특정 버전의 암호 길이 감사 및 적용 Windows

요약

Windows 10 2020년 8월 18일 릴리스된 업데이트는 다음에 대한 지원을 추가합니다.

• 이벤트 감사를 통해 애플리케이션 및 서비스가 15자 이상 암호를 지원하는지 여부를 식별합니다.

• 서버, 버전 2004 도메인 컨트롤러(Windows 15자 이상)의 최소 암호 길이 적용

지원되는 버전의 Windows

암호 길이 감사는 다음 버전의 암호에서 Windows. 15자 이상의 최소 암호 길이 적용은 Windows 서버, 버전 2004 및 이후 버전에서 지원 Windows.

제안된 배포

배포 지침

최소 암호 길이 감사 및 적용에 대한 지원을 추가하기 위해 다음 단계를 수행합니다.

1. 모든 도메인 컨트롤러에서 지원되는 Windows 버전에 업데이트를 배포합니다.

   1. 도메인 컨트롤러: 업데이트 및 이후 업데이트는 모든 DC에서 지원을 사용하도록 설정하여 14자 암호를 사용하도록 구성된 사용자 또는 서비스 계정을 인증합니다.

   2. 관리 작업대: 새 그룹 정책 설정을 DC에 적용할 수 있도록 관리 작업대에 업데이트를 배포합니다.

2. 더 이상 필요한 암호가 필요한 도메인 또는 포리스트에서 MinimumPasswordLengthAudit 그룹 정책 설정을 사용하도록 설정합니다. 이 정책 설정은 도메인 컨트롤러 조직 단위(OU)에 연결된 기본 도메인 컨트롤러의 정책에서 사용하도록 설정해야 합니다.

3. 감사 정책을 3~6개월 동안 사용하도록 설정하여 14자보다 큰 암호를 지원하지 않는 모든 소프트웨어를 검색하는 것이 좋습니다.

4. 3~6개월 동안 암호를 관리하는 소프트웨어에 대해 기록된 Directory-Services-SAM 16978 이벤트에 대한 도메인을 모니터링합니다. 사용자 계정에 대해 기록된 Directory-Services-SAM 16978 이벤트를 모니터링할 수 없습니다.

   1. 가능하면 더 긴 암호 길이를 사용하도록 소프트웨어를 구성합니다.

   2. 소프트웨어 공급업체와 협력하여 더 긴 암호를 사용할 수 있는 소프트웨어를 업데이트합니다.

   3. 소프트웨어에서 사용하는 암호 길이와 일치하는 값을 사용하여 이 계정에 대한 세밀한 암호 정책을 배포합니다.

   4. 계정 암호를 관리하지만 긴 암호를 자동으로 사용하지 않는 소프트웨어의 경우 긴 암호를 사용하도록 구성할 수 없습니다. 이러한 계정에는 세밀한 암호 정책을 사용할 수 있습니다.

5. 디렉터리-Services-SAM 16978 이벤트가 모두 해결된 후 최소 암호를 사용하도록 설정합니다. 이렇게 하려면 다음 단계를 수행하세요.

   1. 모든 WINDOWS(DC 포함)에 대한 적용을 지원하는 Read-Only 서버를 배포합니다.

   2. 모든 DC에서 RelaxMinimumPasswordLengthLimits 그룹 정책을 사용하도록 설정합니다.

   3. 모든 DC에서 MinimumPasswordLength 그룹 정책을 구성합니다.

그룹 정책

Windows 로그 메시지

이 추가 지원의 일부로 새 이벤트 ID 로그 메시지 3개가 포함되어 있습니다.

소프트웨어 암호 변경에 대한 지침

소프트웨어에서 암호를 설정할 때 최대 암호 길이를 사용하세요.

기록

전반적인 Microsoft 보안 전략은 암호가 없는 미래에 중점을 두지만 단기적으로는 많은 고객이 암호에서 마이그레이션할 수 없습니다. 일부 보안에 민감한 고객은 14자보다 큰 기본 도메인 최소 암호 길이 설정을 구성할 수 있습니다(예: 고객은 기존 짧은 단일 토큰 암호 대신 더 긴 암호를 사용하도록 사용자에게 교육한 후 이 작업을 할 수 있습니다. 이 요청을 지원하기 위해 Windows 서버 2018년 4월 Windows 서버 2016에서 최소 암호 길이를 14자에서 20자로 늘리는 그룹 정책 변경을 사용하도록 설정했습니다. 이 변경은 더 긴 암호를 지원하는 것으로 나타나지만 궁극적으로는 부족하고 그룹 정책이 적용될 때 새 값을 거부했습니다. 이러한 거부는 자동으로 수행된 것이고 시스템이 더 이상 암호를 지원하지 않는지 확인하기 위해 자세한 테스트가 필요했습니다. 시스템이 최소 암호 길이가 14자보다 큰 엔드-엔드를 올바르게 작동하도록 Windows Server 2016 Windows 서버 2019에 대해 SAM(보안 계정 관리자) 계층에 대한 후속 업데이트가 포함되어 있습니다. 시스템이 최소 암호 길이가 14자보다 큰 엔드-엔드를 올바르게 작동하도록 Windows Server 2016 Windows 서버 2019에 대해 SAM(보안 계정 관리자) 계층에 대한 후속 업데이트가 포함되어 있습니다.

MinimumPasswordLength 정책 설정은 모든 Microsoft 플랫폼에서 매우 오랜 시간 동안 0에서 14까지의 허용 범위를 가졌다. 이 설정은 로컬 보안 Windows Active Directory(및 이전의 NT4 도메인)에 모두 적용됩니다. 0(0)은 계정에 암호가 필요하지 않습니다.

이전 버전의 Windows 그룹 정책 UI에서는 최소 필수 암호 길이를 14자보다 길게 설정할 수 없습니다. 그러나 2018년 4월에는 다음과 같은 업데이트의 일부로 그룹 정책 UI에서 14자 Windows 10 지원이 추가된 업데이트가 릴리스되었습니다.

• KB 4093120: 2018년 4월 17일-KB4093120(OS 빌드 14393.2214)

이 업데이트에는 다음 릴리스 참고 텍스트가 포함되어 있습니다.

"그룹 정책의 최소 암호 길이를 20자로 늘입니다."

2018년 4월 릴리스를 설치하고 업데이트를 변경한 일부 고객은 여전히 14자 암호를 사용할 수 없는 것으로 나타났습니다. 조사에 의하면 암호 정책에 정의된 14자보다 큰 암호를 서비스하는 DC 역할 컴퓨터에 추가 업데이트를 설치해야 하는지 확인했습니다. 다음 업데이트는 Windows Server 2016, Windows 10 버전 1607 및 14자 암호가 Windows 10 인증 요청에 대한 도메인 컨트롤러의 초기 릴리스를 사용하도록 설정했습니다.

• KB 4467684: 2018년 11월 27일-KB4467684(OS 빌드 14393.2639)

이 업데이트에는 다음 릴리스 참고 텍스트가 포함되어 있습니다.

"최소 암호 길이가 14자보다 크도록 구성된 경우 도메인 컨트롤러가 그룹 정책 암호 정책을 적용하지 못하게 하는 문제를 해결합니다."

• KB 4471327: 2018년 12월 11일-KB4471321(OS 빌드 14393.2665)

일부 고객은 2018년 4월부터 2018년 10월 업데이트까지 본질적으로 2018년 10월 업데이트를 설치한 후 정책에 14자 암호보다 큰 서비스를 제공하는 네이티브 OS를 사용하도록 설정한 도메인 컨트롤러를 설치한 후 정책에서 14자 암호보다 큰 시간/원인 링크를 제거하여 기능 사용 및 정책 애플리케이션 간의 시간/원인 링크를 제거합니다. 그룹 정책 및 도메인 컨트롤러 업데이트를 동시에 설치하는지 여부에 따라 다음과 같은 부작용이 표시될 수 있습니다.

• 현재 14자 암호보다 큰 애플리케이션에 대한 노출된 문제입니다.

• 릴리스 버전의 Windows 서버 2019의 혼합으로 구성된 도메인 또는 14자 암호 및 1 Windows 4자보다 큰 암호를 지원하지 않는 서버 2016 이전 2016 DC를 지원하는 2016 DC를 업데이트한 경우(백포트가 존재하고 설치될 때까지) Windows Server 2016.

• KB4467684를설치한 후 그룹 정책 "최소 암호 길이"가 14자보다 큰 구성되면 클러스터 서비스가 "2245(NERR_PasswordTooShort)"로 시작하지 못할 수 있습니다.

  이 알려진 문제의 지침은 도메인 기본 "최소 암호 길이" 정책을 14자 미만 또는 같게 설정하는 것이었다. 해결하기 위해 노력하고 있으며, 향후 릴리스에서 업데이트를 제공할 예정입니다.

앞의 문제로 2019년 1월 업데이트에서 14자 이상의 암호에 대한 DC 쪽 지원이 제거되어 기능을 사용할 수 없습니다.