- 1/22/2021
- 읽는 데 5 분
-
-
D -
g -
R -
j -
d -
+6
-
적용 대상
- Windows 10
암호는 복잡성 요구 사항을 충족해야 함 보안 정책 설정에 대한 모범 사례, 위치, 값 및 보안 고려 사항을 설명합니다.
참조
암호는 복잡성 요구 사항을 충족해야합니다. 정책 설정은 다음을 결정합니다. 암호는 일련의 강력한 암호 지침을 충족해야합니다. 이 설정을 활성화하면 암호가 다음 요구 사항을 충족해야합니다.
-
암호에는 사용자의 samAccountName (계정 이름) 값 또는 전체 displayName (전체 이름 값)이 포함될 수 없습니다. 검사는 대소 문자를 구분하지 않습니다.
samAccountName은 암호의 일부인지 여부를 확인하기 위해서만 전체를 검사합니다. samAccountName의 길이가 3 자 미만인 경우이 검사를 건너 뜁니다. 구분 기호에 대해 구문 분석 됨 : 쉼표, 마침표, 대시 또는 하이픈, 밑줄, 공백, 파운드 기호 및 탭. 이러한 구분 기호가 발견되면 displayName이 분할되고 구문 분석 된 모든 섹션 (토큰)이 암호에 포함되지 않는 것으로 확인됩니다. . 3 자 미만의 토큰은 무시되고 토큰의 하위 문자열은 확인되지 않습니다. 예를 들어 “Erin M. Hagens”라는 이름은 “Erin”, “M”및 “Havens”의 세 토큰으로 분할됩니다. 두 번째 토큰은 한 문자 길이이므로 무시되므로이 사용자는 비밀번호에 “erin”또는 “havens”가 하위 문자열로 포함 된 비밀번호가 있어야합니다.
-
비밀번호에는 다음 세 범주의 문자가 포함됩니다.
- 유럽 언어의 대문자 (A에서 Z, 분음 부호, 그리스어 및 키릴 문자 포함)
- 유럽 언어의 소문자 (a에서 z, sharp-s, 분음 부호 포함) , 그리스어 및 키릴 문자)
- 기본 10 자리 숫자 (0-9)
- 영숫자가 아닌 문자 (특수 문자) 🙁 ~! @ # $ % ^ & * _- + =`| \ () {} :;” “< >,.? /) 유로 또는 영국 파운드와 같은 통화 기호는 “이 정책 설정에서 특수 문자로 계산되지 않습니다.
- 알파벳 문자로 분류되지만 대문자 또는 소문자가 아닌 모든 유니 코드 문자입니다. 이 그룹에는 아시아 언어의 유니 코드 문자가 포함됩니다.
비밀번호가 변경되거나 생성 될 때 복잡성 요구 사항이 적용됩니다.
규칙은 Windows Server 암호 복잡성 요구 사항에 포함 된 것은 Passfilt.dll의 일부이며 직접 수정할 수 없습니다.
활성화되면 기본 Passfilt.dll이 잠긴 계정에 대한 추가 헬프 데스크 호출을 유발할 수 있습니다. 사용자는 알파벳이 아닌 문자를 포함하는 암호에 익숙하지 않습니다. 그러나이 정책 설정은 모든 사용자가 익숙해 지도록 충분히 자유 롭습니다.
사용자 지정 Passfilt.dll에 포함될 수있는 추가 설정은 위쪽 행이 아닌 문자를 사용하는 것입니다. 윗줄 문자를 입력하려면 SHIFT 키를 누른 상태에서 키보드의 숫자 행에있는 키 중 하나를 누릅니다 (1 ~ 9 및 0).
가능한 값
- 사용
- 사용 안함
- 정의되지 않음
모범 사례
팁
최신 모범 사례는 암호 지침을 참조하십시오.
암호 설정은 복잡성 요구 사항을 충족해야 사용으로 설정해야합니다. 최소 암호 길이 8과 결합 된이 정책 설정은 단일 암호에 대해 최소한 218,340,105,584,896 개의 다른 가능성을 보장합니다. 이 설정은 무차별 대입 공격을 어렵게하지만 여전히 불가능하지는 않습니다.
ALT 키 문자 조합을 사용하면 암호의 복잡성이 크게 향상 될 수 있습니다. 그러나 조직의 모든 사용자가 이러한 엄격한 암호 요구 사항을 준수하도록 요구하면 사용자가 만족스럽지 않고 헬프 데스크가 과도하게 작업 할 수 있습니다. 조직에서 모든 관리자 암호의 일부로 0128에서 0159까지 범위의 ALT 문자를 사용하도록 요구 사항을 구현하는 것이 좋습니다. (해당 범위를 벗어난 ALT 문자는 암호를 더 복잡하게 만들지 않는 표준 영숫자를 나타낼 수 있습니다.)
영숫자 문자 만 포함 된 암호는 공개적으로 사용 가능한 도구를 사용하여 쉽게 손상 될 수 있습니다. 이를 방지하려면 암호에 추가 문자가 포함되고 복잡성 요구 사항을 충족해야합니다.
위치
컴퓨터 구성 \ Windows 설정 \ 보안 설정 \ 계정 정책 \ 암호 정책
기본값
다음 표에는 실제 및 효과적인 기본 정책 값. 기본값은 정책의 속성 페이지에도 나열됩니다.
| 서버 유형 또는 그룹 정책 개체 (GPO) | 기본값 |
|---|---|
| 기본 도메인 정책 | 사용 |
| 기본 도메인 컨트롤러 정책 | 사용 |
| 독립 실행 형 서버 기본 설정 | 비활성화 됨 |
| 도메인 컨트롤러 유효 기본 설정 | 활성화 됨 |
| 멤버 서버 유효 기본 설정 | 활성화 됨 |
| 클라이언트 컴퓨터에서 유효한 GPO 기본 설정 | 비활성화 됨 |
보안 고려 사항
이 섹션에서는 공격자가 어떻게 할 수 있는지 설명합니다. 기능 또는 구성, 대책 구현 방법 및 대책 구현의 가능한 부정적인 결과를 악용합니다.
취약성
영숫자 만 포함 된 비밀번호는 공개적으로 사용 가능한 여러 도구를 사용하여 매우 쉽게 발견 할 수 있습니다.
대책
비밀번호 구성이 충족해야합니다. 복잡성 요구 사항 정책 설정을 사용으로 설정하고 사용자에게 암호에 다양한 문자를 사용하도록 권장합니다.
최소 암호 길이 8과 함께 사용하는 경우이 정책 설정은 단일 암호에 대해 다양한 가능성을 보장합니다. 무차별 대입 공격이 성공하기가 어렵지만 불가능하지는 않습니다. (최소 암호 길이 정책 설정을 늘리면 공격 성공에 필요한 평균 시간도 늘어납니다.)
잠재적 영향
기본 암호 복잡성 구성이 유지되는 경우 사용자가 알파벳이 아닌 문자가 포함 된 암호에 익숙하지 않거나 레이아웃이 다른 키보드에서 악센트 부호가있는 문자 또는 기호가 포함 된 암호를 입력하는 데 문제가있을 수 있기 때문에 잠긴 계정에 대한 추가 헬프 데스크 호출이 발생할 수 있습니다. 그러나 모든 사용자는 최소한의 어려움으로 복잡성 요구 사항을 준수 할 수 있어야합니다.
조직에보다 엄격한 보안 요구 사항이있는 경우 다음을 사용할 수있는 Passfilt.dll 파일의 사용자 지정 버전을 만들 수 있습니다. 임의로 복잡한 암호 강도 규칙. 예를 들어 사용자 지정 암호 필터에는 위쪽 행이 아닌 기호를 사용해야 할 수 있습니다. (위쪽 행 기호는 Shift 키를 누른 상태로 키보드의 숫자 행에있는 1에서 9 및 0까지의 키를 눌러야하는 기호입니다.) 사용자 지정 암호 필터는 사전 검사를 수행 할 수도 있습니다. 제안 된 암호에 일반적인 사전 단어 나 조각이 포함되어 있지 않은지 확인합니다.
ALT 키 문자 조합을 사용하면 암호의 복잡성을 크게 높일 수 있습니다. 그러나 이러한 엄격한 암호 요구 사항으로 인해 추가 헬프 데스크 요청이 발생할 수 있습니다. 또는 조직에서 모든 관리자 암호가 0128–0159 범위의 ALT 문자를 사용하도록 요구할 수 있습니다. (이 범위를 벗어난 ALT 문자는 비밀번호를 더 복잡하게 만들지 않는 표준 영숫자 문자를 나타낼 수 있습니다.)
- 비밀번호 정책
