AD GPO(그룹정책) 설정

안녕하세요. 춘사미 입니다. 

 

 

오늘은 AD GPO(그룹 정책)을 설정 해볼예정입니다. 

 

GPO (Group Policy)은 Microsoft Windows 운영 체제에서 사용되는 기능 중 하나로, 관리자가 사용자의 작업 환경을 제어하고 관리할 수 있는 방법을 제공합니다. 관리자는 사용자와 컴퓨터의 설정을 관리할 수 있으며, 특정 그룹이나 개별 사용자에게 적용할 수 있습니다.

관리자는 로컬관리자일 수도 있고, 도메인환경에서 도메인의 관리자일 수도 있고, 다양한 부분에서 관리자가 존재할 수 있습니다.

 

 

 

이제 간단한 GPO 설정을 해보겠습니다. 

GPO 정책설정을 하기 위해서는 아래사진 처럼 서버 관리자 -> 도구 -> 그룹정책관리 를 클릭하여 정책을 생성할 수 있습니다

 

도메인 클릭 후 새 조직 구성단위를 클릭합니다.

 

 

새 조직 구성단위의 이름을 작성 후 확인을 클릭합니다.

 

 

 

만들어진 조직 구성단위에서 우클릭 - 이 도메인에서 GPO를 만들어 여기에 연결 을 클릭합니다.

 

새 GPO의 이름을 설정합니다.

 

 생성된 GPO를 우클릭 하여 편집에 들어갑니다. 

 

이 후 GPO를 설정 한 뒤 저장합니다.

 

 

 

1. GPO암호정책 설정

 

GPO 패스워드 정책 최근암호정책 설정은 아래사진에 나와있는대로 그룹 정책 관리 편집기에서

컴퓨터구성 > Windows 설정 > 보안설정 > 계정 정책>암호정책에서 설정할 수 있습니다.

 

1.1. 최근 암호 기억속성은 패스워드 변경시 이전 패스워드를 입력시 변경이 되지않게 하는 설정입니다.

 

1.2. 최소암호사용기간 정책은 설정한 기간만큼은 설정한 암호를 사용해야하는 정책입니다.

 

1.3.최대암호 사용 기간 속성은 패스워드 만료일자를 설정할수있습니다.

 

1.4.암호정책에서 최소암호길이도 설정이 할 수 있습니다.

 

1.5.아래 설정은 사용자 패스워드를 암호를 해독가능한 암호로 저장은 사용할경우 노출된 사용자에게 암호 복호화공격을 하였을 시 패스워드가 획득가능하기 때문에 사용안함으로 설정하는것을 추천합니다.

 

1.6.암호 복잡성 설정을 사용하면 패스워드를 변경 하거나 새로 생성할시 영문,숫자,특수문자를 조합하여 최소 8자 이상의 패스워드를 설정하여야 합니다.

 

 

 

2.감사정책

AD DC에서 eventvwr.msc 이벤트 뷰어를 통해 보여질 로그 정책을 설정할수있습니다.

감사정책 설정은 컴퓨터 구성 > 정책 > Windows 설정 > 보안설정 > 감사정책에서 설정이 가능합니다.

 

2.1. 계정관리 감사 속성은 신규 사용자, 그룹의 추가, 기존 사용자의 그룹 변경, 사용자의 활성화/비활성화, 계정 패스워드 변경 등을 감사하며 사용자의 계정이 잠겨있더라도 성공 이벤트가 남게 됩니다.

 

 

2.2. 계정 로그온 이벤트 감사 속성은 로그온 이벤트 감사와 비슷한 형태를 취하지만 가장 큰 차이로는 해당 항목은 도메인 계정의 사용으로 생성되며, 로그온 이벤트 감사는 로컬 계정의 사용으로 생성되는 것입니다.

계정 로그온 이벤트 감사에서 실패를 추적하게 되면 패스워드 크래킹 시도 등을 확인 할 수 있습니다.

 

 

2.3. 디렉터리 서비스 엑세스 감사는 시스템 액세스 제어 목록이 지정되어 있는 액티브 디렉터리 개체에 접근하는 사용자에 대한 감사 로그를 제공하며 디렉터리 서비스의 대한 감사를 할 경우 너무 많은 종류의 로그가 남게 됩니다.

 

 

2.4. 로그온 이벤트 감사 속성은 계정 로그온 이벤트 감사와 비슷하나, 로컬 계정의 접근 시 생성되는 이벤트를 감사하는 것으로 다양한 종류의 이벤트를 확인 할 수 있습니다.

 

 

2.5.시스템 이벤트 감사 속성은 시스템의 다시 시작하거나 종료되는 경우, 보안 로그 삭제 등 시스템의 주요한 사항에 대한 이벤트를 남깁니다.

 

 

 

3.계정 잠금정책 설정

계정잠금 정책설정은 컴퓨터 구성 > 정책 > Windows 설정 > 계정잠금정책 에서 아래와 같은 정책을 설정할수있습니다.

 

3.1.계정 잠금 임계값 속성에서 특정횟수 패스워드입력에 실패하면 계정로그인을 잠금을 설정할수 있습니다.

 

 

 

3.2. 계정 잠금 기간 속성은 사용자가 일정횟수 패스워드를 틀렸을경우 설정한 시간만큼 계정이 잠깁니다.

 

 

4.화면보호기 정책 설정

화면 보호기 정책은 사용자구성 > 정책 > 관리템플릿 > 제어판 > 개인 설정

 

4.1. 화면보호기 사용 정책 에서 클라이언트 사용자의 화면보호기 설정을 할수있습니다.

 

 

 

4.2.화면보호기 시간 제한은 클라이언트 사용자에게 설정한 시간이 지나면 화면보호기를 시작하게 하는 정책입니다.

 

 

 

4.3. 화면보호기 암호로 보호는 화면보호기 해제시 사용자암호입력을 설정할수 있는 정책입니다.

 

 

 

5.방화벽 정책

 

방화벽 정책을 설정하기 위해서 컴퓨터구성 > Windows 설정 > 보안설정 > 고급 보안이 포함된 Windows Defender 방화벽 > 고급 보안이 포함된 Windows Defender 방화벽 에서 설정할 수 있습니다.

 

 

 

아래의 화면의 Windows Defender 방화벽 속성 클릭합니다.

 

 

 

방화벽 상태 사용안함 을클릭하여 사용 또는 사용안함으로 설정이 할 수 있습니다.

 

 

 

설정 완료 후 GPO를 적용 시켜 줍니다. 

 

 

CMD창 또는 PowerShell에 접속하여 

명령어 gpupdate /force 를 입력하여 즉각적으로 업데이트를 진행합니다. 

 

* 그룹정책을 설정 하더라도 바로 설정 값으로 업데이트 되는 것이 아니라 90분의 시간과 30분의 오프셋 이후에 정책이 설정됩니다.

 

이후 정상적으로 배포 되었는지 확인을 위해 

AD2 번에서 접속하여 gpresult /r 명령어를 사용합니다. 

 

 

그룹정책이 정상적으로 적용된것을 확인 할수있었습니다. 

 

이상으로 GPO 설정을 마쳐보겠습니다.

 

감사합니다.