[윈도우/패치 관리] 정책에 따른 시스템 로깅 설정 (W-69)

정책에 따른 시스템 로깅 설정

 

취약점 개요

■ 위험도
- 중

■ 점검 목적
- 적절한 로깅 설정으로 유사시 책임 추적을 위한 로그가 확보될 수 있게 하 기 위함

■ 보안 위협
- 감사 설정이 구성되어 있지 않거나 감사 설정 수준이 너무 낮은 경우 보안 관련 문제 발생 시 원인을 파악하기 어려우며 법적 대응을 위한 충분한 증 거 확보가 어려움

점검 및 조치 방법

■ 판단 기준
- 양호 : 감사 정책 권고 기준에 따라 감사 설정이 되어 있는 경우
- 취약 : 감사 정책 권고 기준에 따라 감사 설정이 되어 있지 않는 경우

■ 조치 방법
- 위와 같은 이벤트에 대한 추가적인 감사 설정

■ 점검 및 조치 사례
Windows NT
Step 1) 시작> 프로그램> 관리 도구> 도메인 사용자 관리자> 정책> 감사
< 설정 예시 >
• 로그온 및 로그오프, 보안 정책 바꾸기: 성공/실패 감사
• 사용자 권한 사용, 사용자 및 그룹 관리: 실패 감사

Windows 2000, 2003, 2008, 2012, 2016, 2019
< 설정 예시 >
Step 1) 시작> 실행> SECPOL.MSC> 로컬 정책> 감사 정책
• 로그온 이벤트, 계정 로그온 이벤트, 정책 변경 : 성공/실패 감사
• 계정 관리, 디렉토리 서비스 액세스, 권한 사용 : 실패 감사

< 감사 정책 권고 기준 >

※ 위에서 권고하는 감사 정책은 운영체제 제조사에서 서버 시스템의 보안 수준 유지를 위해 일반적으로 권장하는 설정값임. 감사 이벤트 생성하도록 허가된 작업이 너무 많거나, 많은 수의 개체에 대해 감사 정책을 구성할 경우 과도한 불필요한 이벤트 로그 생성으로 인해 전체 시스템의 성능에 영향을 줄 수 있으므로 책임 추적성을 확보하는 범위 내에서 적절한 감사 정책 수립이 필요함
※ 고급 감사 정책을 지원하는 시스템에서 고급 감사 정책을 활용할 경우, 로컬 보안 정책 > 로컬 정책 > 보안 옵션 > “감사: 감사 정책 하위 범주 설정(Windows Vista 또는 그 이후 버전)이 감사 정책 범주 설정보다 우선하도록 강제로 설정합니다” 정책을 먼저 사용하도록 설정하여야 함

< 감사정책 설명 >

■ 스크립트

echo. W-69 START
echo.                                                                                           >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt
echo [ W-69 "정책에 따른 시스템 로깅 설정" ]                                                             >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt
echo.                                                                                           >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt
type [RESULT]_%COMPUTERNAME%_Local_Security_Policy.txt | Find /I "AuditLogonEvents"             >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt
type [RESULT]_%COMPUTERNAME%_Local_Security_Policy.txt | Find /I "AuditPrivilegeUse"            >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt
type [RESULT]_%COMPUTERNAME%_Local_Security_Policy.txt | Find /I "AuditPolicyChange"            >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt
type [RESULT]_%COMPUTERNAME%_Local_Security_Policy.txt | Find /I "AuditAccountManage"           >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt
type [RESULT]_%COMPUTERNAME%_Local_Security_Policy.txt | Find /I "AuditDSAccess"                >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt
type [RESULT]_%COMPUTERNAME%_Local_Security_Policy.txt | Find /I "AuditAccountLogon"            >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt
echo.                                                                                           >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt
echo W-69 END                                                                                   >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt
echo ======================================================================================     >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt
echo.                                                                                           >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt
echo.                                                                                           >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt

■ 용어 설명 / 팁
※ 감사 정책을 너무 강하게 설정할 경우, 보안 로그에 불필요한 항목이 많이 기록되므로 중요한 감사 항목 식별이 어려울 수 있으며, 시스템 성능에도 심각한 영향을 줄 수 있기 때문에 법적 요구 사항과 조직의 정책에 따라 꼭 필요한 로그를 남기도록 설정하여야 함
※ 윈도우 시스템은 보안 로그가 가득 차게 되는 경우 가장 오래된 감사 항목이 덮어 씌워짐
※ 관련 점검 항목 : A-20(상), A-85(하)