[해결] '로그온 시도나 암호 변경 시도를 너무 많이 했기 때문에, 계정 잠김' - 윈도우 방화벽 / 계정 아이디 변경

 

 

로그온 시도나 암호 변경 시도를 너무 많이 했기 때문에, 계정 잠김

 

도대체 나한테 왜그러냐고요

 

후, 또 난리네 또 난리야. 올해 초, 그러니까 1년 전쯤에 새벽에 로그온 불가로 화가 잔뜩나서 분노의 포스팅을 했던 적이 있다. 이녀석들은 잠도 없나 싶을 정도인데, 당연히 봇으로 돌리는거라 문제는 없을 것 같기는 하다. 집에서 로그인이 안되면 그냥 컴퓨터 껐다가 뭉게고 있으면 어느정도 해결이 되는데, 회사와서 원격 데스크톱 연결 문제가 발생하면 아주 미칠 노릇이다.

 

회사 컴퓨터보다 집 컴퓨터가 분석 환경이 더 좋다보니 자주 활용하곤 하는데, 아래 그림처럼 알람이 떠버리면 아주 미칠 노릇이다. 더군다나 가끔 서류를 보내야 할 때 집 컴퓨터에 원본이 있는 경우에는 아주 식은땀이 줄줄 흐르곤 한다. 10분 정도 컴퓨터 껐다가 키면 당연히 되긴 하겠지만 집에 아무도 없으면 이 또한 해결할 방법이 없다.

 

작년에 아래 포스팅처럼 해결하고 나서 크게 문제가 없었는데 1년쯤 지나니까 포트 번호가 스캔되었는지 이제 또다시 말썽이다. 아예 IP 접속 말고 도메인 접속으로 바꿔야하나 고민이 많다. 아주 짜증난다. 지금 할게 산더미인데 느려터진 회사 컴퓨터로 해야할 판이다.

 

▶ 윈도우 '참조된 계정이 현재 잠겨있어 로그인 불가' 해결 (원격 데스크톱)

 

로그온 시도나 암호 변경 시도를 너무 많이 했기 때문에 보안을 위해 사용자 계정이 잠겼습니다. 잠시 기다렸다가 다시 시도하거나 시스템 관리자나 기술 지원 서비스에 문의하십시오.

내가 한거 아니라고요 아이고 답답하네 진짜

 

 

로그온 사용자 계정 잠김 해결하기

 

• 내 컴퓨터에 털어갈 것 없으니 마음대로 해라

로그온 시도를 많이 했다. 결국 무차별 대입 공격이 들어오고 있다는 소리인데, 인터넷 어플이나 몇몇 홈페이지는 로그인 시도를 많이 하게 되는 경우에 로그인 시간에 제한을 두는 경우가 많다. 사실 brute force 공격이 정상 트래픽과 다를게 없기 때문에 로그인 시간에 제한을 둠으로써 공격 성공에 대한 확률은 낮춘다고 보면 된다.

 

그러면 원초적으로 그 제한을 없애기만 한다면 내가 언제든지 접속을 할 수 있다는 소리가 될 수 있다. 그래서 로그인을 수만번 하더라도 당연히 막힐일이 없다. 하지만 보안 요소적으로는 진짜 꽝이라는 소리가 된다.

 

1. 검색 - 로컬 보안 정책 - 엔터

2. 계정 정책 - 계정 잠금 정책 - 계정 잠금 임계값 / 계정 잠금 기간

3. 임계값 0번으로 설정

 

이렇게 되면 뭐가 문제냐, 이놈들이 지속적으로 공격을 시도할 수 있다는 것인데, 내 컴퓨터에 뭐 털어갈 것 없으면 그냥 냅두면 된다. 내 동생의 경우에는 윈도우 봇넷이 설치되서 포맷을 한 적이 있기는 하다. 그래도 내가 로그인만 잘 되면 장땡이라는 마인으로 할 수가 있다.

 

보통 계정 잠금 임계값과 계정 잠금 기간 설정이 되어있다면 그 시간동안 로그인을 못하기 때문에 슬프지만 어쩔 수 없다고 생각을 한다. 하지만 또 우리에게는 방법이 있지 않겠는가?

 

계정 잠금 임계값을 0번으로 해둔다.

 

 

• 솔직히 임계값은 해놔야 할 것 같은데? - 관리자만 허용

위에 방법이 진짜 편하기는 하지만 그래도 내 컴퓨터인데 공격자가 무자비하게 들어오는 것을 누가 좋아하겠는가. 사실 비밀번호만 드럽게 어렵다면 걱정은 하지 않아도 되는데, 누가 과연 이 방법을 선택할까 싶기는 하다. 하지만 방법이 아예 없지는 않다.

 

무차별 대입 공격을 진행할 때 딱 2가지 형식이 있는데 하나는 일반적으로 사용하는 관리자 계정을 ID로 입력하여 하는 경우, 그리고 많이 쓰는 ID를 가지고 공격하는 경우라고 보면 된다. 사실 계정이 잠기긴 하더라도 관리자 계정만 접속이 가능하다고 하면 조금더 보안적 측면이 나아지지 않을까?

 

그래서 계정 잠금 임계값을 설정해두고 관리자 계정 잠금만 '사용 안 함'으로 두면 깔끔하게 해결이 된다. 관리자 계정 잠금 허용은 위에와 동일한 경로에 '관리자 계정 잠금 허용'에서 사용 안 함으로 설정하면 된다. 아주 깔끔하다.

반응형

관리자만 허용하겠다 !

 

 

• 관리자 아이디를 더럽게 어렵게 하자

어차피 스캔 툴도 당연히 기본적인 관리자 아이디를 가지고 있다. admin이라던지 administrator, user 등 이런 아이디로 로그인을 해버리니 관리자만 허용한다 하더라도 위험 요소는 그대로 가지고 있게 된다. 그래서 하나의 방법으로는 관리자 아이디를 아주 어렵게 해두는 것이다.

 

끽해봐야 몇 개 아이디로 돌려서 로그인을 하게 되는데 그런 공격 시도들 또한 원칙적으로 차단할 수 있다. 참고로 대부분 외국에서 들어오기 때문에 일반적인 영어단어만 아니면 이친구들도 도저히 알 방법이 없다. 예를 들어 한국말 관리자를 영어로 그대로 친 'rhksflwk' 이렇게만 해도 아이디 유추하는데 한나절이 걸릴 것이다.

 

그럼 관리자 아이디를 바꿔보자. 크게 어렵지는 않고 내가 까먹지만 않으면 된다.

 

1. 검색 - 컴퓨터 관리 - 엔터
2. 시스템 도구 - 로컬 사용자 및 그룹 - 사용자

3. 우클릭 - 이름바꾸기 및 암호설정 (아주 멋지고 특이한 이름으로 설정)

4. 우클릭 - 속성 - 계정 사용 안함 체크 해제

 

 

 

• 보안을 극한으로 끌어올려보자

솔직히 이정도만 해도 사용하는데 아무 문제가 없기는 하다. 근데, 원초적으로 한 번 틀어 막아보고 싶다. 제로 트러스트. 사실 보안 용어이기는 하나 지금은 약간 열기가 식은 그런 단어이다. 아무도 믿지 않는 것으로 인증이나 망분리를 통해서 최소한의 권한만 주어지는 방식이다.

 

최근에 용어가 등장하긴 했지만 예전부터 쓰고 있던 방식이며, 우리가 흔히 아는 화이트리스트 방식과 비슷하다. 내가 지정한 친구 아니면 아무도 들이지 않겠다는 마인드이다. 사실 원격으로 접속하는 IP만 허용하면 아예 다른 분들은 아예 접근 조차 불가능 할 것이다.

 

문제는 원격을 진짜 수시로 다른 곳에서 접속을 해야해서 이 방식이 있다는 것만 써놓고 아마 적용은 하지 않을 것 같다. 그냥 그런 방식이 있다 정도만 알면 될 것 같고 원격 데스크톱 접속하는 IP가 정해져있다면야 이 방법이 최고이긴하다.

 

1. 검색 - Windows Defender 방화벽 - 엔터 - 고급 설정

2. 인바운드 규칙 - 원격 데스크톱 사용자모드 (TCP-In) - 영역

3. 특성 IP 또는 서브넷 입력

 

 

근데 이렇게까지 해야하나 싶다.