주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다.
주요정보통신기반시설 취약점 Windows 서버 점검 항목
■ 취약점 개요
○ 점검개요 : 시스템 로깅 설정 여부 및 적절성 점검
○ 점검목적 : 적절한 로깅 설정으로 유사 시 책임 추적을 위한 로그가 확보될 수 있게 하기 위함
○ 보안위협 : 감사 설정이 구성되어 있지 않거나 감사 설정 수준이 너무 낮은 경우 보안 관련 문제 발생 시 원인을 파악하기 어려우며 법적 대응을 위한 충분한 증거 확보가 어려움
○ 점검대상 : Windows NT, 2000, 2003, 2008, 2012, 2016 등
○ 판단기준
- 양호 : 감사 정책 권고 기준에 따라 감사 설정이 되어 있는 경우
- 취약 : 감사 정책 권고 기준에 따라 감사 설정이 되어 있지 않는 경우
■ 점검방법
○ Window NT
|
Step 1 |
아래 경로를 참고하여 설정 확인 시작> 프로그램> 관리 도구> 도메인 사용자 관리자> 정책> 감사 |
○ Window 2000, 2003, 2008, 2012, 2016 등
|
Step 1 |
아래 경로를 참고하여 설정 확인 시작> 실행> SECPOL.MSC> 로컬 정책> 감사 정책 |
■ 조치방안
○ Window NT
|
Step 1 |
아래 경로를 참고하여 설정 확인 시작> 프로그램> 관리 도구> 도메인 사용자 관리자> 정책> 감사 |
|
Step 2 |
<설정 예시> ○ 로그온 및 로그오프, 보안 정책 바꾸기 : 성공/실패 감사 ○ 사용자 권한 사용, 사용자 및 그룹 관리 : 실패 감사
|
○ Window 2000, 2003, 2008, 2012, 2016 등
|
Step 1 |
아래 경로를 참고하여 설정 확인 시작> 실행> SECPOL.MSC> 로컬 정책> 감사 정책 |
|
Step 2 |
<설정 예시> ○ 로그온 이벤트, 계정 로그온 이벤트, 정책 변경 : 성공/실패 감사 ○ 계정 관리, 디렉토리 서비스 액세스, 권한 사용 : 실패 감사
|
■ 감사 정책 권고 기준
|
암호화 수준 |
설정 |
고급 감사 정책 |
설정 |
|
개체 액세스 감사 |
감사 안 함 |
- |
감사 안 함 |
|
계정 관리 감사 |
성공 |
사용자 계정 관리 컴퓨터 계정 관리 보안 그룹 관리 |
성공 성공 성공 |
|
계정 로그온 이벤트 감사 |
성공 |
자격 증명 유효성 검사 Kerberos 서비스 티켓 작업 Kerberos 인증서비스 |
성공 성공 성공 |
|
권한 사용 감사 |
감사 안 함 |
- |
감사 안 함 |
|
디렉토리 서비스 액세스 감사 |
성공 |
디렉토리 서비스 액세스 |
성공 |
|
로그온 이벤트 감사 |
성공, 실패 |
로그온 로그오프 계정 잠금 성 특수 로그온 네트워크 정책 서버 |
성공, 실패 성공 성공 성공 성공, 실패 |
|
시스템 이벤트 감사 |
성공, 실패 |
보안 상태 변경 시스템 무결성 기타 시스템 이벤트 |
성공 성공, 실패 성공, 실패 |
|
시스템 이벤트 감사 |
성공 |
감사 정책 변경 인증 정책 변경 |
성공 성공 |
|
프로세스 추적 감사 |
감사 안 함 |
- |
감사 안 함 |
※ 위에서 권고하는 감사 정책은 운영체제 제조사에서 서버 시스템의 보안 수준 유지를 위해 일반적으로 권장하는 설정값임. 감사 이벤트 생성하도록 허가된 작업이 너무 많거나, 많은 수의 개체에 대해 감사 정책을 구성할 경우 과도한 불필요한 이벤트 로그 생성으로 인해 전체 시스템의 성능에 영향을 줄 수 있으므로 책임 추적성을 확보하는 범위 내에서 적절한 감사 정책 수립이 필요함
※ 고급 감사 정책을 지원하는 시스템에서 고급 감사 정책을 활용 할 경우, 로컬 보안 정책 > 로컬정책 > 보안 옵션 > "감사: 감사 정책 하위 범주 설정(Windows Vista 또는 그 이후 버전)이 감사 정책 범주 설정 보다 우선하도록 강제로 설정합니다" 정책을 먼저 사용하도록 설정하여야 함
■ 감사정책 설명
|
정책 |
설명 |
|
로그온 이벤트 |
○ 사용자가 컴퓨터에 로그온하거나 로그오프 할 때마다 로그온이 시도된 컴퓨터의 보안 로그에 이벤트 생성 |
|
계정 로그온 이벤트 |
○ 사용자가 도메인에 로그온하면 도메인 컨트롤러에 로그온 시도 기록 |
|
계정 관리 |
○ 사용자나 그룹이 작성, 변경 또는, 삭제된 시간을 판단하는데 사용 |
|
개체 액세스 |
○ 시스템 액세스 컨트롤 목록(SACL)이 있는 Windows 2000 기반 네트워크의 모든 개체에 대한 감사 활성화 ○ 보안 로그에 이벤트를 표시하려면 먼저 개체 액세스 감사를 활성화한 후 감사할 각 개체에 대해 SACL 정의 |
|
디렉토리 서비스 액세스 |
○ Active Directory 개체의 SACL에 나열된 사용자가 해당 개체에 액세스를 시도할 때 감사 항목 생성 |
|
권한 사용 |
○ 권한 사용의 성공 및 실패를 감사할 경우 사용자 권한을 이용하려고 할 때마다 이벤트 생성 |
|
프로세스 추적 |
○ 실행되는 프로세스에 대한 자세한 추적 정보를 감사하는 경우 이벤트 로그에 프로세스를 작성하고 종료하려고 한 시도 확인 |
|
시스템 이벤트 |
○ 사용자나 프로세스가 컴퓨터 환경을 변경하면 시스템 이벤트가 생성 되고, 시스템 이벤트를 감사할 경우 보안 로그 삭제 시간 감사 |
|
정책 변경 |
○ 감사 정책 변경의 성공 및 실패를 감사함 |
■ 조치 시 영향
일반적인 경우 무관
■ 감사 정책을 너무 강하게 설정할 경우, 보안 로그에 불필요한 항목이 많이 기록되므로 중요한 감사 항목 식별이 어려울 수 있으며, 시스템 성능에도 심각한 영향을 줄 수 있기 때문에 법적 요구 사항과 조직의 정책에 따라 꼭 필요한 로그를 남기도록 설정하여야 함
■ 윈도우 시스템은 보안 로그가 가득 차게 되는 경우 가장 오래된 감사 항목이 덮어 씌워짐
'취약점 진단 가이드 > WINDOWS 서버 진단 가이드' 카테고리의 다른 글
| W-60(하) 이벤트 로그 관리 설정 (0) | 2021.04.06 |
|---|---|
| W-58(상) 로그의 정기적 검토 및 보고 (0) | 2021.04.06 |
| W-56(상) 백신 프로그램 업데이트 (0) | 2021.04.05 |
| W-55(상) 최신 HOT FIX 적용 (0) | 2021.04.03 |
| W-54(중) 예약된 작업에 의심스러운 명령이 등록되어 있는지 점검 (0) | 2021.04.02 |