위협 및 대책

3장: 감사 정책

업데이트 날짜: 2005년 12월 27일

감사 로그에는 사용자가 지정된 특정 작업을 수행할 때마다 항목이 기록됩니다. 예를 들어 파일이나 정책을 수정하면 수행한 작업, 관련 사용자 계정 및 작업 날짜와 시간 등을 보여 주는 감사 항목이 생성될 수 있습니다. 성공한 작업과 실패한 작업을 모두 감사할 수 있습니다.

컴퓨터의 운영 체제와 응용 프로그램 상태는 동적입니다. 예를 들어 관리 또는 네트워크 문제를 즉시 해결하기 위해 보안 수준이 일시적으로 변경될 수 있습니다. 그러나 이와 같이 설정이 변경된 것을 잊어버려 원래 상태로 되돌려 놓지 않는 경우가 종종 있습니다. 보안 수준을 적절하게 다시 설정하지 않으면 컴퓨터에서 엔터프라이즈 보안 요구 사항을 더 이상 충족하지 못할 수 있습니다.

관리자는 정기적인 보안 분석을 수행함으로써 엔터프라이즈 위험 관리 프로그램의 일부분으로 적절한 보안 대책이 각 컴퓨터에 적용되어 있는지를 추적 및 확인할 수 있습니다. 이러한 분석 작업에서는 보안에 관련된 컴퓨터의 모든 측면에 대한 구체적인 정보를 주로 확인합니다. 관리자는 이러한 정보를 사용하여 보안 수준을 조정할 수 있습니다. 또한 이 정보는 시간이 지남에 따라 컴퓨터에서 발생할 수 있는 보안 결함을 추적하는 데 사용할 수 있습니다.

감사 로그에만 보안 위반이 발생한 사실이 표시되는 경우도 있기 때문에 모든 엔터프라이즈 시스템에서 보안 감사는 매우 중요합니다. 다른 방법으로 위반을 발견하는 경우에도 적절한 감사 설정을 통해 그러한 위반에 대한 중요한 정보가 포함된 감사 로그를 생성할 수 있습니다.

일반적으로 실패는 오류를 나타내므로 실패 로그가 성공 로그보다 훨씬 더 유용한 정보를 제공하는 경우가 많습니다. 예를 들어 사용자의 성공적인 컴퓨터 로그온은 보통 정상적인 동작입니다. 그러나 특정 사용자가 여러 번 계속해서 컴퓨터에 로그온하지 못하는 경우는 다른 사용자의 계정 자격 증명을 사용하여 컴퓨터에 침입하려는 공격자의 공격 시도를 나타낼 수 있습니다. 이벤트 로그는 컴퓨터의 이벤트를 기록하며 Microsoft Windows 운영 체제에는 응용 프로그램, 보안 이벤트 및 시스템 이벤트에 대한 여러 이벤트 로그가 있습니다. 보안 로그는 감사 이벤트를 기록합니다. 그룹 정책의 이벤트 로그 컨테이너는 최대 로그 크기, 각 로그에 대한 액세스 권한, 보존 설정 및 방법과 같이 응용 프로그램, 보안 및 시스템 이벤트 로그와 관련된 특성을 정의하는 데 사용됩니다. 이 설명서에 포함된 Microsoft Excel 통합 문서 "Windows Default Security and Services Configuration"(Windows 기본 보안 및 서비스 구성)에서 기본 설정을 확인할 수 있습니다.

감사 프로세스가 구현되기 전에 조직에서는 해당 프로세스에서 데이터를 수집, 구성 및 분석할 방법을 결정해야 합니다. 감사 데이터를 활용할 기본적인 계획이 없다면 데이터의 양이 아무리 많아도 소용이 없습니다. 또한 감사 설정은 컴퓨터 성능에도 영향을 줄 수 있습니다. 특정 설정 조합의 영향은 최종 사용자 컴퓨터에서는 무시해도 되지만 사용 중인 서버에서는 중요하게 고려해야 합니다. 그러므로 일부 성능 테스트를 수행한 후에 프로덕션 환경에 새 감사 설정을 배포해야 합니다.

그룹 정책 개체 편집기의 다음 위치에서 감사 정책 설정을 구성할 수 있습니다.

컴퓨터 구성\Windows 설정\보안 설정\로컬 정책 \감사 정책

이 페이지에서

감사 설정
감사 예제는 다음과 같습니다. 사용자 로그온 이벤트 결과
추가 정보

감사 설정

모든 감사 설정의 보안 문제, 대책 및 잠재적 영향은 동일하므로 이러한 사항에 대해서는 한 번만 설명합니다. 이러한 각 내용 다음에는 각 설정에 대한 간단한 설명이 이어집니다.

각 감사 설정의 옵션은 다음과 같습니다.

• 성공: 요청된 작업이 성공할 때 감사 항목이 생성됩니다.

• 실패: 요청된 작업이 실패할 때 감사 항목이 생성됩니다.

• 감사 안 함: 관련 작업에 대해 감사 항목이 생성되지 않습니다.

보안 문제

감사 설정을 구성하지 않으면 보안 관련 문제 상황 동안 어떠한 일이 발생했는지 파악하기가 어렵거나 전혀 파악할 수 없습니다. 그러나 구성된 감사 설정에서 이벤트를 생성하는 허가된 작업이 너무 많으면 보안 이벤트 로그가 불필요한 데이터로 꽉 차게 됩니다. 또한 많은 수의 개체에 대해 감사 설정을 구성하면 전체 컴퓨터 성능에도 영향을 줄 수 있습니다.

대책

합법적인 사용자가 자신의 작업에 책임을 지고 허가되지 않은 작업을 검색 및 추적할 수 있도록 조직에 있는 모든 컴퓨터에서 적합한 감사 정책 설정을 사용해야 합니다.

잠재적 영향

감사 설정이 구성되어 있지 않거나 조직의 컴퓨터에 대한 감사 설정 수준이 너무 낮으면 보안 관련 문제 상황이 발생한 후 법적 네트워크 분석을 위해 충분한 증거를 사용할 수 없습니다. 그러나 네트워크 설정 수준이 너무 엄격하면 보안 로그에 불필요한 항목이 많이 기록되므로 매우 중요한 항목과 혼동할 수 있으며 컴퓨터 성능에도 심각한 영향을 줄 수 있습니다. 특정 규정이 적용되는 업계에서 운영하는 회사의 경우 특정 이벤트나 작업을 로그해야 하는 법적 의무가 있습니다.

계정 로그온 이벤트 감사

이 정책 설정은 이벤트를 기록하고 계정 유효성을 검사하는 컴퓨터가 아닌 다른 컴퓨터에서 각 사용자 로그온 또는 로그오프 인스턴스를 감사할지 여부를 결정합니다. 이 정책 설정을 구성하면 성공한 이벤트를 감사할지, 실패한 이벤트를 감사할지 아니면 모든 이벤트 유형을 감사하지 않을지를 지정할 수 있습니다. 성공 감사는 계정 로그온 시도가 성공할 때 감사 항목을 생성합니다. 이 감사 항목은 로그온한 사용자 및 로그온 컴퓨터를 확인할 수 있는 회계 및 사후 법적 절차용의 유용한 정보입니다. 실패 감사는 계정 로그온 시도가 실패할 때 감사 항목을 생성하며, 이 항목은 침입 감지에 유용하게 사용할 수 있습니다. 그러나 이 정책 설정을 사용하는 경우 DoS(서비스 거부) 공격을 받을 가능성도 있습니다. 감사: 보안 감사를 로그할 수 없는 경우 즉시 시스템 종료 설정을 사용하면 공격자가 매우 많은 로그온 실패를 생성하여 보안 이벤트 로그를 채움으로써 컴퓨터가 종료되도록 할 수 있습니다.

도메인 컨트롤러에서 계정 로그온 이벤트 감사 설정을 성공으로 구성하면 사용자가 해당 도메인에 가입한 워크스테이션 또는 서버에 실제로 로그온하더라도 도메인 컨트롤러에 대해 유효성이 검사되는 각 사용자에 대한 항목이 기록됩니다.

계정 관리 감사

이 정책 설정은 컴퓨터의 각 계정 관리 이벤트를 감사할지 여부를 결정합니다. 다음은 계정 관리 이벤트의 예입니다.

• 사용자 계정 또는 그룹을 만들거나 변경하거나 삭제함

• 사용자 계정의 이름을 바꾸거나 사용자 계정을 사용 또는 사용하지 않음

• 암호를 설정하거나 변경함

계정 관리 감사 설정을 구성하면 성공한 이벤트를 감사할지, 실패한 이벤트를 감사할지 아니면 모든 이벤트 유형을 감사하지 않을지를 지정할 수 있습니다. 성공 감사는 계정 관리 이벤트가 성공할 때 감사 항목을 생성하므로 엔터프라이즈의 모든 컴퓨터에서 사용해야 합니다. 조직이 보안 관련 문제 상황에 대처할 때는 계정을 만들거나 변경하거나 삭제한 사용자를 추적할 수 있어야 합니다. 실패 감사는 계정 관리 이벤트가 실패할 때 감사 항목을 생성합니다.

디렉터리 서비스 액세스 감사

이 정책 설정은 연결된 SACL(시스템 액세스 제어 목록)이 있는 Active Directory 디렉터리 서비스 개체에 대한 사용자 액세스를 감사할지 여부를 결정합니다. SACL은 Microsoft Windows 기반 네트워크에서 개체에 대한 작업을 감사할 사용자 및 그룹의 목록입니다.

디렉터리 서비스 액세스 감사 설정을 구성하면 성공한 이벤트를 감사할지, 실패한 이벤트를 감사할지 아니면 모든 이벤트 유형을 감사하지 않을지를 지정할 수 있습니다. 성공 감사는 요청된 작업에 대해 사용자를 감사해야 하는 것으로 나타내는 SACL이 있는 Active Directory 개체에 사용자가 성공적으로 액세스하면 감사 항목을 생성합니다. 실패 감사는 감사가 필요한 SACL이 있는 Active Directory 개체에 사용자가 액세스하지 못하면 감사 항목을 생성합니다. 두 감사 항목 유형 모두 요청 성공 또는 실패 여부를 사용자에게 알리기 전에 생성됩니다. 이 정책 설정을 사용하고 디렉터리 개체에 대해 SACL을 구성하는 경우 도메인 컨트롤러의 보안 로그에서 많은 양의 항목이 생성될 수 있습니다. 그러므로 생성되는 정보를 실제로 사용하려는 경우에만 이러한 설정을 사용해야 합니다.

참고: Active Directory 개체의 속성 대화 상자에 있는 보안 탭을 통해 해당 개체에 대해 SACL을 구성할 수 있습니다. 이 방법은 Active Directory 개체에만 적용되고 파일 시스템과 레지스트리 개체에는 적용되지 않는다는 점을 제외하면 개체 액세스 감사와 유사합니다.

로그온 이벤트 감사

이 정책 설정은 감사 이벤트를 기록하는 컴퓨터에 대한 사용자 로그온, 로그오프 또는 네트워크 연결의 각 인스턴스를 감사할지 여부를 결정합니다. 도메인 컨트롤러에서 성공적인 계정 로그온 감사 이벤트를 기록하는 경우에는 워크스테이션 로그온 시도에 의해 로그온 감사가 생성되지 않습니다. 도메인 컨트롤러 자체에 대한 대화형 및 네트워크 로그온 시도를 통해서만 도메인 컨트롤러에 로그온 이벤트가 생성됩니다. 즉, 계정 로그온 이벤트는 계정이 활성화되는 지점에서 생성되고 로그온 이벤트는 로그온 시도가 발생하는 지점에서 생성됩니다.

로그온 이벤트 감사 설정을 구성하면 성공한 이벤트를 감사할지, 실패한 이벤트를 감사할지 아니면 모든 이벤트 유형을 감사하지 않을지를 지정할 수 있습니다. 성공 감사는 로그온 시도가 성공할 때 감사 항목을 생성합니다. 이 감사 항목은 로그온한 사용자 및 로그온 컴퓨터를 확인할 수 있으며 회계 및 사후 법적 절차를 위한 유용한 정보입니다. 실패 감사는 로그온 시도가 실패할 때 감사 항목을 생성하며, 이 항목은 침입 감지에 유용하게 사용할 수 있습니다. 그러나 이 구성을 사용하는 경우 공격자가 매우 많은 로그인 실패를 생성하여 보안 이벤트 로그를 채움으로써 서버가 종료되도록 할 수 있기 때문에 DoS 상황이 발생할 수도 있습니다.

개체 액세스 감사

이 정책 설정은 파일, 폴더, 레지스트리 키, 프린터 등 감사 요구 사항을 지정하는 SACL이 있는 개체에 액세스하는 사용자의 이벤트를 감사할지 여부를 결정합니다.

개체 액세스 감사 설정을 구성하면 성공한 이벤트를 감사할지, 실패한 이벤트를 감사할지 아니면 모든 이벤트 유형을 감사하지 않을지를 지정할 수 있습니다. 성공 감사는 사용자가 SACL이 있는 개체에 성공적으로 액세스하면 감사 항목을 생성합니다. 실패 감사는 사용자가 SACL이 있는 개체에 액세스하지 못할 때 감사 항목을 생성합니다. 정상적인 컴퓨터 작업 중에도 실패 이벤트가 발생할 수 있습니다. 예를 들어 Microsoft Word 등의 많은 응용 프로그램은 항상 읽기 및 쓰기 권한을 모두 사용하여 파일을 열려고 합니다. 이와 같은 권한으로 파일을 열 수 없는 경우 응용 프로그램에서는 읽기 전용 권한으로 파일을 열려고 시도합니다. 실패 감사 및 파일에 대한 적절한 SACL을 사용하는 경우 그와 같은 이벤트가 발생하면 실패 이벤트가 기록됩니다.

Microsoft Windows Server 2003 서비스 팩 1(SP1)에서는 IIS(Internet Information Server) 메타베이스에 저장된 개체에 대한 액세스를 감사할 수 있습니다. 메타베이스 개체 감사를 사용하려면 대상 컴퓨터에서 개체 액세스 감사를 활성화한 다음 액세스를 감사하려는 특정 메타베이스 개체에 대해 SACL을 설정해야 합니다.

개체 액세스 감사 정책 설정을 구성하고 개체에 대해 SACL을 구성하면 조직의 컴퓨터에 있는 보안 로그에 많은 양의 항목이 생성될 수 있습니다. 그러므로 로그되는 정보를 실제로 사용하려는 경우에만 이러한 설정을 사용해야 합니다.

참고: Windows Server 2003에서 파일, 폴더, 프린터, 레지스트리 키 등의 개체를 감사하는 기능을 사용하려면 2단계 프로세스를 수행해야 합니다. 개체 액세스 감사 정책을 활성화한 후에는 액세스를 모니터링하려는 개체를 확인한 후에 그에 따라 해당 개체의 SACL을 수정해야 합니다. 예를 들어 특정 파일을 열려고 하는 사용자의 시도를 모두 감사하려는 경우 Windows 탐색기나 그룹 정책을 사용하여 해당 특정 이벤트를 모니터링할 파일에서 직접 성공 또는 실패 감사 특성을 구성할 수 있습니다.

정책 변경 감사

이 정책 설정은 모든 사용자 권한 할당 정책, Windows 방화벽 정책, 감사 정책 또는 신뢰 정책 변경 사항을 감사할지 여부를 결정합니다.

정책 변경 감사 설정을 구성하면 성공한 이벤트를 감사할지, 실패한 이벤트를 감사할지 아니면 모든 이벤트 유형을 감사하지 않을지를 지정할 수 있습니다. 성공 감사는 사용자 권한 할당 정책, 감사 정책 또는 신뢰 정책이 성공적으로 변경되면 감사 항목을 생성합니다. 이 감사 정보는 회계용으로 유용하게 사용할 수 있으며 이 정보를 통해 도메인이나 개별 컴퓨터에서 정책을 성공적으로 수정한 사용자를 확인할 수 있습니다. 실패 감사는 사용자 권한 할당 정책, 감사 정책 또는 신뢰 정책을 변경하지 못하면 감사 항목을 생성합니다.

Windows XP SP2 및 Windows Server 2003 SP1에서 정책 변경 감사 설정을 사용하면 Windows 방화벽 구성 요소에 대한 구성 변경 내용 로깅도 활성화됩니다.

권한 사용 감사

이 정책 설정은 권한을 사용하는 사용자의 각 인스턴스를 감사할지 여부를 결정합니다.

권한 사용 감사 설정을 구성하면 성공한 이벤트를 감사할지, 실패한 이벤트를 감사할지 아니면 모든 이벤트 유형을 감사하지 않을지를 지정할 수 있습니다. 성공 감사는 사용자 권한 사용에 성공하면 감사 항목을 생성하고 실패 감사는 사용자 권한 사용에 실패하면 감사 항목을 생성합니다. 이 정책 설정을 사용하면 생성되는 이벤트의 양이 매우 많아지며 이벤트를 정렬하기가 어려워질 수 있습니다. 생성되는 정보를 어떻게 사용할지에 대한 계획이 있는 경우에만 이 설정을 사용해야 합니다.

이 정책 설정에 대해 성공 감사나 실패 감사를 지정한 경우에도 기본적으로 다음 사용자 권한의 사용에 대해서는 감사 이벤트가 생성되지 않습니다.

• 통과 확인 무시

• 프로그램 디버그

• 토큰 개체 만들기

• 프로세스 수준 토큰 대체

• 보안 감사 생성

• 파일 및 디렉터리 백업

• 파일 및 디렉터리 복원

프로세스 추적 감사

이 정책 설정은 프로그램 활성화, 프로세스 종료, 핸들 복제 및 간접적 개체 액세스 등의 이벤트에 대한 자세한 추적 정보를 감사할지 여부를 결정합니다.

프로세스 추적 감사 설정을 구성하면 성공한 이벤트를 감사할지, 실패한 이벤트를 감사할지 아니면 모든 이벤트 유형을 감사하지 않을지를 지정할 수 있습니다. 성공 감사는 추적 중인 프로세스가 성공하면 감사 항목을 생성하고 실패 감사는 추적 중인 프로세스가 실패하면 감사 항목을 생성합니다.

Windows XP SP2 및 Windows Server 2003 SP1에서 프로세스 추적 감사를 사용하면 Windows 방화벽 구성 요소의 작동 모드 및 상태에 대한 정보도 기록됩니다.

프로세스 추적 감사 설정을 사용하면 많은 이벤트가 생성됩니다. 이 정책 설정은 보통 감사 안 함으로 구성됩니다. 그러나 이 정책 설정에 의해 생성되는 정보는 시작된 프로세스 및 프로세스가 시작된 시기에 대한 자세한 로그를 제공하므로 문제 상황 대체 시 매우 유용하게 사용할 수 있습니다.

시스템 이벤트 감사

이 정책 설정은 사용자가 컴퓨터를 다시 시작하거나 종료할 경우 또는 컴퓨터 보안이나 보안 로그에 영향을 주는 이벤트가 발생할 경우에 이를 감사할지 여부를 결정합니다.

시스템 이벤트 감사 설정을 구성하면 성공한 이벤트를 감사할지, 실패한 이벤트를 감사할지 아니면 모든 이벤트 유형을 감사하지 않을지를 지정할 수 있습니다. 성공 감사는 이벤트가 성공적으로 실행되면 감사 항목을 생성하고 실패 감사는 이벤트를 실행하지 못하면 감사 항목을 생성합니다. 시스템 이벤트에 대해 실패 및 성공 감사를 모두 사용하는 경우 추가로 기록되는 이벤트가 거의 없으며 이러한 이벤트는 매우 중요하기 때문에 조직의 모든 컴퓨터에 대해 이 정책 설정을 사용으로 구성해야 합니다.

페이지 위쪽

감사 예제는 다음과 같습니다. 사용자 로그온 이벤트 결과

Windows에서 사용할 수 있는 여러 가지 감사 설정을 살펴보았으므로 이제 구체적인 예를 검토하면 이해에 도움이 될 것입니다. 감사는 엔터프라이즈 관리자가 선호하는 전체적인 차원이 아닌 개별 컴퓨터 차원에서 수행됩니다. 이벤트가 개별 컴퓨터에서 기록되기 때문에 여러 컴퓨터의 보안 로그를 확인하고 데이터를 상호 연관시켜 어떤 상황이 발생했는지를 확인해야 합니다.

이 장의 나머지 부분에서는 권한이 있는 사용자가 자신의 컴퓨터에 로그온하여 파일 서버에 의해 호스팅되는 공유 폴더의 파일에 액세스할 때 도메인 컨트롤러, 파일 서버 및 최종 사용자 컴퓨터의 이벤트 로그에 기록되는 핵심적인 이벤트를 보여 줍니다. 여기서는 핵심적인 이벤트만을 설명하며 이러한 작업에 의해 생성되는 기타 이벤트는 명확한 설명을 위해 생략합니다. 이 장의 예제에 사용된 계정과 리소스의 이름은 다음과 같습니다.

• 도메인 = DOM

• 도메인 컨트롤러 = DC1

• 파일 서버 = FS1

• 최종 사용자 컴퓨터 = XP1

• 사용자 = John

• FS1의 공유 폴더 = Share

• 공유 폴더의 문서 = document.txt

사용자의 컴퓨터 로그온

• 최종 사용자 컴퓨터에 기록된 이벤트

  • 이벤트 ID 528에 대한 성공 감사, XP1 컴퓨터의 DOM\John 사용자에 대한 사용자 로그온/로그오프

• 도메인 컨트롤러에 기록된 이벤트

  • 이벤트 ID 540에 대한 성공 감사, DC1 컴퓨터의 DOM\John 사용자에 대한 사용자 로그온/로그오프

• 파일 서버에 기록된 이벤트

  • 해당 없음

사용자의 Share 공유 폴더 연결

• 최종 사용자 컴퓨터에 기록된 이벤트

  • 해당 없음

• 도메인 컨트롤러에 기록된 이벤트

  • 이벤트 ID 673에 대한 성공 감사, 서비스 이름 FS1$에 대한 John@DOM.com 사용자의 계정 로그온

  • 이벤트 ID 673에 대한 성공 감사, 서비스 이름 FS1$에 대한 FS$@DOM.com 사용자의 계정 로그온

  • 이벤트 ID 673에 대한 성공 감사, 서비스 이름 FS1$에 대한 XP1$@DOM.com 사용자의 계정 로그온

    참고: 이러한 요청은 모두 Kerberos 인증 프로토콜 서비스 티켓 요청입니다.

• 파일 서버에 기록된 이벤트

  • 이벤트 ID 540에 대한 성공 감사, FS1 컴퓨터의 DOM\John 사용자에 대한 사용자 로그온/로그오프

  • 이벤트 ID 560에 대한 성공 감사, READ_CONTROL, ReadData(또는 ListDirectory), ReadEA, ReadAttributes 등의 사용 권한을 사용한 DOM\John 사용자의 C:\Share 개체 액세스

  • 이벤트 ID 560에 대한 성공 감사, READ_CONTROL, ReadData(또는 ListDirectory), ReadEA, ReadAttributes 등의 사용 권한을 사용한 DOM\John 사용자의 C:\Share\document.txt 개체 액세스

사용자의 document.txt 파일 열기

• 최종 사용자 컴퓨터에 기록된 이벤트

  • 해당 없음

• 도메인 컨트롤러에 기록된 이벤트

  • 해당 없음

• 파일 서버에 기록된 이벤트

  • 이벤트 ID 560에 대한 성공 감사, READ_CONTROL, ReadData(또는 ListDirectory), WriteDate(또는 AddFile), AppendDate(또는 AddSubdirectory나 CreatePipeInstance), ReadEA, WriteEA, ReadAttributes, WriteAttributes 등의 사용 권한을 사용한 DOM\John 사용자의 C:\Share\document.txt 개체 액세스

  • 이벤트 ID 560에 대한 성공 감사, ReadAttributes 사용 권한을 사용한 DOM\John 사용자의 C:\Share\document.txt 개체 액세스

  • 이벤트 ID 560에 대한 성공 감사, ReadAttributes 사용 권한을 사용한 DOM\John 사용자의 C:\Share 개체 액세스

사용자의 document.txt 파일 저장

• 최종 사용자 컴퓨터에 기록된 이벤트

  • 해당 없음

• 도메인 컨트롤러에 기록된 이벤트

  • 해당 없음

• 파일 서버에 기록된 이벤트

  • 이벤트 ID 560에 대한 성공 감사, SYNCHRONIZE, ReadData(또는 ListDirectory), WriteDate(또는 AddFile), AppendDate(또는 AddSubdirectory나 CreatePipeInstance), ReadEA, WriteEA, ReadAttributes, WriteAttributes 등의 사용 권한을 사용한 DOM\John 사용자의 C:\Share\document.txt 개체 액세스

  • 이벤트 ID 560에 대한 성공 감사, READ_CONTROL, SYNCHRONIZE, ReadData(또는 ListDirectory) 등의 사용 권한을 사용한 DOM\John 사용자의 C:\Share\document.txt 개체 액세스

이 예제는 복잡한 일련의 이벤트처럼 보이지만 실제로는 상당히 단순화된 것입니다. 위와 같은 작업을 수행하면 실제로 도메인 컨트롤러와 파일 서버에 대한 로그온, 로그오프 및 권한 사용 이벤트가 수십 차례 생성됩니다. 또한 사용자가 파일을 열면 많은 개체 액세스 이벤트도 생성되며 사용자가 파일을 저장할 때마다 훨씬 더 많은 이벤트가 생성됩니다. 이 예제에서 확인할 수 있는 것처럼 Microsoft Operations Manager 같은 자동화 도구를 사용할 수 없는 경우에는 감사 데이터 사용이 어려울 수도 있습니다.

페이지 위쪽

추가 정보

다음 링크에서는 Windows XP SP2 또는 Windows Server 2003 SP1을 실행하는 컴퓨터의 감사 정책과 관련된 항목에 대한 자세한 내용을 확인할 수 있습니다.

• 감사 정책에 대한 자세한 내용은 Microsoft TechNet(www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/6847e72b-9c47-42ab-b3e3-691addac9f33.mspx)의 Windows Server 2003 TechCenter 설명서에서 "Auditing Policy (영문)"(감사 정책) 섹션을 참조하십시오.

• https://support.microsoft.com/default.aspx?kbid=324739의 "HOW TO: Use Group Policy to Audit Registry Keys in Windows Server 2003 (영문)"(Windows Server 2003에서 그룹 정책을 사용하여 레지스트리 키를 감사하는 방법) 문서에는 레지스트리 키에 SACL을 추가하여 해당 키에 대한 액세스를 감사하는 방법이 설명되어 있습니다.

• https://support.microsoft.com/kb/299475/의 "Windows 2000 보안 이벤트 설명(1/2)" 문서 및 https://support.microsoft.com/kb/301677/의 "Windows 2000 보안 이벤트 설명(2/2)" 문서에는 Windows 2000 Server에서 로그되는 보안 이벤트에 대한 내용이 설명되어 있습니다. 이 문서의 내용은 Windows Server 2003 및 Windows XP에도 적용됩니다.

페이지 위쪽

다운로드

위협 및 대책 설명서 받기 (영문)

업데이트 알림

등록을 통한 업데이트 및 새 릴리스 확인 (영문)

사용자 의견

의견 또는 제안 보내기

페이지 위쪽