파일 시스템의 감사
좋은 보안 디자인의 신조 중 하나는 보안 시스템과 같은 것이 없다는 것을 인정하는 것입니다. 개발자는 특정 사용자가 어떤 보안이 존재하는지 우회하려고 한다는 것을 알고 있습니다. 예를 들어 보안 하위 시스템을 검색하여 구멍을 찾고 악용하는 악의적인 행위자가 이러한 우회를 적극적으로 수행할 수 있습니다. 또는 실수로 중요한 데이터를 덮어쓰거나 삭제하는 경우와 같이 실수로 발생할 수 있습니다. 원인이 무엇이든 간에 이러한 위반을 감지할 수 있는 시스템을 구성해야 합니다.
Windows 내의 감사 시스템은 손상되거나 손상된 시스템의 사후 분석을 수행하기 위해 나중에 로그를 분석할 수 있도록 특정 보안 이벤트를 추적하는 메커니즘을 제공합니다. 이 감사 메커니즘은 파일 시스템이 시스템 데이터의 영구 스토리지를 유지 관리하는 역할을 하므로 파일 시스템과 밀접하게 관련됩니다. 많은 시스템의 경우 보안 요구 사항이 낮으며 이러한 경우 감사를 사용하지 않도록 설정됩니다. 이러한 두 환경의 문제를 해결할 수 있도록 파일 시스템을 구현해야 합니다.
감사의 주요 루틴은 다음과 같습니다.
시스템에서 파일 감사를 사용할 수 있는지 여부를 결정하는 SeAuditingFileEvents입니다. 이 전역 정책 검사는 전체 감사 검사를 수행해야 하는지 여부를 결정합니다. 보안 시스템 작업을 최적화하기 위해 도입되었습니다.
시스템에서 파일 또는 전역 감사를 사용할 수 있는지 여부를 결정하는 SeAuditingFileOrGlobalEvents입니다. 이 전역 정책 검사는 파일 이벤트 또는 전역 이벤트에 대해 전체 감사 검사를 수행해야 하는지 여부를 결정합니다. 보안 시스템 작업을 최적화하기 위해 도입되었습니다.
SeOpenObjectAuditAlarm - Windows 시스템에서 기본 감사 작업을 수행합니다. 개체를 열려는 시도를 감사합니다. 개체에 대한 액세스가 성공했는지 또는 실패했는지는 감사하지 않습니다.
감사에 대한 요구 사항은 없습니다. 예를 들어 FastFAT 및 CDFS 샘플 파일 시스템은 감사를 구현하지 않습니다. 그러나 보안 관점에서 감사는 관리자가 시스템의 보안 동작을 모니터링할 수 있기 때문에 중요합니다.