W-63: 도메인 컨트롤러-사용자의 시간 동기화
분류: Windows
중요도: 중
개요
점검 내용
도메인 컨트롤러와 사용자의 시간 동기화 여부 점검
점검 목적
이 설정은 Kerberos가 클라이언트 시계의 시간과 서버 시계의 시간 사이에서 허용되는 최대 시간 차이(분)를 결정하는 동시에 두 시계의 동기를 고려하여, 재전송 공격을 방지하기 위함
보안 위협
Replay Attack 이란 프로토콜 상 메시지를 복사한 후 재전송함으로써 승인된 사용자로 오인하게 만들어 내부 침입 및 정보 유출 위험이 존재함
참고
점검 대상 및 판단 기준
대상
Windows 2012, 2016, 2019, 2022
판단 기준
✅ 양호: 컴퓨터 시계 동기화 최대 허용 오차값이 5분 이하인 경우
❌ 취약: 컴퓨터 시계 동기화 최대 허용 오차값이 5분 초과인 경우
조치 방법
Kerberos 사용 시 컴퓨터 시계 동기화 최대 허용 오차값 5분 이하로 설정
조치 시 영향
일반적인 경우 영향 없음
점검 및 조치 사례
Windows 2012, 2016, 2019, 2022
- 시작 > 제어판 > 관리 도구 > 로컬 보안 정책 > 계정 정책 > Kerberos 정책
- 컴퓨터 시계 동기화 최대 허용 오차 5분으로 설정
[ 컴퓨터 시계 동기화 최대 허용 오차 ]