윈도우 진단 스크립트 - 1.11 패스워드 최대 사용 기간

윈도우즈 서버 진단 배치파일 작성방법 - 1.11 패스워드 최대 사용 기간

 

※ 해당 내용은 KRCERT 홈페이지에 올라온 과학기술정보통신부, KISA의 ‘2017 주요정보통신기반시설 기술적 취약점 분석, 평가 방법 상세가이드’의 내용을 참조하여 인프라 진단 시 필요한 배치파일 작성방법을 서술하였습니다. 가이드라인 다운로드 링크 : https://www.krcert.or.kr/data/guideView.do?bulletin_writing_sequence=27369

 

1. 2017 주요정보통신기반시설 기술적 취약점 분석, 평가 방법 상세가이드

가. 상세 가이드

W-50 (중)	1. 계정관리 > 1.11 패스워드 최대 사용 기간
취약점 개요
참고	※ 가장 복잡한 암호를 포함한 모든 암호는 추측 공격에 의해 유출될 수 있으므로 패스워드가 일정 기간이 지나도 유효하다면 침해 발생 가능성이 있음. 사용자가 암호를 자주 바꾸도록 하면 유효한 암호가 공격당하는 위험을 줄일 뿐만 아니라 누군가가 불법으로 획득한 암호를 사용하여 무단 로그온하는 경우를 줄일 수 있음.
점검대상 및 판단기준
대상	■ Windows NT, 2000, 2003, 2008, 2012
판단기준	양호 : "최대 암호 사용 기간"이 “90일” 이하로 설정되어 있는 경우
	취약 : "최대 암호 사용 기간”이 설정되지 않았거나 “90일”을 초과하는 값으로 설정된 경우
조치방법	최대 암호 사용 기간 90일 설정
조치 시 영향	암호 사용기간이 90일로 설정되며 90일 주기로 패스워드를 변경하여야 함. 패스워드 사용기간 만료 전 패스워드 변경을 위한 경고 메시지 제공을 권고함.

 

나. 점검 및 조치 사례

■ Windows NT

Step 1) 시작> 프로그램> 관리 도구> 도메인 사용자 관리자> 정책> 계정

Step 2) "최대 암호 사용 기간”의 “사용 기간”을 “90일”로 설정

 

■ Windows 2000, 2003, 2008, 2012

Step 1) 시작> 실행> SECPOL.MSC> 계정 정책> 암호 정책

Step 2) "최대 암호 사용 기간”의 다음 이후 암호 만료 기간을 “90일”로 설정

 

 

2. 배치파일 작성 방법 예시

@ECHO OFF
 
ECHO ■ 기준
ECHO 양호 : "최대 암호 사용 기간"이 “90일” 이하로 설정되어 있는 경우
ECHO 취약 : "최대 암호 사용 기간”이 설정되지 않았거나 “90일”을 초과하는 값으로 설정된 경우
 
ECHO.
ECHO ■ 현황
secedit /EXPORT /CFG LocalSecurityPolicy.txt
TYPE LocalSecurityPolicy.txt | find /i "MaximumPasswordAge" | find /v "\"
 
ECHO.
ECHO ■ 결과
TYPE LocalSecurityPolicy.txt | find "MaximumPasswordAge =" > passwd.txt
FOR /f "tokens=1-3" %%a IN (passwd.txt) DO SET passwd_maxage=%%c
IF %passwd_maxage% LEQ 90 ECHO 양호
IF NOT %passwd_maxage% LEQ 90 ECHO 취약
 
DEL LocalSecurityPolicy.txt
DEL passwd.txt

 

 

3. 배치파일 실행 화면

 

 

4. 용어설명

가. SECPOL.MSC

“로컬 보안 정책” 창을 띄우는 “윈도우 실행 명령어”입니다.

 

나. secedit

‘로컬 보안 정책’을 설정, 조회 할 수 있는 DOS 명령어 입니다.

 

다. 패스워드 추측 공격 (Password Guessing Attack)

디폴트 패스워드, 생일, 주민번호 등 사용자가 사용할 만한 암호들을 대입해보는 것을 말합니다.