[Windows] 윈도우즈 서버 취약점 점검 W-69 [3.3 정책에 따른 시스템 로깅 설정]

KISA 한국인터넷진흥원 21-03-31 기준

KISA 한국인터넷진흥원

---

출처 : [주요정보통신기반시설_기술적_취약점_분석_평가_방법_상세가이드.PDF] P.296

---

■ Windows NT

1) 시작> 프로그램> 관리 도구> 도메인 사용자 관리자> 정책> 감사 < 설정 예시 > • 로그온 및 로그오프, 보안 정책 바꾸기: 성공/실패 감사 • 사용자 권한 사용, 사용자 및 그룹 관리: 실패 감사

 

■ Windows 2000, 2003, 2008, 2012, 2016, 2019

< 설정 예시 >

1) 시작> 실행> SECPOL.MSC> 로컬 정책> 감사 정책

• 로그온 이벤트, 계정 로그온 이벤트, 정책 변경 : 성공/실패 감사

• 계정 관리, 디렉토리 서비스 액세스, 권한 사용 : 실패 감사

 

< 감사 정책 권고 기준 >

감사 정책	설정	고급 감사 정책	설정
개체 액세스 감사	감사 안 함	-	감사 안 함
계정 관리 감사	성공	사용자 계정 관리 컴퓨터 계정 관리 보안 그룹 관리	성공 성공 성공
계정 로그온 이벤트 감사	성공	자격 증명 유효성 감사 Kerberos 서비스 티켓 작업 Kerboros 인증서비스	성공 성공 성공
권한 사용 감사	감사 안 함	-	감사 안 함
디렉토리 서비스 액세스 감사	성공	디렉토리 서비스 액세스	성공
로그온 이벤트 감사	성공, 실패	로그온 로그오프 계정 잠금 특수 로그온 네트워크 정책 서버	성공, 실패 성공 성공 성공 성공, 실패
시스템 이벤트 감사	성공, 실패	보안 상태 변경 시스템 무결성 기타 시스템 이벤트	성공 성공, 실패 성공, 실패
정책 변경 감사	성공	감사 정책 변경 인증 정책 변경	성공 성공
프로세스 추적 감사	감사 안 함	-	감사 안 함

 

※ 위에서 권고하는 감사 정책은 운영체제 제조사에서 서버 시스템의 보안 수준 유지를 위해 일반적으로 권장하는 설정값임. 감사 이벤트 생성하도록 허가된 작업이 너무 많거나, 많은 수의 개체에 대해 감사 정책을 구성할 경우 과도한 불필요한 이벤트 로그 생성으로 인해 전체 시스템의 성능에 영향을 줄 수 있으므로 책임 추적성을 확보하는 범위 내에서 적절한 감사 정책 수립이 필요함

 

※ 고급 감사 정책을 지원하는 시스템에서 고급 감사 정책을 활용 할 경우,

로컬 보안 정책 > 로컬 정책 > 보안 옵션 > “감사: 감사 정책 하위 범주 설정(Windows Vista 또는 그 이후 버전)이 감사 정책 범주 설정 보다 우선하도록 강제로 설정합니다” 정책을 먼저 사용하도록 설정하여야 함

< 감사정책 설명 >

정책	설명
로그온 이벤트	사용자가 컴퓨터에 로그온하거나 로그오프 할 때마다 로그온이 시 도된 컴퓨터의 보안 로그에 이벤트 생성
계정 로그온 이벤트	사용자가 도메인에 로그온하면 도메인 컨트롤러에 로그온 시도 기록
계정 관리	사용자나 그룹이 작성, 변경 또는, 삭제된 시간을 판단하는데 사용
개체 액세스	시스템 액세스 컨트롤 목록(SACL)이 있는 Windows 2000 기반 네트 워크의 모든 개체에 대한 감사 활성화 보안 로그에 이벤트를 표시하려면 먼저 개체 액세스 감사를 활성화 한 후 감사할 각 개체에 대해 SACL 정의
디렉토리 서비스 액세스	Active Directory 개체의 SACL에 나열된 사용자가 해당 개체에 액세 스를 시도할 때 감사 항목 생성
권한 사용	권한 사용의 성공 및 실패를 감사할 경우 사용자 권한을 이용하려 고 할 때마다 이벤트 생성
프로세스 추적	실행되는 프로세스에 대한 자세한 추적 정보를 감사하는 경우 이벤 트 로그에 프로세스를 작성하고 종료하려고 한 시도 확인
시스템 이벤트	사용자나 프로세스가 컴퓨터 환경을 변경하면 시스템 이벤트가 생 성되고, 시스템 이벤트를 감사할 경우 보안 로그 삭제 시간 감사
정책 변경	감사 정책 변경의 성공 및 실패를 감사함

---