[window/윈도우 서버] 정책에 따른 시스템 로깅 설정
- 정보보안/Windows 서버
- 2022. 8. 17.
W-69 정책에 따른 시스템 로깅 설정
■ 점검영역 : 패치 관리
■ 항목 중요도 : 중
■ 점검내용
시스템 로깅 설정 여부 및 적절성 점검
■ 점검목적
적절한 로깅 설정으로 유사 시 책임 추적을 위한 로그가 확보될 수 있게 하기 위함
■ 보안위협
감사 설정이 구성되어 있지 않거나 감사 설정 수준이 너무 낮은 경우 보안 관련 문제 발생 시 원인을 파악하기 어려우며 법적 대응을 위한 충분한 증거 확보가 어려움
■ 참고
※ 감사 정책을 너무 강하게 설정할 경우, 보안 로그에 불필요한 항목이 많이 기록되므로 중요한 감사 항목 식별이 어려울 수 있으며, 시스템 성능에도 심각한 영향을 줄 수 있기 때문에 법적 요구 사항과 조직의 정책에 따라 꼭 필요한 로그를 남기도록 설정하여야 함
※ 윈도우 시스템은 보안 로그가 가득 차게 되는 경우 가장 오래된 감사 항목이 덮어 씌워짐
점검대상 및 판단기준(윈도우 서버, window)
■ 대상 : Windows NT, 2000, 2003, 2008, 2012, 2016, 2019
양호
감사 정책 권고 기준에 따라 감사 설정이 되어 있는 경우
취약
감사 정책 권고 기준에 따라 감사 설정이 되어 있지 않는 경우
■ 조치방법
위와 같은 이벤트에 대한 추가적인 감사 설정
점검 및 조치 방법
■ Windows NT
Step 1) 시작> 프로그램> 관리 도구> 도메인 사용자 관리자> 정책> 감사
< 설정 예시 >
• 로그온 및 로그오프, 보안 정책 바꾸기: 성공/실패 감사
• 사용자 권한 사용, 사용자 및 그룹 관리: 실패 감사
■ Windows 2000, 2003, 2008, 2012, 2016, 2019
< 설정 예시 >
Step 1) 시작> 실행> SECPOL.MSC> 로컬 정책> 감사 정책
• 로그온 이벤트, 계정 로그온 이벤트, 정책 변경 : 성공/실패 감사
• 계정 관리, 디렉토리 서비스 액세스, 권한 사용 : 실패 감사
< 감사 정책 권고 기준 >
| 감사 정책 | 설정 | 고급 감사 정책 | 설정 |
| 개체 액세스 감사 | 감사 안 함 | - | 감사 안 함 |
| 계정 관리 감사 | 성공 | 사용자 계정 관리 컴퓨터 계정 관리 보안 그룹 관리 |
성공 성공 성공 |
| 계정 로그온 이벤트 감사 | 성공 | 자격 증명 유효성 검사 Kerberos 서비스 티켓 작업 Kerberos 인증서비스 |
성공 성공 성공 |
| 권한 사용 감사 | 감사 안 함 | - | 감사 안 함 |
| 디렉토리 서비스 액세스 감사 | 성공 | 디렉토리 서비스 액세스 | 성공 |
| 로그온 이벤트 감사 | 성공, 실패 | 로그온 로그오프 계정 잠금 특수 로그온 네트워크 정책 서버 |
성공, 실패 성공 성공 성공 성공, 실패 |
| 시스템 이벤트 감사 | 성공, 실패 | 보안 상태 변경 시스템 무결성 기타 시스템 이벤트 |
성공 성공, 실패 성공, 실패 |
| 정책 변경 감사 | 성공 | 감사 정책 변경 인증 정책 변경 |
성공 성공 |
| 프로세스 추적 감사 | 감사 안 함 | - | 감사 안 함 |
※ 위에서 권고하는 감사 정책은 운영체제 제조사에서 서버 시스템의 보안 수준 유지를 위해 일반적으로 권장하는 설정값임. 감사 이벤트 생성하도록 허가된 작업이 너무 많거나, 많은 수의 개체에 대해 감사 정책을 구성할 경우 과도한 불필요한 이벤트 로그 생성으로 인해 전체 시스템의 성능에 영향을 줄 수 있으므로 책임 추적성을 확보하는 범위 내에서 적절한 감사 정책 수립이 필요함
※ 고급 감사 정책을 지원하는 시스템에서 고급 감사 정책을 활용 할 경우, 로컬 보안 정책 > 로컬 정책 > 보안 옵션 > “감사: 감사 정책 하위 범주 설정(Windows Vista 또는 그 이후 버전)이 감사 정책 범주 설정 보다 우선하도록 강제로 설정합니다” 정책을 먼저 사용하도록 설정하여야 함
< 감사정책 설명 >
| 정책 | 설명 |
| 로그온 이벤트 | 사용자가 컴퓨터에 로그온하거나 로그오프 할 때마다 로그온이 시도된 컴퓨터의 보안 로그에 이벤트 생성 |
| 계정 로그온 이벤트 | 사용자가 도메인에 로그온하면 도메인 컨트롤러에 로그온 시도 기록 |
| 계정 관리 | 사용자나 그룹이 작성, 변경 또는, 삭제된 시간을 판단하는데 사용 |
| 개체 액세스 | 시스템 액세스 컨트롤 목록(SACL)이 있는 Windows 2000 기반 네트워크의 모든 개체에 대한 감사 활성화 보안 로그에 이벤트를 표시하려면 먼저 개체 액세스 감사를 활성화 한 후 감사할 각 개체에 대해 SACL 정의 |
| 디렉토리 서비스 액세스 | Active Directory 개체의 SACL에 나열된 사용자가 해당 개체에 액세스를 시도할 때 감사 항목 생성 |
| 권한 사용 | 권한 사용의 성공 및 실패를 감사할 경우 사용자 권한을 이용하려고 할 때마다 이벤트 생성 |
| 프로세스 추적 | 실행되는 프로세스에 대한 자세한 추적 정보를 감사하는 경우 이벤트 로그에 프로세스를 작성하고 종료하려고 한 시도 확인 |
| 시스템 이벤트 | 사용자나 프로세스가 컴퓨터 환경을 변경하면 시스템 이벤트가 생성되고, 시스템 이벤트를 감사할 경우 보안 로그 삭제 시간 감사 |
| 정책 변경 | 감사 정책 변경의 성공 및 실패를 감사함 |
■ 조치 시 영향 : 일반적인 경우 영향 없음