W-43: 이벤트 로그 파일 접근 통제 설정
분류: Windows
중요도: 중
개요
점검 내용
원격에서 로그 파일의 접근을 차단하기 위한 권한 적절성 점검
점검 목적
원격에서 로그 파일에 접근하는 것을 차단하여 로그 파일의 훼손 및 변조를 차단하기 위함
보안 위협
원격 익명 사용자의 시스템 로그 파일에 접근이 가능한 경우 ‘중요 시스템 로그’ 파일 및 ‘응용프로그램 로그’ 등 중요 보안 감사 정보의 변조·삭제·유출의 위험이 존재함
참고
로그 디렉터리 기본 위치
- 시스템 로그 디렉터리:
%systemroot%\system32\config - IIS 로그 디렉터리:
%systemroot%\system32\LogFiles
점검 대상 및 판단 기준
대상
Windows NT, 2000, 2003, 2008, 2012, 2016, 2019, 2022
판단 기준
✅ 양호: 로그 디렉터리의 접근 권한에 Everyone 권한이 없는 경우
❌ 취약: 로그 디렉터리의 접근 권한에 Everyone 권한이 있는 경우
조치 방법
로그 디렉터리의 접근 권한에 Everyone 제거
조치 시 영향
일반적인 경우 영향 없음
점검 및 조치 사례
Windows NT, 2000, 2003, 2008, 2012
- 탐색기 > 로그 디렉터리 > 속성 > 보안
- Everyone 권한 제거
Windows 2016, 2019, 2022
- 탐색기 > 로그 디렉터리 > 속성 > 보안 > 고급
- Everyone 권한 제거
[ 로그 디렉터리 권한 확인 ]