콘텐츠로 이동

W-50: 보안 감사를 로그 할 수 없는 경우 즉시 시스템 종료

분류: Windows

중요도: 상

개요

점검 내용

"보안 감사를 로그 할 수 없는 경우 즉시 시스템 종료" 정책 설정 여부 점검

점검 목적

해당 정책을 비활성화함으로써 로그 용량 초과 등의 이유로 이벤트를 기록할 수 없는 경우, 해당 정책으로 인해 시스템이 비정상적으로 종료되는 것을 방지하기 위함

보안 위협

해당 정책이 활성화되어 있는 경우 악의적인 목적으로 시스템 종료를 유발하여 서비스 거부 공격에 악용될 수 있으며, 비정상적인 시스템 종료로 인해 시스템 및 데이터에 손상을 입힐 위험이 존재함

참고

참고

일반적으로 보안 감사 로그가 꽉 찼을 때 보안 로그에 대한 보존 방법이 [이벤트를 덮어쓰지 않음] 또는 [매일 이벤트 덮어쓰기]인 경우 이벤트가 로그 되지 않음.

보안 로그가 꽉 차고 기존 항목을 덮어쓸 수 없을 때 해당 정책을 사용하는 경우 다음과 같은 중지 오류가 출력됨: 중지: C0000244 {감사 실패} 보안 감사를 만들려고 했으나 만들지 못했습니다.

복구하려면 관리자가 로그온하여 로그를 보관한 다음 로그를 지우고 이 옵션을 원하는 대로 다시 설정해야 합니다. 이 보안 설정을 다시 설정할 때까지는 보안 로그가 꽉 차지 않았더라도 Administrators 그룹의 구성원이 아니면 어떤 사용자도 시스템에 로그온할 수 없습니다.

점검 대상 및 판단 기준

대상

Windows NT, 2000, 2003, 2008, 2012, 2016, 2019, 2022

판단 기준

✅ 양호: "보안 감사를 로그 할 수 없는 경우 즉시 시스템 종료" 정책이 "사용 안 함"으로 되어있는 경우

❌ 취약: "보안 감사를 로그 할 수 없는 경우 즉시 시스템 종료" 정책이 "사용"으로 되어있는 경우

조치 방법

"보안 감사를 로그 할 수 없는 경우 즉시 시스템 종료" 정책을 "사용 안 함"으로 설정

조치 시 영향

일반적인 경우 영향 없음

점검 및 조치 사례

Windows NT, 2000

  1. 시작 > 실행 > SECPOL.MSC > 로컬 정책 > 보안 옵션
  2. "보안 감사를 로그 할 수 없는 경우 즉시 시스템 종료" 정책을 "사용 안 함"으로 설정

Windows 2003, 2008, 2012, 2016, 2019, 2022

  1. 시작 > 제어판 > 관리 도구 > 로컬 보안 정책 > 로컬 정책 > 보안 옵션
  2. "감사: 보안 감사를 로그 할 수 없는 경우 즉시 시스템 종료" 정책을 "사용 안 함"으로 설정

[ 감사 정책 사용 안 함 설정 ]