윈도우즈 서버 진단 배치파일 작성방법 - 1.12 패스워드 최소 사용 기간
| ※ 해당 내용은 KRCERT 홈페이지에 올라온 과학기술정보통신부, KISA의 ‘2017 주요정보통신기반시설 기술적 취약점 분석, 평가 방법 상세가이드’의 내용을 참조하여 인프라 진단 시 필요한 배치파일 작성방법을 서술하였습니다. 가이드라인 다운로드 링크 : https://www.krcert.or.kr/data/guideView.do?bulletin_writing_sequence=27369 |
1. 2017 주요정보통신기반시설 기술적 취약점 분석, 평가 방법 상세가이드
가. 상세 가이드
| W-51 (중) | 1. 계정관리 > 1.12 패스워드 최소 사용 기간 |
| 취약점 개요 | |
| 참고 | ※ 패스워드 변경에 시간적 제약이 없다면 이전에 즐겨 사용하던 암호를 다시 사용할 수 있으므로 주기적으로 패스워드를 변경하는 정책의 효과가 없어짐. 최소 암호 사용 기간 정책 설정을 0보다 큰 값으로 구성하면 최근 암호 기억 설정을 유효하게 사용함으로써 이전 암호를 다시 사용하는 것을 막을 수 있음. |
| 점검대상 및 판단기준 | |
| 대상 | ■ Windows NT, 2000, 2003, 2008, 2012 |
| 판단기준 | 양호 : "최소 암호 사용 기간"이 0보다 큰 값으로 설정되어 있는 경우 |
| 취약 : "최소 암호 사용 기간"이 0으로 설정되어 있는 경우 | |
| 조치방법 | 최소 암호 사용 기간 1일 설정 |
| 조치 시 영향 | 패스워드를 변경 후 다시 변경하기 위해서는 1일이 지나야 하며, 일반적으로 영향 없음 |
나. 점검 및 조치 사례
■ Windows NT
Step 1) 시작> 프로그램> 관리 도구> 도메인 사용자 관리자> 정책> 계정
Step 2) "최소 암호 사용 기간"에서 "사용 기간" "1일"로 설정
■ Windows 2000, 2003, 2008, 2012
Step 1) 시작> 실행> SECPOL.MSC> 계정 정책> 암호 정책
Step 2) "최소 암호 사용 기간"을 "1일"로 설정
2. 배치파일 작성 방법 예시
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
|
@ECHO OFF
ECHO ■ 기준
ECHO 양호 : "최소 암호 사용 기간"이 0보다 큰 값으로 설정되어 있는 경우
ECHO 취약 : "최소 암호 사용 기간"이 0으로 설정되어 있는 경우
ECHO.
ECHO ■ 현황
secedit /EXPORT /CFG LocalSecurityPolicy.txt
TYPE LocalSecurityPolicy.txt | find /i "MinimumPasswordAge"
ECHO.
ECHO ■ 결과
TYPE LocalSecurityPolicy.txt | find "MinimumPasswordAge =" > passwd.txt
FOR /f "tokens=1-3" %%a IN (passwd.txt) DO SET passwd_minage=%%c
IF %passwd_minage% GEQ 1 ECHO 양호
IF NOT %passwd_minage% GEQ 1 ECHO 취약
DEL LocalSecurityPolicy.txt
DEL passwd.txt
|
cs |
3. 배치파일 실행 화면
4. 용어설명
가. SECPOL.MSC
“로컬 보안 정책” 창을 띄우는 “윈도우 실행 명령어”입니다.
나. secedit
‘로컬 보안 정책’을 설정, 조회 할 수 있는 DOS 명령어 입니다.
'인프라 취약점 진단 · 모의해킹 > 윈도우 서버 진단 · 모의해킹' 카테고리의 다른 글
| 윈도우 진단 스크립트 - 1.14 로컬 로그온 허용 (0) | 2019.01.05 |
|---|---|
| 윈도우 진단 스크립트 - 1.13 마지막 사용자 이름 표시 안함 (0) | 2019.01.04 |
| 윈도우 진단 스크립트 - 1.11 패스워드 최대 사용 기간 (0) | 2019.01.04 |
| 윈도우 진단 스크립트 - 1.10 패스워드 최소 암호 길이 (0) | 2019.01.03 |
| 윈도우 진단 스크립트 - 1.9 패스워드 복잡성 설정 (0) | 2019.01.03 |
