최신 Windows 시스템 (예 : Windows Server 2008 및 2008 R2)과 Linux 및 Solaris 시스템과 같은 Active Directory 모두를 결정하는 암호 정책을 구성 할 수 있습니다. 사용자의 암호가 얼마나 길고 복잡해야 시스템에 대한 첫 번째 방어선을 제공합니다. Unix 시스템이 AD를 인증하는 경우 여기에서 모든 암호 요구 사항을 지정합니다. Active Directory가 암호 정책이 구성된 여러 위치 중 하나 일 경우에도 좋은 암호를 사용하는 것이 좋습니다. 기업 전체에서 유사한 복잡성 표준을 사용하는 것은 좋은 암호의 중요성을 강화하므로 좋은 전략입니다. 시스템을 안전하게 유지합니다.

Windows 및 Active Directory를 사용하면 여러 매개 변수를 지정하여 비밀번호 보안을 적용 할 수 있습니다. 기본값은 아래 표에 나열되어 있습니다.

Policy Setting Default Setting Value============== ====================Enforce password history 24 daysMaximum password age 42 daysMinimum password age 1 dayMinimum password length 7Password must meet complexity requirements EnabledStore passwords using reversible encryption DisabledAccount lockout duration Not definedAccount lockout threshold 0Reset account lockout counter after Not definedEnforce user logon restrictions EnabledMaximum lifetime for service ticket 600 minutesMaximum lifetime for user ticket 10 hoursMaximum lifetime for user ticket renewal 7 daysMaximum tolerance for computer clock synchronization5 minutes

비밀번호 기록-시스템에서 기억할 비밀번호 수. 기본값을 사용하면 사용자가 자신의 비밀번호를 변경할 때 이전 24 개의 비밀번호를 재사용 할 수 없습니다. .

최대 비밀번호 사용 기간-비밀번호를 변경하기 전에 사용할 수있는 기간입니다. 변경되는 경우 일반적으로이 기간은 90 일로 설정됩니다. 이는 비밀번호를 몇 번마다 변경해야 함을 의미합니다. 개월.

최소 비밀번호 사용 기간-사용자가 로그인을 할 수 있기까지 기다려야하는 기간 다시 암호를 입력하십시오. 사용자가 즉시 암호를 변경할 수 있고 시스템이 이전 암호 중 몇 개만 기억한다면 기본적으로 동일한 암호를 영원히 사용하여 현재 암호를 쉽게 되 살릴 수 있습니다. 며칠 동안 각 새 암호를 사용하도록 강제하면 원래 암호를 다시 사용하게 될 가능성이 희박합니다. 대기 시간이 2 일이고 암호 10 개가 기억되면 원래 암호로 되 돌리는 데 20 일이 걸립니다. 그때까지는 가장 영리한 암호조차도 매력을 잃었을 것입니다.

최소 암호 사용 기간 정책의 단점은 사용자가 암호를 변경할 수 없다는 것입니다. 비밀번호가 도용되었다고 생각하더라도 즉시.이 옵션을 선택하고 긴급 비밀번호 변경시 핫라인을 사용할 수 있는지 확인해야합니다.

비밀번호 복잡성 요구 사항-숫자 포함 Linux 및 Solaris 시스템에서 별도로 구성되는 요구 사항의 목록입니다.이 설정이 활성화 된 경우 (기본값) 비밀번호는 최소 6 자 이상이어야하며 대문자, 소문자, 숫자 중 3 개의 문자를 포함해야합니다. (0-9), 특수 문자 (예 :!, #, $) 및 유니 코드 문자. 또한 암호는 사용자 이름의 문자를 2 자 이상 포함 할 수 없습니다 (사용자 이름이 3 자 이상인 경우).

최소 암호 길이-몇 개 사용자 암호에 문자가 포함되어야합니다. 기본값은 7이지만 8에서 12 사이의 값이 더 나은 선택입니다. 사용자는 추가로 4 개의 문자를 기억해야하는 것을 꺼릴 가능성이 높으므로 각 끝에 두 자리 숫자를 추가하고 가장 친한 친구의 생일을 앞에 붙인 비밀번호와 같이 더 긴 비밀번호를 기억하기 쉽게 만드는 방법에 대한 몇 가지 제안을 준비 할 준비를하십시오 ( 예 : 0323) 또는 암호를 “want2goHome!”과 같은 짧은 문구로 설정하십시오. 암호를 적어 두는 것은 항상 매우 나쁜 생각이라는 것을 상기 시키십시오. 그러나 암호를 상기시키는 것을 적어 두는 것이 좋습니다. “기억하려고하는”비밀번호 “라는 사실을 분명히 밝히지 마십시오.

계정 잠금 기간-잠금 해제되기 전에 잠긴 계정이 잠긴 상태로 유지되는 시간 (분). 그러나 0으로 설정하면 관리자 (이러한 종류의 변경 권한이있는 사람)가 잠금을 해제 할 때까지 암호가 잠겨 있습니다. 그러나이 설정은 계정 잠금 임계 값에 따라 다릅니다. 즉, 로그인 시도가 몇 번 실패한 후 계정이 잠기도록 지정하지 않으면 잠기는 기간을 지정하는 것이 중요하지 않습니다.

계정 잠금 임계 값-계정이 잠기도록하는 연속 실패 로그인 시도 횟수입니다. 0 (기본값)으로 설정하면 계정이 잠기지 않습니다.

계정 잠금 임계 값 설정은 사용자가 다른 사용자의 계정을 잠글 수 있도록하는 것입니다.

다음 시간 이후 계정 잠금 카운터 재설정-잠금 카운터가 다음으로 재설정되기까지 경과해야하는 시간 (분) 0 (즉, 계정이 잠금 해제 됨). 이 범위는 1 분에서 99,999까지입니다. 계정 잠금 기간보다 작거나 같아야합니다.

사용자 로그온 제한 적용-Kerberos 키 배포 센터가 특정 컴퓨터의 사용자 권한 정책에 대해 세션 티켓에 대한 모든 요청의 유효성을 검사하는지 여부.

서비스 티켓의 최대 수명-세션 티켓을 사용할 수있는 최대 시간. 즉, Windows (Kerberos) 기반 인증 시스템은 지정된 간격으로 연결을 다시 확인해야합니다.

사용자 티켓의 최대 수명-사용자의 티켓 부여 티켓을 사용할 수있는 최대 시간. 그 이후 시간 (기본값 10 시간)이 지났 으면 갱신해야합니다.

사용자 티켓 갱신을위한 최대 수명-티켓을 사용하고 갱신 할 수있는 기간을 정의합니다.

컴퓨터 시계 동기화에 대한 최대 허용 오차-클라이언트 시계와 도메인 컨트롤러의 시간 사이에 허용되는 최대 시간 차이를 정의합니다. 이는 유효한 데이터 전송이 악의적으로 또는 부정하게 반복되거나 지연되는 “재생 공격”을 방지하기위한 것입니다.

Windows 및 Active Directory의 암호에 대한 기본 설정 7 자 최소 암호 길이를 더 높은 것으로 변경하지만 상당히 합리적입니다. 잠금 기능으로 인해 무차별 암호 대입 공격이 성공할 가능성은 거의 없지만 기본적으로 설정되어 있지 않은 경우 암호가 8 자 이상이어야한다는 사용자의 기대치를 설정하면 사용하는 다른 계정의 보안이 향상 될 수 있습니다. .