Windows 2012 R2(Windows 8)에서 부팅이 안되고 검은 화면이 나타나면서 더이상 부팅 진행이 안되는 현상
BaroPAM 설치 후 Windows 2012 R2(Windows 8)에서 부팅이 되어 로그온 화면이 나와야 하는데 부팅이 안되고 검은 화면이 나타나면서 더이상 부팅 진행이 안되는 현상은 Windows의 보안 정책을 다음과 같이 설정을 변경하면 된다.
1. "대화형 로그온: <Ctrl+Alt+Del>을 사용할 필요 없음" 설정 변경
이 정책설정은 <Ctrl+Alt+Del>을 먼저 눌러야 사용자 로그온할 수 있는지 여부를 결정한다. 컴퓨터에 이 정책을 사용하면 사용자자가 로그온하기 위해 <Ctrl+Alt+Del>을 누르지 않아도 된다.
첫번째, 컴퓨터의 명령 프롬프트 화면을 실행한 후 다음과 같이 "secpol.msc" 명령어를 실행하여 보안 정책을 변경할 수 있는 화면을 호출한다.
두번째, 호출된 보안 정책 화면에서 "보안 설정 -> 로컬 정책 -> 보안 옵션 -> 대화형 로그온: [Ctrl + Alt + Del]을 사용할 필요 없음"을 선택한 후 "사용(E) -> 적용(A)"을 적용한다.
2. "대화형 로그온: 컴퓨터 계정 잠금 임계값" 설정 변경
이 정책설정은 외부의 해커나 내부 사용자가 불법적으로 컴퓨터에 접근하는 것을 제한하여 컴퓨터의 접근 보안을 강화시키는 설정으로 운영 체제 볼륨을 보호하기 위해 BitLocker를 사용하도록 설정된 컴퓨터에 잠금 정책을 적용한다.
예) 정부 정책
정보보호시스템 및 네트워크 장비에 대한 ‘국가용 보안요구사항 우선 적용’ 원칙에 따라 ‘적용하지 않는다’고 명시한 경우를 제외하고 제품 단위로는 국가용 보안요구사항에 정의된 동일 기능을 우선 식별하여 적용해야 합니다. 1.1.2 제품은 사용자 식별 및 인증을 위해 1.1.1과 병행하여 추가적인 식별 및 인증 기능을 자체 또는 외부 IT실체와 연동하여 제공해야 한다. ① 추가적인 식별 및 인증 기능 제공을 위해 △FIDO 표준을 준수한 2FA 지원 기기 △인증서 △일회용 비밀번호 생성기(OTP) 등을 활용할 수 있다. 인증실패 대응은 1.2.1 제품에서 사용자 인증이 설정된 횟수만큼 연속적으로 실패하면, 식별 및 인증 기능이 비활성화 되어야 한다. 2013년 12월에 공지된 금융감독원의 전자금융감독규정을 보면, 제14조 9항 신설 "9. 정보처리시스템의 운영체제(Operating System) 계정으로 로그인(Log in)할 경우 계정 및 비밀번호 이외에 별도의 추가인증 절차를 의무적으로 시행할 것." 2020년 11월에 공지된 재택근무 관련 금융감독원의 전자금융감독규정 시행세칙을 보면, 제2조의2 제1, 2항 개정안(<별표 7> 망분리 대체 정보보호 통제) 원격접속에 대한 인증은 이중 인증 적용(예: ID/PW + OTP), 일정 횟수(예: 5회) 이상 인증 실패 시 접속 차단 인증수단을 특정하지는 않고 있으나, 지식기반.소유기반.특정기반 인증 수단 중 서로 다른 방식에 속하는 인증수단 2개를 조합 |
보안 설정을 사용하면 BitLocker를 사용하여 디바이스를 잠글 수 있는 실패한 로그인 시도 횟수에 대한 임계값을 설정할 수 있다.
이 임계값은 지정된 최대 로그인 시도 실패 횟수를 초과하면 디바이스가 TPM(신뢰할 수 있는 플랫폼 모듈) 보호기 및 48자리 복구 암호를 제외한 다른 보호기를 무효화한 다음 다시 부팅한다.
디바이스 잠금 모드 중에 컴퓨터 또는 디바이스는 권한 있는 사용자가 복구 암호를 입력하여 모든 권한을 복원할 때까지만 WinRE(터치 사용 Windows 복구 환경)로 부팅된다.
이 정책의 설정은 호출된 보안 정책 화면에서 "보안 설정 -> 로컬 정책 -> 보안 옵션 -> 대화형 로그온: 컴퓨터 계정 잠금 임계값"을 선택한 후 잘못된 로그온 시도 횟수인 "5"회를 입력한 후 "적용(A)" 버튼을 눌러서 설정값을 적용한다.
참고) "대화형 로그온: 컴퓨터 계정 잠금 임계값" 설정 변경은 권고 사항임.