[주요기반] (Windows) [ 1.3 패치 관리 ] W-57 1.3.3. 정책에 따른 시스템 로깅 설정

 

대상	NT, 2000, 2003, 2008, 2012, 2016, 2019	위험도	중	Code	W-57
취약점 개요	감사 설정이 구성되어 있지 않거나 감사 설정 수준이 너무 낮으면 보안 관련 문제 발생시 원인을 파악하기 어려우며 법적 대응을 위한 충분한 증거로 사용될 수도 없음. 그러나 감사 설정이 너무 높으면 보안 로그에 불필요한 항목이 많이 기록되므로 매우 중요한 항목과 혼동할 수 있으며 시스템 성능에도 심각한 영향을 줄 수 있기 때문에 법적 요구 사항과 조직의 정책에 따라 필요한 로그를 남기도록 설정하여야 함.
보안대책
판단기준	양호: 아래와 같은 이벤트에 대한 감사 설정이 되어 있는 경우 • 로그온 이벤트, 계정 로그온 이벤트, 정책 변경: 성공/실패 감사 • 계정 관리, 디렉터리 서비스 액세스, 권한 사용: 실패 감사
	취약: 아래와 같은 이벤트에 대한 감사 설정이 되어 있지 않은 경우
조치방법	위와 같은 이벤트에 대한 추가적인 감사 설정
보안설정방법
■ Windows NT 1. 시작> 프로그램> 관리 도구> 도메인 사용자 관리자> 정책> 감사 • 로그온 및 로그오프, 보안 정책 바꾸기: 성공/실패 감사 • 사용자 권한 사용, 사용자 및 그룹 관리: 실패 감사     ■ Windows 2000, 2003, 2008, 2012, 2016, 2019 1. 시작> 실행> SECPOL.MSC> 로컬 정책> 감사 정책 • 로그온 및 로그오프, 보안 정책 바꾸기: 성공/실패 감사 • 사용자 권한 사용, 사용자 및 그룹 관리: 실패 감사                                   정 책 설명 로그온 이벤트 사용자가 컴퓨터에 로그온하거나 로그오프 할 때마다 로그온이 시도된 컴퓨터의 보안 로그에 이벤트 생성 계정 로그온 이벤트 사용자가 도메인에 로그온하면 도메인 컨트롤러에 로그온 시도 기록 계정 관리 사용자나 그룹이 작성, 변경 또는, 삭제된 시간을 판단하는데 사용 개체 액세스 시스템 액세스 컨트롤 목록(SACL)이 있는 Windows 2000 기반 네트워크의 모든 개체에 대한 감사 활성화 보안 로그에 이벤트를 표시하려면 먼저 개체 액세스 감사를 활성화한 후 감사할 각 개체에 대해 SACL 정의 디렉터리 서비스 액세스 Active Directory 개체의 SACL에 나열된 사용자가 해당 개체에 액세스를 시도할 때 감사 항목 생성 권한 사용 권한 사용의 성공 및 실패를 감사할 경우 사용자 권한을 이용하려고 할 때마다 이벤트 생성 프로세스 추적 실행되는 프로세스에 대한 자세한 추적 정보를 감사하는 경우 이벤트 로그에 프로세스를 작성하고 종료하려고 한 시도 확인 시스템 이벤트 사용자나 프로세스가 컴퓨터 환경을 변경하면 시스템 이벤트가 생성되고, 시스템 이벤트를 감사할 경우 보안 로그 삭제 시간 감사 정책 변경 감사 정책 변경의 성공 및 실패를 감사함