Applies ToWindows 10, version 1607, all editions Windows Server 2016, all editions Windows 10, version 1809, all editions Windows 10, version 1903, all editions Windows 10, version 1909, all editions Windows 10, version 2004, all editions Windows Server version 2004 Windows Server 2019, all editions

요약

Windows 10 2020년 8월 18일 릴리스된 업데이트는 다음에 대한 지원을 추가합니다.

  • 이벤트 감사를 통해 애플리케이션 및 서비스가 15자 이상 암호를 지원하는지 여부를 식별합니다.

  • 서버, 버전 2004 도메인 컨트롤러(Windows 15자 이상)의 최소 암호 길이 적용

지원되는 버전의 Windows

암호 길이 감사는 다음 버전의 암호에서 Windows. 15자 이상의 최소 암호 길이 적용은 Windows 서버, 버전 2004 및 이후 버전에서 지원 Windows.

Windows 버전

KB

지원

Windows 10 버전 2004 Windows 서버 버전 2004

릴리스 버전에 포함되어 있습니다.

적용 감사

Windows 10 버전 1909 Windows 서버 버전 1909

KB4566116

감사

Windows 10 버전 1903 Windows 서버 버전 1903

KB4566116

감사

Windows 10, 버전 1809 Windows 서버 버전 1809 Windows 서버 2019

KB4571748

감사

Windows 10 버전 1607 Windows Server 2016

KB4601318

감사

제안된 배포

도메인 컨트롤러

관리 작업대

감사: 최소 값 미만의 암호 사용량만 감사하는 경우 다음과 같이 배포합니다.

감사가 원하는 모든 지원되는 모든 C에 업데이트를 배포합니다.

새 그룹 정책 설정에 대해 지원되는 관리 작업대에 업데이트를 배포합니다. 이러한 작업대를 사용하여 업데이트된 그룹 정책을 배포합니다.

적용: 최소 길이 암호 적용이 필요한 경우 다음과 같이 배포합니다.

Windows 서버, 버전 2004 DC. 모든 DC는 이 버전 또는 이후 버전에 있어야 합니다. 추가 업데이트가 필요하지 않습니다.

버전 Windows 10 2004를 사용 합니다. 적용을 위한 새 그룹 정책 설정이 이 버전에 포함됩니다. 이러한 작업대를 사용하여 업데이트된 그룹 정책을 배포합니다.

배포 지침

최소 암호 길이 감사 및 적용에 대한 지원을 추가하기 위해 다음 단계를 수행합니다.

  1. 모든 도메인 컨트롤러에서 지원되는 Windows 버전에 업데이트를 배포합니다.

    1. 도메인 컨트롤러: 업데이트 및 이후 업데이트는 모든 DC에서 지원을 사용하도록 설정하여 14자 암호를 사용하도록 구성된 사용자 또는 서비스 계정을 인증합니다.

    2. 관리 작업대: 새 그룹 정책 설정을 DC에 적용할 수 있도록 관리 작업대에 업데이트를 배포합니다.

  2. 더 이상 필요한 암호가 필요한 도메인 또는 포리스트에서 MinimumPasswordLengthAudit 그룹 정책 설정을 사용하도록 설정합니다. 이 정책 설정은 도메인 컨트롤러 조직 단위(OU)에 연결된 기본 도메인 컨트롤러의 정책에서 사용하도록 설정해야 합니다.

  3. 감사 정책을 3~6개월 동안 사용하도록 설정하여 14자보다 큰 암호를 지원하지 않는 모든 소프트웨어를 검색하는 것이 좋습니다.

  4. 3~6개월 동안 암호를 관리하는 소프트웨어에 대해 기록된 Directory-Services-SAM 16978 이벤트에 대한 도메인을 모니터링합니다. 사용자 계정에 대해 기록된 Directory-Services-SAM 16978 이벤트를 모니터링할 수 없습니다.

    1. 가능하면 더 긴 암호 길이를 사용하도록 소프트웨어를 구성합니다.

    2. 소프트웨어 공급업체와 협력하여 더 긴 암호를 사용할 수 있는 소프트웨어를 업데이트합니다.

    3. 소프트웨어에서 사용하는 암호 길이와 일치하는 값을 사용하여 이 계정에 대한 세밀한 암호 정책을 배포합니다.

    4. 계정 암호를 관리하지만 긴 암호를 자동으로 사용하지 않는 소프트웨어의 경우 긴 암호를 사용하도록 구성할 수 없습니다. 이러한 계정에는 세밀한 암호 정책을 사용할 수 있습니다.

  5. 디렉터리-Services-SAM 16978 이벤트가 모두 해결된 후 최소 암호를 사용하도록 설정합니다. 이렇게 하려면 다음 단계를 수행하세요.

    1. 모든 WINDOWS(DC 포함)에 대한 적용을 지원하는 Read-Only 서버를 배포합니다.

    2. 모든 DC에서 RelaxMinimumPasswordLengthLimits 그룹 정책을 사용하도록 설정합니다.

    3. 모든 DC에서 MinimumPasswordLength 그룹 정책을 구성합니다.

그룹 정책

정책 경로 및 설정 이름, 지원되는 버전

설명

정책 경로: 컴퓨터 > Windows 설정 > 보안 설정 > 계정 정책 -> 암호 정책 -> 최소 암호 길이 감사 설정 이름: MinimumPasswordLengthAudit

지원되는:

  • Windows 10, 버전 1607

  • Windows Server 2016

  • Windows 10, 버전 1809

  • Windows 서버, 버전 1809

  • Windows 10, 버전 1903

  • Windows 서버, 버전 1903

  • Windows 10, 버전 1909

  • Windows 서버, 버전 1909

  • Windows 10, 버전 2004

  • Windows 서버, 버전 2004

  • 이후 버전

다시 시작이 필요하지 않습니다.

최소 암호 길이 감사

이 보안 설정은 암호 길이 감사 경고 이벤트가 발급되는 최소 암호 길이를 결정합니다. 이 설정은 1에서 128로 구성될 수 있습니다.

환경에서 최소 암호 길이 설정을 늘리는 잠재적 효과를 확인하려고 할 때만 이 설정을 사용하도록 설정하고 구성해야 합니다.

이 설정이 정의되지 않은 경우 감사 이벤트는 발급되지 않습니다.

이 설정이 정의되고 최소 암호 길이 설정보다 작거나 같을 경우 감사 이벤트는 발급되지 않습니다.

이 설정이 정의되고 최소 암호 길이 설정보다 크며 새 계정 암호의 길이가 이 설정보다 작을 경우 감사 이벤트가 발급됩니다.

정책 경로 및 설정 이름, 지원되는 버전

설명

정책 경로: 컴퓨터 > Windows 설정 > 보안 설정 > 계정 정책 -> 암호 정책 -> 최소 암호 길이 제한 설정 이름: RelaxMinimumPasswordLengthLimits

지원되는:

  • Windows 10, 버전 2004

  • Windows 서버, 버전 2004

  • 이후 버전

다시 시작이 필요하지 않습니다.

최소 암호 길이 레거시 제한 완화

이 설정은 최소 암호 길이 설정을 레거시 제한 14를 초과할 수 있는지 여부를 제어합니다.

이 설정이 정의되지 않은 경우 최소 암호 길이는 14를 넘지 않는 것으로 구성될 수 있습니다.

이 설정을 정의하고 사용하지 않도록 설정한 경우 최소 암호 길이를 14 이상으로 구성할 수 있습니다.

이 설정을 정의하고 사용하도록 설정하면 최소 암호 길이가 14 이상 구성될 수 있습니다.

자세한 내용은 를 https://go.microsoft.com/fwlink/?LinkId=2097191.

정책 경로 및 설정 이름, 지원되는 버전

설명

정책 경로: 컴퓨터 구성 > Windows 설정 > 보안 설정 > 계정 정책 -> 암호 정책 -> 최소 암호 길이 설정 이름: MinimumPasswordLength

지원되는:

  • Windows 10, 버전 2004

  • Windows 서버, 버전 2004

  • 이후 버전

다시 시작이 필요하지 않습니다.

이 보안 설정은 사용자 계정에 대한 암호가 포함할 수 있는 최소 문자 수를 결정합니다.

이 설정의 최대 값은 휴식 최소 암호 길이 제한 설정의 값에 따라 달라 습니다.

최소 암호 길이 제한 설정이 정의되지 않은 경우 이 설정을 0에서 14로 구성할 수 있습니다.

최소 암호 길이 제한 설정이 정의되어 비활성화된 경우 이 설정을 0에서 14로 구성할 수 있습니다.

최소 암호 길이 제한 설정이 정의되고 사용하도록 설정된 경우 이 설정을 0에서 128로 구성할 수 있습니다.

필요한 문자 수를 0으로 설정하면 암호가 필요하지 않습니다.

참고 기본적으로 구성원 컴퓨터는 도메인 컨트롤러의 구성을 따르고 있습니다.

기본값:

  • 도메인 컨트롤러의 7개

  • 독립 실행형 서버의 0

이 설정을 14보다 크게 구성하면 클라이언트, 서비스 및 애플리케이션과의 호환성에 영향을 줄 수 있습니다. 최소 암호 길이 감사 설정을 사용하여 새 설정에서 잠재적 비호환성에 대해 테스트한 후에 이 설정을 14보다 크게 구성하는 것이 좋습니다.

Windows 로그 메시지

이 추가 지원의 일부로 새 이벤트 ID 로그 메시지 3개가 포함되어 있습니다.

이벤트 ID 16977

최소PasswordLength, RelaxMinimumPasswordLengthLimits 또는 MinimumPasswordLengthLimits또는 MinimumPasswordLengthAudit 정책 설정이 그룹 정책에서 처음 구성되거나 수정될 때 이벤트 ID 16977이 기록됩니다. 이 이벤트는 DC에만 기록됩니다. RelaxMinimumPasswordLengthLimits 값은 서버, Windows 버전 2004 및 이후 버전 DC에만 기록됩니다.

이벤트 로그

시스템

이벤트 원본

Directory-Services-SAM

이벤트 ID

16977

수준

정보

이벤트 메시지 텍스트

도메인은 다음 최소 암호 길이 관련 설정을 사용하여 구성됩니다.

MinimumPasswordLength: RelaxMinimumPasswordLengthLimits: MinimumPasswordLengthAudit:

자세한 내용은 를 https://go.microsoft.com/fwlink/?LinkId=2097191.

이벤트 ID 16978

계정 암호를 변경하고 암호가 현재 MinimumPasswordLengthAudit 설정보다 짧을 때 이벤트 ID 16978이 기록됩니다.

이벤트 로그

시스템

이벤트 원본

Directory-Services-SAM

이벤트 ID

16978

수준

정보

이벤트 메시지 텍스트

다음 계정은 현재 MinimumPasswordLengthAudit 설정보다 길이가 짧은 암호를 사용하도록 구성됩니다.

AccountName: MinimumPasswordLength: MinimumPasswordLengthAudit:

자세한 내용은 를 https://go.microsoft.com/fwlink/?LinkId=2097191.

이벤트 ID 16979 적용

감사 그룹 정책 설정이 잘못 구성될 때 이벤트 ID 16979가 기록됩니다. 이 이벤트는 DC에만 기록됩니다. RelaxMinimumPasswordLengthLimits 값은 서버, Windows 버전 2004 이상 버전 DC에만 기록됩니다. 이는 포용적입니다.

이벤트 로그

시스템

이벤트 원본

Directory-Services-SAM

이벤트 ID

16979

수준

오류

이벤트 메시지 텍스트

이 도메인은 14보다 큰 MinimumPasswordLength 설정으로 잘못 구성됩니다. RelaxMinimumPasswordLengthLimits는 정의되지 않거나 비활성화되어 있습니다.

참고 수정될 때까지 도메인은 14의 더 작은 MinimumPasswordLength 설정을 적용합니다.현재 구성된 MinimumPasswordLength 값:

자세한 내용은 를 https://go.microsoft.com/fwlink/?LinkId=2097191.

이벤트 ID 16979 감사

감사 그룹 정책 설정이 잘못 구성될 때 이벤트 ID 16979가 기록됩니다. 이 이벤트는 DC에만 기록됩니다. 이 추가 지원의 일부로 감사에 대한 새 이벤트 로그 메시지 1개가 포함되어 있습니다.

이벤트 로그

시스템

이벤트 원본

Directory-Services-SAM

이벤트 ID

16979

수준

오류

이벤트 메시지 텍스트

도메인이 14보다 큰 MinimumPasswordLength 설정으로 잘못 구성됩니다.

참고 수정될 때까지 도메인은 14의더 작은 MinimumPasswordLength 설정을 적용합니다.

현재 구성된 MinimumPasswordLength 값:

자세한 내용은 다음을 https://go.microsoft.com/fwlink/?LinkId=2097191.

소프트웨어 암호 변경에 대한 지침

소프트웨어에서 암호를 설정할 때 최대 암호 길이를 사용하세요.

기록

전반적인 Microsoft 보안 전략은 암호가 없는 미래에 중점을 두지만 단기적으로는 많은 고객이 암호에서 마이그레이션할 수 없습니다. 일부 보안에 민감한 고객은 14자보다 큰 기본 도메인 최소 암호 길이 설정을 구성할 수 있습니다(예: 고객은 기존 짧은 단일 토큰 암호 대신 더 긴 암호를 사용하도록 사용자에게 교육한 후 이 작업을 할 수 있습니다. 이 요청을 지원하기 위해 Windows 서버 2018년 4월 Windows 서버 2016에서 최소 암호 길이를 14자에서 20자로 늘리는 그룹 정책 변경을 사용하도록 설정했습니다. 이 변경은 더 긴 암호를 지원하는 것으로 나타나지만 궁극적으로는 부족하고 그룹 정책이 적용될 때 새 값을 거부했습니다. 이러한 거부는 자동으로 수행된 것이고 시스템이 더 이상 암호를 지원하지 않는지 확인하기 위해 자세한 테스트가 필요했습니다. 시스템이 최소 암호 길이가 14자보다 큰 엔드-엔드를 올바르게 작동하도록 Windows Server 2016 Windows 서버 2019에 대해 SAM(보안 계정 관리자) 계층에 대한 후속 업데이트가 포함되어 있습니다. 시스템이 최소 암호 길이가 14자보다 큰 엔드-엔드를 올바르게 작동하도록 Windows Server 2016 Windows 서버 2019에 대해 SAM(보안 계정 관리자) 계층에 대한 후속 업데이트가 포함되어 있습니다.

MinimumPasswordLength 정책 설정은 모든 Microsoft 플랫폼에서 매우 오랜 시간 동안 0에서 14까지의 허용 범위를 가졌다. 이 설정은 로컬 보안 Windows Active Directory(및 이전의 NT4 도메인)에 모두 적용됩니다. 0(0)은 계정에 암호가 필요하지 않습니다.

이전 버전의 Windows 그룹 정책 UI에서는 최소 필수 암호 길이를 14자보다 길게 설정할 수 없습니다. 그러나 2018년 4월에는 다음과 같은 업데이트의 일부로 그룹 정책 UI에서 14자 Windows 10 지원이 추가된 업데이트가 릴리스되었습니다.

  • KB 4093120: 2018년 4월 17일-KB4093120(OS 빌드 14393.2214)

이 업데이트에는 다음 릴리스 참고 텍스트가 포함되어 있습니다.

"그룹 정책의 최소 암호 길이를 20자로 늘입니다."

2018년 4월 릴리스를 설치하고 업데이트를 변경한 일부 고객은 여전히 14자 암호를 사용할 수 없는 것으로 나타났습니다. 조사에 의하면 암호 정책에 정의된 14자보다 큰 암호를 서비스하는 DC 역할 컴퓨터에 추가 업데이트를 설치해야 하는지 확인했습니다. 다음 업데이트는 Windows Server 2016, Windows 10 버전 1607 및 14자 암호가 Windows 10 인증 요청에 대한 도메인 컨트롤러의 초기 릴리스를 사용하도록 설정했습니다.

  • KB 4467684: 2018년 11월 27일-KB4467684(OS 빌드 14393.2639)

이 업데이트에는 다음 릴리스 참고 텍스트가 포함되어 있습니다.

"최소 암호 길이가 14자보다 크도록 구성된 경우 도메인 컨트롤러가 그룹 정책 암호 정책을 적용하지 못하게 하는 문제를 해결합니다."

  • KB 4471327: 2018년 12월 11일-KB4471321(OS 빌드 14393.2665)

일부 고객은 2018년 4월부터 2018년 10월 업데이트까지 본질적으로 2018년 10월 업데이트를 설치한 후 정책에 14자 암호보다 큰 서비스를 제공하는 네이티브 OS를 사용하도록 설정한 도메인 컨트롤러를 설치한 후 정책에서 14자 암호보다 큰 시간/원인 링크를 제거하여 기능 사용 및 정책 애플리케이션 간의 시간/원인 링크를 제거합니다. 그룹 정책 및 도메인 컨트롤러 업데이트를 동시에 설치하는지 여부에 따라 다음과 같은 부작용이 표시될 수 있습니다.

  • 현재 14자 암호보다 큰 애플리케이션에 대한 노출된 문제입니다.

  • 릴리스 버전의 Windows 서버 2019의 혼합으로 구성된 도메인 또는 14자 암호 및 1 Windows 4자보다 큰 암호를 지원하지 않는 서버 2016 이전 2016 DC를 지원하는 2016 DC를 업데이트한 경우(백포트가 존재하고 설치될 때까지) Windows Server 2016.

  • KB4467684를설치한 후 그룹 정책 "최소 암호 길이"가 14자보다 큰 구성되면 클러스터 서비스가 "2245(NERR_PasswordTooShort)"로 시작하지 못할 수 있습니다.

    이 알려진 문제의 지침은 도메인 기본 "최소 암호 길이" 정책을 14자 미만 또는 같게 설정하는 것이었다. 해결하기 위해 노력하고 있으며, 향후 릴리스에서 업데이트를 제공할 예정입니다.

앞의 문제로 2019년 1월 업데이트에서 14자 이상의 암호에 대한 DC 쪽 지원이 제거되어 기능을 사용할 수 없습니다.

도움이 더 필요하세요?

더 많은 옵션을 원하세요?

구독 혜택을 살펴보고, 교육 과정을 찾아보고, 디바이스를 보호하는 방법 등을 알아봅니다.

커뮤니티를 통해 질문하고 답변하고, 피드백을 제공하고, 풍부한 지식을 갖춘 전문가의 의견을 들을 수 있습니다.