점검 목적
로그 용량 초과 등의 이유로 이벤트를 기록할 수 없는 경우, 해당 정책으로 인해 시스템이 비정상적으로 종료되는 것을 방지하기 위함.
※ 보안 감사 로그가 꽉 찼을 때 이벤트가 로그 되지 않음. 기존 항목을 덮어쓸 수 없을 때 해당 정책 사용 시 아래와 같은 중지 오류가 나타나게 됨.
보안 위협
악의적인 목적으로 시스템 종료를 유발해 서비스 거부 공격에 악용될 수 있으며, 비정상적 시스템 종료로 인해 시스템 및 데이터에 손상을 입힐 수 있음.
판단기준
양호 : "보안 감사를 로그할 수 없는 경우 즉시 시스템 종료" 정책이 "사용 안 함"으로 되어 있는 경우
취약 : "보안 감사를 로그할 수 없는 경우 즉시 시스템 종료" 정책이 "사용"으로 되어 있는 경우
점검 방법
1. 로컬 보안 정책(secpol.msc) > 보안옵션 > "보안 감사를 로그할 수 없는 경우 즉시 시스템 종료" 정책 확인할 것.
- 해당 정책이 사용중이므로 취약
2. 또는 레지스트리 값 crashonauditfail 확인할 것.
- 값이 1("사용")로 설정되어 있으므로 취약
조치방안
1. 로컬 보안 정책(secpol.msc) > 보안옵션 > "보안 감사를 로그할 수 없는 경우 즉시 시스템 종료" 정책 "사용 안 함"으로 변경할 것.
2. 또는 레지스트리 crashonauditfail 값을 0으로 변경할 것.
- crashonauditfail 0x00000000 "사용 안 함"
- crashonauditfail 0x00000001 "사용(시스템 중단)"
- crashonauditfail 0x00000002 "사용(시스템 중단, 관리자 그룹만 로그인 가능) "
'STUDY 💻 > Infra' 카테고리의 다른 글
| [MSIT] W-43. Autologon 기능 제어 (0) | 2023.04.04 |
|---|---|
| [MSIT] W-42. SAM 계정과 공유의 익명 열거 허용 안 함 (0) | 2023.04.04 |
| [MSIT] W-40. 원격 시스템에서 강제로 시스템 종료 (0) | 2023.04.04 |
| [MSIT] W-39. 로그온하지 않고 시스템 종료 허용 해제 (0) | 2023.04.03 |
| [MSIT] W-38. 화면보호기 설정 (1) | 2023.04.03 |