도메인 암호 정책을 구성하는 방법

이 문서에서는 Active Directory 도메인 암호 정책을 구성하는 방법에 대해 알아 봅니다.

또한 배우게 될 내용 :

• 기본 도메인 비밀번호 정책은 무엇입니까?
• 비밀번호 정책 설정 이해
• 가장 적합한 비밀번호 정책 사례
• 도메인 암호 정책 수정

기본 도메인 암호 정책이란 무엇입니까?

기본적으로 Active Directory는 기본 도메인으로 구성됩니다. 암호 정책. 이 정책은 암호 길이, 연령 등과 같은 Active Directory 사용자 계정의 암호 요구 사항을 정의합니다.

이 비밀번호 정책은 그룹 정책에 의해 구성되며 도메인의 루트에 연결됩니다. 비밀번호 정책을 보려면 다음 단계를 따르십시오.

1. 그룹 정책 관리 콘솔 열기

2. 도메인, 도메인, 그룹 정책 개체를 차례로 확장합니다.

3. 기본 도메인 정책을 마우스 오른쪽 버튼으로 클릭하고 편집을 클릭합니다.

4. 이제 Computer Configuration \ Policies \ Windows Settings \ Security Settings \ Account Policies \ Password Policy

로 이동합니다. 이 명령을 사용하여 Powershell의 기본 암호 정책.

Get-ADDefaultDomainPasswordPolicy

중요 : 기본 비밀번호 정책은 다음의 모든 컴퓨터에 적용됩니다. 도메인. 사용자 그룹에 다른 비밀번호 정책을 적용하려면 세분화 된 비밀번호 정책을 사용하는 것이 가장 좋습니다. 새 GPO를 만들어 OU에 연결하지 마십시오. 권장되지 않습니다.

암호 정책 설정 이해

이제 도메인 기본 암호 정책을 보는 방법을 알았으니 살펴 보겠습니다. 설정에서.

비밀번호 기록 시행 :

이 설정은 이전 비밀번호를 재사용하기 전에 사용해야하는 고유 비밀번호 수를 정의합니다. 예를 들어 현재 비밀번호가 “Th334goore0!”인 경우 그런 다음 암호를 24 번 (또는 정책이 설정된 번호) 변경하기 전까지는 해당 암호를 재사용 할 수 없습니다.이 설정은 사용자가 동일한 암호를 계속 재사용하지 않도록 유용합니다. 기본 설정은 24입니다.

최대 비밀번호 사용 기간 :

이 설정은 비밀번호를 변경하기 전까지 사용할 수있는 기간 (일)을 정의합니다. 기본 설정은 42 일입니다.

최소 비밀번호 연령

이 설정은 비밀번호를 변경하기 전에 사용해야하는 기간을 결정합니다. 기본 설정은 1 일입니다.

최소 비밀번호 길이

이 설정은 암호에 필요한 문자 수입니다. 기본값은 7입니다. 즉, 암호는 7 자 이상이어야합니다.

암호는 복잡성 요구 사항을 충족해야합니다.

사용하는 경우 암호는 이러한 요구 사항을 충족해야합니다. :

• 사용자 계정 이름 또는 사용자 전체 이름의 일부가 연속 된 2자를 초과하지 않아야합니다.
• 길이가 6 자 이상이어야합니다.
• Conta 다음 네 가지 범주 중 세 가지 문자 :
  • 영어 대문자 (A ~ Z)
  • 영어 소문자 (a ~ z)
  • 기본 10 자리 숫자 ( 0-9)
  • 알파벳이 아닌 문자 (예 :!, $, #, %)

기본값

가역 암호화를 사용하여 암호 저장

이 설정은 운영 체제가 가역 암호화를 사용하여 암호를 저장하는지 여부를 결정합니다. 이것은 본질적으로 가장 기본적인 버전의 암호를 저장하는 것과 동일합니다. 특정 애플리케이션 요구 사항이없는 한이 정책을 사용하도록 설정해서는 안됩니다.

비밀번호 정책 모범 사례

여기에는 다른 의견이 있으므로 두 가지 출처를 참조하겠습니다. 또한 조직의 비밀번호 정책은 PCI / SOX / CJIS 등과 같은 규정 준수 / 규제 요구 사항에 따라 결정될 수 있습니다.

Microsoft에서 권장하는 암호 설정

이 설정은 Microsoft의 Security Compiance Toolkit에서 가져온 것입니다. 이 도구 키트는 Microsoft에서 권장하는 GPO 설정을 제공합니다.

• 암호 기록 시행 : 24
• 최대 암호 사용 기간 : 설정되지 않음
• 최소 암호 사용 기간 : 설정되지 않음
• 최소 암호 길이 : 14
• 암호는 복잡성을 충족해야 함 : 사용
• 가역 암호화를 사용하여 암호 저장 : 사용 안 함

참고 : Microsoft는 암호 만료 정책을 삭제했습니다. 1903 년 보안 기준부터 시작합니다. 여기에서 자세한 내용을 읽을 수 있습니다.

좋은 결정이라고 생각하지만 일부 조직은 여전히 특정 가이드 (예 : PCI, SOX, CJIS)를 따라야합니다. 곧 업데이트 될 예정입니다.

CIS 벤치 마크 암호 설정

이 설정은 CIS 벤치 마크에서 가져온 것입니다.인터넷 보안 센터는 보안 지침과 벤치 마크를 개발하는 비영리 조직입니다.

• 암호 기록 시행 : 24
• 최대 암호 사용 기간 : 60 일 이하
• 최소 암호 사용 기간 : 1 이상
• 최소 비밀번호 길이 : 14
• 비밀번호는 복잡성을 충족해야 함 : 사용
• 가역 암호화를 사용하여 비밀번호 저장 : 사용 안함

기본 도메인 비밀번호 정책 수정

암호 정책을 수정하려면 기본 도메인 정책을 수정해야합니다.

1. 그룹 정책 관리 콘솔 열기

2. 도메인, 도메인, 그룹 정책 개체를 차례로 확장합니다.

3. 기본 도메인 정책을 마우스 오른쪽 버튼으로 클릭하고 편집을 클릭합니다.

4. 이제 Computer Configuration \ Policies \ Windows Settings \ Security Settings \ Account Policies \ Password Policy

로 이동합니다. 이제 편집 할 설정 중 하나를 두 번 클릭합니다. 예를 들어 최소 비밀번호 길이를 두 배로 늘릴 것입니다.

이 설정을 7 자에서 14 자로 변경 한 다음 적용을 클릭합니다.

변경할 다른 비밀번호 정책 설정을 두 번 클릭합니다.

이 기사가 재미 있었기를 바랍니다.

질문이 있으십니까? 아래 댓글로 알려주세요.