포리스트

1. Tenable Identity Exposure에서 시스템> 포리스트 관리를 클릭합니다.

2. 오른쪽에 있는 포리스트 추가를 클릭합니다.

   포리스트 추가 창이 표시됩니다.

3. 이름 상자에 포리스트 이름을 입력합니다.

4. 계정 섹션에 Tenable Identity Exposure에서 사용하는 계정에 대해 다음과 같은 정보를 입력합니다.
   • 로그인: 서비스 계정의 이름을 입력합니다.
   형식: 사용자 주체 이름, 예를 들어 “[email protected]”(Kerberos 인증과의 호환성을 위해 권장) 또는 NetBIOS(예: “DomainNetBIOSName\SamAccountName”).
   • 비밀번호: 서비스 계정의 비밀번호를 입력합니다.
참고: Tenable Identity Exposure의 AD 서비스 계정을 보호된 사용자 그룹 구성원으로 설정해야 하는 경우, Tenable Identity Exposure 구성이 Kerberos 인증을 지원해야 합니다. 보호되는 사용자는 NTLM 인증을 사용할 수 없기 때문입니다.

5. 추가를 클릭합니다.

   메시지가 표시되어 새 포리스트가 추가되었다고 확인합니다.

1. Tenable Identity Exposure에서 시스템> 포리스트 관리를 클릭합니다.

2. 포리스트 목록에서 수정하려는 포리스트를 가리키고 오른쪽에 있는 아이콘을 클릭합니다.

   포리스트 편집 창이 표시됩니다.

3. 필요에 따라 수정합니다.

4. 편집을 클릭합니다.

   메시지가 표시되어 Tenable Identity Exposure에서 포리스트를 업데이트했다고 확인합니다.

사용자 계정 제어 설정은 Windows의 로컬 보안 정책 편집기나 그룹 정책 편집기(적절한 관리자 권한이 있어야 함)를 사용해 수정하면 됩니다.

• 편집기에서 로컬 정책 > 보안 옵션으로 이동하여 다음과 같은 설정을 찾아 구성합니다(이 내용은 Windows 버전에 따라 다를 수 있음).

  • "네트워크 액세스: 네트워크 인증을 위한 비밀번호 및 자격 증명 저장 허용 안 함": 사용으로 설정합니다.

  • "계정: Kerberos 사전 인증 필수 아님": 사용 중지로 설정합니다.

  • "네트워크 보안: Kerberos에 대해 허용된 암호화 유형 구성": "이 계정에 Kerberos DES 암호화 유형 사용" 옵션을 선택하면 안 됩니다.

  • "계정: 최대 비밀번호 기간": 비밀번호 만료 기간을 설정합니다(예: PasswordNeverExpires = FALSE가 되도록 30일, 60일, 90일 등이어야 함).

  • "계정: 로컬 계정의 빈 비밀번호 사용을 콘솔 로그온으로만 제한": 사용 중지로 설정합니다.

  • "대화형 로그온: 캐시할 이전 로그온 수(도메인 컨트롤러를 사용할 수 없는 경우)": 원하는 값(예: "10")으로 설정해 사용자가 자신의 비밀번호를 변경하도록 허용합니다.

• AD를 호스팅하는 컴퓨터에서 적절한 관리 권한으로 PowerShell을 열고 다음과 같은 명령을 실행합니다.

복사

Set-ADAccountControl -Identity <AD_ACCOUNT> -AccountNotDelegated $true -UseDESKeyOnly $false -DoesNotRequirePreAuth $false -PasswordNeverExpires $false -PasswordNotRequired $false -CannotChangePassword $false

여기에서 <AD_ACCOUNT>는 수정하려는 Active Directory 계정의 이름입니다.