보안 모니터링 및 공격 탐지 계획 가이드
부록 B - 그룹 정책 설정 구현
업데이트 날짜: 2005년 5월 23일
그룹 정책 보안 감사 설정을 적절히 구성하려면 다음 표에 나열된 설정을 적용합니다. 이 표에는 보안 모니터링 및 공격 탐지에 영향을 주는 추가 설정이 포함되어 있습니다. 이 표를 사용하여 사용자 환경의 현재 설정을 확인하십시오.
표 B.1: 그룹 정책 보안 감사 설정
| 정책 경로 | 정책 | 정책 설정 및 설명 |
|---|---|---|
| 로컬 정책/ 감사 정책 | 계정 로그온 이벤트 감사 | 이 이벤트는 시스템에 액세스한 사용자를 기록합니다. 모든 컴퓨터에 대해 성공 이벤트를 감사하도록 설정하십시오. 실패 이벤트를 감사할 경우 네트워크 액세스 권한은 있지만 자격 증명은 없는 공격자가 시도하는 DoS(서비스 거부) 공격의 가능성이 커지며 이벤트 생성을 위해 컴퓨터에서 소비하는 리소스도 증가하므로 주의해서 설정합니다. 감사 로그가 꽉 찼을 때 시스템이 종료될 경우 이 설정으로 인해 DoS 공격이 야기될 수 있으므로 성공 이벤트에 대한 감사 역시 주의해서 설정합니다. 모든 관리자 로그온은 의심스러운 다른 항목과 연관시킵니다. |
| 로컬 정책/ 감사 정책 | 계정 관리 감사 | 성공 및 실패 이벤트를 모두 감사하도록 설정합니다. 성공한 모든 이벤트에 대한 감사 내용을 관리자 인증과 연관시킵니다. 모든 실패 이벤트는 의심스러운 항목으로 취급합니다. |
| 로컬 정책/ 감사 정책 | 디렉터리 서비스 액세스 감사 | 기본 도메인 컨트롤러 그룹 정책은 기본적으로 이 감사를 사용하도록 설정합니다. 민감한 디렉터리 개체에 대한 감사 설정은 Active Directory 사용자나 컴퓨터 또는 ADSI Edit(Active Directory Services Interface Editor)의 SACL(시스템 액세스 제어 목록)을 사용하여 구성하십시오. SACL 구현을 계획하고 실제와 같은 실험 환경에서 테스트한 후에 프로덕션 환경에 배포해야 합니다. 이는 보안 로그의 데이터가 너무 방대해지지 않도록 하기 위한 접근 방식입니다. |
| 로컬 정책/ 감사 정책 | 로그온 이벤트 감사 | 이 이벤트는 컴퓨터에 액세스한 사용자를 기록합니다. 모든 컴퓨터에 대해 성공 이벤트를 감사하도록 설정하십시오. 실패 이벤트를 감사할 경우 네트워크 액세스 권한은 있지만 자격 증명은 없는 공격자의 로그온 실패 이벤트를 기록하기 위해 컴퓨터가 소비하는 리소스가 증가하므로 주의해서 설정합니다. |
| 로컬 정책/ 감사 정책 | 개체 액세스 감사 | 방대한 감사 데이터가 생성될 수 있으므로 이 설정을 사용할 때는 주의해야 합니다. 중요한 폴더에 대해서만 SACL을 통해 감사 설정을 구성하고 필요한 최소한의 액세스 유형만 감사하십시오. 위협 모델이 이 감사를 허용하는 경우 쓰기 액세스만(읽기 액세스는 제외) 감사하도록 설정합니다. |
| 로컬 정책/ 감사 정책 | 정책 변경 감사 | 성공 이벤트와 실패 이벤트를 모두 감사하도록 설정합니다. 성공한 모든 이벤트에 대한 감사 내용을 관리자 인증과 상호 참조합니다. 모든 실패 이벤트는 의심스러운 항목으로 취급합니다. |
| 로컬 정책/ 감사 정책 | 권한 사용 감사 | 권한 사용에 대한 감사는 많은 양의 이벤트를 생성하므로 사용하지 마십시오. |
| 로컬 정책/ 감사 정책 | 프로세스 추적 감사 | CGI(Common Gateway Interface) 웹 서버, 테스트 컴퓨터, 일괄 프로세스를 실행하는 서버 또는 개발자 워크스테이션에서는 이 설정을 사용하지 마십시오. 취약한 시스템에서만 이 설정을 사용하고, 예기치 않은 응용 프로그램 동작이 발생하면 필요에 따라 시스템을 물리적으로 격리시켜 즉시 대처하십시오. 이 설정을 사용하면 이벤트 로그가 꽉 찰 수 있습니다. |
| 로컬 정책/ 감사 정책 | 시스템 이벤트 감사 | 성공 이벤트와 실패 이벤트를 모두 감사하도록 설정합니다. |
| 로컬 정책/사용자 권한 할당 | 보안 감사 생성 | 이 설정은 기본적으로 로컬 시스템, 로컬 서비스 및 네트워크 서비스에 할당됩니다. 서비스 계정 이외의 계정에는 이 권한이 적용되면 안 됩니다. 공격자는 이 설정을 사용하여 보안 로그에 가짜 이벤트나 부정확한 이벤트를 생성할 수 있습니다. |
| 로컬 정책/사용자 권한 할당 | 감사 및 보안 로그 관리 | 이 설정을 사용하여 파일, 폴더 및 레지스트리 설정에 대한 감사 설정을 변경할 수 있는 관리자를 제한할 수 있습니다. 감사 설정을 변경할 수 있는 관리자의 보안 그룹을 만들고 로컬 보안 정책 설정에서 관리자 그룹을 제거하면 새 보안 그룹의 구성원만 감사를 구성할 수 있게 됩니다. |
| 로컬 정책/보안 옵션 | 감사: 글로벌 시스템 개체에 대한 액세스 감사 | 이 설정은 뮤텍스(상호 배타적 이벤트), 세마포 및 MS-DOS 장치와 같은 명명된 시스템 개체에 SACL을 추가합니다. Windows Server 2003에서는 기본적으로 이 옵션이 설정되어 있지 않습니다. 이벤트 용량이 너무 커질 수 있으므로 이 설정은 사용하지 마십시오. |
| 로컬 정책/ 보안 옵션 | 감사: 백업 및 복원 권한 사용을 감사 | 백업 및 복원 작업은 ACL을 통해 보호되는 데이터를 가로채는 기회로 악용될 수 있습니다. 이벤트 용량이 너무 커질 수 있으므로 이 설정은 사용하지 마십시오. |
| 로컬 정책/ 보안 옵션 | 감사: 보안 감사를 로그할 수 없는 경우 즉시 시스템 종료 | 공격자가 이 기능을 DoS 공격에 이용할 수 있으므로 아주 중요한 컴퓨터에서만 주의해서 이 설정을 사용합니다. |
| 이벤트 로그 | 보안 로그 최대 크기 | 보안 로그 최대 크기는 64KB의 배수여야 합니다. 이벤트의 평균 크기는 0.5KB입니다. 권장 설정은 예상 이벤트 용량 및 보안 로그 보관 기간 설정에 따라 달라집니다. 이벤트 용량이 큰 환경에서는 로그 파일 크기를 가능한 크게 설정합니다(최대 250MB). 모든 이벤트 로그의 총 크기는 300MB를 넘을 수 없으므로 이 수치를 초과하지 않도록 합니다. |
| 이벤트 로그 | 보안 로그에 로컬 Guest 그룹 액세스 제한 | Windows Server 2003에서는 이 설정이 기본적으로 사용됩니다. 기본 설정을 변경하지 마십시오. |
| 이벤트 로그 | 보안 로그 보관 기간 | 보관 방법으로 "다음 간격(일)으로 이벤트 덮어쓰기"를 선택한 경우에만 이 설정을 사용합니다. 이벤트를 폴링하는 이벤트 상관 관계 시스템을 사용하는 경우 폴링이 실패할 경우의 주기를 고려하여 날짜 수가 폴링 빈도의 3배 이상이 되도록 하십시오. |
| 이벤트 로그 | 보안 로그 보존 방법 | 고급 보안 환경에서는 이벤트 덮어쓰지 않음 설정을 사용합니다. 이 경우 로그를 정기적으로 비우고 보관하는 절차를 수립하십시오. 보안 로그가 꽉 찼을 때 시스템이 종료될 경우에는 이러한 절차가 특히 중요합니다. |