W-63 도메인 컨트롤러 - 사용자의 시간 동기화
가이드라인 원문
| 항목 | 내용 |
|---|---|
| 항목코드 | W-63 |
| 점검내용 | 도메인컨트롤러와사용자의시간동기화여부점검 |
| 점검대상 | Windows 2012, 2016, 2019, 2022 |
| 판단기준 | 양호: 컴퓨터시계동기화최대허용오차값이5분이하인경우 |
| 판단기준 | 취약: 컴퓨터시계동기화최대허용오차값이5분초과인경우 |
| 조치방법 | Kerberos사용시컴퓨터시계동기화최대허용오차값5분이하로설정 |
상세 설명
1. 항목 개요
이 항목은 Kerberos 인증 프로토콜의 보안을 위해 클라이언트(사용자)와 도메인 컨트롤러(DC) 간의 시간 차이 허용 범위를 점검합니다. 기본값(권장값)은 5분입니다.
2. 왜 이 항목이 필요한가요?
재전송 공격(Replay Attack) 방지
- Kerberos의 원리: Kerberos 인증 티켓(TGT)에는 타임스탬프(시간 정보)가 포함되어 있습니다. 서버는 이 시간을 확인하여 “방금 생성된 티켓인지” 판단합니다.
- 방어 기제: 만약 해커가 인증 패킷을 가로채서 나중에 다시 전송하려 해도, 이미 시간이 지나버렸다면(5분 초과) 서버는 “너무 오래된 티켓"이라며 거부합니다. 따라서 시간 동기화 오차가 너무 크면(예: 1시간), 해커에게 공격할 시간을 벌어주는 셈이 됩니다.
보안 위협 시나리오
- 공격자가 인증 패킷을 스니핑(Sniffing)
- 허용 오차가 ‘무제한’이거나 매우 길게 설정됨
- 공격자가 30분 뒤에 스니핑한 패킷을 재전송하여 로그인 성공
3. 점검 대상
- Windows NT, 2000, 2003, 2008, 2012, 2016, 2019, 2022 서버 (도메인 컨트롤러 및 멤버)
4. 판단 기준
| 구분 | 기준 |
|---|---|
| 양호 | “컴퓨터 시계 동기화 최대 허용 오차"가 5분 이하로 설정된 경우 |
| 취약 | 해당 값이 5분을 초과하거나 설정되지 않은 경우 |
5. 점검 방법
방법 1: 로컬 보안 정책 확인
| |
참고: Kerberos 정책은 도메인 정책(GPO)에서 설정하며, 로컬 정책에서는 보이지 않을 수 있습니다. gpedit.msc 또는 도메인 컨트롤러에서 확인해야 합니다.
방법 2: GPO 확인 (도메인 컨트롤러)
- 그룹 정책 관리 > Default Domain Policy > 컴퓨터 구성 > 정책 > Windows 설정 > 보안 설정 > 계정 정책 > Kerberos 정책
6. 조치 방법
허용 오차를 5분으로 설정합니다. (기본값을 유지하는 것이 가장 좋습니다.)
방법 1: GPO 설정
| |
7. 조치 시 주의사항
| 주의사항 | 설명 |
|---|---|
| NTP 서버 | 이 정책을 만족하려면 실제로 모든 서버와 PC의 시간이 정확해야 합니다. 도메인 환경에서는 자동으로 PDC Emulator와 시간을 동기화하지만, PDC는 외부의 신뢰할 수 있는 NTP 서버(W-41)와 동기화되어야 합니다. |
| VM 환경 | 가상 머신(VM)의 경우 호스트 시간과 동기화되면서 시간이 틀어지는 경우가 잦으므로 주의가 필요합니다. |
8. 참고 자료
요약
W-63 도메인컨트롤러-사용자의시간동기화는 인증 티켓의 유통기한을 검사하는 기준입니다. 5분 이상 지난 티켓은 ‘위조’나 ‘재사용’으로 간주하고 버려야 안전합니다.