English

◀◁ 뒤로 취약점ID 28338 위험도 20 포트 139,445 프로토콜 TCP 분류 SMB 상세설명 '계정 잠금 임계값'이 설정되지 않았거나 보안 정책에 정의된 값보다 크다. 이 설정은 공격자가 어떤 계정에 대해 무작위 로그인 시도(Brute Force) 공격을 성공적으로 시도할 수 있게 해 줄 수도 있다. 계정 잠금 임계값은 계정이 일정한 시간 동안 잠기기 전에 로그온 실패가 얼마나 많이 시도될 수 있는 지를 정의한다. 잠금 시간은 너무 길어서는 안 된다. 그렇지 않으면 공격자가 서비스 거부 공격으로 잠금 시간을 이용할 수 있다. 잠겨진 계정은 관리자가 리셋해 주기 전까지, 혹은 계정에 대한 잠금 시간이 만료되기 전까지 이용할 수 없다. 로그온 시도 실패는 0에서 999 까지의 값이 설정될 수 있다. 0으로 값을 설정하면 계정은 절대 잠기지 않는다. 디폴트 설정은 잠기지 않게 되어 있다. 암호 사용 화면 보호기에서의 시도는 실제 로그온하는 것이 아니므로 카운트되지 않는다. * 참고 사이트: http://www.securityfocus.com/infocus/1297 * 영향을 받는 플랫폼: Windows NT, 2000, 2003, XP, 7, 8, 2012, 10 ,2016, 2019 Any version 해결책 n 번의 잘못된 로그인 시도 값을 현 보안 정책에 있는 값보다 같거나 작게 설정하여야 한다. 계정 잠금 임계값을 변경하기 위해서는: Windows NT의 경우: 1. 사용자 관리자를 연다. (Windows NT 시작 메뉴에서 프로그램, 관리 도구 (공용), 사용자 관리자를 선택한다.) 2. 정책 메뉴에서 계정 정책 다이얼로그 박스의 디스플레이를 위해 계정을 선택한다. 3. 계정 잠금을 사용함으로 한다. 4. n 번의 잘못된 로그인 시도를 현 정책에 있는 값보다 같거나 작게 설정한다. 5. 확인을 클릭한다. Windows 2000 도메인의 경우: 1. 마이크로소프트 관리 콘솔 (mmc)를 시작한다. Windows 시작 메뉴에서 실행을 선택한 후, mmc를 타이핑하고 확인을 클릭한다. 2. 그룹 정책 스냅인을 추가한다. 3. 그룹 정책 개체를 찾는다. 4. 희망하는 도메인 정책을 선택한다. 5. 다음 경로를 찾아간다: 컴퓨터 구성, Windows 설정, 보안 설정, 계정 정책, 계정 잠금 정책, 계정 잠금 임계값 6. 관리 정책에 따라 원하는 값으로 계정 잠금 임계값을 설정한다. Stand-alone 방식의 Windows 2000 컴퓨터의 경우: 1. 영향을 받는 컴퓨터에서 gpedit.msc를 시작한다. Windows 시작 메뉴에서 실행을 선택한 후, gpedit.msc를 타이핑하고 확인을 클릭한다. (디폴트로 로컬 컴퓨터에 맞춰져 있다.) 2. 다음 경로를 찾아간다: 컴퓨터 구성, Windows 설정, 보안 설정, 계정 정책, 계정 잠금 정책, 계정 잠금 임계값 3. 관리 정책에 따라 원하는 값으로 계정 잠금 임계값을 설정한다. Windows XP, 2003, 7, 2008, 8, 2012, 10, 2016, 2019 컴퓨터의 경우: 1. 영향을 받는 컴퓨터에서 gpedit.msc를 시작한다. Windows 시작 메뉴에서 실행을 선택한 후, gpedit.msc를 타이핑하고 확인을 클릭한다. (디폴트로 로컬 컴퓨터에 맞춰져 있다.) 2. 다음 경로를 찾아간다: 컴퓨터 구성, Windows 설정, 보안 설정, 계정 정책, 계정 잠금 정책, 계정 잠금 임계값 3. 관리 정책에 따라 원하는 값으로 계정 잠금 임계값을 설정한다. 관련 URL CVE-1999-0582 (CVE) 관련 URL (SecurityFocus) 관련 URL 68 (ISS)