W-41 보안 감사를 로그할 수 없는 경우 즉시 시스템 종료 해제
■ 점검영역 : 보안 관리
■ 항목 중요도 : 상
■ 점검내용
‘보안 감사를 로그할 수 없는 경우 즉시 시스템 종료’ 정책 설정 여부 점검
■ 점검목적
해당 정책을 비활성화 함으로써 로그 용량 초과 등의 이유로 이벤트를 기록할 수 없는 경우, 해당 정책으로 인해 시스템이 비정상적으로 종료되는 것을 방지하기 위함
■ 보안위협
해당 정책이 활성화 되어 있는 경우 악의적인 목적으로 시스템 종료를 유발하여 서비스 거부 공격에 악용될 수 있으며, 비정상적인 시스템 종료로 인하여 시스템 및 데이터에 손상을 입힐 수 있음
■ 참고
※ 일반적으로 보안 감사 로그가 꽉 찼을 때 보안 로그에 대한 보존 방법이 [이벤트를 덮어쓰지 않음] 또는 [매일 이벤트 덮어쓰기]인 경우 이벤트가 로그되지 않음.
보안 로그가 꽉 차고 기존 항목을 덮어쓸 수 없을 때 해당 정책을 사용하는 경우 다음과 같은 중지 오류가 나타남
중지: C0000244 {감사 실패}
보안 감사를 만들려고 했으나 만들지 못했습니다.
복구하려면 관리자가 로그온하여 로그를 보관한 다음 로그를 지우고 이 옵션을 원하는 대로 다시 설정해야 합니다. 이 보안 설정을 다시 설정할 때까지는 보안로그가 꽉 차지 않았더라도 Administrators 그룹의 구성원이 아니면 어떤 사용자도 시스템에 로그온할 수 없습니다.
점검대상 및 판단기준(윈도우 서버, window)
■ 대상 : Windows NT, 2000, 2003, 2008, 2012, 2016, 2019
양호
“보안 감사를 로그할 수 없는 경우 즉시 시스템 종료” 정책이 “사용 안 함”으로 되어 있는 경우
취약
보안 감사를 로그할 수 없는 경우 즉시 시스템 종료” 정책이 “사용”으로 되어 있는 경우
■ 조치방법
보안 감사를 로그할 수 없는 경우 즉시 시스템 종료 -> 사용 안 함
점검 및 조치 방법
■ Windows NT, 2000
Step 1) 시작> 실행> SECPOL.MSC> 로컬 정책> 보안 옵션
Step 2) “보안 감사를 로그할 수 없는 경우 즉시 시스템 종료” 정책을 “사용 안 함” 으로 설정
■ Windows 2003, 2008, 2012, 2016, 2019
Step 1) 시작> 실행> SECPOL.MSC> 로컬 정책> 보안 옵션
Step 2) “감사: 보안 감사를 로그할 수 없는 경우 즉시 시스템 종료” 정책을 “사용 안 함” 으로 설정
■ 조치 시 영향 : 일반적인 경우 영향 없음