조직에 강력한 암호 사용 적용

	소개
	시작 전 준비 사항
	단계별 암호 정책 설정 구현
	관련 정보

소개

대부분의 사용자는 키보드로 입력한 사용자 이름 및 암호 조합을 사용하여 로컬 컴퓨터나 원격 컴퓨터에 로그온합니다. 일반적인 운영 체제에서 생체 인식, 스마트 카드 및 일회성 암호와 같은 대체 인증 기술을 사용할 수 있지만 대부분의 조직은 기존의 암호 방식에 의존하고 있으며 이러한 방식은 앞으로도 몇 년 동안 지속될 것입니다. 그러므로 조직에서 해당 컴퓨터에 대해 암호 정책을 정의 및 적용하는 것은 매우 중요합니다. 이 정책에는 강력한 암호 사용 요구가 포함됩니다. 강력한 암호는 암호의 길이 및 문자 범주 등 몇 가지 복잡성을 만족하는 암호로서 공격자가 암호를 확인하기 어렵도록 합니다. 조직에 강력한 암호 정책을 설정하면 공격자가 사용자로 가장할 수 없기 때문에 중요한 정보의 손실, 노출 또는 손상을 방지할 수 있습니다. 이 문서에서는 Microsoft® Windows® 2000, Windows XP 및 Windows Server™ 2003 운영 체제를 실행하는 컴퓨터에서 강력한 암호 정책을 구현하는 방법에 대해 설명합니다.

조직의 컴퓨터가 강력한 암호 정책을 구현하는 Active Directory 도메인이거나 독립 실행형 컴퓨터의 구성원인지 또는 둘 다에 해당되는지 여부에 따라 다음 작업 중 하나 또는 모두를 수행해야 합니다.

•	Active Directory 도메인에 암호 정책 설정을 구성합니다.
•	독립 실행형 컴퓨터에 암호 정책 설정을 구성합니다.

적절한 암호 정책 설정을 구성한 후 조직의 사용자는 강력한 암호용으로 암호 길이 및 복잡성을 만족하는 경우에만 새 암호를 만들 수 있으며 새 암호를 바로 변경할 수 없습니다.

중요: 이 문서의 모든 단계별 지침은 운영 체제를 설치하면 기본적으로 나타나는 시작 메뉴를 참조했습니다. 따라서 시작 메뉴를 수정한 경우 이 단계가 약간 다를 수 있습니다.

시작 전 준비 사항

네트워크의 컴퓨터에 암호 정책을 구성하기 전에 사용자는 관련 설정을 확인하고 해당 설정에 사용할 값을 결정하며 Windows에서 암호 정책 구성 정보를 저장하는 방법을 이해해야 합니다.

참고: Windows 95, Windows 98 및 Windows Millennium Edition 운영 체제에서는 암호 정책과 같은 고급 보안 기능을 지원하지 않습니다. 도메인에 속하지 않으며 이러한 운영 체제를 실행하는 독립 실행형 컴퓨터가 네트워크에 포함되는 경우 해당 컴퓨터에 암호 정책을 적용할 수 없습니다. Active Directory® 디렉터리 서비스 도메인의 구성원이며 이러한 운영 체제를 실행하는 컴퓨터가 네트워크에 포함되는 경우 해당 도메인 수준에서만 암호 정책을 적용할 수 있습니다.

암호 정책에 관련된 설정 확인

Windows 2000, Windows XP 및 Windows Server 2003의 경우 암호 특성과 관련하여 구성할 수 있는 설정은 최근 암호 기억, 최대 암호 사용 기간, 최소 암호 사용 기간, 최소 암호 길이 및 암호는 복잡성을 만족해야 함 등 다섯 가지가 있습니다. 조직의 비즈니스 요구 사항에 맞는 이러한 설정값을 결정하는 데 도움이 필요한 경우 Security Guidance Kit의 "Selecting Secure Passwords"를 참조하십시오.

•	최근 암호 기억은 이전 암호를 다시 사용하기 전에 사용해야 하는 고유한 새 암호 수를 결정합니다. 이 값은 0에서 24 사이로 설정할 수 있으며 0으로 설정하면 최근 암호 기억이 해제됩니다. 대부분의 조직에서는 24개의 암호를 기억하도록 설정합니다.
•	최대 암호 사용 기간은 사용자가 암호를 변경하지 않고 사용할 수 있는 일 수를 결정합니다. 이 값은 0에서 999 사이로 설정할 수 있으며 0으로 설정하면 암호가 만료되지 않습니다. 이 값을 너무 낮게 설정하면 사용자가 불편하며 너무 높게 설정하거나 해제하면 잠재적인 공격자가 암호를 확인할 수 있는 기회가 많아집니다. 대부분의 조직에서는 최대 42일까지 암호를 사용하도록 설정합니다.
•	최소 암호 사용 기간은 사용자가 새 암호를 변경하기 전에 이를 유지해야 하는 일 수를 결정합니다. 사용자가 암호를 필요한 횟수만큼 빨리 다시 설정한 다음 기존 암호로 다시 변경할 수 없도록 이 설정을 최근 암호 기억 설정과 함께 사용하도록 합니다. 이 값은 0에서 999 사이로 설정할 수 있으며 0으로 설정하면 사용자가 새 암호를 바로 변경할 수 있습니다. 최소 암호 사용 기간은 2일로 설정하는 것이 좋습니다.
•	최소 암호 길이는 암호의 최소 길이를 결정합니다. Windows 2000, Windows XP 및 Windows Server 2003에서 최대 128자의 암호를 사용할 수 있지만 이 최소 암호 길이 값은 0에서 14 사이로만 설정할 수 있습니다. 이 값을 0으로 설정하면 사용자가 암호를 비워둘 수 있기 때문에 0은 사용하지 않아야 하며 보통 8로 설정하는 것이 좋습니다.
•	암호는 복잡성을 만족해야 함은 암호의 복잡성을 적용할지 여부를 결정합니다. 이 설정을 사용하는 경우 사용자 암호는 다음 요구 사항을 만족해야 합니다. • 암호는 6자 이상이어야 합니다. • 암호는 다음 다섯 가지 범주 중 3개 이상의 문자를 포함합니다. • 영어 대문자(A - Z) • 영어 소문자(a - z) • 10이내의 숫자(0 - 9) • 특수 문자(예: !, $, # 또는 %) • 유니코드 문자 • 암호에 사용자 계정 이름을 3자 이상 포함할 수 없습니다. 계정 이름이 3자 미만인 경우 암호가 거부되는 경우가 많으므로 이 확인이 수행되지 않습니다. 사용자의 전체 이름을 확인할 때 여러 문자는 쉼표, 마침표, 대시/하이픈, 밑줄, 공백, 파운드 기호, 탭과 같이 이름을 개별 토큰으로 나누는 구분 기호로 처리됩니다. 3자 이상인 토큰은 모두 해당 암호에서 검색되며 이러한 토큰이 있는 암호는 변경할 수 없습니다. 예를 들어 "Erin M. Hagens"라는 이름은 "Erin", "M" 및 "Hagens" 등 세 가지 토큰으로 분할됩니다. 두 번째 토큰은 1개의 문자이므로 무시됩니다. 그러므로 이 사용자는 암호에서 하위 문자열로 "erin" 또는 "hagens" 중 하나를 포함한 암호를 사용할 수 없습니다. 이러한 확인은 모두 대/소문자를 구분합니다. 이러한 복잡한 요구 사항은 암호를 변경하거나 새 암호를 만드는 경우 적용되며 이 설정을 사용하는 것이 좋습니다.

Windows 운영 체제의 암호 정책 구성 정보를 저장하는 방법에 대한 이해

조직에서 암호 정책을 구현하기 전에 먼저 암호 정책 구성 정보가 Windows 2000, Windows XP 및 Windows Server 2003에서 저장되는 방법을 어느 정도 이해해야 합니다. 이것은 암호 정책 저장 메커니즘에 따라 사용자가 구현할 수 있는 여러 암호 정책 수를 제한하며 암호 정책 설정을 적용하는 방법에 영향을 받기 때문입니다.

각 계정 데이터베이스에는 단일 암호 정책만 있을 수 있습니다. 독립 실행형 컴퓨터에 있는 로컬 계정 데이터베이스의 경우처럼 Active Directory 도메인은 단일 계정 데이터베이스로 간주됩니다. 도메인의 구성원인 컴퓨터에도 로컬 계정 데이터베이스가 있지만 Active Directory 도메인을 배포하는 대부분의 조직에서는 해당 사용자에게 도메인 기반 계정을 사용하여 해당 컴퓨터 및 네트워크에 로그온할 것을 요구합니다. 결과적으로 도메인의 최소 암호 길이를 14자로 지정하면 해당 도메인의 모든 사용자는 새 암호를 만드는 경우 14자 이상의 암호를 사용해야 합니다. 특정 사용자 집합에 대해 다른 요구 사항을 설정하려면 해당 계정에 새 도메인을 만들어야 합니다.

Active Directory 도메인은 GPO(그룹 정책 개체)를 사용하여 암호 정책 설정을 포함한 다양한 구성 정보를 저장할 수 있습니다. Active Directory는 여러 수준의 OU(조직 구성 단위) 및 여러 GPO를 지원하는 계층적 디렉터리 서비스이지만 도메인에 대한 암호 정책 설정은 해당 도메인의 루트 컨테이너에서 정의되어야 합니다. 새 Active Directory 도메인에 대한 첫 번째 도메인 컨트롤러가 만들어지면 기본 도메인 정책 GPO와 기본 도메인 컨트롤러 정책 GPO가 자동으로 만들어집니다. 기본 도메인 정책은 루트 컨테이너에 연결되며 기본 암호 정책 설정을 포함한 몇 가지 중요한 도메인 차원의 설정을 포함합니다. 기본 도메인 컨트롤러 정책은 도메인 컨트롤러 OU에 연결되고 도메인 컨트롤러에 대한 초기 보안 설정을 포함합니다.

기본 설정과 다르게 암호 정책 설정을 적용해야 하는 경우 기본으로 제공되는 GPO를 수정하지 않는 것이 좋습니다. 대신 새 GPO를 만들어 해당 도메인의 루트 컨테이너 또는 도메인 컨트롤러 OU에 연결하고 이를 기본으로 제공되는 GPO보다 높은 우선 순위에 할당합니다. 설정이 서로 충돌하는 두 GPO가 같은 컨테이너에 연결되면 우선 순위가 높은 GPO에 우선권이 있습니다.

단계별 암호 정책 설정 구현

이 섹션에서는 조직의 컴퓨터에 암호 정책 설정을 구현하여 보안을 향상시키는 단계별 지침을 제공합니다.

•	Active Directory 기반 도메인에서 암호 정책 설정을 구성합니다.
•	독립 실행형 컴퓨터에서 암호 정책 설정을 구성합니다.

Active Directory 기반 도메인에서 암호 정책 설정 구성

요구 사항

•	자격 증명: Domain Admins 그룹의 구성원으로 로그온해야 합니다.
•	도구: Active Directory 사용자 및 컴퓨터
•	Active Directory 도메인에 속하는 컴퓨터 시스템에서 암호 정책을 구현하려면 다음을 수행합니다. 1. 시작, 제어판을 클릭하고 관리 도구, Active Directory 사용자 및 컴퓨터를 두 번 클릭합니다. 2. 해당 도메인의 루트 컨테이너를 마우스 오른쪽 단추로 클릭합니다. 참고: 이 문서의 스크린 샷은 테스트 환경을 반영하므로 제공되는 정보는 화면에 표시된 정보와 다를 수 있습니다. 3. 표시되는 메뉴에서 속성을 선택합니다. 4. 도메인의 속성 대화 상자에서 그룹 정책 탭을 클릭한 다음 새로 만들기를 클릭하여 루트 컨테이너에 새 그룹 정책 개체를 만듭니다. 새 정책 이름으로 "도메인 정책"을 입력한 다음 닫기를 클릭합니다. 참고: Microsoft는 기본 도메인 정책이라고 하는 기본 제공 개체를 편집하는 대신 그룹 정책 개체를 새로 만들면 보안 설정에 심각한 문제가 있을 경우 복구하기가 쉬우므로 새 그룹 정책 개체를 만들 것을 권장합니다. 새 보안 설정에 문제가 발생하는 경우 문제가 발생한 설정을 진단할 때까지 새 그룹 정책 개체를 임시로 해제할 수 있습니다. 5. 해당 도메인의 루트 컨테이너를 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다. 6. 속성 대화 상자에서 그룹 정책 탭을 클릭한 다음 도메인 정책을 선택합니다. 7. 위로를 클릭하여 새 GPO를 목록의 맨 위로 이동한 다음 편집을 클릭하여 위에서 만든 GPO의 그룹 정책 개체 편집기를 엽니다. 8. 컴퓨터 구성에서 Windows 설정\보안 설정\계정 정책\암호 정책 폴더로 이동합니다. 9. 세부 정보 창에서 최근 암호 기억을 두 번 클릭하고 이 정책 설정 정의 확인란을 선택하고 이전 암호 기록 보관 값을 24로 설정한 다음 확인을 클릭합니다. 10. 세부 정보 창에서 최대 암호 사용 기간을 두 번 클릭하고 이 정책 설정 정의 확인란을 선택하고 다음 이후 암호 만료의 값을 42로 설정하며 확인을 클릭한 다음 확인을 다시 클릭하여 표시되는 제안 값 변경 창을 닫습니다. 11. 세부 정보 창에서 최소 암호 사용 기간을 두 번 클릭하고 이 정책 설정 정의 확인란을 선택하고 다음 이후 암호를 변경할 수 있음의 값을 2로 설정한 다음 확인을 클릭합니다. 12. 세부 정보 창에서 최소 암호 길이를 두 번 클릭하고 이 정책 설정 정의 확인란을 선택하고 암호 최소 요건의 값을 8로 설정한 다음 확인을 클릭합니다. 13. 세부 정보 창에서 암호는 복잡성을 만족해야 함을 두 번 클릭하고 템플릿에 이 정책 설정 정의 확인란을 선택하며 사용을 선택한 다음 확인을 클릭합니다. 14. 그룹 정책 개체 편집기를 닫고 확인을 클릭하여 사용 중인 도메인 속성 대화 상자를 닫은 다음 Active Directory 사용자 및 컴퓨터를 끝냅니다.

새 설정 확인

다음 절차를 수행하여 도메인 정책 GPO에 적절한 암호 정책 설정이 적용되고 유효한지 확인할 수 있습니다. 설정 및 해당 작업을 확인하면 올바른 암호 정책이 도메인의 모든 사용자에게 적용됩니다.

요구 사항

•	자격 증명: Domain Admins 그룹의 구성원으로 로그온해야 합니다.
•	도구: Active Directory 사용자 및 컴퓨터

•

Active Directory 도메인의 암호 정책 설정을 확인하려면 다음을 수행합니다. 1. Active Directory 사용자 및 컴퓨터를 열고 사용 중인 도메인을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다. 2. 사용 중인 도메인의 속성 대화 상자에서 그룹 정책 탭을 클릭하고 도메인 정책 GPO를 선택한 다음 편집을 클릭하여 그룹 정책 개체 편집기를 엽니다. 3. 컴퓨터 구성에서 Windows 설정\보안 설정\계정 정책\암호 정책 폴더로 이동하고 사용 중인 설정이 여기에 표시된 설정과 일치하는지 확인합니다. 4. 그룹 정책 개체 편집기를 닫고 확인을 클릭하여 해당 도메인의 속성 대화 상자를 닫은 다음 Active Directory 사용자 및 컴퓨터를 끝냅니다. 5. 사용자는 암호를 8자 미만으로 지정할 수 없고 복잡한 암호를 만들어야 하며 새 암호를 바로 변경할 수 없는지 확인합니다.

독립 실행형 컴퓨터에 암호 정책 설정 구성

•	자격 증명: Administrators 그룹의 구성원으로 로그온해야 합니다.
•	도구: 로컬 보안 정책

•

Active Directory 도메인에 속하지 않는 컴퓨터 시스템에서 암호 정책을 구현하려면 다음을 수행합니다. 1. 시작, 제어판을 클릭하고 관리 도구, 로컬 보안 정책을 두 번 클릭합니다. 2. 계정 정책\암호 정책 폴더로 이동합니다. 3. 세부 정보 창에서 최근 암호 기억을 두 번 클릭하고 이전 암호 기록 보관의 값을 24로 설정한 다음 확인을 클릭합니다. 4. 세부 정보 창에서 최대 암호 사용 기간을 두 번 클릭하고 다음 이후 암호 만료의 값을 42로 설정한 다음 확인을 클릭합니다. 5. 세부 정보 창에서 최소 암호 사용 기간을 두 번 클릭하고 다음 이후 암호를 변경할 수 있음의 값을 2로 설정한 다음 확인을 클릭합니다. 6. 세부 정보 창에서 최소 암호 길이를 두 번 클릭하고 암호 최소 요건의 값을 8로 설정한 다음 확인을 클릭합니다. 7. 세부 정보 창에서 암호는 복잡성을 만족해야 함을 두 번 클릭하고 사용을 선택한 다음 확인을 클릭합니다. 8. 로컬 보안 정책을 닫습니다.

새 설정 확인

다음 절차를 수행하여 조직의 독립 실행형 컴퓨터에 적절한 암호 정책 설정이 구성되고 유효한지 확인할 수 있습니다. 설정 및 해당 작업을 확인하면 해당 컴퓨터에 올바른 암호 정책이 적용됩니다.

요구 사항

•	자격 증명: Administrators 그룹의 구성원으로 로그온해야 합니다.
•	도구: 로컬 보안 정책
•	Active Directory 도메인에 속하지 않는 컴퓨터 시스템의 암호 정책 설정을 확인하려면 다음을 수행합니다. 1. 로컬 보안 정책을 열고 계정 정책\암호 정책 폴더로 이동하여 사용 중인 설정이 여기 표시된 설정과 일치하는지 확인합니다. 2. 로컬 보안 정책을 닫습니다. 3. 사용자는 암호를 8자 미만으로 지정할 수 없고 복잡한 암호를 만들어야 하며 새 암호를 바로 변경할 수 없는지 확인합니다.

관련 정보

Windows의 암호 정책 및 암호 관련 기능에 대한 자세한 정보는 다음을 참조하십시오.

•	Security Guidance Kit의 "Selecting Secure Passwords"(영문)
•	Microsoft TechNet 웹 사이트(http://go.microsoft.com/fwlink/?LinkId=22208)의 Account Passwords and Policies(영문)

Windows Server의 터미널 서비스는 원격 관리 모드와 응용프로그램 모드 두 가지가 있습니다.

원격 관리모드는 원격에서 관리자가 접속할 수 있는 모드이며, 최대 2개의 세션까지 지원합니다.

응용프로그램 모드일 경우 사용자의 제한은 구매한 터미널 서비스 라이센스에 영향을 받으며, 90일간 기본 사용할 수 있는 권한이 있습니다.

이 날짜가 지나면 별도의 터미널 서비스 라이센스를 구매해야 합니다.

"터미널 서버에서 허용된 최대 연결 수를 초과했습니다" 라는 메세지로 원격지의 서버를 접속 할 수 없을경우
로컬에서 작업을 해야하는 경우가 있습니다.

이런 경우를 방지하기 위해서 터미널 서버에 접속을 해서 작업을 마치고 나올 경우

시작 -> 시스템 종료 -> 로그오프 로 터미널을 종료합니다.

이와 같이 작업을 하지않고 창을 닫을경우 세션은 계속 유지가 되게 됩니다.

그리고 정해진 시간동안 유휴 상태 일 경우 세션을 끊을수 있게 설정을 다음과 같이 할 수 있습니다.

1. 시작 -> 프로그램 -> 관리 도구 -> 터미널 서비스 구성을 선택합니다.

2. 연결을 선택하면 오른쪽 창에 RDP-Tcp 관련 항목이 나타납니다.

3. 항목을 선택하고 두번 클릭하면 RDP-Tcp 등록 정보 창이 나타납니다.

4. 세션 탭을 선택하고 사용자 설정 무시를 체크하고 유휴 세션 제한을 30분으로 설정 합니다.

5. 그 아래의 사용자 설정 무시를 체크하고 세션 끝내기 라디오 버튼을 체크합니다.

유휴 시간이 30분을 초과 할 경우 세션이 끊어지게 됩니다. 시간은 임의로 정하시면 됩니다.

실행에서 바로 실행할 수 있는 명령어

compmgmt.msc : 컴퓨터 관리
devmgmt.msc : 장치관리자
diskmgmt.msc : 디스크 관리
dfrg.msc : 디스크 조각모음
eventvwr.msc : 이벤트 뷰어
fsmgmt.msc : 공유폴더
gpedit.msc : 로컬 컴퓨터 정책
lusrmgr.msc : 로컬 사용자 및 그룹
perfmon.msc : 성능모니터뷰
rsop.msc : 정책의 결과와 집합
secpol.msc : 로컬 보안설정
services.msc : 서비스