[윈도우 서버 취약점 점검] 계정 잠금 정책 설정

■ 분류 :  계정 관리

■ 항목명 :  계정 잠금 정책 설정

■ 항목 설명 : 

시스템 보안향상을 위해 보안정책 설정에서 로그온 실패 횟수와 시간에 따른 계정 잠금 기간 및 계정 잠금 복귀 시간을 설정함으로써 brute force 공격이나 패스워드 크랙 공격에 대응할 수 있도록 잠금 정책을 점검
 
계정 잠금 기간 30분으로 설정 : 만일 사용자가 로그인을 시도할 때 정해진 횟수 이상 로그온에 실패하면 시스템은 자동적으로 해당 계정을  30분 동안 잠기게 됨
 
다음 시간 후 계정 잠금 수를 원래대로 설정 30분으로 설정 : 잠겨진 계정으로 다시 로그인을 시도할 수 있는 시간간격은 30분 
 
5번 잘못된 로그온 시도 후 계정 잠금 : 로그인 시도 횟수를 5번으로 설정하며, 5번 이상 로그인에 실패 하였을 경우 계정 잠금 시간만큼 계정은 잠기게 됨
■ 서비스 영향
일반적인 경우 영향 없음


■ 설정방법
시작 > 제어판 > 시스템 및 보안 > 관리 도구 > 로컬 보안 정책 > 계정 정책 > 계정 잠금 정책


 


■ 진단기준
양호 - 계정 잠금 기간 30, 계정 잠금 기간 원래대로 설정 30
       계정 잠금 임계 값 1 이상 5 이하인 경우
취약 - 계정 잠금 기간 및 잠금 기간 원래대로 설정 기간이 30분 보다 작거나,
       계정 잠금 임계 값 설정이 없거나 5보다 큰 경우

■ 진단방법 (배치파일)


- 계정 잠금 기간 30분 이상 설정 확인
- 계정 잠금 임계 값 1 이상 5 이하 설정 확인
- 계정 잠금 기간 원래대로 설정 30분 이상 설정 확인

@ECHO OFF
ECHO ■ 기준
ECHO 양호 : "계정 잠금 기간" 및 "계정 잠금 기간 원래대로 설정 기간" 및 "계정 잠금 임계값"이 설정되어 있는 경우
ECHO 취약 : "계정 잠금 기간" 및 "잠금 기간 원래대로 설정 기간" 및 "계정 잠금 임계값"이 설정되지 않은 경우
ECHO.

ECHO ■ 현황
net accounts | findstr /I /C:"잠금 기간"
net accounts | findstr /I /C:"잠금 관찰 창"
net accounts | findstr /I /C:"잠금 임계값"
ECHO.

ECHO ■ 결과
net accounts | findstr /I /C:"잠금 기간" >> 1-02-LockTime.txt
FOR /f "tokens=1-6" %%a IN (1-02-LockTime.txt) DO SET LockTime=%%d   

net accounts | findstr /I /C:"잠금 관찰 창" >> 1-02-LockReTime.txt
FOR /f "tokens=1-6" %%a IN (1-02-LockReTime.txt) DO SET LockReTime=%%e

net accounts | findstr /I /C:"잠금 임계값" > 1-02-Threshold.txt
FOR /f "tokens=1-6" %%a IN (1-02-Threshold.txt) DO SET Threshold=%%c


IF %LockTime% GEQ 30 IF %LockReTime% GEQ 30 IF %Threshold% LEQ 5 GOTO 1-02-Y

:1-02-N
ECHO 취약
GOTO 1-02-END

:1-02-Y
ECHO 양호
GOTO 1-02-END


:1-02-END
DEL 1-02-LockTime.txt
DEL 1-02-LockReTime.txt
DEL 1-02-Threshold.txt

pause


댓글(3)

Designed by JB FACTORY