구성\Windows 설정\보안 설정\계정 정책\암호 정책을 선택합니다.
5. 최소 암호 길이와 최대 암호 사용 기간 등을 구성합니다.
6. 최근 암호 기억과 최소 암호 사용 기간을 구성해야 동일한 암호를 계속해서 사용하는 것을 막을 수 있습니다.
[참고] 암호 만료 알려주기
최대 암호 사용 기간을 구성했을 경우 사용자들에게 암호 만료 전에 알려줄 기간을 조정할 수 있습니다. 도메인 수준의 GPO에서 컴퓨터 구성\Windows 설정\보안 설정\로컬 정책\보안 옵션에서 '대화형 로그온: 암호 만료 전에 사용자에게 암호를 변경하도록 프롬프트' 항목을 이용하여 구성할 수 있습니다.
암호 스니핑 위험 대처
암호 스니핑에 대항해서 암호를 보호하기 위해서는 시스템을 Windows 2000 이상으로 업그레이드하고 Active Directory 도메인을 혼합 모드에서 기본 모드로 전환해야 합니다.
Windows 2000과 레거시 시스템을 연결해야 하는 상황이라면 NTLM을 사용할 수 밖에 없는데 이 경우 암호 스니핑의 위험이 많이 있습니다. Windows 2000이 도메인의 멤버가 아닐 때에는 레지스트리의 값을 조정해서 이 문제를 해결할 수 있습니다. 레지스트리의 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa에 있는 lmcompatibilitylevel 값을 찾아서 1 이상으로 설정합니다. 이는 시스템에 연결하는 중에 스니핑에 취약한 NTLM response를 전송하는 것을 막을 수 있습니다.
시스템이 도메인의 구성원일 경우에는 그룹정책을 사용해서 여러 컴퓨터에 이를 적용할 수 있습니다.
1. 관리 도구에서 Active Directory 사용자 및 컴퓨터를 선택하고 정책을 적용하기 원하는 OU나 도메인의 등록 정보를 열어서 그룹 정책을 편집합니다.
2. 컴퓨터 구성\Windows 설정\보안 설정\로컬 정책\보안 옵션 폴더를 열고 Lan Manager 인증 수준을 더블클릭합니다.
3. 보안 정책 설정 창에서 'LM 및 NTLM 보내기-협상되면 NTLMv2 세션 보안 사용'을 선택합니다.
출처: Securityguidancehandbook
'Operating System > Windows' 카테고리의 다른 글
| 윈도우 2008 서버 설치 했습니다. (3) | 2007.10.12 |
|---|---|
| 윈도우2003 ADS(Active Directory Service) 운영가이드 (0) | 2007.07.30 |
| Windows Server 2008 (0) | 2007.06.27 |
| 자료 (0) | 2007.06.27 |
| 윈도우보안관리 -계정관리 (0) | 2007.06.27 |
