Windows 서버 보안#1

Windows Server의 사용자 계정관리 방식은 Work Group 방식과 Domain 방식으로 나눠집니다.

- Work Group 방식은 기존 집에서 사용하는 것과 같이 독립적으로 사용하는 방식입니다.

- Domain 방식은 AD(Active Diretory) 을 사용하며, 회사별, 그룹별 나눠서 사용하는 방식입니다.

  : %SystemRoot%\System32\config\SAM 에 저장됩니다.

* Active Directory 에 대해서는 다음에 포스팅하도록 하겠습니다.

 

1) 윈도우 시스템 이벤트 로그 종류

크게 응용프로그램, 보안로그, 시스템로그로 나눠집니다. 이벤트뷰어(eventvwr.msc) 를 실행하게 되면 볼 수 있습니다.

 

Ⅰ. 응용 프로그램 로그 : 응용 프로그램 시작과 종료에 대해 기록한 다양한 이벤트가 저장되며, 저장되는 이벤트는 소프트웨어 개발자에 의해 결정됩니다.

: Add / Delete Member in Group, Application Error 등에 대한 기록이 남습니다.

 

Ⅱ. 보안 로그 : 윈도우 로그인 성공과 실패, 윈도우 파일 생성 열람 삭제 등의 리소스 사용에 관련된 이벤트를 기록합니다.

: Login Success, Login Fail, Network Login 등에 대한 기록이 남습니다.

 

Ⅲ. 시스템 로그(SysEvent.Evt) : Windows Update, Windows 시스템 구성요소가 기록하는 이벤트. 구성요소의 오류를 이벤트에 기록합니다.

: System Start, Windows Update, RDP Connection 등에 대한 기록이 남습니다.

Ⅳ. 추가적으로 로그를 수집할 수 있고, 그 대상들은 디렉터리 서비스 로그, 파일 복제 서비스 로그, DNS 서버 로그 등이 있습니다.

Ⅴ. 이벤트 로그 파일은 %Windows%\system32\config 폴더에 위치합니다.

Ⅵ. 이벤트 로그 파일은 바이너리 형식이기 때문에, 별도의 프로그램(이벤트 뷰어 등)으로 열어야 한다.

​

2) 감사 정책 (secpol.msc)

어떤 로그를 남길지를 정의를 할 수 있으며, 계정과 PC의 보안 정책을 설정할 수 있습니다.

그중 로컬 정책 > 감사정책을 보게 되면 기본 설정으로 되어있는 값들을 볼 수 있고, 해당 값들을 수정하여

보안정책을 만들 수 있습니다.

- 개체 액세스 감사 (감사 안 함) : 특정 파일이나 디렉터리, 프린터 등과 같은 객체에 대한 접근 시도, 속성 변경 등을 탐지

- 계정 관리 감사 (실패) : 사용자/그룹의 추가/변경/활성화/비활성화, 계정 패스워드 변경 등을 감사

- 계정 로그인 이벤트 감사 (성공, 실패) : 도메인 계정의 로그인에 대한 사항을 로그에 남김

- 권한 사용 감사 (실패) : 권한 설정 변경이나 관리자 권한이 필요한 작업을 수행할 때 로그에 남김

- 로그인 이벤트 감사 (성공, 실패) : 로컬 계정 접근 시 생성되는 이벤트를 감사

- 디렉터리 서비스 액세스 감사 (실패) : 액티브 디렉터리 개체에 접근하는 사용자에 대한 감사 로그

- 정책 변경 감사 (성공, 실패) : 사용자 권한 할당 정책, 감사 정책 또는 신뢰 정책의 변경과 관련된 사항을 로그에 남김

- 프로세스 추적 감사 (감사 없음) : 프로세스를 시작하거나 중지할 때 해당 이벤트 발생

- 시스템 이벤트 감사 (감사 없음) : 시스템의 시동과 종료, 보안 로그 삭제 등 시스템의 주요한 사항에 대한 이벤트를 남김

​

3) 윈도우에서의 로그 정책 설정

- 윈도우에서 로그 정책이 대부분의 정보를 로깅하지 않게 기본으로 설정되어 있다. 따라서 적절한 로깅을 설정하여야 합니다.

- 윈도우는 유닉스의 비해 로깅하는데 시스템 자원이 많이 소모되므로 모든 정보를 로깅하도록 설정하는 것은 바람직하지 않습니다. 필요에 맞게 정책을 만들어야 합니다.