운영체제 관리/윈도우(Windows)

사용자 관리 - 감사 정책과 감사 정책을 사용하여 로그인 로그 확인(윈도우7)

본클라쓰 2011. 11. 16. 15:50

감사정책이란

 

감사정책이란 개체 액세스, 로그온/로그오프, 감사 정책 설정 변경 등의 보안 관련 로그를 기록하며, 지정한 이벤트 범주의 사용자나 시스템 동작을 기록하도록 정책 설정이 가능합니다.

 

 

 

감사의 종류

  1. 개체 액세스 감사 : 특정 파일이나 디렉토리, 레지스트리 키, 프린터 등과 같은 객체에 대하여 접근을 시도하거나 속성을 변경하려는 것 등을 탐지합니다. 물론 이 설정만을 한다고 하여 모든 객체에 대해 감사를 실시하는 것은 아닙니다.
  2. 계정 관리 감사 : 신규 사용자, 그룹의 추가, 기존 사용자, 그룹의 변경, 사용자의 활성화나 비활성화와 계정 패스워드 변경 등을 감사합니다. 또한 사용자 계정의 잠금 상태가 될 때에도 이 계정 관리 감사 성공 이벤트가 남게 됩니다.
  3. 계정 로그온 이벤트 감사 : 계정 로그온 이벤트 감사와 로그온 이벤트 감사의 가장 큰 차이점은 전자는 도메인 계정으로의 사용으로 생성되는 것이며, 후자는 로컬 계정의 사용으로 생성되는 것입니다. 실패 이벤트 추적은 Brute Force 시도 등을 확인할 수 있게 하며 성공 이벤트 추적은 사후 문제 시 추적을 위한 용도로 사용됩니다.
  4. 권한 사용 감사 : 각종 권한 사용 내역을 추적하는 것입니다. 이 이벤트를 활성화할 경우 상당히 많은 양의 로그가 생성될 수 있습니다.
  5. 로그온 이벤트 감사 : 계정 로그온 이벤트 감사와 비슷하나 로컬 계정의 접근시 생성되는 이벤트를 감사하는 것입니다.
  6. 시스템 이벤트 감사 : 시스템을 시작하거나 셧다운 시켰을 때, 혹은 이벤트 로그가 가득 찼을 때 등과 같이 컴퓨터 자체에 영향을 줄 수 있는 경우에 대해 기록합니다.
  7. 정책 변경 감사 : 사용자 권한 할당 정책, 감사 정책 또는 신뢰 정책이 변경되는 모든 이벤트를 감사할지 여부를 결정합니다.
  8. 프로세스 추적 감사 : 사람이 혹은 어플리케이션이 프로세스를 시작하거나 중지할 때 해당 이벤트가 발생합니다. 이 이벤트를 활성화할 경우 상당히 많은 량의 로그가 생성될 수 있습니다. 특이한 목적이 있는 경우에만 활성화할 것을 권고합니다.

 

 

 

감사 정책 구성의 유의 사항

 

첫 번째, 지나치게 넓은 범위의 감사 범위 설정으로 중요 로그의 검색에 어려움이 발생할 수 있습니다. 불필요한 로그를 저장하고 관리하는 것은 비단 검색의 어려움뿐 아니라 시스템의 리소스를 불필요한 곳에 쓰게 되는 문제도 있습니다. 이로 인해 시스템의 성능저하 및 로그관리의 어려움이 발생할 수 있으므로 시스템 감사 구성에 필요한 항목을 사전에 선정함으로써 시스템 운영시 필요한 로그만을 관리해야 합니다.

 

두 번째, 잘못된 최대 이벤트 로그의 크기 설정 시 용량 한계로 시스템이 중지될 수 있습니다. 시스템 장애가 발생한다는 것은 서비스를 위해 서버를 운영하는 기업에선 엄청난 손실을 가져다 줄 수 있습니다. 윈도우 시스템 설치 시 이러한 문제를 방지하기 위해 Default 설정으로 오래된 항목 덮어쓰기 옵션이 설정되어 있습니다. 하지만 공격자가 임의로 생성시킨 로그로 인해 중요 로그가 삭제될 수 있는 문제 발생 가능성이 존재합니다. 이 문제는 자동 로그 백업 또는 원격로그서저 구성을 통해 해결이 가능합니다.

 

 

 

감사 정책 구성하는 방법

 

크게 로컬 보안 정책을 설정하는 방법과 보안 템플릿을 이용한 감사 정책 구성 방법이 있습니다. 로컬 보안 정책을 설정하는 방법에 대해 알아보겠습니다. (Windows 2008 R2 기준)

 

 

1. 실행창에 [gpedit.msc]를 입력하거나 [시작-관리도구-로컬보안정책]를 실행합니다.

 

 

2. 로컬 그룹 정책 편집기에서 [컴퓨터 구성-Windows 설정 - 보안 설정 - 로컬정책 - 감사 정책]을 선택하여 정책창에서 [로그온 이벤트 감사]를 더블클릭합니다.

 

 

3. 다음 시도 감사에서 성공과 실패를 모두 체크합니다.

 

 

4. 이벤트 로그를 확인하기 위해서는 [시작-관리도구-이벤트뷰어]를 선택한 후 [Windows 로그-보안]을 선택하면 로그인에 대한 로그를 확인할 수 있습니다.

 

 

 감사 로그 설정이 완료되었다면 시스템은 운영하면서 필요한 이벤트가 보안 이벤트에 저장이 됩니다. 하지만 앞서 설명한 것과 같이 로그를 저장하는 것만으로는 시스템에서 어떠한 일이 발생되고 있는지 확인이 불가능합니다. 이를 위해서 로그를 검색하고 분석하는 일련의 작업이 주기적으로 이루어져야 합니다.

 

참조)

http://cafe.daum.net/oracleocp/3DWP/307?docid=1EZMt|3DWP|307|20100120191415&q=%C0%A9%B5%B5%BF%EC%202008%20%BD%C3%BD%BA%C5%DB%20%BF%C0%B7%F9%20%C8%AE%C0%CE

저작자표시 비영리 변경금지

'운영체제 관리 > 윈도우(Windows)' 카테고리의 다른 글

사용자 관리 - 로컬 보안 정책 패널(윈도우7)  (0) 2011.11.16
사용자 관리 - 로컬 사용자 및 그룹(윈도우7)  (0) 2011.11.16
사용자 관리 - 사용자 계정 컨트롤 패널(윈도우7)  (0) 2011.11.16
리소스 관리 - 윈도우 운영체제의 장치 독립적 작동 개념(디바이스 드라이버)  (0) 2011.11.14
리소스 관리 - 컴퓨터 관리 컨트롤 패널(윈도우7)  (0) 2011.11.14

'운영체제 관리/윈도우(Windows)'의 다른글

  • 현재글사용자 관리 - 감사 정책과 감사 정책을 사용하여 로그인 로그 확인(윈도우7)

관련글

티스토리툴바