윈도우 감사 정책: Difference between revisions
From IT Wiki
No edit summary |
No edit summary |
||
Line 2: | Line 2: | ||
[https://technet.microsoft.com/ko-kr/library/mt634181(v=vs.85).aspx|마이크로소프트 윈도우 감사정책 안내 페이지] | [https://technet.microsoft.com/ko-kr/library/mt634181(v=vs.85).aspx|마이크로소프트 윈도우 감사정책 안내 페이지] | ||
==== 개체 액세스 감사 ==== | ====개체 액세스 감사==== | ||
* 특정 파일이나 디렉터리, 레지스트리 키, 프린터 같은 객체에 접근을 시도하거나 속성을 변경하려는 것을 탐지합니다. | *특정 파일이나 디렉터리, 레지스트리 키, 프린터 같은 객체에 접근을 시도하거나 속성을 변경하려는 것을 탐지합니다. | ||
* 그렇기 때문에 이를 적절히 수행하기 위해서는 대상을 선정하고 접근 권한을 부여하는 것을 개체별로 설정 합니다. | *그렇기 때문에 이를 적절히 수행하기 위해서는 대상을 선정하고 접근 권한을 부여하는 것을 개체별로 설정 합니다. | ||
* (ex. 하나의 파일을 만들고 속성 탭 -> 보안탭에서 설정 하면 그 객체에 대한 설정이 완료됩니다) | *(ex. 하나의 파일을 만들고 속성 탭 -> 보안탭에서 설정 하면 그 객체에 대한 설정이 완료됩니다) | ||
==== 계정 관리 감사 ==== | ====계정 관리 감사==== | ||
* 신규 사용자, 그룹의 추가, 기존 사용자의 그룹 변경, 사용자의 활성화/비활성화, 계정 패스워드 변경 등을 감사하며 사용자의 계정이 잠겨있더라도 성공 이벤트가 남게 됩니다. | *신규 사용자, 그룹의 추가, 기존 사용자의 그룹 변경, 사용자의 활성화/비활성화, 계정 패스워드 변경 등을 감사하며 사용자의 계정이 잠겨있더라도 성공 이벤트가 남게 됩니다. | ||
==== 계정 로그온 이벤트 감사 ==== | ====계정 로그온 이벤트 감사==== | ||
* 로그온 이벤트 감사와 비슷한 형태를 취하지만 가장 큰 차이로는 해당 항목은 도메인 계정의 사용으로 생성되며, 로그온 이벤트 감사는 로컬 계정의 사용으로 생성되는 것입니다. | *로그온 이벤트 감사와 비슷한 형태를 취하지만 가장 큰 차이로는 해당 항목은 도메인 계정의 사용으로 생성되며, 로그온 이벤트 감사는 로컬 계정의 사용으로 생성되는 것입니다. | ||
* 계정 로그온 이벤트 감사에서 실패를 추적하게 되면 패스워드 크래킹 시도 등을 확인 할 수 있습니다. | *계정 로그온 이벤트 감사에서 실패를 추적하게 되면 패스워드 크래킹 시도 등을 확인 할 수 있습니다. | ||
==== 권한 사용 감사 ==== | ====권한 사용 감사==== | ||
* 권한 설정을 변경할 때나 관리자 권한이 필요한 작업을 수행할 때 로깅합니다. 공격자가 계정을 생성하거나 권한을 변경하려고 할때 로그가 남습니다. 이 이벤트의 경우 관리자 권한의 작업이 일어날 때 마다 로그가 남기 때문에 많은 로그가 생성 될 수 있습니다. | *권한 설정을 변경할 때나 관리자 권한이 필요한 작업을 수행할 때 로깅합니다. 공격자가 계정을 생성하거나 권한을 변경하려고 할때 로그가 남습니다. 이 이벤트의 경우 관리자 권한의 작업이 일어날 때 마다 로그가 남기 때문에 많은 로그가 생성 될 수 있습니다. | ||
==== 디렉터리 서비스 액세스 감사 ==== | ====디렉터리 서비스 액세스 감사==== | ||
* 시스템 액세스 제어 목록이 지정되어 있는 액티브 디렉터리 개체에 접근하는 사용자에 대한 감사 로그를 제공하며 디렉터리 서비스의 대한 감사를 할 경우 너무 많은 종류의 로그가 남게 됩니다. | *시스템 액세스 제어 목록이 지정되어 있는 액티브 디렉터리 개체에 접근하는 사용자에 대한 감사 로그를 제공하며 디렉터리 서비스의 대한 감사를 할 경우 너무 많은 종류의 로그가 남게 됩니다. | ||
* 감사 이벤트는 구성된 SACL(시스템 액세스 제어 목록)이 있는 개체에서, SACL 설정과 일치하는 방식으로 액세스될 때만 생성됩니다. | *감사 이벤트는 구성된 SACL(시스템 액세스 제어 목록)이 있는 개체에서, SACL 설정과 일치하는 방식으로 액세스될 때만 생성됩니다. | ||
==== 로그온 이벤트 감사 ==== | ====로그온 이벤트 감사==== | ||
* 계정 로그온 이벤트 감사와 비슷하나, 로컬 계정의 접근 시 생성되는 이벤트를 감사하는 것으로 다양한 종류의 이벤트를 확인 할 수 있습니다. | *계정 로그온 이벤트 감사와 비슷하나, 로컬 계정의 접근 시 생성되는 이벤트를 감사하는 것으로 다양한 종류의 이벤트를 확인 할 수 있습니다. | ||
==== 시스템 이벤트 감사 ==== | ====시스템 이벤트 감사==== | ||
* 시스템의 다시 시작하거나 종료되는 경우, 보안 로그 삭제 등 시스템의 주요한 사항에 대한 이벤트를 남깁니다. | *시스템의 다시 시작하거나 종료되는 경우, 보안 로그 삭제 등 시스템의 주요한 사항에 대한 이벤트를 남깁니다. | ||
==== 정책 변경 감사 ==== | ====정책 변경 감사==== | ||
* 사용자 권한 할당 정책, 감사 정책 또는 신뢰 정책의 대한 모든 변경 사항을 로깅합니다. | *사용자 권한 할당 정책, 감사 정책 또는 신뢰 정책의 대한 모든 변경 사항을 로깅합니다. | ||
==== 프로세스 추적 감사 ==== | ====프로세스 추적 감사==== | ||
* 사용자나 응용 프로그램이 활성화 되거나 프로세스의 종료, 핸들의 복제 및 간접 개체 액세스 등이 일어날 때 로그가 발생합니다. | *사용자나 응용 프로그램이 활성화 되거나 프로세스의 종료, 핸들의 복제 및 간접 개체 액세스 등이 일어날 때 로그가 발생합니다. | ||
* 활성화 하게 되면 상당한 로그가 생성 되므로 특별한 목적에 의해서만 활성화 합니다. | *활성화 하게 되면 상당한 로그가 생성 되므로 특별한 목적에 의해서만 활성화 합니다. | ||
== | == 기본 값 == | ||
{| class="wikitable" | |||
!'''정책''' | |||
!'''서버 버전의 기본값''' | |||
!'''데스크탑 버전의 기본값''' | |||
|- | |||
|'''개체 액세스''' | |||
| | |||
| | |||
|- | |||
|'''계정 관리''' | |||
|사용자 계정 관리 : 성공 | |||
컴퓨터 계정 관리 : 성공 | |||
보안 그룹 관리 : 성공 | |||
|사용자 계정 관리 : 성공 | |||
보안 그룹 관리 : 성공 | |||
|- | |||
|'''계정 로그온 이벤트''' | |||
|자격 증명 유효성 검사 : 성공 | |||
Kerberos 서비스 티켓 작업 : 성공 | |||
Kerberos 인증 서비스 : 성공 | |||
| | |||
|- | |||
|'''권한 사용 감사''' | |||
| | |||
| | |||
|- | |||
|'''디렉터리 서비스 액세스''' | |||
|디렉터리 서비스 액세스 : 성공 | |||
| | |||
|- | |||
|'''로그온 이벤트''' | |||
|로그온 : 성공, 실패 | |||
로그오프 : 성공 | |||
계정 잠금 : 성공 | |||
특수 로그온 : 성공 | |||
네트워크 정책 서버 : 성공, 실패 | |||
|로그온 : 성공 | |||
로그오프 : 성공 | |||
계정 잠금 : 성공 | |||
특수 로그온 : 성공 | |||
네트워크 정책 서버 : 성공, 실패 | |||
|- | |||
|'''시스템 이벤트''' | |||
|보안 상태 변경 : 성공 | |||
시스템 무결성 : 성공, 실패 | |||
기타 시스템 이벤트 : 성공, 실패 | |||
|보안 상태 변경 : 성공 | |||
시스템 무결성 : 성공, 실패 | |||
기타 시스템 이벤트 : 성공, 실패 | |||
|- | |||
|'''정책 변경''' | |||
|감사 정책 변경 : 성공 | |||
인증 정책 변경: 성공 | |||
|감사 정책 변경 : 성공 | |||
인증 정책 변경: 성공 | |||
|- | |||
|'''프로세스 추적''' | |||
| | |||
| | |||
|} | |||
▲ 빈공간은 ‘감사 안함’ | |||
* [[윈도우 감사]] | ==같이 보기== | ||
* [[윈도우 감사 로그]] | |||
*[[윈도우 감사]] | |||
*[[윈도우 감사 로그]] | |||
[[분류:보안]] | [[분류:보안]] | ||
[[분류:정보보안기사]] | [[분류:정보보안기사]] |
Revision as of 11:01, 30 January 2022
감사 항목
개체 액세스 감사
- 특정 파일이나 디렉터리, 레지스트리 키, 프린터 같은 객체에 접근을 시도하거나 속성을 변경하려는 것을 탐지합니다.
- 그렇기 때문에 이를 적절히 수행하기 위해서는 대상을 선정하고 접근 권한을 부여하는 것을 개체별로 설정 합니다.
- (ex. 하나의 파일을 만들고 속성 탭 -> 보안탭에서 설정 하면 그 객체에 대한 설정이 완료됩니다)
계정 관리 감사
- 신규 사용자, 그룹의 추가, 기존 사용자의 그룹 변경, 사용자의 활성화/비활성화, 계정 패스워드 변경 등을 감사하며 사용자의 계정이 잠겨있더라도 성공 이벤트가 남게 됩니다.
계정 로그온 이벤트 감사
- 로그온 이벤트 감사와 비슷한 형태를 취하지만 가장 큰 차이로는 해당 항목은 도메인 계정의 사용으로 생성되며, 로그온 이벤트 감사는 로컬 계정의 사용으로 생성되는 것입니다.
- 계정 로그온 이벤트 감사에서 실패를 추적하게 되면 패스워드 크래킹 시도 등을 확인 할 수 있습니다.
권한 사용 감사
- 권한 설정을 변경할 때나 관리자 권한이 필요한 작업을 수행할 때 로깅합니다. 공격자가 계정을 생성하거나 권한을 변경하려고 할때 로그가 남습니다. 이 이벤트의 경우 관리자 권한의 작업이 일어날 때 마다 로그가 남기 때문에 많은 로그가 생성 될 수 있습니다.
디렉터리 서비스 액세스 감사
- 시스템 액세스 제어 목록이 지정되어 있는 액티브 디렉터리 개체에 접근하는 사용자에 대한 감사 로그를 제공하며 디렉터리 서비스의 대한 감사를 할 경우 너무 많은 종류의 로그가 남게 됩니다.
- 감사 이벤트는 구성된 SACL(시스템 액세스 제어 목록)이 있는 개체에서, SACL 설정과 일치하는 방식으로 액세스될 때만 생성됩니다.
로그온 이벤트 감사
- 계정 로그온 이벤트 감사와 비슷하나, 로컬 계정의 접근 시 생성되는 이벤트를 감사하는 것으로 다양한 종류의 이벤트를 확인 할 수 있습니다.
시스템 이벤트 감사
- 시스템의 다시 시작하거나 종료되는 경우, 보안 로그 삭제 등 시스템의 주요한 사항에 대한 이벤트를 남깁니다.
정책 변경 감사
- 사용자 권한 할당 정책, 감사 정책 또는 신뢰 정책의 대한 모든 변경 사항을 로깅합니다.
프로세스 추적 감사
- 사용자나 응용 프로그램이 활성화 되거나 프로세스의 종료, 핸들의 복제 및 간접 개체 액세스 등이 일어날 때 로그가 발생합니다.
- 활성화 하게 되면 상당한 로그가 생성 되므로 특별한 목적에 의해서만 활성화 합니다.
기본 값
정책 | 서버 버전의 기본값 | 데스크탑 버전의 기본값 |
---|---|---|
개체 액세스 | ||
계정 관리 | 사용자 계정 관리 : 성공
컴퓨터 계정 관리 : 성공 보안 그룹 관리 : 성공 |
사용자 계정 관리 : 성공
보안 그룹 관리 : 성공 |
계정 로그온 이벤트 | 자격 증명 유효성 검사 : 성공
Kerberos 서비스 티켓 작업 : 성공 Kerberos 인증 서비스 : 성공 |
|
권한 사용 감사 | ||
디렉터리 서비스 액세스 | 디렉터리 서비스 액세스 : 성공 | |
로그온 이벤트 | 로그온 : 성공, 실패
로그오프 : 성공 계정 잠금 : 성공 특수 로그온 : 성공 네트워크 정책 서버 : 성공, 실패 |
로그온 : 성공
로그오프 : 성공 계정 잠금 : 성공 특수 로그온 : 성공 네트워크 정책 서버 : 성공, 실패 |
시스템 이벤트 | 보안 상태 변경 : 성공
시스템 무결성 : 성공, 실패 기타 시스템 이벤트 : 성공, 실패 |
보안 상태 변경 : 성공
시스템 무결성 : 성공, 실패 기타 시스템 이벤트 : 성공, 실패 |
정책 변경 | 감사 정책 변경 : 성공
인증 정책 변경: 성공 |
감사 정책 변경 : 성공
인증 정책 변경: 성공 |
프로세스 추적 |
▲ 빈공간은 ‘감사 안함’