W-08 계정 잠금 기간 설정

가이드라인 원문

상세 설명

1. 판단 기준

기본 판단 기준

• 양호: ‘계정 잠금 기간’ 및 ‘계정 잠금 수를 원래대로 설정하기 위한 시간’이 60분 이상으로 설정된 경우
• 취약: ‘계정 잠금 기간’ 및 ‘잠금 기간 원래대로 설정 기간’이 설정되지 않거나 60분 미만으로 설정된 경우

경계 케이스 (Edge Case) 처리 방법

권장 설정값

2. 점검 방법

Windows 서버 점검

계정 잠금 기간은 비밀번호 추측 공격을 방지하기 위한 중요한 보안 설정입니다. 너무 짧으면 공격자가 계속 공격할 수 있고, 너무 길면 DOS 공격에 악용될 수 있습니다.

1
2
3
4
5
6

# PowerShell - 계정 잠금 정책 확인
net accounts

# 또는
secedit /export /cfg config.inf
Get-Content config.inf | Select-String "Lockout"

양호 출력 예시:

1
2
3

잠금 기간(분): 60
잠금 관찰 시간(분): 15
잠금 임계값: 5

잠금 기간이 60분 이상인 경우 양호

취약 출력 예시:

1
2
3
4
5

잠금 기간(분): 30
잠금 관찰 시간(분): 10
잠금 임계값: 5
또는
잠금 기간(분): 0

잠금 기간이 60분 미만이거나 0(무제한)인 경우 취약

3. 조치 방법

Windows 서버 설정

1. 명령 프롬프트 설정

   1 2	net accounts /lockoutduration:60 net accounts /lockoutwindow:60

2. PowerShell 설정

   1 2 3 4 5

   # 계정 잠금 기간 60분 설정 net accounts /lockoutduration:60 /lockoutwindow:60 # 설정 확인 net accounts

3. 로컬 보안 정책 설정 (GUI)

   1 2 3 4 5 6 7

   시작 > 제어판 > 관리 도구 > 로컬 보안 정책 계정 정책 > 계정 잠금 정책 "계정 잠금 기간" 더블클릭 값으로 60 이상 입력 (권장: 60) "계정 잠금 수를 원래대로 설정하기 위한 시간" 더블클릭 값으로 60 이상 입력 (권장: 60) 확인 클릭

4. 그룹 정책(GPO) 설정 (도메인 환경)

   1 2 3 4

   GPO 편집기(gpedit.msc 또는 gpmc.msc) 컴퓨터 구성 > 정책 > Windows 설정 > 보안 설정 > 계정 정책 > 계정 잠금 정책 "계정 잠금 기간" 설정: 60분 이상 "계정 잠금 수를 원래대로 설정하기 위한 시간" 설정: 60분 이상

5. 계정 잠금 이벤트 모니터링

   1 2 3 4 5 6

   # 최근 계정 잠금 이벤트 확인 (이벤트 ID 4740) Get-WinEvent -FilterHashtable @{ LogName='Security'; ID=4740; StartTime=(Get-Date).AddDays(-7) } -MaxEvents 20 | Format-List

4. 참고 자료

• Microsoft Docs: 계정 잠금 정책
• CIS Benchmark: 계정 잠금 설정
• KISA 주요정보통신기반시설 취약점 진단 가이드라인

5. 스크립트

• 취약점 점검 스크립트
  • 이 스크립트는 KISA 주요정보통신기반시설 기술적 취약점 분석·평가 가이드라인(2026)을 준수하여 제작된 자동 점검 도구입니다. 복잡한 단일 파일 방식이 아닌 모듈화된 구조로 설계되어 유지보수가 쉽고 확장이 용이합니다.
  • 다양한 환경에서 테스트를 진행했으나, 혹시 점검 로직에 이슈가 발견되거나 개선이 필요한 경우 적극적인 제보를 부탁드립니다.