윈도우 서버 W-71 원격에서 이벤트 로그파일 접근 차단

윈도우 서버 W-71 원격에서 이벤트 로그파일 접근 차단

항목중요도 : 중

1. 취약점 개요

▶ 점검내용 : 원격에서 로그 파일의 접근을 차단하기 위한 권한 적절성 점검

▶ 점검목적 : 원격에서 로그 파일을 접근하는 것을 차단하여 로그 파일의 훼손 및 변조를 차단하기 위함

▶ 보안위협

 · 원격 익명 사용자의 시스템 로그 파일에 접근이 가능한 경우 ‘중요 시스템 로그’ 파일 및 ‘애플리케이션 로그’ 등 중요 보안 감사 정보의 변조·삭제·유출의 위험이 존재

▶ 참고

※ 로그 디렉토리 위치
• 시스템 로그 디렉토리: %systemroot%\system32\config
• IIS 로그 디렉토리: %systemroot%\system32\LogFiles

2. 점검대상 및 판단 기준

▶  대상 :  Windows NT, 2000, 2003, 2008, 2012, 2016, 2019

▶  판단기준

 · 양호 : 로그 디렉토리의 접근권한에 Everyone 권한이 없는 경우

 · 취약 : 로그 디렉토리의 접근권한에 Everyone 권한이 있는 경우

▶  조치방법 : 로그 디렉토리의 접근권한에 Everyone 제거

3. 윈도우서버 초기 설정값

※ 테스트한 윈도우 서버의 버전은 windows server 2022 입니다.

 

확인방법

1) 탐색기> 로그 디렉토리> 속성> 보안> 고급

• 시스템 로그 디렉토리: %systemroot%\system32\config
• IIS 로그 디렉토리: %systemroot%\system32\LogFiles

위에 있는 로그디렉토리 주소를 붙여넣으면 됩니다

 

2) Everyone 권한 확인

Everyone 권한이 없으므로 양호 입니다

4. 조치

저는 별도로 조치할 수 없지만 조치가 필요할 경우 아래 편집을 눌러 제거해주면 됩니다.

5. 결과

이렇게 Everyone 이 없다면 양호입니다!

윈도우서버를 마스터하는 그날까지

화이팅!