고급 감사 정책 구성 설정은 컴퓨터 구성\Windows 설정\보안 설정\고급 감사 정책 구성\그룹 정책의 시스템 감사 정책 에서 찾을 수 있습니다. 이러한 설정을 통해 조직은 다음과 같은 특정 활동을 추적하여 주요 비즈니스 및 보안 요구 사항 준수를 모니터링할 수 있습니다.
그룹 관리자가 중요한 정보(예: 재무 서버)를 포함하는 서버의 설정 또는 데이터를 수정했습니다.
지정된 그룹 내의 직원이 중요한 파일에 액세스합니다.
컴퓨터 또는 파일 공유의 모든 파일, 폴더 또는 레지스트리 키에 올바른 SACL(시스템 액세스 제어 목록)을 적용하여 무단 액세스에 대한 확인 가능한 보호 기능을 제공합니다.
로컬 컴퓨터의 로컬 보안 정책 스냅인(secpol.msc)을 통해 또는 그룹 정책을 사용하여 이러한 감사 정책 설정에 액세스할 수 있습니다.
이러한 고급 감사 정책 설정은 모니터링되는 활동을 세부적으로 제어하여 조직과 가장 관련된 이벤트에 집중할 수 있도록 합니다. 중요하지 않거나 불필요한 로그 볼륨을 생성하는 작업에 대한 감사를 제외할 수 있습니다. 또한 이러한 정책은 도메인 그룹 정책 개체를 통해 관리할 수 있으므로 필요에 따라 감사 구성을 쉽게 수정, 테스트 및 배포할 수 있습니다.
고급 감사 정책 구성은 다음과 같습니다.
Account Logon
이 범주에서 정책 설정을 구성하면 도메인 컨트롤러 또는 SAM(로컬 보안 계정 관리자)에서 계정 데이터를 인증하려는 시도를 문서화하는 데 도움이 될 수 있습니다. Unlike Logon and Logoff policy settings and events, which track attempts to access a particular computer, settings and events in this category focus on the account database that is used. 이 범주에는 다음 하위 범주가 포함됩니다.
감사 자격 증명 유효성 검사 정책 확장
감사 자격 증명 유효성 검사 정책은 OS(OS)가 사용자 계정 로그온 요청에 대해 제출된 자격 증명에 대한 감사 이벤트를 생성하는지 여부를 결정합니다. 이러한 이벤트는 다음과 같이 자격 증명에 대한 권한이 있는 컴퓨터에서 발생합니다.
도메인 계정의 경우 도메인 컨트롤러는 신뢰할 수 있습니다.
로컬 계정의 경우 로컬 컴퓨터는 신뢰할 수 있습니다.
도메인 계정은 엔터프라이즈 환경의 로컬 계정보다 훨씬 더 자주 사용되므로 도메인 환경의 대부분의 계정 로그온 이벤트는 도메인 계정에 대해 신뢰할 수 있는 도메인 컨트롤러에서 발생합니다. 그러나 이러한 이벤트는 모든 컴퓨터에서 발생할 수 있으며 로그온 및 로그오프 이벤트와 별도의 컴퓨터에서 발생할 수 있습니다.
Event ID Event message 4774 로그온을 위한 계정이 매핑되었습니다. 4775 로그온할 계정을 매핑할 수 없습니다. 4776 도메인 컨트롤러에서 계정 자격 증명의 유효성 검사를 시도했습니다. 4777 도메인 컨트롤러가 계정 자격 증명의 유효성을 검사하지 못했습니다. Event volume: High on domain controllers.
Default on Client editions: No Auditing.
Default on Server editions: Success.
Kerberos 인증 서비스 정책 감사 확장
Kerberos 인증 서비스 감사 정책은 Kerberos 인증 TGT(티켓 부여 티켓)를 요청할 때 감사 이벤트가 생성되는지 여부를 제어합니다. 이 설정을 사용하면 관리자가 Kerberos 로그인 활동을 모니터링하고 인증 요청과 관련된 잠재적인 보안 문제를 검색할 수 있습니다.
이 정책 설정을 구성하면 Kerberos 인증 TGT 요청 후에 감사 이벤트가 생성됩니다. 성공 감사는 성공한 시도를 기록하고 실패 감사는 실패한 시도를 기록합니다.
Event ID Event message 4768 Kerberos 인증 티켓(TGT)이 요청되었습니다. 4771 Kerberos 사전 인증에 실패했습니다. 4772 Kerberos 인증 티켓 요청이 실패했습니다. Event volume: High on Kerberos Key Distribution Center servers.
Default on Client editions: No Auditing.
Default on Server editions: Success.
Kerberos 서비스 티켓 작업 정책 감사 확장
Kerberos 서비스 티켓 작업 감사 정책은 Kerberos 서비스 티켓이 요청되거나 갱신될 때 OS가 보안 감사 이벤트를 기록하는지 여부를 제어합니다. 이 설정을 사용하면 관리자가 환경 내에서 Kerberos 인증 활동을 모니터링하고 추적할 수 있습니다.
이벤트는 Kerberos를 사용하여 보호된 네트워크 리소스에 액세스하려는 사용자를 인증할 때마다 생성됩니다. Kerberos 서비스 티켓 작업 감사 이벤트를 사용하여 사용자 활동을 추적할 수 있습니다.
Event ID Event message 4769 Kerberos 서비스 티켓을 요청했습니다. 4770 Kerberos 서비스 티켓이 갱신되었습니다. Event volume: High on a domain controller that is in a Key Distribution Center (KDC). Low on domain members.
Default: Not configured.
다른 계정 로그온 이벤트 감사 범위 확대
Audit Other Account Logon Events 정책은 표준 자격 증명 유효성 검사나 Kerberos 티켓 요청이 아닌, 사용자 계정 로그온에 대한 자격 증명 요청에 응답하여 발생하는 이벤트를 감사합니다. 예제에는 다음이 포함될 수 있습니다.
새 원격 데스크톱 세션을 시작할 때 및 세션 연결 끊김이 발생할 때
워크스테이션을 잠그고 잠금을 해제하는 경우
화면 보호기를 호출하거나 해제하는 경우
Kerberos 재생 공격이 감지되면 동일한 정보를 가진 Kerberos 요청이 두 번 수신되었습니다.
Note
이 상황은 네트워크 구성 문제로 인해 발생할 수 있습니다.
사용자 또는 컴퓨터 계정에 부여된 무선 네트워크 또는 유선 802.1x 네트워크에 액세스하는 경우
Event ID Event message 4649 재생 공격을 감지했습니다. 4778 세션이 윈도우 스테이션에 다시 연결되었습니다. 4779 윈도우 스테이션에서 세션 연결이 끊어졌습니다. 4800 워크스테이션이 잠겨 있습니다. 4801 워크스테이션 잠금이 해제되었습니다. 4802 화면 보호기를 호출했습니다. 4803 화면 보호기가 해제되었습니다. 5378 요청된 자격 증명 위임은 정책에서 허용되지 않았습니다. 5632 유선 네트워크 인증을 요청했습니다. 5633 유선 네트워크 인증을 요청했습니다. - Default: No Auditing.
Account Management
이 범주의 보안 감사 정책 설정을 사용하여 사용자 및 컴퓨터 계정 및 그룹의 변경 내용을 모니터링할 수 있습니다. 이 범주에는 다음 하위 범주가 포함됩니다.
애플리케이션 그룹 관리 정책 감사 확장
감사 애플리케이션 그룹 관리 정책은 특정 작업이 수행될 때 OS가 감사 이벤트를 기록하는지 여부를 제어합니다. 이러한 작업에는 애플리케이션 그룹 만들기, 수정 또는 삭제 및 멤버 자격 변경이 포함됩니다. 애플리케이션 그룹 관리 작업에는 다음이 포함됩니다.
애플리케이션 그룹이 생성, 변경 또는 삭제됩니다.
멤버가 애플리케이션 그룹에 추가되거나 애플리케이션 그룹에서 제거됩니다.
Event ID Event message 4783 기본 애플리케이션 그룹이 만들어졌습니다. 4784 기본 애플리케이션 그룹이 변경되었습니다. 4785 멤버가 기본 애플리케이션 그룹에 추가되었습니다. 4786 멤버가 기본 애플리케이션 그룹에서 제거되었습니다. 4787 멤버가 아닌 멤버가 기본 애플리케이션 그룹에 추가되었습니다. 4788 멤버가 아닌 멤버가 기본 애플리케이션 그룹에서 제거되었습니다. 4789 기본 애플리케이션 그룹이 삭제되었습니다. 4790 LDAP(Lightweight Directory Access Protocol) 쿼리 그룹이 만들어졌습니다. - Event volume: Low.
- Default: No Auditing.
컴퓨터 계정 관리 정책 감사 확장
컴퓨터 계정 관리 감사 정책은 Active Directory에서 컴퓨터 계정이 생성, 수정 또는 삭제될 때 OS에서 감사 이벤트를 기록하는지 여부를 제어합니다. 이 정책을 사용하도록 설정하면 관리자가 도메인 내에서 컴퓨터 계정의 변경 내용을 모니터링하고 추적하는 데 도움이 됩니다. 보안 감사, 규정 준수 및 계정 관리 활동 문제 해결을 위한 중요한 정보는 이러한 이벤트를 모니터링하여 제공합니다.
Event ID Event message 4741 컴퓨터 계정이 만들어졌습니다. 4742 컴퓨터 계정이 변경되었습니다. 4743 컴퓨터 계정이 삭제되었습니다. Event volume: Low.
Default on Client editions: No Auditing.
Default on Server editions: Success.
감사 배포 그룹 관리 정책 확장
감사 메일 그룹 관리 정책은 OS가 특정 배포 그룹 관리 작업에 대한 감사 이벤트를 생성하는지 여부를 결정합니다. 이 정책이 속한 이 하위 범주는 도메인 컨트롤러에만 기록됩니다. 감사할 수 있는 배포 그룹 관리를 위한 작업은 다음과 같습니다.
배포 그룹이 생성, 변경 또는 삭제됩니다.
구성원이 배포 그룹에 추가되거나 배포 그룹에서 제거됩니다.
Note
배포 그룹은 액세스 제어 권한을 관리하는 데 사용할 수 없습니다.
Event ID Event message 4744 보안 해제된 로컬 그룹을 만들었습니다. 4745 보안 해제된 로컬 그룹이 변경되었습니다. 4746 멤버가 보안 해제된 로컬 그룹에 추가되었습니다. 4747 멤버가 보안 해제된 로컬 그룹에서 제거되었습니다. 4748 보안 해제된 로컬 그룹이 삭제되었습니다. 4749 보안 해제된 전역 그룹이 생성되었습니다. 4750 보안 해제된 전역 그룹이 변경되었습니다. 4751 멤버가 보안 해제된 전역 그룹에 추가되었습니다. 4752 멤버가 보안 해제된 전역 그룹에서 제거되었습니다. 4753 보안 해제된 전역 그룹이 삭제되었습니다. 4759 보안 해제된 유니버설 그룹이 생성되었습니다. 4760 보안 해제된 유니버설 그룹이 변경되었습니다. 4761 멤버가 보안 해제된 유니버설 그룹에 추가되었습니다. 4762 멤버가 보안 해제된 유니버설 그룹에서 제거되었습니다. Event volume: Low.
Default: No Auditing.
다른 계정 관리 이벤트 정책의 감사 범위 확대
다른 계정 관리 이벤트 감사 정책은 OS가 사용자 계정 관리 감사 이벤트를 생성하는지 여부를 결정합니다. 다음과 같은 경우 사용자 계정 관리 감사에 대한 이벤트를 생성할 수 있습니다.
계정의 암호 해시에 액세스합니다. 이는 일반적으로 ADMT(Active Directory 마이그레이션 도구)가 암호 데이터를 이동하는 경우에 발생합니다.
암호 정책 검사 API(애플리케이션 프로그래밍 인터페이스)가 호출됩니다. 이 함수에 대한 호출은 암호 복잡성 정책 설정이 적용되는지 여부를 테스트하는 악의적인 애플리케이션의 공격의 일부일 수 있습니다.
Note
이러한 이벤트는 관리자가 설정을 수정할 때가 아니라 도메인 정책을 적용(새로 고치거나 다시 시작할 때)할 때 기록됩니다.
도메인 정책의 변경 내용은 컴퓨터 구성\Windows 설정\보안 설정\계정 정책\암호 정책 또는 컴퓨터 구성\Windows 설정\보안 설정\계정 정책\계정 잠금 정책에 있습니다.
Event ID Event message 4782 계정에 대한 암호 해시에 액세스했습니다. 4793 암호 정책 확인 API가 호출되었습니다. Event volume: Low.
Default: No Auditing.
감사 보안 그룹 관리 정책 확장
감사 보안 그룹 관리 정책은 특정 보안 그룹 관리 작업이 수행될 때 OS가 감사 이벤트를 생성하는지 여부를 결정합니다. 보안 그룹 관리를 위한 작업은 다음과 같습니다.
보안 그룹이 생성, 변경 또는 삭제됩니다.
멤버가 보안 그룹에 추가되거나 보안 그룹에서 제거됩니다.
그룹의 유형이 변경되었습니다.
보안 그룹은 액세스 제어 권한 및 배포 목록으로 사용할 수 있습니다.
Event ID Event message 4727 보안 설정된 로컬 그룹을 만들었습니다. 4728 멤버를 보안된 wjsdur 그룹에 추가했습니다. 4729 멤버를 보안된 wjsdur 그룹에서 제거했습니다. 4730 보안된 wjsdur 그룹을 삭제했습니다. 4731 보안 설정된 로컬 그룹을 만들었습니다. 4732 멤버를 보안된 로컬 그룹에 추가했습니다. 4733 멤버를 보안된 로컬 그룹에서 제거했습니다. 4734 보안 설정된 로컬 그룹을 삭제했습니다. 4735 보안 설정된 로컬 그룹을 변경했습니다. 4737 보안 설정된 wjsdur 그룹을 삭제했습니다. 4754 보안 설정된 유니버설 그룹을 만들었습니다. 4755 보안 설정된 유니버설 그룹을 변경했습니다. 4756 멤버를 보안 설정된 로컬 그룹에 추가했습니다. 4757 멤버를 보안된 유니버설 그룹에서 제거했습니다. 4758 보안된 유니버설 그룹을 삭제했습니다. 4764 그룹 형식을 변경했습니다. Event volume: Low.
Default: Success.
사용자 계정 관리 감사 확장
감사 사용자 계정 관리는 특정 사용자 계정 관리 작업이 수행될 때 OS에서 감사 이벤트를 생성하는지 여부를 결정합니다. 사용자 계정 관리를 위해 감사되는 작업은 다음과 같습니다.
사용자 계정이 생성, 변경, 삭제, 이름이 바뀜, 비활성화, 활성화, 잠김, 또는 잠금 해제됩니다.
사용자 계정 암호가 설정되거나 변경됩니다.
SID(보안 식별자) 기록이 사용자 계정에 추가됩니다.
디렉터리 서비스 복원 모드 암호가 설정됩니다.
사용 권한은 관리자 그룹의 구성원인 계정에 대해 변경됩니다.
자격 증명 관리자 자격 증명이 백업되거나 복원됩니다.
이 정책 설정은 사용자 계정 프로비전 및 관리와 관련된 이벤트를 추적하는 데 필수적입니다.
Event ID Event message 4720 사용자 계정이 생성되었습니다. 4722 사용자 계정을 사용할 수 있습니다. 4723 계정 암호를 변경하려고 했습니다. 4724 계정 암호 재설정을 시도하였습니다. 4725 사용자 계정을 사용할 수 없습니다. 4726 사용자 계정이 삭제되었습니다. 4738 사용자 계정이 변경되었습니다. 4740 사용자 계정이 잠겼습니다. 4765 SID 기록을 계정에 추가했습니다. 4766 SID 기록을 계정에 추가하지 못했습니다. 4767 사용자 계정 잠금이 해제되었습니다. 4780 ACL이 관리자 그룹 멤버의 계정에 설정되었습니다. 4781 계정 이름이 변경되었습니다. 4794 디렉터리 서비스 복원 모드 설정을 시도하였습니다. 5376 자격 증명 관리자의 자격 증명을 백업했습니다. 5377 자격 증명 관리자의 자격 증명을 백업에서 복원했습니다. Event volume: Low.
Default: Success.
Detailed Tracking
자세한 추적 보안 정책 설정 및 감사 이벤트를 사용하여 해당 컴퓨터에서 개별 애플리케이션 및 사용자의 활동을 모니터링하고 컴퓨터가 사용되는 방식을 이해할 수 있습니다. 이 범주에는 다음 하위 범주가 포함됩니다.
감사 DPAPI 활동 정책 확장
감사 DPAPI 활동 정책은 암호화 또는 암호 해독 호출이 DPAPI(데이터 보호 애플리케이션 인터페이스)로 이루어질 때 OS가 감사 이벤트를 생성하는지 여부를 결정합니다.
DPAPI는 저장된 암호 및 키 정보와 같은 비밀 정보를 보호하는 데 사용됩니다. 자세한 내용은 Windows Data Protection을 참조하세요.
Event ID Event message 4692 데이터 보호 마스터 키의 백업을 시도했습니다. 4693 데이터 보호 마스터 키의 복구를 시도했습니다. 4694 감사 방지된 데이터의 보호를 시도했습니다. 4695 감사 보호된 데이터의 보호 해제를 시도했습니다. - Event volume: Low.
감사 PNP 활동 정책을 확장하다
감사 PNP 활동 정책은 외부 PnP(플러그 앤 플레이) 디바이스가 감지됐을 때 이를 감사합니다.
Event ID Event message 6416 새 디바이스가 연결되어 있거나 기존 디바이스가 제거됩니다. - Event volume: Low.
감사 프로세스 만들기 정책 확장
감사 프로세스 만들기 정책은 프로세스가 만들어지거나 시작될 때 OS가 감사 이벤트를 생성하는지 여부를 결정합니다.
이러한 감사 이벤트는 사용자 활동을 추적하고 컴퓨터가 사용되는 방식을 이해하는 데 도움이 될 수 있습니다. 정보에는 프로그램 이름 또는 프로세스를 만든 사용자가 포함됩니다.
Event ID Event message 4688 새 프로세스를 만들었습니다. 4696 기본 토큰이 프로세스에 할당되었습니다. - Event volume: Varies depending on system usage.
감사 프로세스 종료 정책 확장
감사 프로세스 종료 정책은 프로세스를 종료하려고 할 때 OS가 감사 이벤트를 생성하는지 여부를 결정합니다.
Event ID Event message 4689 프로세스가 종료되었습니다. - Event volume: Varies depending on system usage.
감사 RPC 이벤트 정책을 확장하다
감사 RPC 이벤트 정책은 RPC(인바운드 원격 프로시저 호출) 연결이 이루어질 때 OS가 감사 이벤트를 생성하는지 여부를 결정합니다.
RPC는 분산 클라이언트/서버 프로그램을 만들기 위한 기술입니다. RPC는 클라이언트 및 서버 소프트웨어가 통신할 수 있도록 하는 프로세스 간 통신 기술입니다. 자세한 내용은 RPC(원격 프로시저 호출)를 참조하세요.
Event ID Event message 5712 RPC가 시도되었습니다. Event volume: High on RPC servers.
Default: No Auditing.
감사 토큰 권한 조정 정책 확대
토큰 권한 조정 감사 정책은 토큰의 권한 조정으로 발생한 이벤트를 감시합니다.
Event ID Event message 4703 사용자 권한이 조정되었습니다. Event volume: High.
Default: No Auditing.
DS Access
DS Access 보안 감사 정책 설정은 AD DS(Active Directory Domain Services)에서 개체에 액세스하고 수정하려는 시도에 대한 자세한 감사 내역을 제공합니다. 이러한 감사 이벤트는 도메인 컨트롤러에만 로그됩니다. 이 범주에는 다음 하위 범주가 포함됩니다.
감사 세부 디렉터리 서비스 복제에 대한 정책 확장
감사 세부 디렉터리 서비스 복제 정책은 OS가 도메인 컨트롤러 간에 복제되는 데이터에 대한 자세한 추적 정보를 포함하는 감사 이벤트를 생성하는지 여부를 결정합니다. 이 감사 하위 범주는 복제 문제를 진단하는 데 유용할 수 있습니다.
Event ID Event message 4928 Active Directory 복제본 원본 명명 컨텍스트가 설정되었습니다. 4929 Active Directory 복제본 원본 명명 컨텍스트를 제거했습니다. 4930 Active Directory 복제본 원본 명명 컨텍스트가 수정되었습니다. 4931 Active Directory 복제본 대상 명명 컨텍스트를 수정했습니다. 4934 Active Directory 개체의 특성을 복제했습니다. 4935 복제 실패가 시작됩니다. 4936 복제 실패가 종료됩니다. 4937 복제본에서 느린 개체를 제거했습니다. Event volume: High.
Default: No Auditing.
감사 디렉터리 서비스 액세스 정책 확장
감사 디렉터리 서비스 액세스 정책은 AD DS(Active Directory Domain Services) 개체에 액세스할 때 OS가 감사 이벤트를 생성하는지 여부를 결정합니다. 이러한 이벤트는 이전 버전의 Windows Server OS의 디렉터리 서비스 액세스 이벤트와 유사합니다.
Note
감사 이벤트는 구성된 SCL이 있는 개체에서만 생성되며 SACL 설정과 일치하는 방식으로 액세스되는 경우에만 생성됩니다.
Event ID Event message 4662 개체에 대한 작업을 수행했습니다. Event volume: High on domain controllers. None on client computers.
Default on Client editions: No Auditing.
Default on Server editions: Success.
감사 디렉터리 서비스 변경 정책 확장
감사 디렉터리 서비스 변경 정책은 AD DS의 개체를 변경할 때 OS가 감사 이벤트를 생성하는지 여부를 결정합니다. 이 정책은 적절한 경우 변경된 개체의 변경된 속성의 이전 값과 새 값을 나타냅니다. 보고되는 변경 유형은 다음과 같습니다.
Create
Delete
Modify
Move
Undelete
Note
감사 이벤트는 구성된 SCL이 있는 개체에 대해서만 생성되며 SACL 설정과 일치하는 방식으로 액세스되는 경우에만 생성됩니다. 일부 개체 및 속성은 스키마의 개체 클래스에 대한 설정으로 인해 감사 이벤트가 생성되지 않도록 합니다.
이 하위 범주는 도메인 컨트롤러에서만 이벤트를 기록합니다. Active Directory 개체에 대한 변경 내용은 네트워크 정책의 상태를 이해하기 위해 추적해야 하는 중요한 이벤트입니다.
Event ID Event message 5136 디렉터리 서비스 개체를 수정했습니다. 5137 디렉터리 서비스 개체가 생성되었습니다. 5138 디렉터리 서비스 개체가 삭제 취소되었습니다. 5139 디렉터리 서비스 개체가 이동되었습니다. 5141 디렉터리 서비스 개체가 삭제되었습니다. Event volume: High on domain controllers only.
Default: No Auditing.
감사 디렉터리 서비스 복제 정책 확장
감사 디렉터리 서비스 복제 정책은 두 도메인 컨트롤러 간의 복제가 시작되고 끝날 때 OS가 감사 이벤트를 생성하는지 여부를 결정합니다. 이 하위 범주의 이벤트는 도메인 컨트롤러에만 기록됩니다.
Event ID Event message 4932 Active Directory 명명 컨텍스트의 복제본에 대한 동기화가 시작되었습니다. 4933 Active Directory 명명 컨텍스트의 복제본 동기화가 종료되었습니다. Event volume: Medium on domain controllers. None on client computers.
Default: No Auditing.
Logon/Logoff
로그온/로그오프 보안 정책 설정 및 감사 이벤트를 사용하면 대화형으로 또는 네트워크를 통해 컴퓨터에 로그인하려는 시도를 추적할 수 있습니다. 이러한 이벤트는 사용자 작업을 추적하고 네트워크 리소스에 대한 잠재적인 공격을 식별하는 데 유용합니다. 이 범주에는 다음 하위 범주가 포함됩니다.
감사 계정 잠금 정책 확장
감사 계정 잠금 정책을 사용하면 잠긴 계정에 로그인하지 못하여 생성된 보안 이벤트를 감사할 수 있습니다. 이 정책 설정을 구성하면 계정이 잠겨 있기 때문에 계정이 컴퓨터에 로그인할 수 없을 때 감사 이벤트가 생성됩니다. 성공 감사는 성공한 시도를 기록하고 실패 감사는 실패한 시도를 기록합니다.
계정 잠금 이벤트는 사용자 활동을 이해하고 잠재적인 공격을 감지하는 데 필수적입니다.
Event ID Event message 4625 계정에 로그온하지 못함 Event volume: Low.
Default setting: Success.
사용자/디바이스 클레임 감사 확장
사용자/디바이스 클레임 감사 정책을 사용하면 계정의 로그온 토큰에서 사용자 및 디바이스 클레임 정보를 감사할 수 있습니다. 이 하위 범주의 이벤트는 로그온 세션이 만들어지는 컴퓨터에서 생성됩니다. 대화형 로그온의 경우 사용자가 로그온한 컴퓨터에서 보안 감사 이벤트가 생성됩니다. 이 하위 범주에서 이벤트를 얻으려면 Audit Logon 하위 범주를 사용하도록 설정해야 합니다.
네트워크의 공유 폴더 액세스와 같은 네트워크 로그온의 경우 리소스를 호스팅하는 컴퓨터에서 보안 감사 이벤트가 생성됩니다.
Event ID Event message 4626 사용자/디바이스 클레임 정보입니다. Event volume: Low on a client computer. Medium on a domain controller or a network server
Default: No Auditing.
감사 그룹 멤버 자격 정책 확장
감사 그룹 멤버 자격 정책을 사용하면 사용자의 로그온 토큰에서 그룹 멤버 자격 정보를 감사할 수 있습니다. 이 하위 범주의 이벤트는 로그온 세션이 만들어지는 컴퓨터에서 생성됩니다. 또한 로그온 감사 하위 범주를 사용하도록 설정해야 합니다.
대화형 로그온의 경우 사용자가 로그온한 컴퓨터에서 보안 감사 이벤트가 생성됩니다. 네트워크의 공유 폴더 액세스와 같은 네트워크 로그온의 경우 리소스를 호스팅하는 컴퓨터에서 보안 감사 이벤트가 생성됩니다.
Event ID Event message 4627 그룹 멤버 자격 정보입니다. Event volume: Low on a client computer. Medium on a domain controller or a network server.
Default: No Auditing.
감사 IPsec 확장 모드 정책을 확장하십시오
감사 IPsec 확장 모드 정책은 OS가 확장 모드 협상 중에 IKE(인터넷 키 교환) 프로토콜 및 인증된 인터넷 프로토콜(AuthIP)의 결과에 대한 감사 이벤트를 생성하는지 여부를 결정합니다.
IKE is an Internet standard, defined in RFC 2409, that defines a mechanism to establish IPsec security associations. 보안 연결은 IPsec 피어 간의 통신을 보호하는 데 도움이 되는 보안 서비스 및 메커니즘을 정의하는 상호 합의 가능한 정책과 키의 조합입니다.
AuthIP는 여러 자격 증명을 사용한 사용자 기반 인증 및 인증 지원을 포함하여 추가 유연성을 제공하는 향상된 버전의 IKE입니다. 또한 향상된 인증 방법 협상을 제공하고 비대칭 인증을 지원합니다. IKE와 마찬가지로 AuthIP는 기본 모드 및 빠른 모드 협상을 지원합니다. 또한 AuthIP는 두 번째 인증을 수행할 수 있는 IPsec 피어 협상의 일부인 확장 모드를 지원합니다. 선택 사항인 확장 모드는 여러 인증에 사용할 수 있습니다. 예를 들어 확장 모드를 사용하면 별도의 컴퓨터 기반 및 사용자 기반 인증을 수행할 수 있습니다.
Event ID Event message 4978 확장 모드 협상 중에 IPsec이 잘못된 협상 패킷을 받았습니다. 이 문제가 지속되면 네트워크 문제 또는 이 협상을 수정하거나 재생하려는 시도를 나타낼 수 있습니다. 4979 IPsec 기본 모드 및 확장 모드 보안 연결이 설정되었습니다.
이 이벤트는 기본 모드 로컬 엔드포인트, 기본 모드 원격 엔드포인트, 기본 모드 암호화 정보, 주 모드 보안 연결, 기본 모드 추가 정보 및 확장 모드 정보 범주의 이벤트 데이터를 제공합니다.4980 IPsec 기본 모드 및 확장 모드 보안 연결이 설정되었습니다.
이 이벤트는 기본 모드 로컬 엔드포인트, 기본 모드 원격 엔드포인트 범주의 이벤트 감사 데이터를 제공합니다. 기본 모드 암호화 정보, 기본 모드 보안 연결, 기본 모드 추가 정보, 확장 모드 로컬 엔드포인트, 확장 모드 원격 엔드포인트 및 확장 모드 추가 정보입니다.4981 IPsec 기본 모드 및 확장 모드 보안 연결이 설정되었습니다.
이 이벤트는 로컬 엔드포인트, 로컬 인증서, 원격 엔드포인트, 원격 인증서, 암호화 정보, 보안 연결 정보, 추가 정보 및 확장 모드 정보 범주의 이벤트 감사 데이터를 제공합니다.4982 IPsec 기본 모드 및 확장 모드 보안 연결이 설정되었습니다.
이 이벤트는 로컬 엔드포인트, 로컬 인증서, 원격 엔드포인트, 원격 인증서, 암호화 정보, 보안 연결 정보, 추가 정보, 확장 모드 로컬 엔드포인트, 확장 모드 원격 엔드포인트 및 확장 모드 추가 정보 범주의 이벤트 감사 데이터를 제공합니다.4983 IPsec 확장 모드 협상이 실패했습니다. 해당 기본 모드 보안 연결이 삭제되었습니다.
이 이벤트는 로컬 엔드포인트, 로컬 인증서, 원격 엔드포인트, 원격 인증서 및 오류 정보 범주에서 이벤트 감사 데이터를 제공합니다.4984 IPsec 확장 모드 협상이 실패했습니다. 해당 기본 모드 보안 연결이 삭제되었습니다.
이 이벤트는 로컬 엔드포인트, 원격 엔드포인트, 추가 정보 및 실패 정보 범주의 이벤트 감사 데이터를 제공합니다.Event volume: High.
Default: No Auditing.
감사 IPsec 기본 모드 정책을 확장하다
감사 IPsec 기본 모드 정책은 OS가 빠른 모드 협상 중에 IKE 프로토콜 및 AuthIP의 결과에 대한 감사 이벤트를 생성하는지 여부를 결정합니다. IKE와 마찬가지로 AuthIP는 기본 모드 및 빠른 모드 협상을 지원합니다.
기본 모드 IKE 협상은 두 컴퓨터 간에 인터넷 보안 연결 및 ISAKMP(키 관리 프로토콜) 보안 연결이라고 하는 보안 채널을 설정합니다. 보안 채널을 설정하기 위해 주 모드 협상은 암호화 보호 제품군 집합을 결정하고, 키 지정 자료를 교환하여 공유 비밀 키를 설정하고, 컴퓨터 ID를 인증합니다.
Event ID Event message 4646 보안 ID: %1. 4650 IPsec 기본 모드 보안 연결이 설정되었습니다. 확장 모드를 사용할 수 없습니다. 인증서 인증이 사용되지 않았습니다. 4651 IPsec 기본 모드 보안 연결이 설정되었습니다. 확장 모드를 사용할 수 없습니다. IP-HTTPS 인증에 인증서사 사용되었습니다. 4652 IPsec 기본 모드 협상이 실패했습니다.
이 감사 이벤트는 로컬 엔드포인트, 로컬 인증서, 원격 엔드포인트, 원격 인증서, 추가 정보 및 실패 정보 범주의 자세한 감사 데이터를 반환합니다.4653 IPsec 기본 모드 협상이 실패했습니다.
이 감사 이벤트는 로컬 엔드포인트, 원격 엔드포인트, 추가 정보 및 실패 정보 범주에서 자세한 감사 데이터를 반환합니다.4655 IPsec 주 모드 보안 연결이 종료되었습니다. 4976 기본 모드 협상 중에 IPsec이 잘못된 협상 패킷을 받았습니다. 이 문제가 지속되면 네트워크 문제 또는 이 협상을 수정하거나 재생하려는 시도를 나타낼 수 있습니다. 5049 IPsec 보안 연결이 삭제되었습니다. 5453 IKE 및 IKEEXT(AuthIP IPsec Keying Modules) 서비스가 시작되지 않아 원격 컴퓨터와의 IPsec 협상이 실패했습니다. Event volume: High.
Default: No Auditing.
감사 IPsec 빠른 모드 정책을 확장하다
IPsec 감사 빠른 모드 정책은 OS가 빠른 모드 협상 중에 IKE 프로토콜과 AuthIP의 결과에 대해 감사 이벤트를 생성하는지를 결정합니다. IKE와 마찬가지로 AuthIP는 기본 모드 및 빠른 모드 협상을 지원합니다.
빠른 모드(2단계라고도 함) IKE 협상은 데이터를 보호하기 위해 두 컴퓨터 간에 보안 채널을 설정합니다. 빠른 모드는 네트워크 트래픽을 보호하는 방법에 대한 컴퓨터 간의 계약인 IPsec 보안 연결을 만듭니다. 이러한 연결은 IPsec 서비스에 의해 협상됩니다.
빠른 모드 중에 키 지정 자료가 새로 고쳐지거나 필요한 경우 새 키가 생성됩니다. 지정된 IP 트래픽을 보호하는 보호 도구 모음도 선택됩니다. 보호 제품군은 정의된 데이터 무결성 또는 데이터 암호화 설정 집합입니다. 빠른 모드는 기본 모드 교환에 종속되므로 완전한 교환으로 간주되지 않습니다.
Event ID Event message 4977 빠른 모드 협상 중에 IPsec이 잘못된 협상 패킷을 받았습니다. 이 문제가 지속되면 네트워크 문제 또는 이 협상을 수정하거나 재생하려는 시도를 나타낼 수 있습니다. 5451 IPsec 빠른 모드 보안 연결이 설정되었습니다. 5452 IPsec 빠른 모드 보안 연결이 종료되었습니다. Event volume: High.
Default: No Auditing.
감사 로그오프 정책 확장
The Audit Logoff policy determines whether the OS generates audit events when logon sessions are terminated. 이러한 이벤트는 액세스된 컴퓨터에서 발생합니다. 대화형 로그온이 발생하면 로그온된 컴퓨터에서 이러한 이벤트가 생성됩니다.
Note
실패한 로그오프(예: 시스템이 갑자기 종료되는 경우)가 감사 레코드를 생성하지 않으므로 이 하위 범주에는 실패 이벤트가 없습니다.
로그온 이벤트는 사용자 활동을 이해하고 잠재적인 공격을 감지하는 데 필수적입니다. 로그오프 이벤트는 100% 신뢰할 수 없습니다. 예를 들어 적절한 로그오프 및 종료 없이 컴퓨터를 끌 수 있습니다. 이 경우 로그오프 이벤트가 생성되지 않습니다.
Event ID Event message 4634 계정이 로그오프되었습니다. 4647 사용자가 로그오프를 시작했습니다. Event volume: Low.
Default: Success.
감사 로그온 정책 확장
The Audit Logon policy determines whether the OS generates audit events when a user attempts to sign into a computer.
이러한 이벤트는 로그인 세션 생성과 관련이 있으며 액세스된 컴퓨터에서 발생합니다. 대화형 로그온의 경우 로그온된 컴퓨터에서 이벤트가 생성됩니다. 공유 액세스와 같은 네트워크 로그온의 경우 액세스된 리소스를 호스트하는 컴퓨터에서 이벤트가 생성됩니다. 로그온 이벤트는 사용자 활동을 추적하고 잠재적인 공격을 감지하는 데 필수적입니다. 다음 이벤트가 기록됩니다.
- 로그온 성공 및 실패.
- 명시적 자격 증명을 사용하여 로그온을 시도합니다. 이 이벤트는 프로세스에서 해당 계정의 자격 증명을 명시적으로 지정하여 계정에 로그인하려고 할 때 생성됩니다. 이는 예약된 작업과 같은 일괄 처리 구성 또는 명령을 사용할
runas때 가장 일반적으로 발생합니다.
Event ID Event message 4624 계정이 성공적으로 로그온했습니다. 4625 계정에 로그온하지 못함 4648 명시적 자격 증명을 사용하여 로그온을 시도했습니다. 4675 SID를 필터링했습니다. Event volume: Low on a client computer. Medium on a domain controller or network server.
Default: Success for client computers. Success and Failure for servers.
감사 네트워크 정책 서버 정책 확장
Audit Network Policy Server 정책은 OS가 사용자 접근 요청에 대한 RADIUS(IAS) 및 네트워크 액세스 보호(NAP) 활동에 대해 감사 이벤트를 생성하는지 여부를 결정합니다. 이러한 요청은 다음과 같습니다.
Grant
Deny
Discard
Quarantine
Lock
Unlock
NAP 이벤트를 사용하여 네트워크의 전반적인 상태를 이해할 수 있습니다.
Event ID Event message 6272 네트워크 정책 서버가 사용자에 대한 액세스를 허가했습니다. 6273 네트워크 정책 서버가 사용자에 대한 액세스를 거부했습니다. 6274 네트워크 정책 서버가 사용자에 대한 요청을 삭제했습니다. 6275 네트워크 정책 서버가 사용자에 대한 계정을 삭제했습니다. 6276 네트워크 정책 서버가 사용자를 격리했습니다. 6277 네트워크 정책 서버는 사용자에 대한 액세스 권한을 부여했지만 호스트가 정의된 상태 정책을 충족하지 않아 보호 관찰을 적용합니다. 6278 호스트가 정의된 상태 정책을 충족했으므로 네트워크 정책 서버에서 사용자에 대한 모든 권한을 부여했습니다. 6279 네트워크 정책 서버가 반복된 인증 실패로 인해 사용자 계정을 잠갔습니다. 6280 네트워크 정책 서버가 사용자 계정을 잠금 해제했습니다. Event volume: Medium or High on NPS and IAS servers. Moderate on other servers or on client computers.
Default: Success and Failure.
다른 로그온/로그오프 이벤트 정책 감사 확장
다른 로그온/로그오프 이벤트 감사 정책은 Windows에서 다른 로그온 또는 로그오프 이벤트에 대한 감사 이벤트를 생성하는지 여부를 결정합니다. 이러한 다른 로그온 또는 로그오프 이벤트는 다음과 같습니다.
원격 데스크톱 세션이 연결되거나 연결이 끊어집니다.
워크스테이션이 잠겨 있거나 잠금 해제되었습니다.
화면 보호기가 호출되거나 해제됩니다.
재생 공격이 감지됩니다. 이 이벤트는 Kerberos 요청이 동일한 정보와 함께 두 번 수신되었음을 나타냅니다. 네트워크 구성이 잘못되면 이로 인해 발생할 수도 있습니다.
사용자에게 무선 네트워크에 대한 액세스 권한이 부여됩니다. 사용자 계정 또는 컴퓨터 계정일 수 있습니다.
사용자에게 유선 802.1x 네트워크에 대한 액세스 권한이 부여됩니다. 사용자 계정 또는 컴퓨터 계정일 수 있습니다.
Event ID Event message 4649 재생 공격을 감지했습니다. 4778 세션이 윈도우 스테이션에 다시 연결되었습니다. 4779 윈도우 스테이션에서 세션 연결이 끊어졌습니다. 4800 워크스테이션이 잠겨 있습니다. 4801 워크스테이션 잠금이 해제되었습니다. 4802 화면 보호기를 호출했습니다. 4803 화면 보호기가 해제되었습니다. 5378 정책에 따라 요청한 자격 증명 위임이 허용되지 않습니다. 5632 유선 네트워크 인증을 요청했습니다. 5633 유선 네트워크 인증을 요청했습니다. Event volume: Low.
Default: No Auditing.
감사 특별 로그온 정책 확장하기
감사 특별 로그온 정책은 OS가 특별한 로그온(또는 로그온) 상황에서 감사 이벤트를 생성하는지 여부를 결정합니다. 이 보안 정책 설정은 다음과 같은 경우 OS에서 감사 이벤트를 생성하는지 여부를 결정합니다.
특수 로그온이 사용됩니다. 특수 로그온은 관리자와 동등한 권한을 가지며 프로세스를 더 높은 수준으로 상승시키는 데 사용할 수 있는 로그온입니다.
특수 그룹의 구성원이 로그온합니다. 특수 그룹은 관리자가 특정 그룹의 구성원이 로그온한 시기를 확인할 수 있는 Windows 기능입니다. 관리자는 레지스트리에서 SID(그룹 보안 식별자) 목록을 설정할 수 있습니다. 로그온하는 동안 이러한 SID가 토큰에 추가되고 이 감사 하위 범주를 사용하도록 설정하면 보안 이벤트가 기록됩니다.
특별한 권한을 보유한 사용자는 시스템을 변경할 수 있습니다. 해당 활동을 추적하는 것이 좋습니다.
Event ID Event message 4964 특정 그룹이 새 로그온에 할당되었습니다. 이벤트 볼륨: 낮음
Default: Success
Object Access
개체 액세스 정책 설정 및 감사 이벤트를 사용하면 네트워크 또는 컴퓨터의 특정 개체 또는 개체 유형에 액세스하려는 시도를 추적할 수 있습니다. 파일, 디렉터리, 레지스트리 키 또는 기타 개체에 액세스하려는 시도를 감사하려면 성공 및/또는 실패 이벤트에 적절한 개체 액세스 감사 하위 범주를 사용하도록 설정해야 합니다. 예를 들어 파일 작업을 감사하려면 파일 시스템 하위 범주를 사용하도록 설정해야 하며 레지스트리 하위 범주를 사용하도록 설정하여 레지스트리 액세스를 감사해야 합니다. 이 범주에는 다음 하위 범주가 포함됩니다.
감사 애플리케이션 생성 정책 확장
애플리케이션 생성 감사 정책은 애플리케이션이 Windows API(감사 애플리케이션 프로그래밍 인터페이스)를 사용하려고 할 때 OS가 감사 이벤트를 생성하는지 여부를 결정합니다.
다음 이벤트는 감사 작업을 생성할 수 있습니다.
애플리케이션 클라이언트 컨텍스트 만들기, 삭제 또는 초기화
Application operations
Windows 감사 API를 사용하도록 설계된 애플리케이션은 이 하위 범주를 사용하여 해당 API와 관련된 감사 이벤트를 기록할 수 있습니다. 이러한 감사 이벤트의 수준, 볼륨, 관련성 및 중요도는 이러한 이벤트를 생성하는 애플리케이션에 따라 달라집니다. OS는 애플리케이션에서 생성되는 이벤트를 기록합니다.
Event ID Event message 4665 애플리케이션 클라이언트 컨텍스트 생성을 시도했습니다. 4666 애플리케이션이 작업을 시도했습니다. 4667 애플리케이션 클라이언트 컨텍스트가 삭제되었습니다. 4668 애플리케이션이 초기화되었습니다. - Event volume: Varies based on the installed application's use of Windows Auditing
감사 인증 서비스 정책 확장
감사 인증 서비스 정책은 AD CS(Active Directory Certificate Services) 작업이 수행될 때 OS에서 이벤트를 생성하는지 여부를 결정합니다. 이러한 운영 이벤트를 모니터링하는 것은 AD CS 역할 서비스가 제대로 작동하는지 확인하는 데 중요합니다. AD CS 작업의 예는 다음과 같습니다.
AD CS가 시작되거나, 종료되거나, 백업되거나, 복원됩니다.
CRL(인증서 해지 목록) 관련 작업이 수행됩니다.
인증서가 요청, 발급 또는 해지됩니다.
AD CS에 대한 인증서 관리자 설정이 변경되었습니다.
CA(인증 기관)의 구성 및 속성이 변경됩니다.
AD CS 템플릿이 수정됩니다.
인증서를 가져옵니다.
CA 인증서가 Active Directory Domain Services에 게시됩니다.
AD CS 역할 서비스에 대한 보안 권한이 수정됩니다.
키는 보관, 가져오기 또는 검색됩니다.
OCSP 응답기 서비스가 시작되거나 중지됩니다.
Event ID Event message 4868 인증서 관리자가 대기된 인증서 요청을 거부했습니다. 4869 인증서 서비스에서 다시 제출된 인증서 요청을 받았습니다. 4870 인증서 서비스에서 인증서를 취소했습니다. 4871 인증서 서비스에서 CRL(인증서 해지 목록)을 게시하도록 요청받았습니다. 4872 인증서 서비스에서 인증서 해지 목록(CRL)을 게시했습니다. 4873 인증서 요청 확장이 변경되었습니다. 4874 하나 이상의 인증서 요청 특성을 변경했습니다. 4875 인증서 서비스에서 시스템 종료를 요청받았습니다. 4876 인증서 서비스 백업이 시작되었습니다. 4877 인증서 서비스 백업이 완료되었습니다. 4878 인증서 서비스 복원이 시작되었습니다. 4879 인증서 서비스 복원이 완료되었습니다. 4880 인증서 서비스가 시작되었습니다. 4881 인증서 서비스가 중지되었습니다. 4882 인증서 서비스의 보안 권한이 변경되었습니다. 4883 인증서 서비스에서 저장된 키를 검색했습니다. 4884 인증서 서비스에서 인증서를 데이터베이스로 가져왔습니다. 4885 인증서 서비스의 감사 필터가 변경되었습니다. 4886 인증서 서비스에서 인증서 요청을 받았습니다. 4887 인증서 서비스에서 인증서 요청을 승인했으며 인증서를 발급했습니다. 4888 인증서 서비스에서 인증서 요청을 거부했습니다. 4889 인증서 서비스에서 인증서 요청 상태를 대기 중으로 설정했습니다. 4890 인증서 서비스의 인증서 관리자 설정이 변경되었습니다. 4891 인증서 서비스에서 구성 항목이 변경되었습니다. 4892 인증서 서비스의 속성이 변경되었습니다. 4893 인증서 서비스에서 키를 저장했습니다. 4894 인증서 서비스에서 키를 가져와서 저장했습니다. 4895 인증서 서비스에서 Active Directory Domain Services에 CA 인증서를 게시했습니다. 4896 인증서 데이터베이스에서 하나 이상의 행이 삭제되었습니다. 4897 역할 분리를 사용하도록 설정했습니다. 4898 인증서 서비스에서 템플릿을 로드했습니다. - Event volume: Medium or Low on servers that host AD CS services
감사 세부 파일 공유 정책 확장
자세한 파일 공유 감사 정책을 사용하면 공유 폴더의 파일 및 폴더에 액세스하려는 시도를 감사할 수 있습니다. 자세한 파일 공유 설정은 파일 또는 폴더에 액세스할 때마다 이벤트를 기록하는 반면, 파일 공유 설정은 클라이언트 컴퓨터와 파일 공유 간에 설정된 모든 연결에 대해 하나의 이벤트만 기록합니다. 자세한 파일 공유 감사 이벤트에는 액세스 권한을 부여하거나 거부하는 데 사용되는 권한 또는 기타 조건에 대한 자세한 정보가 포함됩니다.
Note
공유 폴더에는 SACL이 없습니다. 이 정책 설정을 사용하면 시스템의 공유 파일 및 폴더에 대한 모든 액세스가 감사됩니다.
Event ID Event message 5145 클라이언트에 원하는 액세스 권한을 부여할 수 있는지 여부를 확인하기 위해 네트워크 공유 개체를 확인했습니다. - Event volume: High on a file server or domain controller because of SYSVOL network access required by Group Policy
감사 파일 공유 정책 확장
파일 공유 감사 정책은 파일 공유에 액세스할 때 OS가 감사 이벤트를 생성하는지 여부를 결정합니다. 공유를 만들거나 삭제하거나 공유 권한이 변경될 때 감사 이벤트가 생성되지 않습니다. 파일 시스템 감사와 결합된 파일 공유 감사를 사용하면 액세스된 콘텐츠, 요청의 원본(IP 주소 및 포트) 및 액세스에 사용된 사용자 계정을 추적할 수 있습니다.
Note
공유에 대한 SCL은 없습니다. 따라서 이 설정을 사용하도록 설정하면 시스템의 모든 공유에 대한 액세스가 감사됩니다.
Event ID Event message 5140 네트워크 공유 개체에 액세스했습니다.
이 이벤트는 Windows Server 2008 R2, Windows Server 2008, Windows 7 또는 Windows Vista를 실행하는 컴퓨터에 로그온됩니다.5142 네트워크 공유 개체가 추가되었습니다. 5143 네트워크 공유 개체가 수정되었습니다. 5144 네트워크 공유 개체가 삭제되었습니다. 5168 SMB/SMB2에 대한 SPN 검사가 실패했습니다. - Event volume: High on a file server or domain controller because of SYSVOL network access required by Group Policy.
감사 파일 시스템 정책 확장
감사 파일 시스템 정책은 사용자가 파일 시스템 개체에 액세스하려고 할 때 OS에서 감사 이벤트를 생성하는지 여부를 결정합니다. 감사 이벤트는 SACL을 구성한 개체에 대해서만 생성되며 요청된 액세스 유형(예: 쓰기, 읽기 또는 수정)과 요청을 만드는 계정이 SACL의 설정과 일치하는 경우에만 생성됩니다.
성공 감사를 사용하도록 설정하면 모든 계정이 일치하는 SACL이 있는 파일 시스템 개체에 성공적으로 액세스할 때마다 감사 항목이 생성됩니다. 오류 감사를 사용하도록 설정하면 사용자가 일치하는 SACL이 있는 파일 시스템 개체에 액세스하려고 시도할 때마다 감사 항목이 생성됩니다. 이러한 이벤트는 중요하거나 중요한 파일 개체에 대한 추적 작업에 필수적이며 추가 모니터링이 필요합니다.
Event ID Event message 4664 하드 링크 생성을 시도했습니다. 4985 트랜잭션 상태를 변경했습니다. 5051 파일을 가상화했습니다. - Event volume: Varies depending on how file system SACLs are configured.
감사 필터링 플랫폼 연결 정책 확장
감사 필터링 플랫폼 연결 정책은 Windows 필터링 플랫폼에서 연결을 허용하거나 차단할 때 OS가 감사 이벤트를 생성하는지 여부를 결정합니다. Windows WFP(Windows Filtering Platform)는 Windows Server 2008 및 Windows Vista에서 도입되었습니다. ISV(독립 소프트웨어 공급업체)는 TCP/IP 패킷을 필터링 및 수정하고, 연결을 모니터링하거나 권한을 부여하고, IPsec(인터넷 프로토콜 보안)으로 보호되는 트래픽을 필터링하고, RPC를 필터링할 수 있습니다. 이 보안 정책을 사용하면 다음 유형의 작업을 감사할 수 있습니다.
Windows 방화벽 서비스는 애플리케이션이 네트워크에서 들어오는 연결을 수락하지 못하도록 차단합니다.
Windows 필터링 플랫폼은 연결을 허용하거나 차단합니다.
Windows 필터링 플랫폼은 로컬 포트에 대한 바인딩을 허용하거나 차단합니다.
Windows 필터링 플랫폼은 애플리케이션 또는 서비스가 포트에서 들어오는 연결을 수신 대기하는 것을 허용하거나 차단합니다.
Event ID Event message 5031 Windows 방화벽 서비스에서 응용 프로그램이 네트워크에서 들어오는 연결을 수락하지 못하도록 했습니다. 5140 네트워크 공유 개체에 액세스했습니다.
이 이벤트는 적용 대상 목록에 지정된 대로 지원되는 버전의 Windows OS를 실행하는 컴퓨터에만 기록됩니다.5150 Windows 필터링 플랫폼에서 패킷을 차단했습니다. 5151 더 제한적인 Windows 필터링 플랫폼 필터가 패킷을 차단했습니다. 5154 Windows 필터링 플랫폼에서 응용 프로그램 또는 서비스의 들어오는 연결에 대한 포트 수신을 허용했습니다. 5155 Windows 필터링 플랫폼에서 응용 프로그램 또는 서비스의 들어오는 연결에 대한 포트 수신을 차단했습니다. 5156 Windows 필터링 플랫폼에서 연결을 허용했습니다. 5157 F: Windows 필터링 플랫폼에서 연결을 차단했습니다. 5158 Windows 필터링 플랫폼에서 로컬 포트에 대한 바인딩을 허용했습니다. 5159 Windows 필터링 플랫폼에서 로컬 포트에 대한 바인딩을 차단했습니다. - Event volume: High.
감사 필터링 플랫폼 패킷 삭제 정책 확장
감사 필터링 플랫폼 패킷 삭제 정책은 Windows 필터링 플랫폼에서 패킷을 삭제할 때 OS가 감사 이벤트를 생성하는지 여부를 결정합니다. Windows WFP(Windows Filtering Platform)는 Windows Server 2008 및 Windows Vista에서 도입되었습니다. WFP를 사용하면 ISV(독립 소프트웨어 공급업체)가 TCP/IP 패킷을 필터링 및 수정하고, 연결을 모니터링하거나 권한을 부여하고, IPsec(인터넷 프로토콜 보안)으로 보호되는 트래픽을 필터링하고, RPC를 필터링할 수 있습니다. 삭제된 패킷의 비율이 높으면 네트워크의 컴퓨터에 무단으로 액세스하려는 시도가 있음을 나타낼 수 있습니다.
Event ID Event message 5152 Windows 필터링 플랫폼에서 패킷을 차단했습니다. 5153 더 제한적인 Windows 필터링 플랫폼 필터가 패킷을 차단했습니다. - Event volume: High.
감사 핸들 조작 정책 확장
감사 핸들 조작 정책은 개체에 대한 핸들을 열거나 닫을 때 OS가 감사 이벤트를 생성하는지 여부를 결정합니다. 구성된 SACL이 있는 개체만 이러한 이벤트를 생성하며, 시도된 핸들 작업이 SACL과 일치하는 경우에만 생성됩니다.
Note
핸들 조작 이벤트는 해당 파일 시스템 또는 레지스트리 개체 액세스 하위 범주를 사용하는 개체 형식에 대해서만 생성됩니다. 감사 파일 시스템 또는 감사 레지스트리 정책을 참조하세요.
Event ID Event message 4656 개체에 대한 핸들을 요청했습니다. 4658 개체에 대한 핸들을 닫았습니다. 4690 개체에 대한 핸들을 중복하려고 했습니다. - Event volume: Varies on how SACLs are configured.
커널 개체 감사 정책 확장
커널 개체 감사 정책은 사용자가 뮤텍스 및 세마포를 포함하는 시스템 커널에 액세스하려고 할 때 OS가 감사 이벤트를 생성하는지 여부를 결정합니다. SACL이 일치하는 커널 개체만 보안 감사 이벤트를 생성합니다. 생성된 감사는 개발자에게만 유용합니다. Typically, kernel objects are given SACLs only if the AuditBaseObjects or AuditBaseDirectories auditing options are enabled.
Note
감사: 전역 시스템 개체의 액세스 감사를 제어하는 정책 설정은 커널 개체의 기본 SACL을 제어합니다.
Event ID Event message 4659 삭제할 의도로 개체에 대한 핸들을 요청했습니다. 4660 개체가 삭제되었습니다. 4661 개체에 대한 핸들을 요청했습니다. 4663 개체에 액세스하려고 했습니다. - Event volume: High if auditing access of global system objects is enabled.
기타 객체 액세스 이벤트 감사 정책 확장
다른 개체 액세스 이벤트 감사 정책은 OS가 작업 스케줄러 작업 또는 COM+ 개체 관리에 대한 감사 이벤트를 생성하는지 여부를 결정합니다.
스케줄러 작업의 경우 다음 작업이 감사됩니다.
- 작업이 생성, 삭제, 사용, 사용 안 함 또는 업데이트됩니다.
COM+ 개체의 경우 다음 작업이 감사됩니다.
- 카탈로그 개체가 추가, 삭제 또는 업데이트됩니다.
Event ID Event message 4671 응용 프로그램이 TBS를 통해 차단된 오디널에 액세스하려고 했습니다. 4691 개체에 대한 간접 액세스를 요청했습니다. 4698 예약된 작업이 만들어졌습니다. 4699 예약된 작업을 삭제했습니다. 4700 예약된 작업을 사용하도록 설정했습니다. 4701 예약된 작업이 사용할 수 없게 되었습니다. 4702 예약된 작업이 업데이트되었습니다. 5148 Windows 필터링 플랫폼이 DoS 공격을 감지하고 방어 모드로 전환했습니다. 이 공격과 관련된 패킷은 삭제됩니다.
이 이벤트는 지원되는 버전의 Windows OS를 실행하는 컴퓨터에서만 기록됩니다.5149 DoS 공격이 가라앉고 정상적인 처리가 재개되고 있습니다.
이 이벤트는 지원되는 버전의 Windows OS를 실행하는 컴퓨터에서만 기록됩니다.5888 COM+ 카탈로그의 개체를 수정했습니다. 5889 COM+ 카탈로그에서 개체를 삭제했습니다. 5890 COM+ 카탈로그에 개체를 추가했습니다. - Event volume: Low.
감사 레지스트리 정책 확장
The Audit Registry policy determines whether the OS generates audit events when users attempt to access registry objects. 감사 이벤트는 지정된 SACL을 구성한 개체에 대해서만 생성되며 요청된 액세스 유형(예: 쓰기, 읽기 또는 수정)과 요청을 만드는 계정이 SACL의 설정과 일치하는 경우에만 생성됩니다.
성공 감사를 사용하도록 설정하면 모든 계정이 일치하는 SACL이 있는 레지스트리 개체에 성공적으로 액세스할 때마다 감사 항목이 생성됩니다. 실패 감사를 사용하도록 설정하면 사용자가 일치하는 SACL이 있는 레지스트리 개체에 액세스하려고 시도할 때마다 감사 항목이 생성됩니다.
Event ID Event message 4657 레지스트리 값이 수정되었습니다. 5039 레지스트리 키를 가상화했습니다. - Event volume: Varies on how registry SACLs are configured.
이동식 스토리지 정책 감사 확장
이동식 스토리지 감사 정책은 사용자가 이동식 스토리지 디바이스의 파일 시스템 개체에 액세스하려고 할 때 OS가 감사 이벤트를 생성하는지 여부를 결정합니다. 감사 이벤트는 이동식 스토리지의 모든 개체에 대한 모든 유형의 액세스에 대해 생성됩니다.
이 정책을 사용하도록 설정하면 계정이 이동식 스토리지 디바이스의 파일 시스템 개체에 액세스할 때마다 감사 이벤트가 기록됩니다. 성공 감사는 성공적인 액세스 시도를 캡처하고 실패 감사는 실패한 시도를 캡처합니다. 이 정책이 구성되지 않은 경우 이동식 스토리지 디바이스의 파일 시스템 개체에 액세스하기 위해 감사 이벤트가 생성되지 않습니다.
Event ID Event message 4656 개체에 대한 핸들을 요청했습니다. 4658 개체에 대한 핸들을 닫았습니다. 4663 개체에 액세스하려고 했습니다. 감사를 위한 SAM 정책 확장
SAM 개체에 액세스하려고 시도하여 생성된 이벤트를 감사할 수 있는 AUDIT SAM입니다. SAM은 로컬 컴퓨터에서 사용자에 대한 사용자 계정 및 보안 설명자를 저장하는 Windows OS를 실행하는 컴퓨터에 있는 데이터베이스입니다. SAM 개체는 다음과 같습니다.
SAM_ALIAS: 로컬 그룹
SAM_GROUP: 로컬 그룹이 아닌 그룹
SAM_USER: 사용자 계정
SAM_DOMAIN: 하나의 도메인
SAM_SERVER: 컴퓨터 계정
이 정책 설정을 구성하면 SAM 개체에 액세스할 때 감사 이벤트가 생성됩니다. 성공 감사는 성공적인 시도를 기록하고 실패 감사는 실패한 시도를 기록합니다. Only the SACL for SAM_SERVER can be modified.
사용자 및 그룹 개체에 대한 변경 내용은 계정 관리 감사 범주에 의해 추적됩니다. 그러나 충분한 권한이 있는 사용자 계정은 계정 및 암호 정보가 시스템에 저장된 파일을 변경하여 계정 관리 이벤트를 무시할 수 있습니다.
Event ID Event message 4659 삭제할 의도로 개체에 대한 핸들을 요청했습니다. 4660 개체가 삭제되었습니다. 4661 개체에 대한 핸들을 요청했습니다. 4663 개체에 액세스하려고 했습니다. - Event volume: High on domain controllers.
중앙 액세스 정책 준비 정책 감사 확장
중앙 액세스 정책 준비 감사 정책을 사용하면 제안된 중앙 액세스 정책에 의해 부여되거나 거부된 권한이 개체에 대한 현재 정책의 권한과 다른 액세스 시도를 감사할 수 있습니다. 이 정책을 구성하면 사용자가 개체에 액세스할 때마다 감사 이벤트가 생성되고 현재 중앙 액세스 정책에서 부여한 사용 권한은 제안된 정책에서 부여한 권한과 다릅니다. 감사 이벤트는 다음과 같이 생성됩니다.
Success audits (when enabled) log access attempts where the current policy grants access but the proposed policy would deny it.
Failure audits (when enabled) log access attempts in these scenarios:
현재 정책은 액세스 권한을 부여하지 않지만 제안된 정책은 액세스 권한을 부여합니다.
주체는 허용된 최대 액세스 권한을 요청하며, 현재 정책에서 부여된 권한은 제안된 정책에서 부여된 권한과 다릅니다.
Event ID Event message 4818 제안된 중앙 액세스 정책은 현재 중앙 액세스 정책과 동일한 액세스 권한을 부여하지 않습니다. Event volume: Potentially High on a file server when the proposed policy differs significantly from the current central access policy.
Default: No Auditing.
Policy Change
정책 변경 감사 이벤트를 사용하면 로컬 시스템 또는 네트워크에서 중요한 보안 정책의 변경 내용을 추적할 수 있습니다. 정책은 일반적으로 관리자가 네트워크 리소스를 보호하는 데 도움을 주기 때문에 이러한 정책을 변경하거나 변경하려는 시도를 모니터링하는 것은 네트워크에 대한 보안 관리의 중요한 측면이 될 수 있습니다. 이 범주에는 다음 하위 범주가 포함됩니다.
감사 정책 변경 정책 확장
감사 정책 변경 정책은 감사 정책을 변경할 때 OS가 감사 이벤트를 생성하는지 여부를 결정합니다. 감사 정책 변경은 중요한 보안 이벤트입니다. 감사되는 감사 정책의 변경 내용은 다음과 같습니다.
감사 정책 개체에 대한 권한 및 감사 설정을
auditpol /set /sd를 사용하여 변경합니다.시스템 감사 정책 변경
보안 이벤트 원본 등록 및 등록 취소
사용자별 감사 설정 변경
CrashOnAuditFail 값을 변경합니다.
특수 그룹 목록의 모든 항목을 변경합니다.
개체의 감사 설정 변경(예: 파일 또는 레지스트리 키에 대한 SACL 수정).
Note
SACL 변경 감사는 개체에 대한 SACL이 변경되고 정책 변경 범주가 구성된 경우에 수행됩니다. DACL(임의 액세스 제어 목록) 및 소유자 변경 감사는 개체 액세스 감사가 구성되고 개체의 SACL이 DACL 또는 소유자 변경에 대한 감사를 위해 설정된 경우 수행됩니다.
Event ID Event message 4715 개체에 대한 감사 정책(SACL)을 변경했습니다. 4719 시스템 감사 정책을 변경했습니다. 4817 개체에 대한 감사 설정이 변경되었습니다.
이 이벤트는 지원되는 버전의 Windows OS를 실행하는 컴퓨터에서만 기록됩니다.4902 사용자별 감사 정책 테이블을 만들었습니다. 4904 보안 이벤트 원본 등록을 해제하려고 했습니다. 4905 보안 이벤트 원본 등록을 해제하려고 했습니다. 4906 CrashOnAuditFail 값을 변경했습니다. 4907 개체의 감사 설정을 변경했습니다. 4908 특정 그룹 로그온 테이블을 수정했습니다. 4912 사용자별 감사 정책을 변경했습니다. Event volume: Low.
Default: Success.
감사 인증 정책 변경 정책 확장
감사 인증 정책 변경 정책은 인증 정책을 변경할 때 OS가 감사 이벤트를 생성하는지 여부를 결정합니다. 이 설정은 사용자 계정 또는 그룹에 부여된 도메인 수준 및 포리스트 수준 신뢰 및 권한의 변경 내용을 추적하는 데 유용합니다. 인증 정책의 변경 내용은 다음과 같습니다.
포리스트 및 도메인 트러스트 만들기, 수정 및 제거
컴퓨터 구성\Windows 설정\보안 설정\계정 정책\Kerberos 정책에서 Kerberos 정책을 변경합니다.
Note
감사 이벤트는 관리자가 설정을 수정할 때가 아니라 정책이 적용될 때 기록됩니다.
사용자 또는 그룹에 다음 사용자 권한이 부여되는 경우:
네트워크에서 이 컴퓨터에 액세스합니다.
로컬로 로그온을 허용합니다.
원격 데스크톱을 통해 로그온을 허용합니다.
일괄 작업으로 로그온합니다.
서비스로 로그온합니다.
추가된 트러스트가 기존 네임스페이스 이름과 충돌하는 경우와 같은 네임스페이스 충돌입니다.
Event ID Event message 4713 Kerberos 정책이 변경되었습니다. 4716 트러스트된 도메인 정보를 수정했습니다. 4717 계정에 시스템 보안 액세스를 허용했습니다. 4718 시스템 보안 액세스를 계정에서 제거했습니다. 4739 도메인 정책을 변경했습니다. 4864 네임스페이스 충돌을 감지했습니다. 4865 트러스트된 포리스트 정보 항목을 추가했습니다. 4866 트러스트된 포리스트 정보 항목을 제거했습니다. 4867 트러스트된 포리스트 정보 항목을 수정했습니다. Event volume: Low.
Default: Success.
감사 권한 부여 정책 변경 정책 확장
감사 권한 부여 정책 변경 정책은 권한 부여 정책에 대한 특정 변경이 있을 때 OS가 감사 이벤트를 생성하는지 여부를 결정합니다. 감사할 수 있는 권한 부여 정책 변경 내용은 다음과 같습니다.
Assigning or removing user rights (privileges) such as SeCreateTokenPrivilege, except for the system access rights that are audited by using the Audit Authentication Policy Change subcategory.
EFS(파일 시스템 암호화) 정책 변경
Event ID Event message 4704 사용자 권한이 할당되었습니다. 4705 사용자 권한이 제거되었습니다. 4706 도메인에 대한 새 트러스트가 생성되었습니다. 4707 도메인에 대한 트러스트가 제거되었습니다. 4714 암호화된 데이터 복구 정책이 변경되었습니다. Event volume: Low.
Default: No Auditing.
감사 필터링 플랫폼 정책 변경 정책 확장
감사 필터링 플랫폼 정책 변경 정책은 OS가 특정 IPsec 및 Windows 필터링 플랫폼 작업에 대한 감사 이벤트를 생성하는지 여부를 결정합니다. WFP(Windows Filtering Platform)를 사용하면 ISV(독립 소프트웨어 공급업체)가 TCP/IP 패킷을 필터링 및 수정하고, 연결을 모니터링하거나 권한을 부여하고, IPsec(인터넷 프로토콜 보안)으로 보호되는 트래픽을 필터링하고, RPC를 필터링할 수 있습니다. 이 보안 정책 설정은 OS에서 다음의 감사 이벤트를 생성하는지 여부를 결정합니다.
IPsec 서비스 상태입니다.
IPsec 설정을 변경합니다.
Windows 필터링 플랫폼 엔진 및 공급자의 상태 및 변경 내용
IPsec 정책 에이전트 서비스 활동.
Event ID Event message 4709 IPsec 서비스가 시작되었습니다. 4710 IPsec 서비스를 사용할 수 없게 되었습니다. 4711 다음 메시지 중 하나를 포함할 수 있습니다.
- PAStore 엔진이 컴퓨터에 Active Directory 스토리지 IPsec 정책의 로컬로 캐시된 복사본을 적용했습니다.
- PAStore 엔진이 컴퓨터에 Active Directory 스토리지 IPsec 정책을 적용했습니다.
- PAStore 엔진이 컴퓨터에 로컬 레지스트리 스토리지 IPsec 정책을 적용했습니다.
- PAStore 엔진이 컴퓨터에 Active Directory 스토리지 IPsec 정책의 로컬로 캐시된 복사본을 적용하지 못했습니다.
- PAStore 엔진이 컴퓨터에 Active Directory 스토리지 IPsec 정책 적용을 실패했습니다.
- PAStore 엔진이 컴퓨터에 로컬 레지스트리 스토리지 IPsec 정책을 적용을 실패했습니다.
- PAStore 엔진이 컴퓨터에서 활성 IPsec 정책의 일부 규칙을 적용하지 못했습니다.
- PAStore 엔진이 컴퓨터에서 디렉터리 스토리지 IPsec 정책을 로드하지 못했습니다.
- PAStore 엔진이 컴퓨터에 디렉터리 스토리지 IPsec 정책을 로드했습니다.
- PAStore 엔진이 컴퓨터에서 로컬 스토리지 IPsec 정책을 로드하지 못했습니다.
- PAStore 엔진이 컴퓨터에 로컬 스토리지 IPsec 정책을 로드했습니다.
- PAStore 엔진이 활성 IPsec 정책의 변경 내용을 폴링했으며 변경 내용을 감지하지 못했습니다.
4712 IPsec Services에서 잠재적으로 심각한 오류가 발생했습니다. 5040 IPsec 설정이 변경되었습니다. 인증 집합이 추가되었습니다. 5041 IPsec 설정이 변경되었습니다. 인증 집합이 수정되었습니다. 5042 IPsec 설정이 변경되었습니다. 인증 집합이 삭제되었습니다. 5043 IPsec 설정이 변경되었습니다. 연결 보안 규칙이 추가되었습니다. 5044 IPsec 설정이 변경되었습니다. 연결 보안 규칙이 변경되었습니다. 5045 IPsec 설정이 변경되었습니다. 연결 보안 규칙이 삭제되었습니다. 5046 IPsec 설정이 변경되었습니다. 암호화 집합이 추가되었습니다. 5047 IPsec 설정이 변경되었습니다. 암호화 집합이 수정되었습니다. 5048 IPsec 설정이 변경되었습니다. 암호화 집합이 삭제되었습니다. 5440 Windows 필터링 플랫폼 기본 필터링 엔진이 시작될 때 다음 설명선이 있었습니다. 5441 Windows 필터링 플랫폼 기본 필터링 엔진이 시작될 때 다음 필터가 있었습니다. 5442 Windows 필터링 플랫폼 기본 필터링 엔진이 시작될 때 다음 공급자가 있었습니다. 5443 Windows 필터링 플랫폼 기본 필터링 엔진이 시작될 때 다음 공급자 컨텍스트가 있었습니다. 5444 Windows 필터링 플랫폼 기본 필터링 엔진이 시작될 때 다음 하위 계층이 있었습니다. 5446 Windows 필터링 플랫폼 설명선이 변경되었습니다. 5448 Windows 필터링 플랫폼 공급자가 변경되었습니다. 5449 Windows 필터링 플랫폼 공급자 컨텍스트가 변경되었습니다. 5450 Windows 필터링 플랫폼 하위 계층이 변경되었습니다. 5456 PAStore 엔진이 컴퓨터에 Active Directory 스토리지 IPsec 정책을 적용했습니다. 5457 PAStore 엔진이 컴퓨터에 Active Directory 스토리지 IPsec 정책 적용을 실패했습니다. 5458 PAStore 엔진이 컴퓨터에 Active Directory 스토리지 IPsec 정책의 로컬로 캐시된 복사본을 적용했습니다. 5459 PAStore 엔진이 컴퓨터에 Active Directory 스토리지 IPsec 정책의 로컬로 캐시된 복사본을 적용하지 못했습니다. 5460 PAStore 엔진이 컴퓨터에 로컬 레지스트리 스토리지 IPsec 정책을 적용했습니다. 5461 PAStore 엔진이 컴퓨터에 로컬 레지스트리 스토리지 IPsec 정책을 적용을 실패했습니다. 5462 PAStore 엔진이 컴퓨터에서 활성 IPsec 정책의 일부 규칙을 적용하지 못했습니다. IP 보안 모니터 스냅인을 사용하여 문제를 진단합니다. 5463 PAStore 엔진이 활성 IPsec 정책의 변경 내용을 폴링했으며 변경 내용을 감지하지 못했습니다. 5464 PAStore 엔진이 활성 IPsec 정책의 변경 내용을 폴링하고, 변경 내용을 검색하고, IPsec 서비스에 적용했습니다. 5465 PAStore 엔진이 IPsec 정책의 강제 다시 로드에 대한 컨트롤을 수신하고 컨트롤을 성공적으로 처리했습니다. 5466 PAStore 엔진이 Active Directory IPsec 정책의 변경 내용을 폴링하여, Active Directory에 연결할 수 없음을 확인했기에, 그 대신 Active Directory IPsec 정책의 캐시된 복사본을 사용할 것입니다. 마지막 설문 조사 이후 Active Directory IPsec 정책에 대한 변경 내용을 적용할 수 없습니다. 5467 PAStore 엔진이 Active Directory IPsec 정책의 변경 내용을 폴링하여, Active Directory에 연결할 수 있음을 확인했으며, 정책에 대한 변경 내용을 찾지 못했습니다. Active Directory IPsec 정책의 캐시된 복사본은 더 이상 사용되지 않습니다. 5468 PAStore 엔진이 Active Directory IPsec 정책의 변경 내용을 폴링하여, Active Directory에 연결할 수 있음을 확인했으며, 정책에 대한 변경 내용을 찾아서 적용했습니다. Active Directory IPsec 정책의 캐시된 복사본은 더 이상 사용되지 않습니다. 5471 PAStore 엔진이 컴퓨터에 로컬 스토리지 IPsec 정책을 로드했습니다. 5472 PAStore 엔진이 컴퓨터에서 로컬 스토리지 IPsec 정책을 로드하지 못했습니다. 5473 PAStore 엔진이 컴퓨터에 디렉터리 스토리지 IPsec 정책을 로드했습니다. 5474 PAStore 엔진이 컴퓨터에서 디렉터리 스토리지 IPsec 정책을 로드하지 못했습니다. 5477 PAStore 엔진이 빠른 모드 필터를 추가하지 못했습니다. Event volume: Low.
Default: No Auditing.
MPSSVC Rule-Level 정책 변경 정책에 대한 감사 확장
MPSSVC 감사 Rule-Level 정책 변경 정책은 microsoft Protection Service(MPSSVC.exe)에 대한 정책 규칙을 변경할 때 OS가 감사 이벤트를 생성하는지 여부를 결정합니다.
Windows 방화벽에서 사용하는 Microsoft Protection Service는 트로이 목마 및 스파이웨어와 같은 인터넷 바인딩된 위협에 대한 컴퓨터의 위협 방지에 필수적인 부분입니다. 추적된 활동은 다음과 같습니다.
Windows 방화벽 서비스가 시작될 때의 활성 정책입니다.
Windows 방화벽 규칙 변경.
Windows 방화벽 예외 목록의 변경 내용입니다.
Windows 방화벽 설정 변경.
Windows 방화벽 서비스에서 규칙이 무시되거나 적용되지 않습니다.
Windows 방화벽 그룹 정책 설정을 변경합니다.
방화벽 규칙을 변경하는 것은 컴퓨터의 보안 상태와 네트워크 공격으로부터 보호되는 정도를 이해하는 데 중요합니다.
Event ID Event message 4944 Windows 방화벽이 시작되었을 때 활성 상태였던 정책은 다음과 같습니다. 4945 Windows 방화벽이 시작되었을 때의 규칙이 나열되었습니다. 4946 Windows 방화벽 예외 목록이 변경되었습니다. 규칙이 추가되었습니다. 4947 Windows 방화벽 예외 목록이 변경되었습니다. 규칙이 수정되었습니다. 4948 Windows 방화벽 예외 목록이 변경되었습니다. 규칙이 삭제되었습니다. 4949 Windows 방화벽 설정을 기본값으로 복원했습니다. 4950 Windows 방화벽 설정이 변경되었습니다. 4951 규칙의 주 버전 번호가 Windows 방화벽에서 인식되지 않았기 때문에 해당 규칙이 무시되었습니다. 4952 규칙의 부 버전 번호가 Windows 방화벽에서 인식되지 않았기 때문에 해당 규칙의 일부가 무시되었습니다. 이 규칙의 다른 부분은 적용됩니다. 4953 규칙을 구문 분석할 수 없으므로 Windows 방화벽에서 규칙이 무시되었습니다. 4954 Windows 방화벽 그룹 정책 설정이 변경되었습니다. 새 설정이 적용되었습니다. 4956 Windows 방화벽에서 활성 프로필을 변경했습니다. 4957 Windows 방화벽은 다음 규칙을 적용하지 않았습니다. 4958 규칙이 이 컴퓨터에 구성되지 않은 항목을 참조했기 때문에 Windows 방화벽에서 다음 규칙을 적용하지 않았습니다. Event volume: Low.
Default: No Auditing.
다른 정책 변경 이벤트 감사 정책 확장
기타 정책 변경 이벤트 감사 정책은 OS가 정책 변경 범주에서 감사되지 않는 보안 정책 변경에 대한 감사 이벤트를 생성하는지 여부를 결정합니다. 감사할 수 있는 정책 변경 범주의 다른 활동은 다음과 같습니다.
TPM(신뢰할 수 있는 플랫폼 모듈) 구성이 변경됩니다.
커널 모드 암호화 자체 테스트.
암호화 공급자 작업.
암호화 컨텍스트 작업 또는 수정.
Event ID Event message 4670 개체에 대한 권한을 변경했습니다. 4909 TBS에 대한 로컬 정책 설정을 변경했습니다. 4910 TBS에 대한 그룹 정책 설정이 변경되었습니다. 5063 암호화 공급자 작업이 시도되었습니다. 5064 암호화 컨텍스트 작업이 시도되었습니다. 5065 암호화 컨텍스트 수정이 시도되었습니다. 5066 암호화 함수 작업이 시도되었습니다. 5067 암호화 함수 수정이 시도되었습니다. 5068 암호화 함수 공급자 작업이 시도되었습니다. 5069 암호화 함수 속성 작업이 시도되었습니다. 5070 암호화 함수 속성 수정이 시도되었습니다. 5447 Windows 필터링 플랫폼 필터가 변경되었습니다. 6144 그룹 정책 개체의 보안 정책이 성공적으로 적용되었습니다. 6145 그룹 정책 개체에서 보안 정책을 처리하는 동안 하나 이상의 오류가 발생했습니다. Event volume: Low.
Default: No Auditing.
Privilege Use
사용자 또는 컴퓨터가 정의된 작업을 완료할 수 있도록 네트워크에 대한 사용 권한이 부여됩니다. 권한 사용 보안 정책 설정 및 감사 이벤트를 사용하면 하나 이상의 시스템에서 특정 권한의 사용을 추적할 수 있습니다. 이 범주에는 다음 하위 범주가 포함됩니다.
비민감 권한 사용 감사 정책 확장
중요하지 않은 권한 사용 감사 정책은 중요하지 않은 권한(사용자 권한)을 사용할 때 OS가 감사 이벤트를 생성하는지 여부를 결정합니다. 다음 권한은 민감하지 않습니다.
도메인에 워크스테이션 추가
프로세스에 대한 메모리 할당량 조정
로컬 로그온 허용
터미널 서비스를 통해 로그온 허용
트래버스 검사 무시
시스템 시간 변경
페이지 파일 만들기
전역 개체 만들기
영구 공유 개체 만들기
기호 링크 만들기
네트워크에서 이 컴퓨터 액세스 거부
일괄 작업으로 로그온 거부
서비스로 로그온 거부
로컬 로그온 거부
터미널 서비스를 통한 로그온 거부
원격 시스템에서 강제 종료
프로세스 작업 집합 크기 증가
스케줄링 우선 순위 증가
메모리의 페이지 잠금
일괄 작업으로 로그온.
서비스로 로그인
개체 레이블 수정
볼륨 유지 관리 작업 수행
단일 프로세스 프로필
시스템 성능 프로파일링
도킹 스테이션에서 컴퓨터 제거
시스템 종료
디렉터리 서비스 데이터 동기화
이 정책 설정을 구성하면 중요하지 않은 권한이 호출될 때 감사 이벤트가 생성됩니다. 성공 감사는 성공적인 시도를 기록하고 실패 감사는 실패한 시도를 기록합니다.
Event ID Event message 4672 특수 권한을 새 로그온에 할당했습니다. 4673 권한 있는 서비스를 호출했습니다. 4674 권한 있는 개체에 대한 작업을 시도했습니다. - Event volume: Very High.
감사 정책에서 '다른 권한 사용 이벤트' 확장
다른 권한 사용 이벤트 감사 정책은 사용되지 않습니다.
감사 민감한 권한 사용 정책 확장
중요한 권한 사용 감사 정책은 중요한 권한(사용자 권한)을 사용할 때 OS에서 감사 이벤트를 생성하는지 여부를 결정합니다. 감사할 수 있는 작업은 다음과 같습니다.
권한 있는 서비스가 호출됩니다.
다음 권한 중 하나가 호출됩니다.
OS의 일부로 작동
파일 및 디렉터리 백업
토큰 개체 만들기
Debug programs
컴퓨터 및 사용자 계정을 위임용으로 신뢰할 수
보안 감사 생성
인증 후 클라이언트를 사칭하다
디바이스 드라이버 로드 및 언로드
감사 및 보안 로그 관리
펌웨어 환경 값 수정
프로세스 수준 토큰 바꾸기
파일 및 디렉터리 복원
파일 또는 기타 개체의 소유권 가져오기
이 정책 설정을 구성하면 중요한 권한 요청이 수행될 때 감사 이벤트가 생성됩니다. 성공 감사는 성공적인 시도를 기록하고 실패 감사는 실패한 시도를 기록합니다.
Event ID Event message 4672 특수 권한을 새 로그온에 할당했습니다. 4673 권한 있는 서비스를 호출했습니다. 4674 권한 있는 개체에 대한 작업을 시도했습니다. - Event volume: High.
System
시스템 보안 정책 설정 및 감사 이벤트를 사용하면 다른 범주에 포함되지 않고 보안에 영향을 미칠 수 있는 컴퓨터에 대한 시스템 수준 변경 내용을 추적할 수 있습니다. 이 범주에는 다음 하위 범주가 포함됩니다.
IPsec 드라이버 정책 감사 확장
IPsec 드라이버 감사 정책은 IPsec 드라이버의 활동에 대해 OS가 감사 이벤트를 생성할지 결정합니다. IPsec 드라이버는 활성 IPsec 정책의 IP 필터 목록을 사용하여 보안이 유지되어야 하는 아웃바운드 IP 패킷과 확인 및 암호 해독해야 하는 인바운드 IP 패킷을 감시합니다. 이 보안 정책 설정은 IPsec 드라이버의 다음 활동을 보고합니다.
IPsec 서비스의 시작 및 종료
무결성 검사 실패로 인해 패킷이 삭제되었습니다.
재생 확인 실패로 인해 패킷이 삭제되었습니다.
일반 텍스트로 인해 패킷이 삭제되었습니다.
잘못된 SPI(보안 매개 변수 인덱스)로 수신된 패킷입니다. 이는 오작동하는 하드웨어 또는 상호 운용성 문제를 나타낼 수 있습니다.
IPsec 필터를 처리하지 못했습니다.
IPsec 필터 드라이버에 의한 패킷 삭제 비율이 높으면 권한이 없는 시스템에서 네트워크에 액세스하려는 시도를 나타낼 수 있습니다. 일부 네트워크 인터페이스가 IPsec 필터에서 제공하는 보호를 받지 못할 수 있으므로 IPsec 필터를 처리하지 못하면 보안 위험이 발생할 수 있습니다.
Event ID Event message 4960 IPsec이 무결성 검사에 실패한 인바운드 패킷을 삭제했습니다. 이 문제가 지속되면 네트워크 문제를 나타내거나 패킷이 이 컴퓨터로 전송 중에 수정되고 있음을 나타낼 수 있습니다. 원격 컴퓨터에서 보낸 패킷이 이 컴퓨터가 받은 패킷과 동일한지 확인합니다. 이 오류는 다른 IPsec 구현과의 상호 운용성 문제를 나타낼 수도 있습니다. 4961 IPsec이 재생 확인에 실패한 인바운드 패킷을 삭제했습니다. 이 문제가 지속되면 이 컴퓨터에 대한 재생 공격을 나타낼 수 있습니다. 4962 IPsec이 재생 확인에 실패한 인바운드 패킷을 삭제했습니다. 인바운드 패킷의 시퀀스 번호가 너무 낮아서 재생이 아닌지 확인할 수 없습니다. 4963 IPsec이 보호되어야 하는 인바운드 일반 텍스트 패킷을 삭제했습니다. 이는 일반적으로 원격 컴퓨터가 이 컴퓨터에 알리지 않고 IPsec 정책을 변경하기 때문입니다. 이는 스푸핑 공격 시도일 수도 있습니다. 4965 IPsec이 원격 컴퓨터에서 잘못된 SPI(Security Parameter Index)가 포함된 패킷을 받았습니다. 이는 일반적으로 패킷이 손상된 하드웨어의 오작동으로 인해 발생합니다. 이 오류가 지속되면 원격 컴퓨터에서 보낸 패킷이 이 컴퓨터가 받은 패킷과 동일한지 확인합니다. 이 오류는 다른 IPsec 구현과의 상호 운용성 문제를 나타낼 수도 있습니다. 이 경우 연결이 방해되지 않으면 이 이벤트를 무시할 수 있습니다. 5478 IPsec 서비스가 성공적으로 시작되었습니다. 5479 IPsec 서비스가 성공적으로 종료되었습니다. IPsec 서비스를 종료하면 컴퓨터가 더 큰 네트워크 공격 위험에 처하거나 잠재적인 보안 위험에 노출될 수 있습니다. 5480 IPsec 서비스가 컴퓨터에서 네트워크 인터페이스의 전체 목록을 가져오지 못했습니다. 일부 네트워크 인터페이스가 적용된 IPsec 필터에서 제공하는 보호를 받지 못할 수 있으므로 이로 인해 보안 위험이 발생할 수 있습니다. IP 보안 모니터 스냅인을 사용하여 문제를 진단합니다. 5483 IPsec 서비스가 RPC 서버를 초기화하지 못했습니다. IPsec 서비스를 시작할 수 없습니다. 5484 IPsec 서비스에서 심각한 오류가 발생하여 서비스가 종료되었습니다. IPsec 서비스를 종료하면 컴퓨터가 더 큰 네트워크 공격 위험에 처하거나 잠재적인 보안 위험에 노출될 수 있습니다. 5485 IPsec 서비스가 네트워크 인터페이스에 대한 플러그 앤 플레이 이벤트에서 일부 IPsec 필터를 처리하지 못했습니다. 일부 네트워크 인터페이스가 적용된 IPsec 필터에서 제공하는 보호를 받지 못할 수 있으므로 이로 인해 보안 위험이 발생할 수 있습니다. IP 보안 모니터 스냅인을 사용하여 문제를 진단합니다. Event volume: Low.
Default: No Auditing.
다른 시스템 이벤트 감사 정책 확장
기타 시스템 이벤트 감사 정책은 OS가 다양한 시스템 이벤트를 감사하는지 여부를 결정합니다. 이 범주의 시스템 이벤트는 다음과 같습니다.
Windows 방화벽 서비스 및 드라이버의 시작 및 종료
Windows 방화벽 서비스에서 보안 정책 처리
암호화 키 파일 및 마이그레이션 작업.
Important
Windows 방화벽 서비스를 시작하지 못하면 네트워크 위협으로부터 완전히 보호되지 않는 컴퓨터가 발생할 수 있습니다.
Event ID Event message 5024 Windows 방화벽 서비스를 시작했습니다. 5025 Windows 방화벽 서비스가 중지되었습니다. 5027 Windows 방화벽 서비스가 로컬 스토리지에서 보안 정책을 검색할 수 없습니다. 서비스가 현재 정책을 계속 적용합니다. 5028 Windows 방화벽 서비스가 새 보안 정책을 구문 분석할 수 없습니다. 서비스는 현재 적용되어 있는 정책을 유지합니다. 5029 Windows 방화벽 서비스가 드라이버를 초기화하지 못했습니다. 서비스가 현재 정책을 계속 적용합니다. 5030 Windows 방화벽 서비스를 시작하지 못했습니다. 5032 Windows 방화벽이 사용자에게 애플리케이션이 네트워크에서 들어오는 연결을 수락하지 못하도록 차단했음을 알릴 수 없습니다. 5033 Windows 방화벽 드라이버가 성공적으로 시작되었습니다. 5034 Windows 방화벽 드라이버가 중지되었습니다. 5035 Windows 방화벽 드라이버를 시작하지 못했습니다. 5037 Windows 방화벽 드라이버가 심각한 런타임 오류를 탐지했습니다. Terminating. 5058 키 파일 작업 5059 키 마이그레이션 작업. 6400 BranchCache: 콘텐츠의 가용성을 검색하는 동안 형식이 잘못된 응답을 받았습니다.
이 이벤트는 지원되는 버전의 Windows OS를 실행하는 컴퓨터에만 기록됩니다.6401 BranchCache: 피어에서 잘못된 데이터를 수신했습니다. Data discarded. 1 6402 BranchCache: 데이터를 제공하는 호스트 캐시에 대한 메시지의 형식이 잘못되었습니다. 1 6403 BranchCache: 호스트된 캐시가 잘못된 형식의 응답을 클라이언트에 보냈습니다. 1 6404 BranchCache: 프로비전된 SSL 인증서를 사용하여 호스트 캐시를 인증할 수 없습니다. 1 6405 BranchCache: 이벤트 ID %1의 인스턴스가 %2번 발생했습니다. 1 6406 %1 registered to Windows Firewall to control filtering for the following: %2 1 6407 1% 1 6408 Registered product %1 failed and Windows Firewall is now controlling the filtering for %2 1 Note
1 This event is logged only on computers running supported versions of the Windows OS.
Event volume: Low.
Default: Success and Failure.
감사 보안 상태 변경 정책 확장
감사 보안 상태 변경 정책은 Windows가 시스템의 보안 상태 변경에 대한 감사 이벤트를 생성하는지 여부를 결정합니다. OS의 보안 상태 변경 내용은 다음과 같습니다.
시스템 시작 및 종료.
시스템 시간 변경.
System recovery from CrashOnAuditFail. This event is logged after a system reboots following CrashOnAuditFail. Some auditable activity might not be recorded when a system reboots due to CrashOnAuditFail.
Event ID Event message 4608 Windows가 시작됩니다. 4609 Windows를 종료하고 있습니다. 4616 시스템 시간이 변경되었습니다. 4621 관리자가 CrashOnAuditFail로부터 시스템을 복구했습니다. 이제 관리자 이외의 사용자가 로그온할 수 있습니다. 감사 가능한 일부 작업이 기록되지 않았을 수도 있습니다. Event volume: Low.
Default: Success.
감사 보안 시스템 확장 정책 확장
감사 보안 시스템 확장 정책은 OS가 보안 시스템 확장과 관련된 감사 이벤트를 생성하는지 여부를 결정합니다. OS의 보안 시스템 확장 변경 내용에는 다음 작업이 포함됩니다.
보안 확장 코드(예: 인증, 알림 또는 보안 패키지)가 로드됩니다. 보안 확장 코드는 로컬 보안 기관에 등록되며 로그온 시도를 인증하고 로그온 요청을 제출하며 계정 또는 암호 변경에 대한 알림을 받는 데 사용되고 신뢰할 수 있습니다. 이 확장 코드의 예로는 Kerberos 및 NTLM과 같은 보안 지원 공급자가 있습니다.
서비스가 설치됩니다. 서비스가 서비스 제어 관리자에 등록되면 감사 로그가 생성됩니다. 감사 로그에는 서비스 이름, 이진, 유형, 시작 유형 및 서비스 계정에 대한 정보가 포함됩니다.
Important
보안 시스템 확장 또는 서비스를 설치하거나 로드하려는 시도는 보안 위반을 나타낼 수 있는 중요한 시스템 이벤트입니다.
Event ID Event message 4610 로컬 보안 기관이 인증 패키지를 로드했습니다. 4611 신뢰할 수 있는 로그온 프로세스가 로컬 보안 기관에 등록되었습니다. 4614 보안 계정 관리자가 알림 패키지를 로드했습니다. 4622 로컬 보안 기관이 보안 패키지를 로드했습니다. 4697 시스템에 서비스가 설치되었습니다. Event volume: Low. 보안 시스템 확장 이벤트는 클라이언트 컴퓨터 또는 멤버 서버보다 도메인 컨트롤러에서 더 자주 생성됩니다.
Default: No Auditing.
감사 시스템 무결성 정책 확장
감사 시스템 무결성 정책은 OS가 보안 하위 시스템의 무결성을 위반하는 이벤트를 감사하는지 여부를 결정합니다. 보안 하위 시스템의 무결성을 위반하는 활동에는 다음이 포함됩니다.
감사된 이벤트는 감사 시스템의 오류로 인해 손실됩니다.
프로세스는 클라이언트를 가장하거나, 클라이언트 주소 공간에 회신하거나, 클라이언트 주소 공간에 읽거나, 클라이언트 주소 공간에서 쓰기 위해 잘못된 LPC(로컬 프로시저 호출) 포트를 사용합니다.
RPC 무결성 위반이 검색됩니다.
실행 파일의 잘못된 해시 값이 있는 코드 무결성 위반이 검색됩니다.
암호화 작업이 수행됩니다.
Important
보안 하위 시스템 무결성 위반은 매우 중요하며 잠재적인 보안 공격을 나타낼 수 있습니다.
Event ID Event message 4612 감사 메시지 큐에 할당된 내부 리소스가 없으므로 일부 감사 메시지가 손실됩니다. 4615 LPC 포트의 잘못된 사용. 4618 모니터링된 보안 이벤트 패턴이 발생했습니다. 4816 RPC에서 들어오는 메시지의 암호를 해독하는 동안 무결성 위반을 감지했습니다. 5038 코드 무결성을 통해 파일의 이미지 해시가 잘못되었음을 확인했습니다. 무단 수정으로 인해 파일이 손상되거나 잘못된 해시가 디스크 디바이스 오류를 나타낼 수 있습니다. 5056 암호화 자체 테스트가 수행되었습니다. 5057 암호화 기본 작업이 실패했습니다. 5060 확인 작업이 실패했습니다. 5061 Cryptographic operation. 5062 커널 모드 암호화 자체 테스트가 수행되었습니다. 6281 코드 무결성은 이미지 파일의 페이지 해시가 잘못되었음을 확인했습니다. 페이지 해시 없이 파일이 잘못 서명되거나 무단 수정으로 인해 손상될 수 있습니다. 잘못된 해시는 잠재적인 디스크 디바이스 오류를 나타낼 수 있습니다.
이 이벤트는 지원되는 버전의 Windows OS를 실행하는 컴퓨터에서만 기록됩니다.Event volume: Low.
Default: Success and Failure.
전역 개체 액세스
전역 개체 액세스 감사 정책 설정을 사용하면 관리자가 파일 시스템 또는 레지스트리의 개체 유형별로 컴퓨터 SACL을 정의할 수 있습니다. 그런 다음 지정된 SACL이 해당 형식의 모든 개체에 자동으로 적용됩니다.
감사자는 전역 개체 액세스 감사 정책 설정의 내용을 확인하여 시스템의 모든 리소스가 감사 정책에 의해 보호됨을 증명할 수 있습니다. 예를 들어 감사자가 "그룹 관리자가 수행한 모든 변경 내용 추적"이라는 정책 설정을 볼 경우 이 정책이 적용되고 있음을 알 수 있습니다.
리소스 SACL은 진단 시나리오에서도 유용합니다. 예를 들어 특정 사용자에 대한 모든 활동을 기록하도록 전역 개체 액세스 감사 정책을 설정하고 정책에서 파일 시스템 또는 레지스트리에 대한 "액세스 거부" 이벤트를 추적할 수 있도록 설정하면 관리자가 시스템에서 사용자 액세스를 거부하는 개체를 신속하게 식별할 수 있습니다.
정책의 속성 페이지에서 이 정책 설정 정의 확인란을 선택한 다음 구성을 선택하면 사용자 또는 그룹을 전역 SACL에 추가할 수 있습니다. 이렇게 하면 파일 시스템의 개체 유형별로 컴퓨터 SACL을 정의할 수 있습니다. 지정된 SACL은 모든 파일 시스템 개체 형식에 자동으로 적용됩니다.
파일 시스템 확장(전역 개체 액세스 감사) 정책
파일 시스템(전역 개체 액세스 감사) 정책을 사용하면 전체 컴퓨터에 대해 파일 시스템에서 전역 SACL을 구성할 수 있습니다.
컴퓨터에 파일 또는 폴더 SACL과 전역 SACL이 모두 구성된 경우 유효한 SACL은 파일 또는 폴더 SACL과 전역 SACL을 결합하여 파생됩니다. 즉, 작업이 파일 또는 폴더 SACL 또는 전역 SACL과 일치하는 경우 감사 이벤트가 생성됩니다.
- Event volume: Varies on the effective SACL and the level of user activity.
레지스트리 확장(전역 개체 액세스 감사) 정책
레지스트리(전역 개체 액세스 감사) 정책을 사용하면 컴퓨터 레지스트리에서 전역 SACL을 구성할 수 있습니다.
레지스트리 SACL과 전역 SACL이 모두 컴퓨터에 구성된 경우 유효한 SACL은 레지스트리 SACL과 전역 SACL을 결합하여 파생됩니다. 즉, 활동이 레지스트리 키 SACL 또는 전역 SACL과 일치할 때 감사 이벤트가 생성됩니다.
- Event volume: Varies on the effective SACL and the level of user activity.