Active Directory - Password Policy

안녕하세요 향기입니다.

AD에서 PW 정책 배포시에 복잡성을 만족해야 할 시에 요구 사항입니다.

많은 분들이 헷갈려 하시는 것 같아서 만들어 보았습니다.

저는 패스워드 정책을 사용자가 힘들에 가져가고 있군요..

라이브러리 가보시면 더 자세한 내용이 있습니다.

http://technet.microsoft.com/ko-kr/library/cc783512(WS.10).aspx

암호는 복잡성을 만족해야 함

암호는 복잡성을 만족해야 함

설명

이 보안 설정은 암호의 복잡성 요구 조건이 충족되는지 여부를 결정합니다.

이 정책을 사용하면 암호는 다음과 같은 최소 요구 사항을 충족시켜야 합니다.

• 사용자 계정 이름의 전부 또는 일부를 포함하지 않아야 합니다.
• 최소 여섯 문자여야 합니다.
• 다음 네 범주 중 세 범주의 문자를 포함해야 합니다.
  • 영어 대문자(A-Z)
  • 영어 소문자(a-z)
  • 기본 10진수(0-9)
  • 알파벳이 아닌 문자(예: !, $, #, %)

복잡성 요구 사항은 암호를 변경하거나 작성할 때 적용합니다.

http://technet.microsoft.com/ko-kr/library/cc786468(WS.10).aspx

최근 암호 기억

설명

이 보안 설정은 현재 암호를 다시 사용하기 전에 사용자 계정과 연결되어야 하는 고유한 새 암호의 개수를 결정합니다. 이 값은 0에서 24 사이여야 합니다.

이 정책을 사용하면 현재 암호가 더 이상 사용되지 않으므로 관리자는 보안을 향상시킬 수 있습니다.

기본값:

• 도메인 컨트롤러의 경우 24입니다.
• 독립 실행형 서버의 경우 0입니다.

해독 가능한 암호화를 사용하여 암호 저장

해독 가능한 암호화를 사용하여 암호 저장

설명

이 보안 설정은 운영 체제가 해독 가능한 암호화를 사용하여 암호을 저장할 것인지 여부를 결정합니다.

이 정책은 인증용 사용자 암호에 대한 정보를 요구하는 프로토콜을 사용하는 응용 프로그램을 지원합니다. 해독 가능한 암호화를 사용하여 암호를 저장하는 것은 일반 텍스트 버전의 암호를 저장하는 것과 같습니다. 이러한 이유로 응용 프로그램 요구 사항이 암호 정보를 보호하는 것보다 중요하지 않는 한 이 정책은 사용하지 말아야 합니다.

이 정책은 원격 액세스 또는 IAS(인터넷 인증 서비스)를 통해 CHAP(Challenge-Handshake 인증 프로토콜) 인증을 사용하는 경우에 필요합니다. 또한 IIS(인터넷 정보 서비스)의 다이제스트 인증을 사용하는 경우에도 필요합니다.

최소 암호 사용 기간

최소 암호 사용 기간

설명

이 보안 설정은 사용자가 암호를 변경하기 전에 사용해야 하는 기간(일 수)을 결정합니다. 이 값은 1에서 998일 사이로 설정하거나 즉시 변경할 수 있도록 0으로 설정할 수도 있습니다.

최소 암호 사용 기간은 최대 암호 사용 기간이 암호가 만료되지 않음을 나타내는 0으로 설정되지 않은 한 반드시 최대 암호 사용 기간보다 짧아야 합니다. 최대 암호 사용 기간이 0으로 설정되어 있으면 최소 암호 사용 기간이 0에서 998일 사이의 한 값으로 설정될 수 있습니다.

최근 암호 기억을 유효하게 하려면 최소 암호 사용 기간을 0보다 큰 수로 구성해야 합니다. 최소 암호 사용 기간이 없으면 사용자는 현재 암호에 도달할 때까지 모든 암호를 차례대로 사용할 수 있습니다. 기본 설정은 이 권장 구성과 동일하지 않으므로 관리자는 사용자에게 암호를 지정한 다음 사용자가 로그인할 때 지정된 암호를 변경하도록 요구할 수 있습니다. 현재 암호 기억이 0으로 설정되어 있으면 사용자는 새 암호를 선택할 필요가 없습니다. 이러한 이유로 최근 암호 기억의 기본 설정값은 1입니다.

기본값:

• 도메인 컨트롤러의 경우 1입니다.
• 독립 실행형 서버의 경우 0입니다.

< English >

Technet Site

http://technet.microsoft.com/en-gb/library/cc783512(WS.10).aspx

Passwords must meet complexity requirements

Updated: April 30, 2009

Applies To: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2

Password must meet complexity requirements

Description

This security setting determines whether passwords must meet complexity requirements.

If this policy is enabled, passwords must meet the following minimum requirements when they are changed or created:

• Not contain the user's entire Account Name or entire Full Name. The Account Name and Full Name are parsed for delimiters: commas, periods, dashes or hyphens, underscores, spaces, pound signs, and tabs. If any of these delimiters are found, the Account Name or Full Name are split and all sections are verified not to be included in the password. There is no check for any character or any three characters in succession.
• Contain characters from three of the following five categories:
  • English uppercase characters (A through Z)
  • English lowercase characters (a through z)
  • Base 10 digits (0 through 9)
  • Non-alphabetic characters (for example, !, $, #, %)
  • A catch-all category of any Unicode character that does not fall under the previous four categories. This fifth category can be regionally specific.

Minimum password length

Updated: January 21, 2005

Applies To: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2

Minimum password length

Description

This security setting determines the least number of characters that a password for a user account may contain. You can set a value of between 1 and 14 characters, or you can establish that no password is required by setting the number of characters to 0.

Default:

• 7 on domain controllers.
• 0 on stand-alone servers.

Enforce password history

Updated: January 21, 2005

Applies To: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2

Enforce password history

Description

This security setting determines the number of unique new passwords that have to be associated with a user account before an old password can be reused. The value must be between 0 and 24 passwords.

This policy enables administrators to enhance security by ensuring that old passwords are not reused continually.

Default:

• 24 on domain controllers.
• 0 on stand-alone servers.

Store passwords using reversible encryption

Updated: January 21, 2005

Applies To: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2

Store passwords using reversible encryption

Description

This security setting determines whether the operating system stores passwords using reversible encryption.

This policy provides support for applications that use protocols that require knowledge of the user's password for authentication purposes. Storing passwords using reversible encryption is essentially the same as storing plaintext versions of the passwords. For this reason, this policy should never be enabled unless application requirements outweigh the need to protect password information.

This policy is required when using Challenge-Handshake Authentication Protocol (CHAP) authentication through remote access or Internet Authentication Services (IAS). It is also required when using Digest Authentication in Internet Information Services (IIS).

Default: Disabled.

Minimum password age

Updated: January 21, 2005

Applies To: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2

Minimum password age

Description

This security setting determines the period of time (in days) that a password must be used before the user can change it. You can set a value between 1 and 998 days, or you can allow changes immediately by setting the number of days to 0.

The minimum password age must be less than the Maximum password age, unless the maximum password age is set to 0, indicating that passwords will never expire. If the maximum password age is set to 0, the minimum password age can be set to any value between 0 and 998.

Configure the minimum password age to be more than 0 if you want Enforce password history to be effective. Without a minimum password age, users can cycle through passwords repeatedly until they get to an old favorite. The default setting does not follow this recommendation, so that an administrator can specify a password for a user and then require the user to change the administrator-defined password when the user logs on. If the password history is set to 0, the user does not have to choose a new password. For this reason, Enforce password history is set to 1 by default.

Default:

• 1 on domain controllers.
• 0 on stand-alone servers.

Maximum password age

Updated: January 21, 2005

Applies To: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2

Maximum password age

Description

This security setting determines the period of time (in days) that a password can be used before the system requires the user to change it. You can set passwords to expire after a number of days between 1 and 999, or you can specify that passwords never expire by setting the number of days to 0. If the maximum password age is between 1 and 999 days, the Minimum password age must be less than the maximum password age. If the maximum password age is set to 0, the minimum password age can be any value between 0 and 998 days.

Note

• It is a security best practice to have passwords expire every 30 to 90 days, depending on your environment. This way, an attacker has a limited amount of time in which to crack a user's password and have access to your network resources.

Default: 42.