[Windows] 감사 정책(Audit Policy)에 대해 꼭 알아야 할 사항
감사 정책은 윈도우즈 운영체제 서버 관리자가 로그 관리를 위해 가장 먼저 고려해야할 정책으로 윈도우즈 서버에 감사 정책을 설정하면 지정한 이벤트 범주에 대해서만 로그가 남습니다. 즉 감사 정책이 구성되어 있지 않거나 설정 수준이 너무 맞으면 보안 관련 문제 발생 시 춴인 파악이 어렵고, 설정 수준이 너무 높으면 불필요한 항목이 많아져 중요한 항목과 혼동돌 수 있기 때문에 조직의 정책에 따른 적절한 감사 정책 설정이 중요합니다.
감사 로그를 적절히 설정하고 관리하면 보안 침해를 예방하고, 규제 준수를 보장하며, 문제 해결을 용이하게 하고, 내부 통제를 강화할 수 있는 등 조직의 전반적인 보안 태세를 크게 향상시킬 수 있습니다.
| 감사 정책 | 설명 |
|---|---|
| 개체 액세스 (Object Access) |
|
| 계정 관리 (Account Management) |
|
| 계정 로그온 이벤트 (Account Logon Events) |
|
| 권한 사용 (Privilege Use) |
|
| 디렉터리 서비스 액세스 (Directory Service Access) |
|
| 로그온 이벤트 (Logon Events) |
|
| 시스템 이벤트 (System Events) |
|
| 정책 변경 (Policy Change) |
|
| 프로세스 추적 (Process Tracking) |
|
계정 로그온 이벤트(Account Logon Events)와 로그온 이벤트(Logon Events)는 윈도우즈 서버 운영체제에서 사용자 계정관리방식의 차이로 인해 구분됩니다.
- 도매인 방식 – 도메인 계정 – Active Directory 데이터베이스에 저장 – 계정 로그온 이벤트 정책
- 워크그룹 방식 – 로컬 사용자 계정 – %SystemRoot%\System32\config\SAM에 저장 – 로그온 이벤트 정책
감사 정책의 이벤트는 Windows 로그에 기록되는데 시스템 이벤트 (System Events) 정책만 시스템 로그에 기록되고, 나머지 감사 정책은 보안 로그에 기록됩니다. 참고로 Windows 로그 유형에는 응용 프로그램, 보안, Setup, 시스템 및 Forwarded Events가 있습니다.
- 응용 프로그램: %SystemRoot%\System32\winevt\Logs\application.evtx(응용 프로그램에서 발생하는 이벤트 기록)
- 보안: %SystemRoot%\System32\winevt\Logs\security.evtx
- Setup: %SystemRoot%\System32\winevt\Logs\setup.evtx(시스템 설치나 업그레이드 과정에서 생성)
- 시스템: %SystemRoot%\System32\winevt\Logs\system.evtx
- Forwarded Events: %SystemRoot%\System32\winevt\Logs\forwaredevents.evtx
