윈도우 서버 2012 R2: 암호 정책 설정

*****암호 정책 생성 & 암호 정책 설명(하단에 있음)*****

Windows Server 2012 R2에서 Active Directory 도메인 환경에 속한 Windows Client로 암호 정책을 내려 보내는 법과 암호 정책에 대한 세부 사항 정리

암호 정책 배포하기!

Microsoft TechNet의 관련 링크: Active Directory 관리 센터의 향상된 기능 소개(수준 100)

1. 정책을 저장할 그룹 만들기

▼ dsac.exe(Active Directory 관리 센터)를 실행한 뒤 원하는 대상 도메인 선택, [새로 만들기] –> [그룹]

01

▼ 새 그룹 만들기.(이름을 입력)

02

2. 암호 정책 만들기

▼ 우측 상단 [관리] -> [탐색 노드 추가] 클릭

03

▼ System -> Password Settings Container 선택(더블 클릭) -> [확인]

04

▼ 좌측의 ‘도메인명-System-Password Settings Container’ 선택한 뒤 오른쪽에 있는 [새로 만들기] -> [암호 설정] 클릭

05

▼여기서 암호 정책을 만들 수 있다.

06

3. 암호 정책을 원하는 그룹에 적용하기

▼암호 설정 창 하단의 ‘직접 적용 대상’의 [추가] 단추 클릭(암호 정책에 대한 자세한 설명은 문서 하단에 첨부됨) 이 암호 정책을 적용할 그룹 이름 적는다.(‘이름 확인’을 누르면 자동 완성됨)

07

▼’직접 적용 대상’에 해당 그룹이 포함되었다면 [확인] 클릭

08

4. 사용자에게 암호 정책 적용하기

▼암호 정책을 적용할 사용자를 찾아 단축 메뉴를 열어 ‘그룹에 추가’ 클릭

09

▼적절한 암호 정책이 적용된 그룹 입력.

10

5. 사용자에게 적당한 암호 정책 그룹이 할당되었는지 확인하기

▼암호 정책을 확인할 사용자를 선택해 단축 메뉴에서 ‘속성’을 클릭

11

▼소속 그룹이 적절한 그룹(암호 정책을 저장하고 있는)을 포함하는지 확인.

12

6. 사용자의 암호 정책 상세 확인하기

▼특정 사용자가 어떤 암호 정책을 적용 받고 있는지 세부 사항을 보려면 아래와 같이 단축 메뉴를 열어 [결과 암호 설정 보기] 클릭

13

▼세부적인 암호 정책을 확인할 수 있음.

14

요약

  1. 암호 정책을 만든 뒤 -> ‘직접 적용 대상’에 그룹을 만들어 넣는다
  2. 사용자들을 선택 -> 적절한 그룹에 추가
  3. 결과를 확인하려면? -> ‘결과 암호 설정 보기’ 클릭

 

 

***** 암호 설정 설명 *****

password

각 항목 설명 :

용어(짧은 설명) 자세한 내용 권장 사항(Microsoft 링크 참고)
①최소 암호 길이(암호를 몇 글자로 할까?) 1 ~ 14 문자 사이로 설정 가능. 문자 수를 0으로 설정하면 암호가 필요하지 않게 됩니다. 길이를 8자에서 12자 사이로 설정합니다(복잡성도 만족시키는 경우).(암호가 단어나 일반적인 문장이 아니라면 긴 암호가 짧은 암호보다 크래킹하기 어렵습니다. 암호를 사용하지 않으면 윈도우에서 자동으로 다른 사용자가 인터넷 또는 다른 네트워크에서 사용자의 컴퓨터에 로그온하지 못하도록 합니다.)
②최근 암호 기억 (그 동안 사용된 암호, 기억할까?) 최근 ‘사용된’ 암호를 몇 개나 기억할 것인가? 사용자가 현재 암호 또는 최근에 사용했던 암호와 동일한 새 암호를 만드는 것을 방지합니다. 기억할 암호의 개수를 지정하려면 값을 입력합니다. 예를 들어 값 1은 마지막 암호만 기억한다는 의미이며 값 5는 이전 암호 5개를 기억한다는 의미입니다. 1보다 큰 수를 사용합니다.
③암호 최소 사용 기간(암호를 ‘최소한’ 몇 일 사용할까?) 암호를 변경할 수 있기 전까지 경과해야 하는 최소 날짜를 설정합니다. 최소 암호 사용 기간을 최소 1일로 설정합니다. 이렇게 하면 사용자는 하루에 한 번만 비밀번호를 변경할 수 있습니다. 이 설정은 다른 설정을 향상시키는 데 도움이 됩니다. 예를 들어 이전 암호 5개를 기억하는 경우 이 설정에서는 사용자가 원래 암호를 다시 사용할 수 있으려면 최소 5일이 경과해야 합니다. 최소 암호 사용 기간을 0으로 설정하는 경우 사용자는 같은 날 암호를 6번 변경할 수 있으므로 원래 암호를 같은 날 다시 사용할 수 있습니다. 최소 암호 사용 기간을 최소 1일로 설정합니다. 이렇게 하면 사용자는 하루에 한 번만 비밀번호를 변경할 수 있습니다.(이 설정은 다른 설정을 향상시키는 데 도움이 됩니다. 예를 들어 이전 암호 5개를 기억하는 경우 이 설정에서는 사용자가 원래 암호를 다시 사용할 수 있으려면 최소 5일이 경과해야 합니다. 최소 암호 사용 기간을 0으로 설정하는 경우 사용자는 같은 날 암호를 6번 변경할 수 있으므로 원래 암호를 같은 날 다시 사용할 수 있습니다.)
④암호 최대 사용 기간(암호를 ‘최대’ 언제까지 사용할까?) 1에서 999까지의 일 수가 지난 뒤에 암호가 만료하도록 설정할 수 있으며 일 수를 0으로 설정하여 암호가 만료되지 않도록 설정할 수도 있습니다. 최소 암호 사용 기간은 최대 암호 사용 기간보다 짧아야 합니다. 최대 암호 사용 기간을 70일로 설정합니다. 날짜를 너무 크게 설정하면 해커가 암호를 크래킹할 수 있는 가능성이 커집니다. 날짜를 너무 적게 설정하면 암호를 너무 자주 변경해야 하므로 사용자에게 번거로울 수 있습니다.

** ②~④를 구성해야 동일한 암호를 계속해서 사용하는 것을 막을 수 있습니다.

용어(짧은 설명) 자세한 내용 권장 사항(Microsoft 링크 참고)
⑤암호는 복잡성을 만족해야 함(암호는 단순해선 안 돼!) 이 옵션을 사용하면 다음과 같은 사항을 충족시켜야 합니다.- 계정 이름(ID)의 전부 또는 일부를 포함하지 않아야 합니다.- 여섯 문자 이상이어야 합니다.- 다음 중 세 가지를 포함해야 합니다.

  • 영어 대문자(A-Z)
  • 영어 소문자(a-z)
  • 기본 10진수(0-9)
  • 알파벳이 아닌 문자(예: !, $, #, %)
이 설정을 사용하십시오. 이러한 복잡성은 강력한 암호를 만드는 데 도움을 줄 수 있습니다.
⑥해독 가능한 암호화를 사용하여 암호 저장(운영 체제가 해독 가능한 암호화를 사용할까요?) OS가 해독할 수 있는 암호화 방식을 쓸 것인지 여부. 해독 가능한 암호화를 사용하여 암호를 저장하는 것은 일반 텍스트 버전의 암호를 저장하는 것과 같습니다. 이러한 이유로 응용 프로그램 요구 사항 [1]이 암호 정보를 보호하는 것보다 중요하지 않는 한 이 정책은 사용하지 말아야 합니다. 이 설정이 필요한 프로그램을 사용하지 않는 경우 이 설정을 사용하지 않습니다.

 

★아래는 로그인에 연달아 실패한 계정에 패널티를 부여하는 기능입니다.

용어(짧은 설명) 자세한 내용
⑦계정 잠금 정책(계정을 잠그는 경우와 조건은?) 해당 계정이 시스템으로부터 잠기는 환경과 시간
⑧허용되는로그온 실패 횟수(로그온 실패를 몇 번 봐줄까?) 사용자 계정이 잠기는 로그온 실패 횟수를 결정합니다. 잠긴 계정은 관리자가 재설정하거나 해당 계정의 잠금 유지 시간이 만료되어야 사용할 수 있습니다. 값을 0으로 설정하면 계정이 잠기지 않습니다.
⑨다음 시간(분) 후 이후 로그온 실패 횟수를 다시 설정(조금 뒤에 로그온 실패 횟수를 리셋해 줄게) 실패한 로그온 시도 이후 실패 횟수가0으로 다시 설정되기 전까지 경과되어야 하는 시간(분)을 설정합니다. 계정 잠금 임계값이 정의되어 있으면 이 재설정 시간은 계정 잠금 기간보다 작거나 같아야 합니다.
⑩계정 잠금(⑧의 로그온 실패 횟수를 넘긴 사용자를 잠그는 시간 or 계속 잠기게 하는 것도 가능) 기간(분):잠긴 계정이 자동으로 잠금 해제되기 전에 잠금 상태를 유지하는 시간(분)을 결정합니다.관리자가 명시적으로 잠금을 해제할 때까지 계정이 잠겨있습니다.

응용 프로그램 요구 사항[1] : 원격 액세스 또는 IAS(인터넷 인증 서비스)를 통해 CHAP(Challenge-Handshake 인증 프로토콜) 인증을 사용하거나 IIS(인터넷 정보 서비스)의 다이제스트 인증을 사용하는 경우에 필요합니다. http://msdn.microsoft.com/ko-kr/library/cc784581

이것도 살펴보세요!

WSL: Linux용 Windows 하위 시스템 배포 삭제하기

명령 프롬프트를 실행 현재 설치된 배포판 리스트를 확인 wsl -l 배포판을 삭제해갑시다 wsl --unregister 배포판이름 …

9 댓글

  1. 안녕하세요 기억하실지 모르겠지만 엄청 오랜만입니다. ㅋㅋ

  2. gpedit.msc 를 이용한 암호 정책설정과 포스팅에서 설명해주신 암호정책에 차이점이 있습니까??ㅠㅠ

    • “Windows Server 2008 이전의 Active Directory 도메인에서는 하나의 암호 정책과 계정 잠금 정책만 도메인의 모든 사용자에 적용할 수 있었습니다. 이러한 정책은 도메인의 Default Domain Policy에서 지정되었습니다. 따라서 각 사용자 집합에 대해 다른 암호 및 계정 잠금 설정을 지정하려는 조직은 암호 필터를 만들거나 여러 도메인을 배포해야 했습니다.”

      “세분화된 암호 정책을 사용하여 단일 도메인 내 여러 암호 정책을 지정하고 도메인의 각 사용자 집합에 서로 다른 암호 및 계정 잠금 정책 제한을 적용할 수 있습니다. 예를 들어 더 엄격한 설정을 권한 있는 계정에 적용하고 덜 엄격한 설정을 다른 사용자 계정에 적용할 수 있습니다.”

      위의 ‘Active Directory 관리 센터’를 통한 세분화된 암호 정책은 새롭게 등장한 기능입니다.

      TechNet을 참고하세요: https://technet.microsoft.com/ko-kr/library/hh831702.aspx

  3. 먼저 좋은 정보 감사드립니다^^ 그리고 ! 궁금한것이!
    암호 정책에 관한 설정을 하게되면 admin계정 또한 적용이 되는건가요^^?

  4. 안녕하세요. 좋은 포스팅 감사 합니다.
    궁금한 것은… 세분화된 암호 설정은 gpedit 에서는 못하는 건가요?
    또한.. OU 그룹 단위로 세분화된 암호를 설정 할 수 있나요?

  5. 안녕하세요. 문의사항이 있습니다.
    상기 정책 중 해독가능한 암호화를 사용하여 암호저장 기능을 사용함으로 선택 시 해당 암호가 어느 파일의 위치에 저장되며, 어떤 암호화 알고리즘으로 저장되는지 알수있을까요?

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다