이 문서에서는 Windows 감사 정책 설정과 워크스테이션 및 서버 모두에 대한 Microsoft의 기준 및 고급 권장 사항을 설명합니다. 관리자가 조직의 요구 사항에 따라 적절한 감사 정책을 선택하는 데 도움이 되는 지침을 제공합니다.
여기에 표시된 SCM(보안 준수 관리자) 기준 권장 사항과 시스템 손상 검색에 도움이 되는 권장 설정은 관리자에 대한 시작 기준 가이드일 뿐입니다. 각 조직은 직면한 위협, 허용되는 위험 허용 범위 및 사용하도록 설정해야 하는 감사 정책 범주 또는 하위 범주에 대해 자체적으로 결정을 내려야 합니다. 신중한 감사 정책이 없는 관리자는 여기서 권장하는 설정으로 시작한 다음 프로덕션 환경에서 구현하기 전에 수정하고 테스트하는 것이 좋습니다.
권장 사항은 Microsoft가 평균 보안 요구 사항이 있고 높은 수준의 운영 기능이 필요한 컴퓨터로 정의하는 엔터프라이즈급 컴퓨터에 대한 것입니다. 더 높은 보안 요구 사항이 필요한 엔터티는 보다 적극적인 감사 정책을 고려해야 합니다.
다음 기준 감사 정책 설정은 확인된 악의적 사용자 또는 맬웨어에 의한 활성 및 성공적인 공격을 받고 있는 것으로 알려지지 않은 일반 보안 컴퓨터에 권장됩니다.
운영 체제별 권장 시스템 감사 정책
이 섹션에는 클라이언트와 서버 모두에 대한 Windows OS(운영 체제)에 적용되는 감사 설정 권장 사항을 나열하는 테이블이 포함되어 있습니다.
시스템 감사 정책 테이블 범례
| Notation | Recommendation |
|---|---|
| Yes | 일반 시나리오에서 활성화 |
| No | 일반 시나리오에서는 사용하지 마세요. |
| If | 특정 시나리오에 필요한 경우 또는 감사가 필요한 역할 또는 기능이 컴퓨터에 설치되어 있는지 여부를 사용하도록 설정합니다. |
| DC | 도메인 컨트롤러에 허용 |
| [Blank] | No recommendation |
이러한 테이블에는 Windows 기본 설정, 기준 권장 사항 및 실행 중인 OS 플랫폼에 대한 더 강력한 권장 사항이 포함되어 있습니다.
| 감사 정책 범주 또는 하위 범주 | Windows DefaultSuccess | Failure |
Baseline RecommendationSuccess | Failure |
Stronger RecommendationSuccess | Failure |
|---|---|---|---|
| Account Logon | |||
| 자격 증명 유효성 감사 | No | No |
Yes | No |
Yes | Yes |
| Kerberos 인증 서비스 감사 | Yes | Yes |
||
| Kerberos 티켓 서비스 작업 감사 | Yes | Yes |
||
| 기타 계정 로그온 이벤트 감사 | Yes | Yes |
| 감사 정책 범주 또는 하위 범주 | Windows DefaultSuccess | Failure |
Baseline RecommendationSuccess | Failure |
Stronger RecommendationSuccess | Failure |
|---|---|---|---|
| Account Management | |||
| 애플리케이션 그룹 관리에 대한 감사 | |||
| 컴퓨터 계정 관리 감사 | Yes | No |
Yes | Yes |
|
| 배포 그룹 관리 감사 | |||
| 다른 계정 관리 이벤트 감사 | Yes | No |
Yes | Yes |
|
| 보안 그룹 관리 감사 | Yes | No |
Yes | Yes |
|
| 사용자 계정 관리 감사 | Yes | No |
Yes | No |
Yes | Yes |
| 감사 정책 범주 또는 하위 범주 | Windows DefaultSuccess | Failure |
Baseline RecommendationSuccess | Failure |
Stronger RecommendationSuccess | Failure |
|---|---|---|---|
| Detailed Tracking | |||
| DPAPI 활동 검토 | Yes | Yes |
||
| 프로세스 생성 감사 | Yes | No |
Yes | Yes |
|
| 감사 프로세스 종료 | |||
| RPC 이벤트 감사 |
| 감사 정책 범주 또는 하위 범주 | Windows DefaultSuccess | Failure |
Baseline RecommendationSuccess | Failure |
Stronger RecommendationSuccess | Failure |
|---|---|---|---|
| DS Access | |||
| 상세 디렉터리 서비스 복제 감사 | |||
| 디렉터리 서비스 접근 감사 | |||
| 디렉터리 서비스 변경 사항 감사 | |||
| 디렉터리 서비스 복제 감사 활동 |
| 감사 정책 범주 또는 하위 범주 | Windows DefaultSuccess | Failure |
Baseline RecommendationSuccess | Failure |
Stronger RecommendationSuccess | Failure |
|---|---|---|---|
| 로그온 및 로그오프 | |||
| 계정 잠금 감사 | Yes | No |
Yes | No |
|
| 사용자/디바이스 클레임 감사 | |||
| IPsec 확장 모드 감사 | |||
| IPsec 메인 모드 감사 | IF | IF |
||
| IPsec의 빠른 모드 감사 | |||
| Audit Logoff | Yes | No |
Yes | No |
Yes | No |
| Audit Logon 1 | Yes | Yes |
Yes | Yes |
Yes | Yes |
| 감사 네트워크 정책 서버 | Yes | Yes |
||
| 기타 로그온/로그오프 이벤트 감사 | |||
| 특수 감사 로그온 | Yes | No |
Yes | No |
Yes | Yes |
1 Beginning with Windows 10 version 1809, Audit Logon is enabled by default for both Success and Failure. 이전 버전의 Windows에서는 기본적으로 Success만 사용하도록 설정됩니다.
| 감사 정책 범주 또는 하위 범주 | Windows DefaultSuccess | Failure |
Baseline RecommendationSuccess | Failure |
Stronger RecommendationSuccess | Failure |
|---|---|---|---|
| Object Access | |||
| 생성된 애플리케이션의 감사 | |||
| 감사 인증 서비스 | |||
| 세부 파일 공유 감사 | |||
| 파일 공유에 대한 감사 | |||
| 감사 파일 시스템 | |||
| 필터링 플랫폼 연결 검토 | |||
| 필터링 플랫폼의 패킷 드롭 감시 | |||
| 핸들 조작 검토 | |||
| 커널 개체 감사 | |||
| 기타 개체 액세스 이벤트 감사하기 | |||
| Audit Registry | |||
| 이동식 저장 장치 감사 | |||
| Audit SAM | |||
| 중앙 액세스 정책 준비 감사 |
| 감사 정책 범주 또는 하위 범주 | Windows DefaultSuccess | Failure |
Baseline RecommendationSuccess | Failure |
Stronger RecommendationSuccess | Failure |
|---|---|---|---|
| Policy Change | |||
| 감사 정책 변경에 대한 감사 | Yes | No |
Yes | Yes |
Yes | Yes |
| 인증 정책 변경 감사 대상 | Yes | No |
Yes | No |
Yes | Yes |
| 권한 부여 정책 변경 사항 감사 | |||
| 필터링 플랫폼의 정책 변경에 대한 감사 | |||
| MPSSVC 규칙 수준의 정책 변경 감사 | Yes |
||
| 기타 정책 변경 이벤트 감사 |
| 감사 정책 범주 또는 하위 범주 | Windows DefaultSuccess | Failure |
Baseline RecommendationSuccess | Failure |
Stronger RecommendationSuccess | Failure |
|---|---|---|---|
| Privilege Use | |||
| 비민감한 권한 사용 감사 | |||
| 기타 권한 사용 이벤트 감사 | |||
| 민감한 권한 사용 감사 |
| 감사 정책 범주 또는 하위 범주 | Windows DefaultSuccess | Failure |
Baseline RecommendationSuccess | Failure |
Stronger RecommendationSuccess | Failure |
|---|---|---|---|
| System | |||
| IPsec 드라이버 감사 | Yes | Yes |
Yes | Yes |
|
| 기타 시스템 이벤트 감사 | Yes | Yes |
||
| 보안 상태 변경 감사 프로세스 | Yes | No |
Yes | Yes |
Yes | Yes |
| 보안 시스템 확장 감사 | Yes | Yes |
Yes | Yes |
|
| 시스템 무결성 감사 | Yes | Yes |
Yes | Yes |
Yes | Yes |
| 감사 정책 범주 또는 하위 범주 | Windows DefaultSuccess | Failure |
Baseline RecommendationSuccess | Failure |
Stronger RecommendationSuccess | Failure |
|---|---|---|---|
| 전역 개체 액세스 감사 | |||
| IPsec 드라이버 감사 | |||
| 기타 시스템 이벤트 감사 | |||
| 보안 상태 변경 감사 프로세스 | |||
| 보안 시스템 확장 감사 | |||
| 시스템 무결성 감사 |
워크스테이션 및 서버에서 감사 정책 설정
효과적인 이벤트 로그 관리에는 워크스테이션과 서버를 모두 모니터링해야 합니다. 악의적인 활동의 초기 징후가 워크스테이션에 자주 나타나기 때문에 서버 또는 DC(도메인 컨트롤러)에만 집중하는 것은 일반적인 감독입니다. 모니터링 전략에 워크스테이션을 포함하면 중요한 초기 손상 지표에 액세스할 수 있습니다.
프로덕션 환경에서 감사 정책을 배포하기 전에 관리자는 정책을 신중하게 검토, 테스트 및 유효성 검사하여 조직의 보안 및 운영 요구 사항을 충족하는지 확인해야 합니다.
모니터링할 이벤트
보안 경고를 생성하기 위한 완벽한 이벤트 ID에는 다음 특성이 포함되어야 합니다.
허가되지 않은 활동으로 추정되는 사건 발생 가능성이 높음
적은 수의 거짓 긍정
발생한 사건은 조사/포렌식 대응을 필요로 합니다.
다음 두 가지 유형의 이벤트를 모니터링하고 경고해야 합니다.
발생이 무단 또는 의심스러운 활동의 강력한 지표인 이벤트입니다.
예상 및 허용된 기준선을 초과하는 이벤트의 누적입니다.
첫 번째 이벤트의 예는 다음과 같습니다.
도메인 관리자가 DC가 아닌 컴퓨터에 로그인할 수 없는 경우 최종 사용자 워크스테이션에 로그온하는 도메인 관리자 구성원이 한 번 발생하면 경고를 생성하고 조사해야 합니다. 이 유형의 경고는 Audit Special Logon 이벤트 4964(특수 그룹이 새 로그온에 할당됨)를 사용하여 쉽게 생성할 수 있습니다. 단일 인스턴스 경고의 다른 예는 다음과 같습니다.
If Server A should never connect to Server B, alert when they connect to each other.
표준 사용자 계정이 예기치 않게 권한 있거나 중요한 보안 그룹에 추가되면 경고합니다.
공장 위치의 직원 A가 야간에 작동하지 않는 경우 사용자가 야간에 로그온할 때 경고합니다.
DC에 권한이 없는 서비스가 설치되어 있는지 경고합니다.
일반 최종 사용자가 SQL Server에 직접 로그인하려고 시도하는 경우 명확한 이유가 없는지 조사합니다.
도메인 관리자 그룹에 구성원이 없고 다른 사용자가 해당 그룹에 자신을 추가하는 경우 즉시 확인합니다.
두 번째 이벤트의 예는 다음과 같습니다.
많은 수의 실패한 로그온 시도가 암호 추측 공격에 신호를 보낼 수 있습니다. 이를 감지하려면 조직에서 먼저 해당 환경에서 실패한 로그온의 정상적인 비율을 결정해야 합니다. 그런 다음 해당 기준을 초과하면 경고를 트리거할 수 있습니다.
손상 징후를 모니터링할 때 포함해야 하는 이벤트의 포괄적인 목록은 부록 L: 모니터링할 이벤트를 참조하세요.
모니터링할 Active Directory 개체 및 특성
다음은 Active Directory Domain Services 설치를 손상하려는 시도를 감지하는 데 도움이 되도록 모니터링해야 하는 계정, 그룹 및 특성입니다.
바이러스 백신 및 맬웨어 방지 소프트웨어의 사용 안 함 또는 제거를 위한 시스템(수동으로 사용하지 않도록 설정된 경우 자동으로 보호 다시 시작)
무단 변경에 대한 관리자 계정
권한 있는 계정을 사용하여 수행되는 활동(의심스러운 활동이 완료되거나 할당된 시간이 만료되면 자동으로 계정 제거)
AD DS의 권한 있는 계정 및 VIP 계정 계정 탭에서 다음과 같은 특성의 변경 내용을 모니터링합니다.
cn
name
sAMAccountName
userPrincipalName
userAccountControl
계정을 모니터링하는 것 외에도 계정을 수정할 수 있는 사용자를 가능한 한 적은 수의 관리 사용자 집합으로 제한합니다. 모니터링할 권장 이벤트 목록, 중요도 등급 및 이벤트 메시지 요약은 부록 L: 모니터링할 이벤트를 참조하세요.
워크로드 분류를 통해 서버를 그룹화하여 가장 면밀하게 모니터링하고 가장 엄격하게 구성해야 하는 서버를 신속하게 식별할 수 있습니다.
다음 AD DS 그룹의 속성 및 멤버 자격 변경:
Administrators
Domain Admins
Enterprise Admins
Schema Admins
계정을 사용하도록 설정하기 위한 권한 있는 계정(예: Active Directory 및 멤버 시스템의 기본 제공 관리자 계정) 사용 안 함
계정에 대한 모든 쓰기를 기록하는 관리 계정
서버의 공격 노출 영역을 줄이기 위해 서비스, 레지스트리, 감사 및 방화벽 설정을 구성하는 기본 제공 보안 구성 마법사입니다. 관리 호스트 전략의 일부로 점프 서버를 구현하는 경우 이 마법사를 사용합니다.
AD DS 모니터링을 위한 추가 정보
AD DS 모니터링에 대한 자세한 내용은 다음 링크를 검토하십시오.
보안 이벤트 ID 권장 사항 중요도
모든 이벤트 ID 권장 사항에는 다음과 같이 중요도 등급이 함께 제공됩니다.
| Rating | Description |
|---|---|
| High | 중요도가 높은 이벤트 ID는 항상 즉시 경고를 받고 조사해야 합니다. |
| Medium | 위험 등급이 중간인 이벤트 ID는 악의적인 활동을 나타낼 수 있지만 다른 이상이 수반되어야 합니다. 예를 들어 특정 기간에 발생하는 비정상적인 숫자, 예기치 않은 발생 또는 일반적으로 이벤트를 기록할 것으로 예상되지 않는 컴퓨터의 발생이 포함될 수 있습니다. 중간 중요도 이벤트는 메트릭으로 수집된 다음 시간이 지남에 따라 비교될 수도 있습니다. |
| Low | 또한 중요도가 낮은 이벤트가 있는 이벤트 ID는 중간 또는 높은 중요도 이벤트와 상관 관계가 없는 한 주의를 끌거나 경고를 발생해서는 안 됩니다. |
이러한 권장 사항은 관리자를 위한 기준 가이드를 제공하기 위한 것입니다. 프로덕션 환경에서 구현하기 전에 모든 권장 사항을 철저히 검토해야 합니다.