감사 정책 설정
감사 정책은 관리자에게 보고할 보안 이벤트를 결정하여 지정된 이벤트 범주 내의 사용자 또는 시스템 활동을 기록합니다. 관리자는 특정 개체를 액세스한 사람, 사용자가 컴퓨터에 로그온하거나 로그오프한 시간, 감사 정책 설정의 변경 여부 등 보안 관련 활동을 모니터링할 수 있습니다.
감사 설정을 구성하지 않으면 보안 사고 발생 시 어떠한 일이 일어났는지 파악하기가 어렵거나 불가능합니다. 그러나 너무 많은 허가된 활동에 대해 이벤트를 생성하도록 감사를 구성하면 보안 이벤트 로그가 불필요한 데이터로 가득 차게 됩니다.
감사 정책 설정 권장 사항
| 설정 | 보안강화 | 높은 보안강화 |
| 계정 로그온 이벤트 감사 | 성공 | 성공, 실패 |
| 계정 관리 감사 | 성공 | 성공, 실패 |
| 디렉터리 서비스 액세스 감사 | 정의되지 않음 | 정의되지 않음 |
| 로그온 이벤트 감사 | 성공 | 성공, 실패 |
| 개체 액세스 감사 | 감사 안 함 | 실패 |
| 정책 변경 감사 | 성공 | 성공 |
| 권한 사용 감사 | 감사 안 함 | 실패 |
| 프로세스 추적 감사 | 감사 안 함 | 감사 안 함 |
| 시스템 이벤트 감사 | 성공 | 성공 |
[ 계정 로그온 이벤트 감사 ]
| MS 기술문서 | 이 정책 설정을 사용하면 자격 증명 유효성 검사에 대한 이벤트가 생성됩니다. |
| From Zasfe | ( 기술문서의 내용은 당췌 무슨 말인겨..;; ) |
[ 계정 관리 감사 ]
| MS 기술문서 | 이 정책 설정은 새 사용자 또는 그룹 만들기, 사용자 또는 그룹의 이름 바꾸기, 사용자 계정 사용 또는 사용 안 함, 계정 암호 변경, 계정 관리 이벤트 감사 사용 등에 대한 시도를 추적하는 데 사용됩니다. 이 감사 정책 설정을 사용하면 관리자가 이벤트를 추적하여 사용자 및 그룹 계정이 악의적으로, 실수로 또는 승인을 받고 만들어졌는지 추적할 수 있습니다. |
| From Zasfe | 상당히 중요한 설정입니다. 모든 악의적인 접근자의 1차 목표는 시스템권한을 획득하는 것입니다. 그렇기 위해서 관리자권한을 가진 사용자를 만들거나, 기존 관리자를 가로채기도 하는데 흔히 패스워드를 빼앗겼다라고 말을 하기도 합니다. 이러한 과정을 막는 것이 가장 좋은 방법이지만, 막는 방법은 아직 찾지 못하였습니다. 다만 IISlockdown 처럼 실행파일의 권한을 빼는것으로 비슷한 효과를 볼수는 있습니다. |
[ 디렉토리 서비스 액세스 감사 ]
| MS 기술문서 | 이 정책은 도메인 컨트롤러에서 감사 작업을 수행하기 위해서만 사용할수 있습니다. 따라서 이 설정은 워크스테이션 수준에서 정의되지 않습니다. |
| From Zasfe | 도메인 컨트롤러가 아닌 이상 사용할 필요가 없는 설정입니다. 물론 도메인 컨트롤러가 아닌 이상 설정을 해바야 적용되지 않습니다. |
[ 로그온 이벤트 감사 ]
| MS 기술문서 | 이 정책 설정은 로그온 세션의 생성 및 소명을 기록하는 이벤트를 생성합니다. 이러한 이벤트는 엑세스된 컴퓨터에서 발생합니다. 대화형 로그인의 경우 로그온한 컴퓨터에서 이러한 이벤트가 생성됩니다. 공유에 액세스하기 위해 네트워크 로그온이 수행된 경우 액세서된 리소스를 호스팅하는 컴퓨터에서 이러한 이벤트가 생성됩니다. 감사설정이 없을 경우, 액세스했거나 액세서를 시도한 사용자를 확인하기 어렵거나 불가능합니다. |
| From Zasfe | 사용자의 접근을 확인할수 있는 가장 확실한 감사정책입니다. 반드시 성공/실패를 설정하시기 바랍니다. 접근방법과 접근내역에 대한 부분을 항시 관리하시기 바랍니다. |
[ 개체 액세스 감사 ]
| MS 기술문서 | 이 정책 설정만으로는 어떠한 이벤트도 감사되지 않습니다. 이 정책 설정은 파일, 폴더, 레지스트리 키 또는 프린터와 같이 지정된 SACL(System Access Control list. 시스템 액세스 제어 목록)이 있는 개체에 액세스하는 사용자의 이벤트를 감사할지 결정합니다. 사용자,컴퓨터/검색유형/성공,실패액세스이벤트 정보가 남게 됩니다. |
| From Zasfe | 악의적인 접근이 예상되는 부분을 감사하기 위한 정책입니다. 물론 기본적으로 감사할 대상에 대해서는 관리자가 등록을 하여야 합니다. ( 관리자분들의 능력을 보여주세요.. ^-^ ) 기술문서의 내용처럼 반드시 감사정책을 넣으시고 폴더나 파일에 대해서 감사규칙을 넣으셔야 합니다.( 모든 부분을 감시할수는 없잖아요.. ^^ㅋ) |
[ 정책 변경 감사 ]
| MS 기술문서 | 이 정책 설정은 사용자 권한 할당 정책, Windows 방화벽 정책, 트러스트 정책의 변경이나 감사 정책 자체의 변경을 모두 감사할지 결정합니다. 권장 설정을 하면 공격자가 권한 승격(예를 들어, 프로그램 디버그 권한이나 파일 및 디렉토리 백업 권한 추가)을 시도한 계정 권한을 확인할 수 있습니다. |
| From Zasfe | 악의적인 접근에 의해 변경되는 부분을 감사하기 위한 정책입니다. 물론 이런일이 있으면 안되겠지만, 그게 어디 맘처럼 되나요. 하지만 악의적인 접근이 어떤 일을 하려고 하는지, 어떤 절차를 가지고 진행를 하는지에 대한 기록을 할수도 있음으로인해 차후 발생할수 있는 여지를 줄일수 있습니다. 지금 당장은 어렵더라두요.. T.T |
[ 권한 사용 감사 ]
| MS 기술문서 | 이 정책 설정은 사용자가 사용자 권한을 사용하는 각각의 이벤트를 감사할지 결정합니다. 성공 or 실패 |
| From Zasfe | 사용자로 하여금 특정 권한을 획득하려는 시도에 대해 감시하는 것입니다. 주로 혀용된 권한을 넘으려다 실패하는 실패 이벤트에 대해서 감시를 합니다. |
[ 프로세스 추적 감사 ]
| MS 기술문서 | 이 정책 설정은 프로그램과 관련된 이벤트의 자세한 정보를 감시합니다. |
| From Zasfe | 이 설정은 모든 프로그램에 대한 것으로, 설정을 해보고 싶으시다면 엄청난 로그속에서 해메게 될것입니다. |
[ 시스템 이벤트 감사 ]
| MS 기술문서 | 이 정책 설정은 성공 또는 실패한 시스템 이벤트를 모니터링하고 시스템 액세스를 파악하는데 도움이 될 수도 있는 이벤트 레코드를 제공하므로 매우 중요합니다. 시스템 이벤트에는 컴퓨터를 시작하거나 종료하는 작업, 전체 이벤트 로그 또는 전체 시스템에 영향을 미치는 기타 보안 관련 이벤트가 포함됩니다. |
| From Zasfe | 글쎄요.. 별 효용이 있을까 생각이 드는 감사정책입니다. 시스템 이벤트로그가 있기 때문에 굳이 필요가 없을것 같지만, 시스템 이벤트로그의 백업정도로는 사용할수 있을것 같습니다. |
'컴퓨터' 카테고리의 다른 글
| 스크립트를 Encode 하고 Decode 하는 방법 (2) | 2008.01.17 |
|---|---|
| Script Encode 를 이용한 패턴 (0) | 2008.01.17 |
| Flash Uploader 업로드 불가 문제 (3) | 2007.11.16 |
| EM 접속시간을 줄여보자 - sp_MSdbuseraccess 편 (2) | 2007.11.15 |
| Scripting.Dictionary 사용하기..1 (1) | 2007.11.14 |