[window/윈도우 서버] 컴퓨터 계정 암호 최대 사용 기간

W-80 컴퓨터 계정 암호 최대 사용 기간

■ 점검영역 : 보안 관리

■ 항목 중요도 : 중

■ 점검내용

컴퓨터 계정 암호 최대 사용 기간 설정 여부 점검

■ 점검목적

컴퓨터 계정 암호 최대 사용 기간을 설정하기 위함

■ 보안위협

기본적으로 도메인 구성원은 도메인 암호 변경 주기가 적절하지 않은 경우 공격자가 무단 공격을 실행하여 하나 이상의 컴퓨터 계정 암호를 추측하기에 충분한 시간을 제공할 수 있음

■ 참고

※ 도메인 구성원이 해당 컴퓨터 계정 암호를 정기적으로 변경할지를 결정할 수 있으며, 기본적으로 도메인 구성원이 사용하는 도메인 암호 변경 기간은 ‘자동’으로 설정되어 있음

■ 대상 : Windows NT, 2000, 2003, 2008, 2012, 2016, 2019

양호

"컴퓨터 계정 암호 변경 사용 안 함" 정책을 사용하지 않으며, "컴퓨터 계정 암호 최대 사용 기간" 정책이 "90일"로 설정되어 있는 경우

취약

"컴퓨터 계정 암호 변경 사용 안 함" 정책이 “사용”으로 설정되어 있거나 "컴퓨터 계정 암호 최대 사용 기간" 정책이 “90일” 로 설정되어 있지 않은 경우

■ 조치방법

컴퓨터 계정 암호 변경 사용 안 함 → 사용 안 함
컴퓨터 계정 암호 최대 사용 기간 → 90일

■ Windows 2003, 2008, 2012, 2016, 2019

Step 1) 시작> 실행> SECPOL.MSC> 로컬 정책> 보안 옵션

Step 2) 도메인 구성원: 컴퓨터 계정 암호 변경 사항 사용 안 함 → 사용 안 함
도메인 구성원: 컴퓨터 계정 암호의 최대 사용 기간 → 90일
※ Windows Server 2000 이하 버전 해당 사항 없음

■ 조치 시 영향 : 도메인 구성원만 해당되며 일반적으로 영향 없음