W-40: 정책에 따른 시스템 로깅 설정
분류: Windows
중요도: 중
개요
점검 내용
시스템 로깅 설정 여부 및 적절성 점검
점검 목적
적절한 로깅 설정으로 유사시 책임 추적을 위한 로그를 확보하기 위함
보안 위협
감사 설정이 구성되어 있지 않거나 감사 설정 수준이 너무 낮은 경우 보안 관련 문제 발생 시 원인을 파악하기 어려우며 법적 대응을 위한 충분한 증거 확보가 어려운 위험이 존재함
참고
참고
감사 정책을 과도하게 설정할 경우, 보안 로그에 불필요한 항목이 많이 기록되므로 중요한 감사 항목 식별이 어려울 수 있으며, 시스템 성능에도 심각한 영향을 줄 수 있으므로 법적 요구 사항과 조직 의 정책에 따라 꼭 필요한 로그를 남기도록 설정해야 함
Windows 시스템은 보안 로그가 가득 차게 되는 경우 가장 오래된 감사 항목이 덮어 씌워짐
점검 대상 및 판단 기준
대상
Windows NT, 2000, 2003, 2008, 2012, 2016, 2019, 2022
판단 기준
✅ 양호: 감사 정책 권고 기준에 따라 감사 설정이 되어 있는 경우
❌ 취약: 감사 정책 권고 기준에 따라 감사 설정이 되어 있지 않은 경우
조치 방법
이벤트에 대한 감사 설정
조치 시 영향
일반적인 경우 영향 없음
점검 및 조치 사례
Windows NT
-
시작 > 프로그램 > 관리 도구 > 도메인 사용자 관리자 > 정책 > 감사
- 로그온 및 로그오프, 보안 정책 바꾸기: 성공/실패 감사
- 사용자 권한 사용, 사용자 및 그룹 관리: 실패 감사
Windows 2000, 2003, 2008, 2012, 2016, 2019, 2022
- 시작 > 제어판 > 관리 도구 > 로컬 보안 정책 > 로컬 정책 > 감사 정책
<감사 정책 권고 기준>
- 계정 관리: 실패 감사
- 계정 로그온 이벤트: 성공/실패 감사
- 권한 사용: 성공/실패 감사
- 디렉터리 서비스 액세스: 실패 감사
- 로그온 이벤트: 성공/실패 감사
- 정책 변경: 성공/실패 감사
[ 감사 정책 설정 ]