You are here:--윈도우 감사정책

윈도우 감사정책

PLURA 서비스는 정보보안을 목적으로 보안에 관한한 직접적이고 디테일한 접근을 시도 하고 있습니다.

◈ 감사 정책 이란

    • 감사 정책은 컴퓨터의 보안에 영향을 미치는 보안 설정을 조합한 것입니다. 로컬 보안 정책을 사용하여 로컬 컴퓨터의 정책들을 편집할 수 있습니다.
    • 로컬 보안 정책을 사용하여 다음을 제어 할 수 있습니다.
      ( ▼ 윈도우키윈도우키+R > secpol.msc > 로컬 정책 > 감사 정책 )
      로컬보안정책
  • Windows를 설치하시면 로컬 보안 정책의 ‘기본 설정값’이 이미 정해져 있습니다.
    정책 서버 버전의 기본값 데스크탑 버전의 기본값
    개체 액세스
    계정 관리 사용자 계정 관리 : 성공
    컴퓨터 계정 관리 : 성공
    보안 그룹 관리 : 성공
    사용자 계정 관리 : 성공
    보안 그룹 관리 : 성공
    계정 로그온 이벤트 자격 증명 유효성 검사 : 성공
    Kerberos 서비스 티켓 작업 : 성공
    Kerberos 인증 서비스 : 성공
    권한 사용 감사
    디렉터리 서비스 액세스 디렉터리 서비스 액세스 : 성공
    로그온 이벤트 로그온 : 성공, 실패
    로그오프 : 성공
    계정 잠금 : 성공
    특수 로그온 : 성공
    네트워크 정책 서버 : 성공, 실패
    로그온 : 성공
    로그오프 : 성공
    계정 잠금 : 성공
    특수 로그온 : 성공
    네트워크 정책 서버 : 성공, 실패
    시스템 이벤트 보안 상태 변경 : 성공
    시스템 무결성 : 성공, 실패
    기타 시스템 이벤트 : 성공, 실패
    보안 상태 변경 : 성공
    시스템 무결성 : 성공, 실패
    기타 시스템 이벤트 : 성공, 실패
    정책 변경 감사 정책 변경 : 성공
    인증 정책 변경: 성공
    감사 정책 변경 : 성공
    인증 정책 변경: 성공
    프로세스 추적

    (▲ 빈공간은 ‘감사 안함’입니다. )

     

  • 감사 설정을 구성하지 않으면 보안 관련 문제 상황 동안 어떠한 일이 발생했는지 파악하기란 거의 불가능 합니다. 그러나 구성된 감사 설정에서 이벤트를 생성하는 허가된 작업이 너무 많으면 보안 이벤트 로그가 불필요한 데이터로 가득차게 됩니다. 또한 많은 수의 개체에 대해 감사 설정을 구성하면 전체 컴퓨터 성능에도 영향을 줄 수 있습니다.합법적인 사용자가 자신의 작업에 책임을 지고 허가되지 않은 작업을 검색 및 추적할 수 있도록 모든 컴퓨터에서 적합한 감사 정책 설정을 사용해야 합니다.

1. 개체 액세스 감사

  1. 이 정책 설정은 파일, 폴더, 레지스트리 키, 프린터 등 감사 요구 사항을 지정하는 SACL(시스템 액세스 제어 목록)이 있는 개체에 액세스하는 사용자의 이벤트를 감사할지 여부를 결정합니다.
  2. 성공 감사는 사용자가 SACL이 있는 개체에 성공적으로 액세스하면 감사 항목을 생성합니다.
  3. 실패 감사는 사용자가 SACL이 있는 개체에 액세스하지 못할 때 감사 항목을 생성합니다. 정상적인 컴퓨터 작업 중에도 실패 이벤트가 발생할 수 있습니다. 예를 들어 Microsoft Word 등의 많은 응용 프로그램은 항상 읽기 및 쓰기 권한을 모두 사용하여 파일을 열려고 합니다. 이와 같은 권한으로 파일을 열 수 없는 경우 응용 프로그램에서는 읽기 전용 권한으로 파일을 열려고 시도합니다. 실패 감사 및 파일에 대한 적절한 SACL을 사용하는 경우 그와 같은 이벤트가 발생하면 실패 이벤트가 기록됩니다.
  4. 개체 액세스 감사 정책 설정을 구성하고 개체에 대해 SACL을 구성하면 조직의 컴퓨터에 있는 보안 로그에 많은 양의 항목이 생성될 수 있습니다. 그러므로 로그되는 정보를 실제로 사용하려는 경우에만 이러한 설정을 사용해야 합니다.

2. 계정 관리 감사

  • 이 정책 설정은 컴퓨터의 각 계정 관리 이벤트를 감사할지 여부를 결정합니다.
    – 사용자 계정 또는 그룹을 만들거나 변경하거나 삭제시
    – 사용자 계정의 이름을 바꾸거나 사용자 계정을 사용 또는 사용하지 않을시
    – 암호를 설정하거나 변경시
  • 성공 감사는 계정 관리 이벤트가 성공할 때 감사 항목을 생성하므로 모든 컴퓨터에서 사용해야 합니다.조직이 보안 관련 문제 상황에 대처할 때는 계정을 만들거나 변경하거나 삭제한 사용자를 추적할 수 있어야 합니다.
  • 실패 감사는 계정 관리 이벤트가 실패할 때 감사 항목을 생성합니다.

3. 계정 로그온 이벤트 감사

  • 이 정책 설정은 이벤트를 기록하고 계정 유효성을 검사하는 컴퓨터가 아닌 다른 컴퓨터에서 각 사용자 로그온 또는 로그오프 인스턴스를 감사할지 여부를 결정합니다.
  • 성공 감사는 계정 로그온 시도가 성공할 때 감사 항목을 생성합니다. 이 감사 항목은 로그온한 사용자 및 로그온 컴퓨터를 확인할 수 있는 회계 및 사후 법적 절차용의 유용한 정보입니다.
  • 실패 감사는 계정 로그온 시도가 실패할 때 감사 항목을 생성하며, 이 항목은 침입 감지에 유용하게 사용할 수 있습니다. 그러나 이 구성을 사용하는 경우 공격자가 매우 많은 로그인 실패를 생성하여 보안 이벤트 로그를 채움으로써 서버가 종료되도록 할 수 있기 때문에 DoS(서비스거부) 상황이 발생할 수도 있습니다.
  • 도메인 컨트롤러에서 계정 로그온 이벤트 감사 설정을 성공으로 구성하면 사용자가 해당 도메인에 가입한 워크스테이션 또는 서버에 실제로 로그온하더라도 도메인 컨트롤러에 대해 유효성이 검사되는 각 사용자에 대한 항목이 기록됩니다.

4. 권한 사용 감사

  • 이 정책 설정은 권한을 사용하는 사용자의 각 인스턴스를 감사할지 여부를 결정합니다.
  • 성공 감사는 사용자 권한 사용에 성공하면 감사 항목을 생성합니다.
  • 실패 감사는 사용자 권한 사용에 실패하면 감사 항목을 생성합니다. 이 정책 설정을 사용하면 생성되는 이벤트의 양이 매우 많아지며 이벤트를 정렬하기가 어려워질 수 있습니다. 생성되는 정보를 어떻게 사용할지에 대한 계획이 있는 경우에만 이 설정을 사용해야 합니다.

5. 디렉터리 서비스 액세스 감사

  • 이 정책 설정은 연결된 SACL(시스템 액세스 제어 목록)이 있는 Active Directory 디렉터리 서비스 개체에 대한 사용자 액세스를 감사할지 여부를 결정합니다. SACL은 Microsoft Windows 기반 네트워크에서 개체에 대한 작업을 감사할 사용자 및 그룹의 목록입니다.
  • 성공 감사는 요청된 작업에 대해 사용자를 감사해야 하는 것으로 나타내는 SACL이 있는 Active Directory 개체에 사용자가 성공적으로 액세스하면 감사 항목을 생성합니다.
  • 실패 감사는 감사가 필요한 SACL이 있는 Active Directory 개체에 사용자가 액세스하지 못하면 감사 항목을 생성합니다.
  • 두 감사 항목 유형 모두 요청 성공 또는 실패 여부를 사용자에게 알리기 전에 생성됩니다. 이 정책 설정을 사용하고 디렉터리 개체에 대해 SACL을 구성하는 경우 도메인 컨트롤러의 보안 로그에서 많은 양의 항목이 생성될 수 있습니다. 그러므로 생성되는 정보를 실제로 사용하려는 경우에만 이러한 설정을 사용해야 합니다.

6. 로그온 이벤트 감사

  • 이 정책 설정은 감사 이벤트를 기록하는 컴퓨터에 대한 사용자 로그온, 로그오프 또는 네트워크 연결의 각 인스턴스를 감사할지 여부를 결정합니다. 도메인 컨트롤러에서 성공적인 계정 로그온 감사 이벤트를 기록하는 경우에는 워크스테이션 로그온 시도에 의해 로그온 감사가 생성되지 않습니다. 도메인 컨트롤러 자체에 대한 대화형 및 네트워크 로그온 시도를 통해서만 도메인 컨트롤러에 로그온 이벤트가 생성됩니다. 즉, 계정 로그온 이벤트는 계정이 활성화되는 지점에서 생성되고 로그온 이벤트는 로그온 시도가 발생하는 지점에서 생성됩니다.
  • 성공 감사는 로그온 시도가 성공할 때 감사 항목을 생성합니다. 이 감사 항목은 로그온한 사용자 및 로그온 컴퓨터를 확인할 수 있으며 회계 및 사후 법적 절차를 위한 유용한 정보입니다.
  • 실패 감사는 로그온 시도가 실패할 때 감사 항목을 생성하며, 이 항목은 침입 감지에 유용하게 사용할 수 있습니다. 그러나 이 구성을 사용하는 경우 공격자가 매우 많은 로그인 실패를 생성하여 보안 이벤트 로그를 채움으로써 서버가 종료되도록 할 수 있기 때문에 DoS(서비스거부) 상황이 발생할 수도 있습니다.

7. 시스템 이벤트 감사

  • 이 정책 설정은 사용자가 컴퓨터를 다시 시작하거나 종료할 경우 또는 컴퓨터 보안이나 보안 로그에 영향을 주는 이벤트가 발생할 경우에 이를 감사할지 여부를 결정합니다.
  • 성공 감사는 이벤트가 성공적으로 실행되면 감사 항목을 생성합니다.
  • 실패 감사는 이벤트를 실행하지 못하면 감사 항목을 생성합니다.
  • 시스템 이벤트에 대해 실패 및 성공 감사를 모두 사용하는 경우 추가로 기록되는 이벤트가 거의 없으며 이러한 이벤트는 매우 중요하기 때문에 모든 컴퓨터에 대해 이 정책 설정을 사용으로 구성해야 합니다.

8. 정책 변경 감사

  • 이 정책 설정은 모든 사용자 권한 할당 정책, Windows 방화벽 정책, 감사 정책 또는 신뢰 정책 변경 사항을 감사할지 여부를 결정합니다.
  • 성공 감사는 사용자 권한 할당 정책, 감사 정책 또는 신뢰 정책이 성공적으로 변경되면 감사 항목을 생성합니다. 이 감사 정보는 회계용으로 유용하게 사용할 수 있으며 이 정보를 통해 도메인이나 개별 컴퓨터에서 정책을 성공적으로 수정한 사용자를 확인할 수 있습니다.
  • 실패 감사는 사용자 권한 할당 정책, 감사 정책 또는 신뢰 정책을 변경하지 못하면 감사 항목을 생성합니다.

9. 프로세스 추적 감사

  • 이 정책 설정은 프로그램 활성화, 프로세스 종료, 핸들 복제 및 간접적 개체 액세스 등의 이벤트에 대한 자세한 추적 정보를 감사할지 여부를 결정합니다.
  • 성공 감사는 추적 중인 프로세스가 성공하면 감사 항목을 생성합니다.
  • 실패 감사는 추적 중인 프로세스가 실패하면 감사 항목을 생성합니다.
  • 프로세스 추적 감사 설정을 사용하면 많은 이벤트가 생성됩니다. 이 정책 설정은 보통 감사 안 함으로 구성됩니다. 그러나 이 정책 설정에 의해 생성되는 정보는 시작된 프로세스 및 프로세스가 시작된 시기에 대한 자세한 로그를 제공하므로 문제 상황 대체 시 매우 유용하게 사용할 수 있습니다.

◈ 프루라 서비스 감사 정책

    • 프루라 서비스를 설치하면 감사 정책이 추가 설정됩니다.
    • 프루라 클라이언트 설치 후 로그인을 하면 plura.bat 파일이 실행되며, 감사 정책 모두 활성화 됩니다.audit01
    • Plurablue.bat의 스크립트 내용입니다.
    • 9개의 감사 정책을 모두 활성화(3) 했습니다.audit02
    • 스크립트가 실행되면 감사정책이 변경됩니다. (감사 안함 > 성공, 실패)
      audit03
By | 2017-03-17T11:03:05+00:00 1월 16th, 2017|Categories: Tech|0 Comments