윈도우 서버 W-69 정책에 따른 시스템 로깅 설정

윈도우 서버 W-69 정책에 따른 시스템 로깅 설정

항목중요도 : 중

1. 취약점 개요

▶ 점검내용 : 시스템 로깅 설정 여부 및 적절성 점검

▶ 점검목적 : 적절한 로깅 설정으로 유사 시 책임 추적을 위한 로그가 확보될 수 있게 하기 위함

▶ 보안위협

 · 감사 설정이 구성되어 있지 않거나 감사 설정 수준이 너무 낮은 경우 보안 관련 문제 발생 시 원인을 파악하기 어려우며 법적 대응을 위한 충분한 증거 확보가 어려움

▶ 참고

※ 감사 정책을 너무 강하게 설정할 경우, 보안 로그에 불필요한 항목이 많이 기록되므로 중요한 감사 항목 식별이 어려울 수 있으며, 시스템 성능에도 심각한 영향을 줄 수 있기 때문에 법적 요구 사항과 조직의 정책에 따라 꼭 필요한 로그를 남기도록 설정하여야 함
※ 윈도우 시스템은 보안 로그가 가득 차게 되는 경우 가장 오래된 감사 항목이 덮어 씌워짐
※ 관련 점검 항목 : A-20(상), A-85(하)

2. 점검대상 및 판단 기준

▶  대상 : Windows NT, 2000, 2003, 2008, 2012, 2016, 2019

▶  판단기준

 · 양호 : 감사 정책 권고 기준에 따라 감사 설정이 되어 있는 경우

 · 취약 : 감사 정책 권고 기준에 따라 감사 설정이 되어 있지 않는 경우

▶  조치방법 : 위와 같은 이벤트에 대한 추가적인 감사 설정

3. 윈도우서버 초기 설정값

※ 테스트한 윈도우 서버의 버전은 windows server 2022 입니다.

 

확인방법

1) 시작> 실행> SECPOL.MSC> 로컬 정책> 감사 정책

현재 감사안함으로 설정되어있으므로 취약입니다.

4. 조치

조치해보겠습니다.

가이드에서 권고하는 감사정책 사항이 있습니다.

 

감사 정책	설정
개체 액세스 감사	감사 안 함
계정 관리 감사	성공
계정 로그온 이벤트 감사	성공
권한 사용 감사	감사 안 함
디렉토리 서비스 액세스 감사	성공
로그온 이벤트 감사	성공, 실패
시스템 이벤트 감사	성공, 실패
정책 변경 감사	성공
프로세스 추적 감사	감사 안 함

 

계정관리감사 항목을 조치해보겠습니다.

이렇게 성공을 눌러주고 저장하면됩니다.

좀더 까다롭게 관리하고 싶다면 성공, 실패를 전부 클릭하여 관리하면됩니다.

전부 조치하였습니다. 

 

 

5. 결과

이렇게 해주셨다면 완료입니다!

 

윈도우서버를 마스터하는 그날까지

화이팅!