고급 보안 감사 정책 설정
게시 날짜: 2016년 8월
적용 대상: Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8
IT 전문가 위한이 참조는 Windows 운영 체제에서 사용할 수 있는 고급 감사 정책 설정 및 생성 하는 감사 이벤트에 대 한 정보를 제공 합니다.
아래 53 보안 감사 정책 설정을 보안 설정 \ 고급 감사 정책 구성 하는 데 필요한 중요 한 비즈니스 관련 규칙과 보안 관련 규칙을 준수와 같은 정확 하 게 정의 된 활동을 추적 하 여 감사 합니다.
그룹 관리자 설정 또는 재무 정보를 포함 하는 서버 데이터를 수정 했습니다.
정의 된 그룹 내에서 직원 중요 한 파일에 액세스 합니다.
올바른 시스템 액세스 제어 목록 (SACL)는 감지 되지 않은 액세스에 대 한 검증 가능한 보안 조치로 컴퓨터 또는 파일 공유에서 모든 파일 및 폴더 또는 레지스트리 키에 적용 됩니다.
이 감사 정책 설정을 통해 로컬 보안 정책 스냅인 (secpol.msc) 로컬 컴퓨터 또는 그룹 정책을 사용 하 여 액세스할 수 있습니다.
이 고급 감사 정책 설정을 모니터링할 동작만 선택할 수 있습니다. 사용자에 게 거의 또는 전혀 중요 동작 또는 로그 항목을 너무 많이 생성 하는 동작에 대 한 감사 결과 제외할 수 있습니다. 또한 보안 감사 정책에 도메인 그룹 정책 개체를 사용 하 여 적용 될 수 있으므로 감사 정책 설정은 수정, 테스트 및 수 선택한 사용자 및 상대적으로 간단 그룹에 배포 합니다.
고급 보안 감사 정책 설정이 구성 된 이벤트에 지정 된 지원 되는 버전의 Windows 운영 체제를 실행 하는 컴퓨터에 표시 된 에 적용 됩니다 Windows Server 2008 및 Windows Vista 뿐만 아니라이 항목의 시작 부분에 나열 합니다.
감사 정책 설정에서 보안 설정 \ 고급 감사 정책 구성 다음 범주에서 사용할 수 있습니다.
계정 로그온
이 범주에서 정책 설정을 구성 하면 문서 계정 또는 데이터를 도메인 컨트롤러에는 로컬 보안 계정 관리자 (SAM)를 인증 하려고 시도 합니다. 로그온 및 로그 오프 정책 설정 및 트랙에는 특정 컴퓨터에 액세스 하려고 하는 이벤트와 달리 설정과이 범주에 속하는 이벤트 집중적으로 사용 되는 계정 데이터베이스. 이 범주에는 다음과 같은 하위 범주가 포함 됩니다.
계정 관리
보안 감사 정책 설정은이 범주에서 사용자 및 컴퓨터 계정 및 그룹의 변경 내용을 모니터링 데 사용할 수 있습니다. 이 범주에는 다음과 같은 하위 범주가 포함 됩니다.
자세한 추적
자세한 추적 보안 정책 설정 및 감사 이벤트는 개별 응용 프로그램 및 해당 컴퓨터에서 사용자의 활동을 모니터링 하 고 컴퓨터 사용 되는 방식을 이해 하려면 사용할 수 있습니다. 이 범주에는 다음과 같은 하위 범주가 포함 됩니다.
DS Access
DS Access 보안 감사 정책 설정을 액세스 및 Active Directory 도메인 서비스 (AD DS)에서 개체를 수정 하려는 시도의 자세한 감사 내역을 제공 합니다. 이러한 감사 이벤트가 도메인 컨트롤러에만 기록 됩니다. 이 범주에는 다음과 같은 하위 범주가 포함 됩니다.
로그온/로그 오프
로그온/로그 오프 보안 정책 설정 및 감사 이벤트를 통해 대화형으로 또는 네트워크를 통해 컴퓨터에 로그온 하는 시도 추적할 수 있습니다. 이러한 이벤트는 사용자 활동을 추적 하 고 네트워크 리소스에 대 한 잠재적인 공격을 식별 하는 데 특히 유용 합니다. 이 범주에는 다음과 같은 하위 범주가 포함 됩니다.
개체 액세스
개체 액세스 정책 설정 및 감사 이벤트를 통해 특정 개체 또는 네트워크나 컴퓨터에 있는 개체의 형식에 액세스 시도 추적할 수 있습니다. 파일, 디렉터리, 레지스트리 키 또는 다른 개체에 액세스 하려는 시도 감사 하려면 적절 한 개체 액세스 감사 하위 범주 성공 및/또는 오류 이벤트에 대 한 사용 하도록 설정 해야 합니다. 예를 들어 파일 작업을 감사할 사용 하도록 설정 하면 파일 시스템 하위 범주 및 레지스트리 하위 범주 레지스트리 액세스 감사를 사용할 수 있어야 합니다.
이러한 감사 정책 증명은 사실 외부 감사자는 더 어렵습니다. 적절 한 Sacl 상속 된 모든 개체에 설정 되어 있는지 확인 하는 쉽게 방법은 없습니다. 이 문제를 해결 하려면 참조 No text is specified for bookmark or legacy link '#BKMK_GlobalObjectAccess'.합니다.
이 범주에는 다음과 같은 하위 범주가 포함 됩니다.
정책 변경
정책 변경 감사 이벤트를 허용 하는 로컬 시스템 또는 네트워크에 중요 한 보안 정책에 변경 내용을 추적할 수 있습니다. 수 있기 때문에 정책 관리자는 보안 네트워크 리소스를 위해 일반적으로 형성 되 면 변경 또는 이러한 정책을 변경 하는 시도 모니터링 합니다. 네트워크에 대 한 보안 관리의 중요 한 측면입니다. 이 범주에는 다음과 같은 하위 범주가 포함 됩니다.
권한 사용
정의 된 작업을 완료 하는 사용자 또는 컴퓨터에 대 한 네트워크에 대 한 권한이 부여 됩니다. 보안 정책 설정을 사용 하는 권한 및 감사 이벤트를 통해 하나 이상의 시스템에 대 한 특정 권한의 사용을 추적할 수 있습니다. 이 범주에는 다음과 같은 하위 범주가 포함 됩니다.
System (시스템)
시스템 보안 정책 설정 및 감사 이벤트를 사용 하 여 다른 범주에 포함 되지 않은 잠재적 보안 문제가 있는 컴퓨터에 시스템 수준 변경 내용을 추적할 수 있습니다. 이 범주에는 다음과 같은 하위 범주가 포함 됩니다.
전역 개체 액세스
전역 개체 액세스 감사 정책 설정을 관리자 정의할 수는 레지스트리 또는 파일 시스템에 대 한 개체 유형별 컴퓨터 시스템 액세스 제어 목록 (Sacl). 그런 다음 지정 된 SACL 해당 유형의 모든 개체에 자동으로 적용 됩니다.
감사자는 전역 개체 액세스 감사 정책 설정의 내용을 확인 하 여 시스템의 모든 리소스는 감사 정책에 의해 보호 됩니다 입증할 수 있습니다. 예를 들어 "그룹 관리자가 변경한 모든 내용을 추적 합니다." 라고 하는 정책 설정에 감사자를 볼 경우 알아냈습니다이 정책이 적용 됩니다.
리소스 Sacl 진단 시나리오에도 유용합니다. 예를 들어 설정 전역 개체 액세스 감사 파일 시스템 또는 레지스트리 "액세스 거부" 이벤트를 추적 하는 특정 사용자 및 정책 사용에 대 한 모든 활동을 기록 하는 정책 데 도움이 됩니다 관리자가 신속 하 게 사용자 액세스를 거부 하는 시스템에 있는 개체를 식별 합니다.
참고
파일 또는 폴더 SACL 및 전역 개체 액세스 감사 정책 설정 (또는 단일 레지스트리 설정 SACL과 전역 개체 액세스 감사 정책 설정)를 컴퓨터에 구성 파일 또는 폴더 SACL과 전역 개체 액세스 감사 정책이 결합에서 유효 SACL이 파생 됩니다. 즉, 파일 또는 폴더 SACL 이나 전역 개체 액세스 감사 정책 활동 일치 하는 경우 감사 이벤트가 생성 됩니다.
이 범주에는 다음과 같은 하위 범주가 포함 됩니다.