[보안감사 3탄] 파일 삭제 감사(Audit); 누가 언제 내 파일을 삭제 하였나?
지난주 Workshop으로 남이섬을 다녀 왔는데 벌써 봄기운이 느껴지더군요.
추위를 잘타는 체질이라 따뜻함을 한껏 느끼고 돌아 왔습니다. ^^
이번 포스트는 누군가 중요 파일을 삭제 하였는지 감사하기 위한 설정과 감사 방법입니다.
[ 파일 감사를 위한 구성환경]
공유 파일 위치: 컴퓨터 W2K3SP1
연결 클라이언트: XPSP2sk
테스트 계정: DELTEST, TESTDEL
삭제할 파일: C:\TEST 폴더 안의 test1.txt, test2.txt, test3.txt
1. 해당 폴더에 다음과 같이 ‘삭제’에 대한 감사를 설정 합니다. (감사 설정은 해당 폴더의 등록정보 > 보안 > 고급 > 감사로 이동합니다)
![clip_image002[7]](https://blogs.technet.com/blogfiles/sankim/WindowsLiveWriter/3_9F2B/clip_image002%5B7%5D.jpg)
2. 정책 편집기에서 ‘개체 액세스 감사’의 ‘성공’감사를 설정합니다.
![clip_image004[7]](https://blogs.technet.com/blogfiles/sankim/WindowsLiveWriter/3_9F2B/clip_image004%5B7%5D.jpg)
[TEST Step]
1. 클라이언트 컴퓨터에서 DELTEST라는 계정으로 해당 폴더에 액세스 하여 test3.txt 파일을 삭제 합니다.
| 삭제 후 Security 이벤트 로그성공 감사 2007-06-29 오전 10:39:48 Security 개체 액세스 564 DELTEST W2K3SP1성공 감사 2007-06-29 오전 10:39:48 Security 개체 액세스 567 DELTEST W2K3SP1성공 감사 2007-06-29 오전 10:39:48 Security 개체 액세스 560 DELTEST W2K3SP1 |
2. 클라이언트 컴퓨터에서 TESTDEL라는 계정으로 해당 폴더에 액세스 하여 test2.txt 파일을 삭제 합니다.
| 삭제 후 Security 이벤트 로그성공 감사 2007-06-29 오전 10:50:45 Security 개체 액세스 564 TESTDEL W2K3SP1성공 감사 2007-06-29 오전 10:50:45 Security 개체 액세스 567 TESTDEL W2K3SP1성공 감사 2007-06-29 오전 10:50:45 Security 개체 액세스 560 TESTDEL W2K3SP1 |
3. 로컬에서 Administrator 계정으로 계정으로 해당 폴더에 액세스 하여 test1.txt 파일을 삭제 합니다.
| 삭제 후 Security 이벤트 로그성공 감사 2007-06-29 오전 10:53:36 Security 개체 액세스 564 Administrator W2K3SP1성공 감사 2007-06-29 오전 10:53:36 Security 개체 액세스 567 Administrator W2K3SP1성공 감사 2007-06-29 오전 10:53:36 Security 개체 액세스 560 Administrator W2K3SP1 |
*직접 테스트한 시간과 사용자가 위 로그 동일 합니다.
삭제된 파일과 좀더 자세한 정보를 보시기 위해서는 해당 로그의 속성을 확인 합니다.
| 삭제를 위한 Access 정보이벤트 형식: 성공 감사이벤트 원본: Security이벤트 범주: 개체 액세스이벤트 ID: 560날짜: 2007-06-29시간: 오전 10:39:48사용자: SPTEST\DELTEST => 해당 파일을 삭제하기 위해 Access한 사용자컴퓨터: W2K3SP1설명:개체 열기:개체 서버: Security개체 종류: File개체 이름: C:\TEST\TEST3.txt => 삭제할 파일 경로 및 이름핸들 ID: 6304 => 이 작업을 위한 핸들작업 ID: {0,187663}프로세스 ID: 4이미지 파일 이름:기본 사용자 이름: W2K3SP1$기본 도메인: SPTEST기본 로그온 ID: (0x0,0x3E7)Client 사용자 이름: DELTEST클라이언트 도메인: SPTEST클라이언트 로그온ID: (0x0,0x2D9F0)액세스: DELETE => Delete 하기 위한 AccessReadAttributes사용 권한: -제한된 Sid 카운트: 0액세스 마스크: 0x10080 |
| 이벤트 형식: 성공 감사이벤트 원본: Security이벤트 범주: 개체 액세스이벤트 ID: 567날짜: 2007-06-29시간: 오전 10:39:48사용자: SPTEST\DELTEST컴퓨터: W2K3SP1설명:시도한 개체 액세스:개체 서버: Security핸들 ID: 6304개체 종류: File프로세스 ID: 4이미지 파일 이름:액세스: DELETE액세스 마스크: 0x10000삭제가 성공했음을 확인 할 수 있는 로그 |
| 이벤트 형식: 성공 감사이벤트 원본: Security이벤트 범주: 개체 액세스이벤트 ID: 564날짜: 2007-06-29시간: 오전 10:39:48사용자: SPTEST\DELTEST컴퓨터: W2K3SP1설명:삭제된 개체: =>개체 서버: Security핸들 ID: 6304 => 위 560 작업임을 나타내는 동일한 핸들 ID프로세스 ID: 4이미지 파일 이름: |
그러므로 이 로그로 DELTEST라는 사용자가 2007-06-29 오전 10:39:48에 C:\TEST\TEST3.txt 파일을 삭제 했음을 확인 할 수 있습니다.
[ 결론]
Security 564가 있으면 어떠한 객체가 삭제 되었음을 의미합니다. 그러므로 삭제된 파일 정보가 필요하다면 Security 560과 564가 쌍을 이루어 나타나게 되므로 이벤트 로그에서 Security 564를 필터로 검색한 뒤 바로 이전에 생성된 Security 560 정보를 확인 합니다.
*이전에 보안 감사 시리즈는 아래 링크를 참고하세요
[보안감사 2탄] 언제/누가/어떻게 원격에서 로그온 했는지 Audit 해보자!
https://blogs.technet.com/sankim/archive/2007/07/05/2-audit.aspx
[보안감사] 누가 사용자 계정을 삭제 하였나? - AD 환경에서 계정 삭제 감사(Audit) 방법
https://blogs.technet.com/sankim/archive/2007/07/05/ad.aspx
Comments
Anonymous
January 01, 2003
안녕하세요?^^ 사실 Performace 만큼 예측하기 어려운 것도 없을 것 같습니다. 감사로 인한 Performce 저하는 생각보다 크지 않지만 Condition에 따라(어떤 파일에 대한 사용률이 높으냐, 최소 사용률일때와 최소 사용률 환경 그리고 H/W 사양에 따라 )다양하기 때문에 판단하기란 쉽지 않습니다. 감사로 인한 성능저하를 예측하기 어려우시다면 Workaround로 몇개의 폴더 감사로 시작해서 점점 늘려나가 보시는 것이 어떠실런지요? 그리고 제가 지금 Performace 측정을 위한 간단한 가이드 라인을 만들고 있으니 나중에 포스트하면 성능 측정에도 도움이 되실것 같습니다. ^^Anonymous
March 13, 2008
저도 감사를 사용하고 싶으나..파일이 10,000개 이상되는 (서브폴더로 구성된) 루트폴더를 감사했을시..메모리나 CPU사용률이 얼마나올라갈지..그것이걱정되어..사용하지못하고있는데요..혹..자료가 있으신지여? 질문이말이되나..쩌비..Anonymous
March 14, 2008
답변 감사합니다여.. 정말 기대..만땅인데요..가이드라인..