Windows NT 이상의 버전에서는 "계정 정책"을 사용한다는 것을 우리는 배웠다. Windows 에서 사용되는 "계정 정책"으로, Windows 98, ME 버전에서는 절대 하지 못했던 일들을 할 수 있게 되었다. "사용자 계정에 따른 권한 설정"이 바로 그것이다.
그리고 이 계정 정책으로 인해 "로컬 보안 정책"도 적용되게 되었다. (보안 정책이 없는 계정 정책은 전혀 아무런 의미도 없기 때문이다.)
이번 글에서는 이 "로컬 보안 정책"의 "계정 정책"에 대해서 배워보자.
로컬 보안 정책에는 "계정 정책", "로컬 정책", "공개키 정책" 등등이 있는데 이중에서 "계정 정책"이외의 나머지 정책들은 매우 심도있는 정책이므로 다루지 않겠다. 이곳에서 다루는 컴퓨터 보안은 Professional을 위한것이 아니라, 일반 인터넷 사용자들을 위한 것이기 때문에.
사실 "서버"를 운용하는 시스템이라도 "계정 정책"만 적용하면 로컬에 대한 보안 정책은 90%가 적용된 것이다.
1. 로컬 보안 정책
시작버튼 > 관리 도구 > 로컬 보안 정책을 실행한다.
(또는 시작 > 실행에서 secpol.msc 를 입력한다.)
계정 정책, 로컬 정책, 공개 키 정책, 소프트웨어 제한 정책, 로컬 컴퓨터의 IP 보안 정책의 5가지 정책들이 보인다. 이중에서 우리가 배울것은 "계정 정책"이므로 계정정책을 선택한다.
계정 정책을 선택하면 오른쪽 프레임에 암호 정책과 계정 잠금 정책이 보인다.
암호 정책은 사용자 계정의 암호를 설정할 때 영향을 미치게 될 정책이며, 계정 잠금 정책은 계정 로그인을 실패할 때 영향을 미치게 될 정책이다.
이 중에서 중요한 것은 계정 잠금 정책이다. 암호 정책도 중요하긴 하지만, 여기서는 계정 잠금 정책만을 심도있게 다루겠다.
계정 잠금 정책을 더블 클릭하면 다음의 3가지 항목이 나온다.
A. 계정 잠금 기간
컴퓨터 부팅 후, 암호를 넣어 로그인을 시도할 때, 암호가 틀릴경우 계정을 사용하지 못하도록 설정할 수 있는데 계정을 사용하지 못하게 할 시간을 설정할 수 있다. 이 값을 30분으로 설정하게 되면, 암호가 틀릴경우 30분동안 계정 로그인을 절대 할 수가 없다. 맞는 암호를 넣는다고 해도 30분이 지나지 않으면 로그인을 할 수 없다. (이 항목은 계정 잠금 임계값을 먼저 설정해야만 적용할 수 있으며, 계정 잠금 임계값을 설정할 때, 기본값으로 30분이 설정된다.)
B. 계정 잠금 임계값
이 항목은 계정에 대한 암호를 틀리는 것을 몇 번까지 봐주겠는냐 하는 것이다. 만일 "1"로 설정하게 되면 한번만 암호가 틀려도 계정 잠금 기간의 시간이 적용되어 버린다. 사람은 늘 실수를 하게 되므로 충분한 로그온 시도를 적용해야 한다.
이 계정 잠금 임계값을 설정해야 하는 이유는 "추측에 의한 Password 크래킹"을 방지하기 위한 것이다. 따라서 정상적인 사용자가 암호를 잠깐 헷갈리는 것을 감안해줘야 한다.
필자는 20회로 설정해 두었는데, 주기적으로 암호를 변경하다보니 암호를 자주 헷갈려하기 때문이 다. 실제로 계정 잠금 임계값을 5회 적용했더니, 그만 변경한 암호가 헷갈려서 계정이 잠겨버리는 일이 발생했었다.(그 때는 계정 잠금 시간도 1시간으로 설정했었기 때문에 아주 곤욕을 치뤘었다.)
최소 10회로 설정하면 적당하겠다.
C. 다음 시간 후 계정 잠금 수를 원래대로 설정
컴퓨터는 항상 로그온 시도를 기억하고 있어야 한다. 그래야만 사용자가 몇번이나 틀렸는지를 계산하고 있다가, 계정 잠금 임계값에 도달할 경우 계정 잠금 기간을 적용할 수 있기 때문이다.
그런데 이 로그온 실패 횟수를 계속 누적시키게 될 경우, 하루에 1번 암호를 실패한다고 가정하면, 20일에는 계정이 잠겨버리게 될 것이다. 따라서 이 로그온 실패 횟수를 다시 0으로 해야만 하는데 그 0으로 되돌리는 시간을 설정하는 것이다.
즉, 로그온 실패 횟수를 얼마의 시간동안 기억하고 있을지를 설정하는 것이다. (이 항목도 계정 잠금 임계값을 먼저 설정해야만 적용할 수 있으며, 계정 잠금 임계값을 설정할 때, 기본값으로 30분이 설정된다.)
#참고
Windows XP에서는 설정과 동시에 정책이 적용된다. 그러나 Windows 2000 에서는 정책을 수정하고 난 다음에는 "다시 로드"를 해줘야만 적용이 된다.
[주의!]
로컬 정책을 포함한 다른 정책은 관련 지식이 없는 상태에서 적용하면 안된다. 각 항목의 설명이 적혀있고 그것이 무엇을 뜻하는지 알것같다고 해도 절대 손대지 말것을 경고한다. 정책으로 인해 컴퓨터를 사용하지 못하게 될 수도 있기 때문이다.
내용출처 : [기타] 블로그 집필 - SECU & HACK
(출처 : '[Windows] - 보안 정책 설정 ①' - 네이버 지식iN)
