전산

[보안] CIS Benchmark - Account Policy

만두백개 2023. 3. 8. 19:33

이전에 AuditTAP 프로그램을 사용해 내 PC의 CIS Benchmark 테스트 하는 방법에 대해 글을 썼었다.

 

AuditTAP을 사용한 CIS Benchmark Test

 

[보안] CIS Benchmark (AuditTAP)

PC 보안 관련해서 문서 작성하고 설정할 일이 생겨서 알아보다가 글을 남기면 부족하지만 작게나마 다른 사람들에게 도움이 될까 생각하게 되었다! CIS Benchmarks AuditTAP 설치 및 사용 방법 CIS(Center

eternalmove.tistory.com

 

오늘은 많은 문항 중 Account Policy에 관련된 문항을 False에서 True로 수정해보기로 했다.

 

AuditTAP에서 생성된 레포트에서 'Settings Overview' 또는 'Hardening Settings'를 클릭하여

CIS Benchmarks 아래에 있는 'Account Polices'를 클릭하면 

아래와 같이 계정 정책에 관한 문항들만 따로 분류되어 편하게 볼 수 있다.

 

 

보다 시피 False로 점령된 계정 정책….

이것을 하나씩 True로 바꿔보는 작업을 해보자!

 

먼저 Win키 + R키를 동시에 눌러 실행창을 켠 뒤에

gpedit.msc 를 입력하여 로컬 그룹 정책 편집기를 실행시킨다.

 

 

컴퓨터 구성 → Windows 설정 → 보안 설정 → 계정 정책 아래에 있는 정책만 건드릴 것이다.

 

 

암호 정책 관련 설정

 

문항 Id 1.1.1 (L1) Ensure 'Enforce password history' is set to '24 or more password(s)'

[최근 암호 기억]을 24개 이상으로 설정하라는 말이다.

암호를 변경할 때 이전에 썼던 24개의 암호와 다르게 설정하여야 한다는 뜻!

그러니까 암호를 기억하고 있어야 새 암호는 이전 24개의 암호와 다르게 설정되었구나를 알 수 있다.

 

문항 Id 1.1.2 (L1) Ensure 'Maximum password age' is set to '365 or fewer days, but not 0'

[최대 암호 사용 기간]을 365 이하로 설정하되, 0으로 설정하지는 말라는 말이다.

이 기간이 지나면 암호를 바꿔야 한다.

 

문항 Id 1.1.3 (L1) Ensure 'Minimum password age' is set to '1 or more day(s)'

[최소 암호 사용 기간]을 1 이상으로 설정하라는 말이다.

 

문항 Id 1.1.4 (L1) Ensure 'Minimum password length' is set to '14 or more character(s)'

[최소 암호 길이]를 14문자 이상으로 설정하라는 말이다.

앞으로 암호는 반드시 길이가 14 이상이어야만 설정할 수 있다.

 

문항 Id 1.1.5 (L1) Ensure 'Password must meet complexity requirements' is set to 'Enabled' 

[암호는 복잡성을 만족해야 함]을 사용으로 설정하라는 말이다.

 

이 정책을 사용하면 암호가 아래의 기준을 충족하여야 한다.

1. 사용자의 계정 이름이나 연속되는 문자 2개를 초과하는 사용자 전체 이름의 일부를 포함하지 않음

2. 길이가 최소한 6자 이상이어야 함
3. 다음 네 가지 범주 중 세 가지의 문자를 포함해야 함
 -영문 대문자(A - Z)
 -영문 소문자(a - z)
 -기본 10개 숫자(0 - 9)
 -알파벳 이외의 문자(예: !, $, #, %)

 

 

문항 Id 1.1.7 (L1) Ensure 'Store passwords using reversible encryption' is set to 'Disabled'

[해독 가능한 암호화를 사용하여 암호 저장]을 사용 안 함으로 설정해야 한다.

이 정책을 사용함으로 설정하면 암호가 평문으로 저장된다고 한다. 반드시 사용 안 함으로 설정하자!

 

 

계정 잠금 정책 관련 설정

 

문항 Id 1.2.1 (L1) Ensure 'Account lockout duration' is set to '15 or more minute(s)'

[계정 잠금 기간]을 15분 이상으로 설정하라는 말이다.

 

문항 Id 1.2.2 (L1) Ensure 'Account lockout threshold' is set to '5 or fewer invalid logon attempt(s), but not 0'

[계정 잠금 임계값]이 5이하로 설정해야 하고, 0으로 해서는 안 된다.

 

 

문항 Id 1.2.3 (L1) Ensure 'Reset account lockout counter after' is set to '15 or more minute(s)'

[다음 시간 후 계정 잠금 수를 원래대로 설정]을 15분 이하로 설정하라는 말이다.

 

위와 같이 다 설정하면 

AuditTAP을 돌렸을 때 계정 정책이 모두 True로 바뀌어있는 것을 확인할 수 있다.

 

솔직히 영어 해석만 할 줄 알면 다 할 수 있는 쉬운 설정이지만 미래의 나를 위해 성실하게 써두자!