[MSIT] W-04. 계정 잠금 임계값 설정

점검 목적

 

로그인 실패 임계값 미설정 시 반복되는 로그인 시도에 대한 차단이 이루어지지 않았을 때 공격자의 자동화 유추 공격을 차단하기 위함. 

 

 

보안 위협

 

임계값 미설정 시 자동화 유추 공격, 패스워드 추측 공격, 무작위 대입 공격에 취약해 계정 패스워드 유출 위험이 존재함.

 

 

판단기준

 

양호 : 계정 잠금 임계값이 5이하의 값으로 설정

취약 : 계정 잠금 임계값이 0이나 6이상의 값으로 설정

 

 

점검 방법

 

1. "계정 잠금 임계값" 설정 확인할 것.

   - 0 으로 설정 시, 계정이 잠기지 않으므로 취약

 

 

2. 보안 정책 설정파일에서 LockoutBadCount 확인할 것.

    - LockoutBadCount 값이 0 으로 설정되어 있으므로 취약

 

 

 

조치방안

 

1. "계정 잠금 임계값" 정책에서 0이 아닌 5회 이하로 설정할 것.

 

 

2. 보안정책 파일에서 LockoutBadCount = 5 (0이 아닌 5 이하) 로 설정 후 적용할 것.