01. 이벤트 관리의 개요

2. 01. 이벤트 관리의 개요 • 이벤트: 시스템의 주요 자원에 대한 접근이나 사용자 또는 시스템의 활동 • 보안 이벤트: 보안에 관련된 이벤트 • 감사: 시스템의 관리자가 이벤트들을 감시, 감독하는것 • 감사 정책: 감사할 내용을 설정해 놓은 것

3. 감사 정책 설정 방법 • 감사할 이벤트 범주를 지정한다 • 이벤트 범주는 사용자의 로그인 및 로그오프와 같은 사용자나 시스템의 특정한 활동의 내용을 분류한 것이다. 관리자는 보안에 관련된 이벤트 범주를 감시하도록 감사 정책을 설정할 수 있다. 뒤에서 살펴볼 것이다. • 특정 개체에 대한 접근을 감사하도록 설정한다 • 특정 파일을 읽거나 수정하려는 사용자의 시도를 감사할 수 있다. 이 경우 사용자의 시도가 성공하였는가 혹은 실패하였는가를 기록하도록 설정할 수 있다. 개체에 대한 접근을 감사하도록 설정하는 데는 로컬 파일이나 폴더에 대한 감사 정책을 설정하는 경우와 그룹 정책을 사용하여 개체에 대한 감사 정책 설정하는 경우가 있다.

4. 보안 설명자의 SACL(시스템 액세스 제어 목록) • 개체에 대한 접근을 감사할 그룹 또는 사용자 계정 • 각 그룹이나 사용자별로 감사해야 할 작업 • 개체에 대한 사용자나 그룹의 작업 시도에 대하여 성공과 실패 중 어떤 것을 기록할 것인가에 대한 정보 • 개체에 대한 감사 정책은 개체에 대한 사용 권한과 마찬가지로 상속이 가능하며, 상속 방법도 사용 권한과 동일하다. • 감사 정책에 따라 감사된 보안 이벤트는 보안 로그에 기록된다.

5. 보안 로그 확인하기 1. [시작] → [제어판] → [성능 및 유지 관리] → [관리 도구] 선택하고 ’이벤트 뷰어’를 연다. 2. 콘솔 트리에서 ‘보안’을 선택한다.

6. 보안 로그 확인하기 3. 오른쪽의 세부 정보 창에서 확인하고자 하는 이벤트를 두 번 클릭하면 자세한 내용을 표시한 대화상자가 열린다.

7. 02. 이벤트 범주에 대한 감사 정책 설정

8. 로컬 보안 설정 1. [시작] → [제어판] → [관리 도구]를 선택하고 ‘로컬 보안 정책’을 연다. 2. 콘솔 트리에서 ‘감사 정책’을 선택한다.

9. 로컬 보안 설정 3. 우측의 세부 정보 창에서 감사 정책 설정을 변경할 이벤트 범주를 두 번 클릭한다. 4. 성공한 시도를 감사하려면 ‘성공’을 실패한 시도를 감사하려면 ‘실패’를 선택한다. 즉, 이 경우 ‘실패’를 선택하면, 실패한 로그인 시도가 보안 로그에 기록될 것이다.

10. 기본 도메인 컨트롤러의 보안 설정 1. [시작] → [제어판] → [관리 도구]를 선택한 다음 ‘도메인 컨트롤러 보안 정책’을 연다. 2. 콘솔 트리에서 ‘감사 정책’을 선택한다.

11. 기본 도메인 컨트롤러의 보안 설정 3. 세부 정보 창에서 감사 정책 설정을 변경할 이벤트 범주를 두 번 클릭한다. 4. ‘이 정책 설정 정의’를 선택하고, ‘성공’ 혹은 ‘실패’를 선택하고, ‘확인’ 버튼을 누른다.

12. 계정 로그인 이벤트 감사 설정하기 1. [시작] → [제어판] → [관리 도구]를 선택하여 ‘Active Directory 사용자 및 컴퓨터’를 연다. 2. 콘솔 트리에서 도메인이나 조직 구성 단위를 마우스 오른쪽 버튼으로 선택하고 ‘속성’을 선택한다.

13. 계정 로그인 이벤트 감사 설정하기 3. 해당 도메인의 등록 정보 대화상자에서 ‘그룹 정책’ 탭을 선택한다. 편집할 그룹 정책 개체를 선택하고 ‘편집’을 선택하여 ‘그룹 정책 개체 편집기’를 연다.

14. 계정 로그인 이벤트 감사 설정하기 4. 콘솔 트리에서 ‘감사 정책’을 선택한다.

15. 계정 로그인 이벤트 감사 설정하기 5. 세부 정보 창에서 감사 정책을 설정할 이벤트 범주를 두 번 클릭한다. 6. ‘이 정책 설정 정의’를 선택하고 ‘성공’ 또는 ‘실패’를 선택하고, ‘확인’ 버튼을 누른다.

16. MMC에 그룹 정책 스냅인 추가하기 1. [시작] → [실행]을 선택하고 ‘mmc’를 입력한 다음 ‘확인’ 버튼을 누른다. 2. MMC 창의 메뉴에서 [파일] → [스냅인 추가/제거]를 선택하여 ‘스냅인 추가/제거’ 창을 연다.

17. MMC에 그룹 정책 스냅인 추가하기 3. ‘스냅인 추가/제거’ 창에서 ‘추가’ 버튼을 누른다.

18. MMC에 그룹 정책 스냅인 추가하기 4. ‘독립 실행형 스냅인 추가’ 대화상자에서 ‘그룹 정책’을 선택한 다음 ‘추가’ 버튼을 누른다.

19. MMC에 그룹 정책 스냅인 추가하기 5. 그룹 정책 마법사의 ‘그룹 정책 개체 선택’ 화면에서 ‘찾아보기’ 버튼을 누른다.

20. MMC에 그룹 정책 스냅인 추가하기 6. ‘그룹 정책 개체 찾아보기’ 창에서 감사 정책을 설정할 도메인, OU, 사이트 등에 속한 GPO(그룹 정책 개체)를 선택하고 ‘확인’ 버튼을 누른다.

21. MMC에 그룹 정책 스냅인 추가하기 7. ‘마침’, ‘닫기’, ‘확인’ 버튼을 차례로 선택하여 열려진 창을 닫고, MMC 창으로 되돌아 온다. ‘MMC’ 창에 감사 정책의 설정이 가능하도록 그룹 정책 개체 편집기가 열린다.

22. 03. 로컬 파일이나 폴더에 대한 감사 정책 설정 • 보안 이벤트의 감사 정책 중 ‘개체 액세스 감사’가 활성화된 경우 개별 파일이나 폴더에 대한 사용자 및 그룹의 접근을 감사 가능 • 해당 파일이나 폴더가 보안을 필요로 하는 내용일 경우에 사용

23. 파일이나 폴더에 대한 감사 정책 설정 1. Windows 탐색기를 연다. 감사하려는 파일 또는 폴더를 마우스 오른쪽 버튼으로 선택하고 ‘속성’을 선택한다.

24. 파일이나 폴더에 대한 감사 정책 설정 2. 폴더의 등록 정보 대화상자에서 ‘보안’ 탭을 선택하고 ‘고급’ 버튼을 누른다.

25. 파일이나 폴더에 대한 감사 정책 설정 3. ‘고급 보안 설정’ 대화상자에서 새로운 사용자나 그룹에 대한 감사를 설정하기 위해 ‘추가’ 버튼을 누른다.

26. 파일이나 폴더에 대한 감사 정책 설정 4. ‘선택할 개체 이름을 입력하십시오’ 항목에 원하는 사용자나 그룹 이름을 입력한 다음 ‘확인’ 버튼을 누른다.

27. 파일이나 폴더에 대한 감사 정책 설정 5. 폴더의 ‘중요한 폴더 감사 항목’ 대화상자에서 먼저 ‘적용 대상’ 상자에서 감사하려는 위치를 선택한다. 그 다음 ‘액세스’ 상자에서 개체에 대한 여러 가지 접근 방법 중 감사하려는 항목을 찾아 ‘성공’ 또는 ‘실패’ 감사를 선택한다.

28. 04. 개체에 대한 감사 정책 설정 • 파일이나 폴더와 같은 개체 외에도 시스템의 여러 가지 개체에 대해 감사 정책을 설정 • 감사 정책은 개별 개체의 등록 정보 대화상자의 ‘보안’ 탭에서 설정 • 또는 해당 도메인, 사이트, OU에 속한 GPO(그룹 정책 개체)를 그룹 정책 개체 편집기를 사용하여 감사 정책을 편집

29. 시스템 서비스에 대한 감사 정책 설정 1. MMC 콘솔에 그룹 정책 개체 편집기의 스냅인을 설치한다. 콘솔 트리에서 ‘시스템 서비스’를 선택하고, 세부 정보 창에서 감사 정책을 설정할 서비스를 두 번 클릭한다.

30. 시스템 서비스에 대한 감사 정책 설정 2. ‘이 정책 설정 정의’를 선택한 다음 ‘서비스 시작 모드를 선택하십시오.’ 항목에서 서비스 시작 방법을 선택한다. ‘보안 편집’ 버튼을 누른다.

31. 시스템 서비스에 대한 감사 정책 설정 3. ‘다음에 대한 보안’ 대화상자에서 ‘고급’ 버튼을 누른다.

32. 시스템 서비스에 대한 감사 정책 설정 4. ‘고급 보안 설정’ 대화상자의 ‘감사’ 탭에서 필요한 감사 정책을 설정한다.