windows 로그, 감사 정책

시스템 분석에서 로그에 대한 관리와 분석은 매우 중요한 부분입니다.

 

로그는 사용자의 로그인 부터 명령을 수행한 것이나 해커의 침입의 흔적, 또는 보안 솔루션에서 제공하는 로그 등 다양한 분류가 있으며 그 분류를 따지지 않고 분석에서 매우 중요합니다.

 

이러한 로그에 대한 분석 또한 중요하지만 관리적인 측면에서 정책이 제대로 설정되어 있어야 합니다.

이번에는 윈도우에서의 로그를 확인해보도록 하겠습니다.

 

윈도우는 유닉스 계열의 운영체제와는 다른 로그 체계를 가지고 있으며, 사실 많은 문제점을 가지고 있어 보안 수준이 낮다고 할 수 있습니다.

 

윈도우에서 로그는 이벤트라고하며 이벤트뷰어를 통해 확인 할 수 있습니다.

 

우선 감사정책을 먼저 확인해보도록 하겠습니다.

Windows 10을 기준으로 윈도우키를 눌러 검색창에 secpol 입력하시면 되겠습니다.

 

 

 

감사 정책(Audit Policy)은 로그 정책이라고 하며 여기서의 설정에 따라 성공,실패를 로깅(감사 수행)을 할 수 있습니다.

로컬 정책 아래의 감사 정책으로 가보시면 항목들이 보입니다.

 

 

 

 

개체 액세스 감사

특정 파일이나 디렉터리, 레지스트리 키, 프린터 같은 객체에 접근을 시도하거나 속성을 변경하려는 것을 탐지합니다. 그렇기 때문에 이를 적절히 수행하기 위해서는 대상을 선정하고 접근 권한을 부여하는 것을 개체별로 설정 합니다.

(ex. 하나의 파일을 만들고 속성 탭 -> 보안탭에서 설정 하면 그 객체에 대한 설정이 완료됩니다)

 

 

계정 관리 감사

신규 사용자, 그룹의 추가, 기존 사용자의 그룹 변경, 사용자의 활성화/비활성화, 계정 패스워드 변경 등을 감사하며 사용자의 계정이 잠겨있더라도 성공 이벤트가 남게 됩니다.

 

 

계정 로그온 이벤트 감사

로그온 이벤트 감사와 비슷한 형태를 취하지만 가장 큰 차이로는 해당 항목은 도메인 계정의 사용으로 생성되며, 로그온 이벤트 감사는 로컬 계정의 사용으로 생성되는 것입니다. 계정 로그온 이벤트 감사에서 실패를 추적하게 되면 패스워드 크래킹 시도 등을 확인 할 수 있습니다.

 

 

권한 사용 감사

권한 설정을 변경할 때나 관리자 권한이 필요한 작업을 수행할 때 로깅합니다. 공격자가 계정을 생성하거나 권한을 변경하려고 할때 로그가 남습니다. 이 이벤트의 경우 관리자 권한의 작업이 일어날 때 마다 로그가 남기 때문에 많은 로그가 생성 될 수 있습니다.

 

 

디렉터리 서비스 액세스 감사

시스템 액세스 제어 목록이 지정되어 있는 액티브 디렉터리 개체에 접근하는 사용자에 대한 감사 로그를 제공하며 디렉터리 서비스의 대한 감사를 할 경우 너무 많은 종류의 로그가 남게 됩니다.

감사 이벤트는 구성된 SACL(시스템 액세스 제어 목록)이 있는 개체에서, SACL 설정과 일치하는 방식으로 액세스될 때만 생성됩니다.

 

 

로그온 이벤트 감사

계정 로그온 이벤트 감사와 비슷하나, 로컬 계정의 접근 시 생성되는 이벤트를 감사하는 것으로 다양한 종류의 이벤트를 확인 할 수 있습니다.

 

 

시스템 이벤트 감사

시스템의 다시 시작하거나 종료되는 경우, 보안 로그 삭제 등 시스템의 주요한 사항에 대한 이벤트를 남깁니다.

 

 

정책 변경 감사

사용자 권한 할당 정책, 감사 정책 또는 신뢰 정책의 대한 모든 변경 사항을 로깅합니다.

 

 

프로세스 추적 감사

사용자나 응용 프로그램이 활성화 되거나 프로세스의 종료, 핸들의 복제 및 간접 개체 액세스 등이 일어날 때 로그가 발생합니다.  활성화 하게 되면 상당한 로그가 생성 되므로 특별한 목적에 의해서만 활성화 합니다.

 

 

이러한 로그가 생성되면 이벤트 뷰어를 통해 확인 하실 수 있습니다. 이벤트 뷰어를 확인하기 위해서는 Windows 10을 기준으로 윈도우키+R을 눌러 실행창 실행 후 eventvwr 입력하시면 되겠습니다.

 

 

 

다음에는 유닉스계열의 로그 분석, 설정을 살펴 보겠습니다.