[MSIT] W-69. 정책에 따른 시스템 로깅 설정

점검 목적

 

적절한 로깅 설정으로 유사 시 (비상 시) 책임 추적을 위한 로그가 확보될 수 있게 하기 위함.

 

 

보안 위협

 

감사 설정이 구성되지 않거나 감사 설정 수준이 너무 낮은 경우, 보안 관련 문제 발생 시 원인 파악이 어려우며 법적 대응을 위한 충분한 증거 확보가 어려움.

 

※ 감사 정책이 너무 강하게 설정될 경우, 보안 로그에 불필요한 항목이 많이 기록되므로 법적 요구 사항과 조직의 정책에 따라 꼭 필요한 로그만 남기도록 설정해야 함.

 

 

판단기준

 

양호 : 감사 정책 권고 기준에 따라 감사 설정이 되어 있는 경우

취약 : 감사 정책 권고 기준에 따라 감사 설정이 되어있지 않는 경우

 

 

점검 방법

 

1. 로컬 보안 정책(secpol.msc) > 로컬 정책 > 감사 정책 > 감사 정책 설정 확인할 것.

- 감사 안 함으로 설정되어 있으므로 취약

 

 

2. 또는 보안 정책 설정에서 감사 정책 파라미터 확인할 것.

- 감사 안 함으로 설정되어 있으므로 취약

 

 

 

조치방안

 

1. 로컬 보안 정책(secpol.msc) > 로컬 정책 > 감사 정책 > 감사 정책 설정 변경할 것.

- 아래의 설정을 권고함.

 

 

2. 또는 보안 정책 설정에서 감사 정책 파라미터 변경할 것.

 

 

※ 감사 정책 설정 값

 

0  :  감사 안 함

1  :  성공만 기록함

2  :  실패만 기록함

3  :  성공과 실패 모두 기록함

 

 

※ 감사 정책 기준

 

- 계정 관리 감사(AuditAccountManage)  :  사용자나 그룹의 작성, 변경, 삭제 시간을 판단

 

- 로그온 이벤트 감사(AuditLogonEvents)  :  사용자가 도메인에 로그온 시 도메인 컨트롤러에 로그인 시도 기록

 

- 디렉터리 서비스 액세스 감사(AuditDSAccess)  :  Active Directory 개체에 대한 사용자 액세스를 감사

 

- 계정 로그온 이벤트 감사(AuditAccountLogon)  :   사용자가 컴퓨터 로그온,오프 시 로그온 시도된 컴퓨터 보안 로그에 이벤트 생성함

 

- 시스템 이벤트 감사(AuditSystemEvents)  :  컴퓨터 환경 변경 시 시스템 이벤트가 생성되고, 시스템 이벤트 감사할 경우 보안 로그 삭제 시간 감사함  

 

- 정책 변경 감사(AuditPolicyChange)  :  감사 정책 변경의 성공 및 실패를 감사함