윈도우 진단 스크립트 - 1.16 최근 암호 기억

윈도우즈 서버 진단 배치파일 작성방법 - 1.16 최근 암호 기억

 

※ 해당 내용은 KRCERT 홈페이지에 올라온 과학기술정보통신부, KISA의 ‘2017 주요정보통신기반시설 기술적 취약점 분석, 평가 방법 상세가이드’의 내용을 참조하여 인프라 진단 시 필요한 배치파일 작성방법을 서술하였습니다. 가이드라인 다운로드 링크 : https://www.krcert.or.kr/data/guideView.do?bulletin_writing_sequence=27369

 

1. 2017 주요정보통신기반시설 기술적 취약점 분석, 평가 방법 상세가이드

가. 상세 가이드

W-53 (중)	1. 계정관리 > 1.16 최근 암호 기억
취약점 개요
참고	※ 사용자가 현재 암호 또는, 최근에 사용했던 암호와 똑같은 새 암호로 설정할 수 없도록 하여야 함. 특정 계정에 같은 암호를 오래 사용할수록 공격자가 무작위 공격을 통해 암호를 확인할 가능성이 커지며, 유출된 계정의 암호를 바꾸지 않는 한 계속 악용 될 수 있음. 또한, 암호를 변경해야 할 경우 암호를 다시 사용하는 것을 금지하지 않거나, 적은 수의 암호를 계속해서 다시 사용할 수 있도록 허용하면 좋은 암호 정책의 효과가 크게 반감됨.
점검대상 및 판단기준
대상	■ Windows NT, 2000, 2003, 2008, 2012
판단기준	양호 : "최근 암호 기억"이 12개 이상으로 설정되어 있는 경우
	취약 : "최근 암호 기억"이 12개 미만으로 설정되어 있는 경우
조치방법	최근 암호 기억을 12개 암호로 설정
조치 시 영향	일반적인 경우 영향 없음

 

나. 점검 및 조치 사례

■ Windows NT

Step 1) 시작> 프로그램> 관리 도구> 도메인 사용자 관리자> 정책> 계정

Step 2) "암호 유일성"에서 “기억”을 “12개”로 설정

 

■ Windows 2000, 2003, 2008, 2012

Step 1) 시작> 실행> SECPOL.MSC> 암호 정책

Step 2) "최근 암호 기억”을 “12개 암호 기억됨”으로 설정

 

 

2. 배치파일 작성 방법 예시

@ECHO OFF
 
ECHO ■ 기준
ECHO 양호 : "최근 암호 기억"이 12개 이상으로 설정되어 있는 경우
ECHO 취약 : "최근 암호 기억"이 12개 미만으로 설정되어 있는 경우
 
ECHO.
ECHO ■ 현황
secedit /EXPORT /CFG LocalSecurityPolicy.txt
TYPE LocalSecurityPolicy.txt | find /i "PasswordHistorySize"
 
ECHO.
ECHO ■ 결과
TYPE LocalSecurityPolicy.txt | find "PasswordHistorySize =" > passwd.txt
FOR /f "tokens=1-3" %%a IN (passwd.txt) DO SET passwd_hsize=%%c
IF %passwd_hsize% GEQ 12 ECHO 양호
IF NOT %passwd_hsize% GEQ 12 ECHO 취약
 
DEL LocalSecurityPolicy.txt
DEL passwd.txt

 

 

3. 배치파일 실행 화면

 

 

4. 용어설명

가. SECPOL.MSC

‘로컬 보안 정책’ 창을 띄우는 ‘윈도우 실행 명령어’입니다.

 

나. secedit

‘로컬 보안 정책’을 설정, 조회 할 수 있는 DOS 명령어 입니다.

 

다. 무작위 대입 공격(Brute Force Attack)

암호를 해독하기 위해 조합 가능한 모든 경우의 수를 다 대입해보는 것을 말합니다.