[윈도우/로그 관리] 원격에서 이벤트 로그 파일 접근 차단 (W-71)
- 취약점 점검/윈도우
- 2021. 12. 5.
원격에서 이벤트 로그 파일 접근 차단
취약점 개요
■ 위험도
- 중
■ 점검 목적
- 원격에서 로그 파일을 접근하는 것을 차단하여 로그 파일의 훼손 및 변조를 차단하기 위함
■ 보안 위협
- 원격 익명 사용자의 시스템 로그 파일에 접근이 가능한 경우 ‘중요 시스템 로그’ 파일 및 ‘애플리케이션 로그’ 등 중요 보안 감사 정보의 변조·삭제·유출의 위험이 존재
점검 및 조치 방법
■ 판단 기준
- 양호 : 로그 디렉토리의 접근권한에 Everyone 권한이 없는 경우
- 취약 : 로그 디렉토리의 접근권한에 Everyone 권한이 있는 경우
■ 조치 방법
- 로그 디렉토리의 접근권한에 Everyone 제거
■ 점검 및 조치 사례
Windows NT, 2000, 2003, 2008, 2012
Step 1) 탐색기> 로그 디렉터리> 속성> 보안
Step 2) Everyone 권한 제거
Windows 2016, 2019
Step 1) 탐색기> 로그 디렉토리> 속성> 보안> 고급
Step 2) Everyone 권한 제거
※ 일반적으로 시스템 로그는C:\winnt\system32\config 파일에 저장되지만. 애플리케이션 로그 파일은 각각의 애플리케이션마다 로그 저장 위치가 다름. 웹 서버에 많이 사용하는 IIS 경우, C:\winnt\system32\LogFiles에 저장됨.
■ 스크립트
echo. W-71 START
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo [ W-71 "원격에서 이벤트 로그 파일 접근 차단 " ] >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
icacls %systemroot%\system32\Winevt\Logs | find /v "파일을 처리했으며" >> [RESULT]_%COMPUTERNAME%_WINSVR.txt 2>&1
icacls %systemroot%\system32\config | find /v "파일을 처리했으며" >> [RESULT]_%COMPUTERNAME%_WINSVR.txt 2>&1
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo W-71 END >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo ====================================================================================== >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. >> [RESULT]_%COMPUTERNAME%_WINSVR.txt
■ 용어 설명 / 팁
※ 로그 디렉토리 위치
• 시스템 로그 디렉터리: %systemroot%\system32\config
• IIS 로그 디렉터리: %systemroot%\system32\LogFiles