윈도우 서버 W-34 로그의 정기적 검토 및 보고

윈도우 서버 W-34 로그의 정기적 검토 및 보고

항목중요도 : 상

1. 취약점 개요

▶ 점검내용 : 로그의 정기적 검토 및 보고 여부 점검

▶ 점검목적 : 정기적인 로그 점검을 통해 안정적인 시스템 상태 유지 및 외부 공격 여부를 파악하기 위함

▶ 보안위협

 · 로그의 검토 및 보고 절차가 없는 경우 외부 침입 시도에 대한 식별이 누락될 수 있고, 침입 시도가 의심되는 사례 발견 시 관련 자료를 분석하여 해당장비에 대한 접근을 차단하는 등의 추가 조치가 어려움

▶ 참고

※ 시스템 접속 기록, 계정 관리 로그 등 W-69(중) 점검 항목에서 설정한 보안 로그를 포함하여 응용 프로그램, 시스템 로그 기록에 대하여 주기적인 검토 및 보고가 필요함
※ 관련 점검 항목 : A-85(하), W-69(중)

2. 점검대상 및 판단 기준

▶  대상 :  Windows NT, 2000, 2003, 2008, 2012, 2016, 2019

▶  판단기준

 · 양호 : 접속기록 등의 보안 로그, 응용 프로그램 및 시스템 로그 기록에 대해 정기적으로 검토, 분석, 리포트 작성 및 보고 등의 조치가 이루어지는 경우

 · 취약 : 위 로그 기록에 대해 정기적으로 검토, 분석, 리포트 작성 및 보고 등의 조치가 이루어 지지 않는 경우

▶  조치방법 : 로그 기록 검토 및 분석을 시행하여 리포트를 작성하고 정기적으로 보고함

3. 윈도우서버 초기 설정값

※ 테스트한 윈도우 서버의 버전은 windows server 2022 입니다.

 

일단 이 항목은 정기적으로 검토, 분석, 리포트를 작성하고 있는지 여부가 양호판단의 기준인데... 저는 확인을 하지 않아 취약입니다.

 

확인방법

1) 로그 기록에 대한 정기적 검토 및 분석 실시
   (1) 시작> 제어판> 관리 도구> 이벤트 뷰어

   (2) 응용 프로그램 로그, 보안 로그, 시스템 로그 분석

 ※ OS 구성에 따라 디렉토리 서비스 로그, 파일 복제 서비스 로그, DNS 서버 로그 등 분석

 

2) 로그 분석 결과에 대한 일일·월간 보고서 작성 및 보고

 

4. 조치

조치는 로그에 대한 검토 후 보고를 상위에 보고하고 있을 경우 양호입니다!

 

이번 점검을 하다가 이상행위가 발견되었습니다.

 

감사실패......

알수없는 사용자가 지속적으로 로그인을 시도하고 있는 것으로 보여집니다.

보고서에 해당 내용을 넣고 추가로 분석, 차단내용을 기재해주면될 것같습니다.

지속적으로 administrator 계정으로 로그인 시도를 하고있습니다.

계정을 바꾸고 비밀번호 설정을 어렵게 하는것이 왜 중요한지 알 수 있습니다.

5. 결과

이건 좀더 심화학습이 필요할 것같습니다.

나중에 더 공부해서 로그검토를 해보겠습니다.

 

윈도우서버를 마스터하는 그날까지

화이팅!