정책 CSP - 감사
AccountLogon_AuditCredentialValidation
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134.1039] 이상 ✅Windows 10, 버전 1809 [10.0.17763.774] 이상 ✅Windows 10 버전 1903 [10.0.18362.329] 이상 ✅Windows 10 버전 2004 [10.0.19041] 이상 |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogon_AuditCredentialValidation
이 정책 설정을 사용하면 사용자 계정 로그온 자격 증명에 대한 유효성 검사 테스트에 의해 생성된 이벤트를 감사할 수 있습니다. 이 하위 범주의 이벤트는 해당 자격 증명에 대해 신뢰할 수 있는 컴퓨터에서만 발생합니다. 도메인 계정의 경우 도메인 컨트롤러는 신뢰할 수 있습니다. 로컬 계정의 경우 로컬 컴퓨터는 신뢰할 수 있습니다.
볼륨: 도메인 컨트롤러가 높습니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 끄기/없음. |
| 1 | 성공. |
| 2 | 실패. |
| 3 | Success+Failure. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 자격 증명 유효성 검사 감사 |
| 경로 | Windows 설정 > 보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책 > 계정 로그온 |
AccountLogon_AuditKerberosAuthenticationService
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134.1039] 이상 ✅Windows 10, 버전 1809 [10.0.17763.774] 이상 ✅Windows 10 버전 1903 [10.0.18362.329] 이상 ✅Windows 10 버전 2004 [10.0.19041] 이상 |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogon_AuditKerberosAuthenticationService
이 정책 설정을 사용하면 Kerberos TGT(인증 티켓 부여 티켓) 요청에 의해 생성된 이벤트를 감사할 수 있습니다.
이 정책 설정을 구성하면 Kerberos 인증 TGT 요청 후에 감사 이벤트가 생성됩니다. 성공 감사는 성공적인 요청을 기록하고 실패 감사는 실패한 요청을 기록합니다.
이 정책 설정을 구성하지 않으면 Kerberos 인증 TGT 요청 후에 감사 이벤트가 생성되지 않습니다.
볼륨: Kerberos 키 배포 센터 서버에서 높음.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 끄기/없음. |
| 1 | 성공. |
| 2 | 실패. |
| 3 | Success+Failure. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | Kerberos 인증 서비스 감사 |
| 경로 | Windows 설정 > 보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책 > 계정 로그온 |
AccountLogon_AuditKerberosServiceTicketOperations
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134.1039] 이상 ✅Windows 10, 버전 1809 [10.0.17763.774] 이상 ✅Windows 10 버전 1903 [10.0.18362.329] 이상 ✅Windows 10 버전 2004 [10.0.19041] 이상 |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogon_AuditKerberosServiceTicketOperations
이 정책 설정을 사용하면 사용자 계정에 대해 제출된 Kerberos TGT(인증 티켓 부여 티켓) 요청에 의해 생성된 이벤트를 감사할 수 있습니다.
이 정책 설정을 구성하면 사용자 계정에 대해 Kerberos 인증 TGT가 요청된 후 감사 이벤트가 생성됩니다. 성공 감사는 성공적인 요청을 기록하고 실패 감사는 실패한 요청을 기록합니다.
이 정책 설정을 구성하지 않으면 Kerberos 인증 TGT가 사용자 계정에 대한 요청 후에 감사 이벤트가 생성되지 않습니다.
볼륨: 낮음.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 끄기/없음. |
| 1 | 성공. |
| 2 | 실패. |
| 3 | Success+Failure. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | Kerberos 서비스 티켓 작업 감사 |
| 경로 | Windows 설정 > 보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책 > 계정 로그온 |
AccountLogon_AuditOtherAccountLogonEvents
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134.1039] 이상 ✅Windows 10, 버전 1809 [10.0.17763.774] 이상 ✅Windows 10 버전 1903 [10.0.18362.329] 이상 ✅Windows 10 버전 2004 [10.0.19041] 이상 |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogon_AuditOtherAccountLogonEvents
이 정책 설정을 사용하면 자격 증명 유효성 검사 또는 Kerberos 티켓이 아닌 사용자 계정 로그온에 대해 제출된 자격 증명 요청에 대한 응답으로 생성된 이벤트를 감사할 수 있습니다. 현재 이 하위 범주에는 이벤트가 없습니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 끄기/없음. |
| 1 | 성공. |
| 2 | 실패. |
| 3 | Success+Failure. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 기타 계정 로그온 이벤트 감사 |
| 경로 | Windows 설정 > 보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책 > 계정 로그온 |
AccountLogonLogoff_AuditAccountLockout
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134.1039] 이상 ✅Windows 10, 버전 1809 [10.0.17763.774] 이상 ✅Windows 10 버전 1903 [10.0.18362.329] 이상 ✅Windows 10 버전 2004 [10.0.19041] 이상 |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditAccountLockout
이 정책 설정을 사용하면 잠긴 계정에 로그온하지 못하여 생성된 이벤트를 감사할 수 있습니다. 이 정책 설정을 구성하면 계정이 잠겼기 때문에 계정이 컴퓨터에 로그온할 수 없을 때 감사 이벤트가 생성됩니다. 성공 감사는 성공적인 시도를 기록하고 실패 감사는 실패한 시도를 기록합니다. 로그온 이벤트는 사용자 활동을 이해하고 잠재적인 공격을 감지하는 데 필수적입니다.
볼륨: 낮음.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 1 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0 | 끄기/없음. |
| 1(기본값) | 성공. |
| 2 | 실패. |
| 3 | Success+Failure. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 계정 잠금 감사 |
| 경로 | Windows 설정 > 보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책 > 로그온/로그오프 |
AccountLogonLogoff_AuditGroupMembership
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134.1039] 이상 ✅Windows 10, 버전 1809 [10.0.17763.774] 이상 ✅Windows 10 버전 1903 [10.0.18362.329] 이상 ✅Windows 10 버전 2004 [10.0.19041] 이상 |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditGroupMembership
이 정책을 사용하면 사용자의 로그온 토큰에서 그룹 멤버 자격 정보를 감사할 수 있습니다. 이 하위 범주의 이벤트는 로그온 세션이 만들어지는 컴퓨터에서 생성됩니다. 대화형 로그온의 경우 사용자가 로그온한 컴퓨터에서 보안 감사 이벤트가 생성됩니다. 네트워크의 공유 폴더 액세스와 같은 네트워크 로그온의 경우 리소스를 호스팅하는 컴퓨터에서 보안 감사 이벤트가 생성됩니다. 이 설정이 구성되면 각각의 성공적인 로그온에 대해 하나 이상의 보안 감사 이벤트가 생성됩니다. 또한 고급 감사 정책 구성\시스템 감사 정책\로그온/로그오프에서 로그온 감사 설정을 사용하도록 설정해야 합니다. 그룹 구성원 정보가 하나의 보안 감사 이벤트에 맞지 않을 경우 여러 이벤트가 생성됩니다.
볼륨: 클라이언트 컴퓨터에서 낮음. 도메인 컨트롤러 또는 네트워크 서버의 중간 수준입니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 끄기/없음. |
| 1 | 성공. |
| 2 | 실패. |
| 3 | Success+Failure. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 그룹 구성원 감사 |
| 경로 | Windows 설정 > 보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책 > 로그온/로그오프 |
AccountLogonLogoff_AuditIPsecExtendedMode
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134.1039] 이상 ✅Windows 10, 버전 1809 [10.0.17763.774] 이상 ✅Windows 10 버전 1903 [10.0.18362.329] 이상 ✅Windows 10 버전 2004 [10.0.19041] 이상 |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditIPsecExtendedMode
이 정책 설정을 사용하면 확장 모드 협상 중에 IKE(인터넷 키 교환 프로토콜) 및 인증된 인터넷 프로토콜(AuthIP)에서 생성된 이벤트를 감사할 수 있습니다.
이 정책 설정을 구성하면 IPsec 확장 모드 협상 중에 감사 이벤트가 생성됩니다. 성공 감사는 성공적인 시도를 기록하고 실패 감사는 실패한 시도를 기록합니다.
이 정책 설정을 구성하지 않으면 IPsec 확장 모드 협상 중에 감사 이벤트가 생성되지 않습니다.
볼륨: 높음.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 끄기/없음. |
| 1 | 성공. |
| 2 | 실패. |
| 3 | Success+Failure. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | IPsec 확장 모드 감사 |
| 경로 | Windows 설정 > 보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책 > 로그온/로그오프 |
AccountLogonLogoff_AuditIPsecMainMode
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134.1039] 이상 ✅Windows 10, 버전 1809 [10.0.17763.774] 이상 ✅Windows 10 버전 1903 [10.0.18362.329] 이상 ✅Windows 10 버전 2004 [10.0.19041] 이상 |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditIPsecMainMode
이 정책 설정을 사용하면 기본 모드 협상 중에 IKE(인터넷 키 교환 프로토콜) 및 인증된 인터넷 프로토콜(AuthIP)에서 생성된 이벤트를 감사할 수 있습니다.
이 정책 설정을 구성하면 IPsec 기본 모드 협상 중에 감사 이벤트가 생성됩니다. 성공 감사는 성공적인 시도를 기록하고 실패 감사는 실패한 시도를 기록합니다.
이 정책 설정을 구성하지 않으면 IPsec 기본 모드 협상 중에 감사 이벤트가 생성되지 않습니다.
볼륨: 높음.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 끄기/없음. |
| 1 | 성공. |
| 2 | 실패. |
| 3 | Success+Failure. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | IPsec 주 모드 감사 |
| 경로 | Windows 설정 > 보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책 > 로그온/로그오프 |
AccountLogonLogoff_AuditIPsecQuickMode
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134.1039] 이상 ✅Windows 10, 버전 1809 [10.0.17763.774] 이상 ✅Windows 10 버전 1903 [10.0.18362.329] 이상 ✅Windows 10 버전 2004 [10.0.19041] 이상 |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditIPsecQuickMode
이 정책 설정을 사용하면 빠른 모드 협상 중에 IKE(인터넷 키 교환 프로토콜) 및 인증된 인터넷 프로토콜(AuthIP)에서 생성된 이벤트를 감사할 수 있습니다. 이 정책 설정을 구성하면 IPsec 빠른 모드 협상 중에 감사 이벤트가 생성됩니다. 성공 감사는 성공적인 시도를 기록하고 실패 감사는 실패한 시도를 기록합니다. 이 정책 설정을 구성하지 않으면 IPsec 빠른 모드 협상 중에 감사 이벤트가 생성되지 않습니다.
볼륨: 높음.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 끄기/없음. |
| 1 | 성공. |
| 2 | 실패. |
| 3 | Success+Failure. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | IPsec 빠른 모드 감사 |
| 경로 | Windows 설정 > 보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책 > 로그온/로그오프 |
AccountLogonLogoff_AuditLogoff
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134.1039] 이상 ✅Windows 10, 버전 1809 [10.0.17763.774] 이상 ✅Windows 10 버전 1903 [10.0.18362.329] 이상 ✅Windows 10 버전 2004 [10.0.19041] 이상 |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditLogoff
이 정책 설정을 사용하면 로그온 세션이 종료될 때 생성된 이벤트를 감사할 수 있습니다. 이러한 이벤트는 액세스된 컴퓨터에서 발생합니다. 대화형 로그오프의 경우 사용자 계정이 로그온한 컴퓨터에서 보안 감사 이벤트가 생성됩니다.
이 정책 설정을 구성하면 로그온 세션이 닫혀 있을 때 감사 이벤트가 생성됩니다. 성공 감사는 세션을 닫으려는 성공적인 시도를 기록하고 실패 감사는 세션을 닫으려는 실패한 시도를 기록합니다.
이 정책 설정을 구성하지 않으면 로그온 세션이 닫혀 있을 때 감사 이벤트가 생성되지 않습니다.
볼륨: 낮음.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 1 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0 | 끄기/없음. |
| 1(기본값) | 성공. |
| 2 | 실패. |
| 3 | Success+Failure. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 로그오프 감사 |
| 경로 | Windows 설정 > 보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책 > 로그온/로그오프 |
AccountLogonLogoff_AuditLogon
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134.1039] 이상 ✅Windows 10, 버전 1809 [10.0.17763.774] 이상 ✅Windows 10 버전 1903 [10.0.18362.329] 이상 ✅Windows 10 버전 2004 [10.0.19041] 이상 |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditLogon
이 정책 설정을 사용하면 컴퓨터에서 사용자 계정 로그온 시도에 의해 생성된 이벤트를 감사할 수 있습니다. 이 하위 범주의 이벤트는 로그온 세션 생성과 관련이 있으며 액세스된 컴퓨터에서 발생합니다. 대화형 로그온의 경우 사용자 계정이 로그온한 컴퓨터에서 보안 감사 이벤트가 생성됩니다. 네트워크의 공유 폴더 액세스와 같은 네트워크 로그온의 경우 리소스를 호스팅하는 컴퓨터에서 보안 감사 이벤트가 생성됩니다. 다음 이벤트가 포함됩니다. 성공적인 로그온 시도. 로그온 시도가 실패했습니다. 명시적 자격 증명을 사용하여 로그온을 시도합니다. 이 이벤트는 프로세스에서 해당 계정의 자격 증명을 명시적으로 지정하여 계정에 로그온하려고 할 때 생성됩니다. 이는 예약된 작업과 같은 일괄 로그온 구성 또는 RUNAS 명령을 사용할 때 가장 일반적으로 발생합니다. SID(보안 식별자)가 필터링되었으며 로그온할 수 없습니다.
볼륨: 클라이언트 컴퓨터에서 낮음. 도메인 컨트롤러 또는 네트워크 서버의 중간 수준입니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 1 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0 | 끄기/없음. |
| 1(기본값) | 성공. |
| 2 | 실패. |
| 3 | Success+Failure. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 로그온 감사 |
| 경로 | Windows 설정 > 보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책 > 로그온/로그오프 |
AccountLogonLogoff_AuditNetworkPolicyServer
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134.1039] 이상 ✅Windows 10, 버전 1809 [10.0.17763.774] 이상 ✅Windows 10 버전 1903 [10.0.18362.329] 이상 ✅Windows 10 버전 2004 [10.0.19041] 이상 |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditNetworkPolicyServer
이 정책 설정을 사용하면 RADIUS(IAS) 및 NAP(네트워크 액세스 보호) 사용자 액세스 요청에 의해 생성된 이벤트를 감사할 수 있습니다. 이러한 요청은 허용, 거부, 취소, 격리, 잠금 및 잠금 해제일 수 있습니다.
이 정책 설정을 구성하면 각 IAS 및 NAP 사용자 액세스 요청에 대해 감사 이벤트가 생성됩니다. 성공 감사는 성공적인 사용자 액세스 요청을 기록하고 실패 감사는 실패한 시도를 기록합니다.
이 정책 설정을 구성하지 않으면 IAS 및 NAP 사용자 액세스 요청이 감사되지 않습니다.
볼륨: NPS 및 IAS 서버에서 중간 또는 높음. 다른 컴퓨터에 볼륨이 없습니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 3 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0 | 끄기/없음. |
| 1 | 성공. |
| 2 | 실패. |
| 3(기본값) | Success+Failure. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 네트워크 정책 서버 감사 |
| 경로 | Windows 설정 > 보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책 > 로그온/로그오프 |
AccountLogonLogoff_AuditOtherLogonLogoffEvents
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134.1039] 이상 ✅Windows 10, 버전 1809 [10.0.17763.774] 이상 ✅Windows 10 버전 1903 [10.0.18362.329] 이상 ✅Windows 10 버전 2004 [10.0.19041] 이상 |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditOtherLogonLogoffEvents
이 정책 설정을 사용하면 터미널 서비스 세션 연결 끊김과 같은 "로그온/로그오프" 정책 설정에서 다루지 않는 다른 로그온/로그오프 관련 이벤트를 감사할 수 있습니다. 새 터미널 서비스 세션. 워크스테이션 잠금 및 잠금 해제 화면 보호기를 호출합니다. 화면 보호기의 해제입니다. Kerberos 요청이 동일한 정보로 두 번 수신된 Kerberos 재생 공격 검색 이 조건은 네트워크 구성이 잘못되어 발생할 수 있습니다. 사용자 또는 컴퓨터 계정에 부여된 무선 네트워크에 대한 액세스. 사용자 또는 컴퓨터 계정에 부여된 유선 802.1x 네트워크에 액세스합니다.
볼륨: 낮음.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 끄기/없음. |
| 1 | 성공. |
| 2 | 실패. |
| 3 | Success+Failure. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 기타 로그온 로그오프 이벤트 감사 |
| 경로 | Windows 설정 > 보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책 > 로그온/로그오프 |
AccountLogonLogoff_AuditSpecialLogon
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134.1039] 이상 ✅Windows 10, 버전 1809 [10.0.17763.774] 이상 ✅Windows 10 버전 1903 [10.0.18362.329] 이상 ✅Windows 10 버전 2004 [10.0.19041] 이상 |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditSpecialLogon
이 정책 설정을 사용하면 관리자와 동등한 권한을 가지며 프로세스를 더 높은 수준으로 승격하는 데 사용할 수 있는 로그온인 특수 로그온 사용과 같은 특수 로그온에서 생성된 이벤트를 감사할 수 있습니다. 특수 그룹의 멤버가 로그온하는 입니다. 특수 그룹을 사용하면 특정 그룹의 구성원이 네트워크에 로그온할 때 생성된 이벤트를 감사할 수 있습니다. 레지스트리에서 SID(그룹 보안 식별자) 목록을 구성할 수 있습니다. 로그온하는 동안 해당 SID가 토큰에 추가되고 하위 범주를 사용하도록 설정하면 이벤트가 기록됩니다. 이 기능에 대한 자세한 내용은 Microsoft 기술 자료의 문서 947223 참조하세요.
볼륨: 낮음.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 1 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0 | 끄기/없음. |
| 1(기본값) | 성공. |
| 2 | 실패. |
| 3 | Success+Failure. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 특수 로그온 감사 |
| 경로 | Windows 설정 > 보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책 > 로그온/로그오프 |
AccountLogonLogoff_AuditUserDeviceClaims
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134.1039] 이상 ✅Windows 10, 버전 1809 [10.0.17763.774] 이상 ✅Windows 10 버전 1903 [10.0.18362.329] 이상 ✅Windows 10 버전 2004 [10.0.19041] 이상 |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditUserDeviceClaims
이 정책을 사용하면 사용자의 로그온 토큰에서 사용자 및 디바이스 클레임 정보를 감사할 수 있습니다. 이 하위 범주의 이벤트는 로그온 세션이 만들어지는 컴퓨터에서 생성됩니다. 대화형 로그온의 경우 사용자가 로그온한 컴퓨터에서 보안 감사 이벤트가 생성됩니다. 네트워크의 공유 폴더 액세스와 같은 네트워크 로그온의 경우 리소스를 호스팅하는 컴퓨터에서 보안 감사 이벤트가 생성됩니다. 클레임이 Active Directory의 사용자 계정 특성에 포함되면 사용자 클레임이 로그온 토큰에 추가됩니다. 클레임이 Active Directory의 디바이스 컴퓨터 계정 특성에 포함되면 디바이스 클레임이 로그온 토큰에 추가됩니다. 또한 도메인 및 사용자가 로그온한 컴퓨터에서 복합 ID를 사용하도록 설정해야 합니다. 이 설정이 구성되면 각각의 성공적인 로그온에 대해 하나 이상의 보안 감사 이벤트가 생성됩니다. 또한 고급 감사 정책 구성\시스템 감사 정책\로그온/로그오프에서 로그온 감사 설정을 사용하도록 설정해야 합니다. 사용자 및 디바이스 클레임 정보가 단일 보안 감사 이벤트에 맞지 않는 경우 여러 이벤트가 생성됩니다.
볼륨: 클라이언트 컴퓨터에서 낮음. 도메인 컨트롤러 또는 네트워크 서버의 중간 수준입니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 끄기/없음. |
| 1 | 성공. |
| 2 | 실패. |
| 3 | Success+Failure. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 사용자 디바이스 클레임 감사 |
| 경로 | Windows 설정 > 보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책 > 로그온/로그오프 |
AccountManagement_AuditApplicationGroupManagement
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134.1039] 이상 ✅Windows 10, 버전 1809 [10.0.17763.774] 이상 ✅Windows 10 버전 1903 [10.0.18362.329] 이상 ✅Windows 10 버전 2004 [10.0.19041] 이상 |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditApplicationGroupManagement
이 정책 설정을 사용하면 애플리케이션 그룹 만들기, 변경 또는 삭제와 같은 애플리케이션 그룹의 변경 내용에 의해 생성된 이벤트를 감사할 수 있습니다. 멤버가 애플리케이션 그룹에서 추가되거나 제거됩니다.
이 정책 설정을 구성하면 애플리케이션 그룹을 변경하려고 할 때 감사 이벤트가 생성됩니다. 성공 감사는 성공적인 시도를 기록하고 실패 감사는 실패한 시도를 기록합니다.
이 정책 설정을 구성하지 않으면 애플리케이션 그룹이 변경될 때 감사 이벤트가 생성되지 않습니다.
볼륨: 낮음.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 끄기/없음. |
| 1 | 성공. |
| 2 | 실패. |
| 3 | Success+Failure. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 응용 프로그램 그룹 관리 감사 |
| 경로 | Windows 설정 > 보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책 > 계정 관리 |
AccountManagement_AuditComputerAccountManagement
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134.1039] 이상 ✅Windows 10, 버전 1809 [10.0.17763.774] 이상 ✅Windows 10 버전 1903 [10.0.18362.329] 이상 ✅Windows 10 버전 2004 [10.0.19041] 이상 |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditComputerAccountManagement
이 정책 설정을 사용하면 컴퓨터 계정을 만들거나 변경하거나 삭제하는 경우와 같이 컴퓨터 계정의 변경 내용에 의해 생성된 이벤트를 감사할 수 있습니다.
이 정책 설정을 구성하면 컴퓨터 계정을 변경하려고 하면 감사 이벤트가 생성됩니다. 성공 감사는 성공적인 시도를 기록하고 실패 감사는 실패한 시도를 기록합니다.
이 정책 설정을 구성하지 않으면 컴퓨터 계정이 변경될 때 감사 이벤트가 생성되지 않습니다.
볼륨: 낮음.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 끄기/없음. |
| 1 | 성공. |
| 2 | 실패. |
| 3 | Success+Failure. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 컴퓨터 계정 관리 감사 |
| 경로 | Windows 설정 > 보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책 > 계정 관리 |
AccountManagement_AuditDistributionGroupManagement
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134.1039] 이상 ✅Windows 10, 버전 1809 [10.0.17763.774] 이상 ✅Windows 10 버전 1903 [10.0.18362.329] 이상 ✅Windows 10 버전 2004 [10.0.19041] 이상 |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditDistributionGroupManagement
이 정책 설정을 사용하면 메일 그룹 만들기, 변경 또는 삭제와 같은 메일 그룹의 변경 내용에 의해 생성된 이벤트를 감사할 수 있습니다. 구성원이 메일 그룹에서 추가되거나 제거됩니다. 메일 그룹 유형이 변경되었습니다.
이 정책 설정을 구성하면 배포 그룹을 변경하려고 할 때 감사 이벤트가 생성됩니다. 성공 감사는 성공적인 시도를 기록하고 실패 감사는 실패한 시도를 기록합니다.
이 정책 설정을 구성하지 않으면 메일 그룹이 변경될 때 감사 이벤트가 생성되지 않습니다.
참고
이 하위 범주의 이벤트는 도메인 컨트롤러에만 기록됩니다.
볼륨: 낮음.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 끄기/없음. |
| 1 | 성공. |
| 2 | 실패. |
| 3 | Success+Failure. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 메일 그룹 관리 감사 |
| 경로 | Windows 설정 > 보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책 > 계정 관리 |
AccountManagement_AuditOtherAccountManagementEvents
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134.1039] 이상 ✅Windows 10, 버전 1809 [10.0.17763.774] 이상 ✅Windows 10 버전 1903 [10.0.18362.329] 이상 ✅Windows 10 버전 2004 [10.0.19041] 이상 |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditOtherAccountManagementEvents
이 정책 설정을 사용하면 사용자 계정의 암호 해시에 액세스한 경우와 같이 이 범주에서 다루지 않는 다른 사용자 계정 변경 내용에 의해 생성된 이벤트를 감사할 수 있습니다. 이는 일반적으로 Active Directory 관리 도구 암호 마이그레이션 중에 발생합니다. 암호 정책 검사 API가 호출되었습니다. 이 함수에 대한 호출은 악의적인 애플리케이션이 암호 사전 공격 중 시도 횟수를 줄이기 위해 정책을 테스트할 때 공격의 일부가 될 수 있습니다. 컴퓨터 구성\Windows 설정\보안 설정\계정 정책\암호 정책 컴퓨터 구성\Windows 설정\보안 설정\계정 정책\계정 잠금 정책의 기본 도메인 그룹 정책 그룹 정책 변경합니다.
볼륨: 낮음.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 끄기/없음. |
| 1 | 성공. |
| 2 | 실패. |
| 3 | Success+Failure. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 다른 계정 관리 이벤트 감사 |
| 경로 | Windows 설정 > 보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책 > 계정 관리 |
AccountManagement_AuditSecurityGroupManagement
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134.1039] 이상 ✅Windows 10, 버전 1809 [10.0.17763.774] 이상 ✅Windows 10 버전 1903 [10.0.18362.329] 이상 ✅Windows 10 버전 2004 [10.0.19041] 이상 |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditSecurityGroupManagement
이 정책 설정을 사용하면 보안 그룹 만들기, 변경 또는 삭제와 같은 보안 그룹의 변경 내용에 의해 생성된 이벤트를 감사할 수 있습니다. 멤버가 보안 그룹에서 추가되거나 제거됩니다. 그룹 유형이 변경되었습니다.
이 정책 설정을 구성하면 보안 그룹을 변경하려고 하면 감사 이벤트가 생성됩니다. 성공 감사는 성공적인 시도를 기록하고 실패 감사는 실패한 시도를 기록합니다.
이 정책 설정을 구성하지 않으면 보안 그룹이 변경될 때 감사 이벤트가 생성되지 않습니다.
볼륨: 낮음.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 1 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0 | 끄기/없음. |
| 1(기본값) | 성공. |
| 2 | 실패. |
| 3 | Success+Failure. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 보안 그룹 관리 감사 |
| 경로 | Windows 설정 > 보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책 > 계정 관리 |
AccountManagement_AuditUserAccountManagement
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134.1039] 이상 ✅Windows 10, 버전 1809 [10.0.17763.774] 이상 ✅Windows 10 버전 1903 [10.0.18362.329] 이상 ✅Windows 10 버전 2004 [10.0.19041] 이상 |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditUserAccountManagement
이 정책 설정을 사용하면 사용자 계정에 대한 변경 내용을 감사할 수 있습니다. 이벤트에는 다음이 포함됩니다. 사용자 계정이 만들어지고, 변경되고, 삭제됩니다. 이름 바꾸기, 사용 안 함, 사용, 잠금 해제 또는 잠금 해제 사용자 계정의 암호가 설정되거나 변경됩니다. SID(보안 식별자)가 사용자 계정의 SID 기록에 추가됩니다. 디렉터리 서비스 복원 모드 암호가 구성됩니다. 관리 사용자 계정에 대한 권한이 변경됩니다. 자격 증명 관리자 자격 증명이 백업되거나 복원됩니다.
이 정책 설정을 구성하면 사용자 계정을 변경하려고 하면 감사 이벤트가 생성됩니다. 성공 감사는 성공적인 시도를 기록하고 실패 감사는 실패한 시도를 기록합니다.
이 정책 설정을 구성하지 않으면 사용자 계정이 변경될 때 감사 이벤트가 생성되지 않습니다.
볼륨: 낮음.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 1 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0 | 끄기/없음. |
| 1(기본값) | 성공. |
| 2 | 실패. |
| 3 | Success+Failure. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 사용자 계정 관리 감사 |
| 경로 | Windows 설정 > 보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책 > 계정 관리 |
DetailedTracking_AuditDPAPIActivity
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134.1039] 이상 ✅Windows 10, 버전 1809 [10.0.17763.774] 이상 ✅Windows 10 버전 1903 [10.0.18362.329] 이상 ✅Windows 10 버전 2004 [10.0.19041] 이상 |
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditDPAPIActivity
이 정책 설정을 사용하면 DPAPI(Data Protection 애플리케이션 인터페이스)에 대한 암호화 또는 암호 해독 요청이 수행될 때 생성된 이벤트를 감사할 수 있습니다. DPAPI는 저장된 암호 및 키 정보와 같은 비밀 정보를 보호하는 데 사용됩니다. DPAPI에 대한 자세한 내용은 데이터 보호를 사용하는 방법을 참조하세요.
이 정책 설정을 구성하면 DPAPI에 대한 암호화 또는 암호 해독 요청이 수행될 때 감사 이벤트가 생성됩니다. 성공 감사는 성공적인 요청을 기록하고 실패 감사는 실패한 요청을 기록합니다.
이 정책 설정을 구성하지 않으면 DPAPI에 대한 암호화 또는 암호 해독 요청이 수행될 때 감사 이벤트가 생성되지 않습니다.
볼륨: 낮음.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 끄기/없음. |
| 1 | 성공. |
| 2 | 실패. |
| 3 | Success+Failure. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | DPAPI 활동 감사 |
| 경로 | Windows 설정 > 보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책 > 세부 추적 |
DetailedTracking_AuditPNPActivity
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134.1039] 이상 ✅Windows 10, 버전 1809 [10.0.17763.774] 이상 ✅Windows 10 버전 1903 [10.0.18362.329] 이상 ✅Windows 10 버전 2004 [10.0.19041] 이상 |
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditPNPActivity
이 정책 설정을 사용하면 플러그 앤 플레이에서 외부 디바이스를 감지할 때 감사할 수 있습니다.
이 정책 설정을 구성하면 플러그 앤 플레이가 외부 디바이스를 검색할 때마다 감사 이벤트가 생성됩니다. 이 범주에 대한 성공 감사에만 기록됩니다.
이 정책 설정을 구성하지 않는 경우 플러그 앤 플레이가 외부 장치를 검색하더라도 감사 이벤트가 생성되지 않습니다.
볼륨: 낮음.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 끄기/없음. |
| 1 | 성공. |
| 2 | 실패. |
| 3 | Success+Failure. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | PNP 활동 감사 |
| 경로 | Windows 설정 > 보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책 > 세부 추적 |
DetailedTracking_AuditProcessCreation
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134.1039] 이상 ✅Windows 10, 버전 1809 [10.0.17763.774] 이상 ✅Windows 10 버전 1903 [10.0.18362.329] 이상 ✅Windows 10 버전 2004 [10.0.19041] 이상 |
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditProcessCreation
이 정책 설정을 사용하면 프로세스를 만들거나 시작할 때 생성된 이벤트를 감사할 수 있습니다. 프로세스를 만든 애플리케이션 또는 사용자의 이름도 감사됩니다.
이 정책 설정을 구성하면 프로세스가 만들어지면 감사 이벤트가 생성됩니다. 성공 감사는 성공적인 시도를 기록하고 실패 감사는 실패한 시도를 기록합니다.
이 정책 설정을 구성하지 않으면 프로세스가 만들어지면 감사 이벤트가 생성되지 않습니다.
볼륨: 컴퓨터 사용 방법에 따라 다릅니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 끄기/없음. |
| 1 | 성공. |
| 2 | 실패. |
| 3 | Success+Failure. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 프로세스 만들기 감사 |
| 경로 | Windows 설정 > 보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책 > 세부 추적 |
DetailedTracking_AuditProcessTermination
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134.1039] 이상 ✅Windows 10, 버전 1809 [10.0.17763.774] 이상 ✅Windows 10 버전 1903 [10.0.18362.329] 이상 ✅Windows 10 버전 2004 [10.0.19041] 이상 |
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditProcessTermination
이 정책 설정을 사용하면 프로세스가 종료될 때 생성된 이벤트를 감사할 수 있습니다.
이 정책 설정을 구성하면 프로세스가 종료될 때 감사 이벤트가 생성됩니다. 성공 감사는 성공적인 시도를 기록하고 실패 감사는 실패한 시도를 기록합니다.
이 정책 설정을 구성하지 않으면 프로세스가 종료될 때 감사 이벤트가 생성되지 않습니다.
볼륨: 컴퓨터 사용 방법에 따라 다릅니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 끄기/없음. |
| 1 | 성공. |
| 2 | 실패. |
| 3 | Success+Failure. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 프로세스 종료 감사 |
| 경로 | Windows 설정 > 보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책 > 세부 추적 |
DetailedTracking_AuditRPCEvents
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134.1039] 이상 ✅Windows 10, 버전 1809 [10.0.17763.774] 이상 ✅Windows 10 버전 1903 [10.0.18362.329] 이상 ✅Windows 10 버전 2004 [10.0.19041] 이상 |
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditRPCEvents
이 정책 설정을 사용하면 RPC(인바운드 원격 프로시저 호출) 연결을 감사할 수 있습니다.
이 정책 설정을 구성하면 원격 RPC 연결을 시도할 때 감사 이벤트가 생성됩니다. 성공 감사는 성공적인 시도를 기록하고 실패 감사는 실패한 시도를 기록합니다.
이 정책 설정을 구성하지 않으면 원격 RPC 연결을 시도할 때 감사 이벤트가 생성되지 않습니다.
볼륨: RPC 서버에서 높음.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 끄기/없음. |
| 1 | 성공. |
| 2 | 실패. |
| 3 | Success+Failure. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | RPC 이벤트 감사 |
| 경로 | Windows 설정 > 보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책 > 세부 추적 |
DetailedTracking_AuditTokenRightAdjusted
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134.1039] 이상 ✅Windows 10, 버전 1809 [10.0.17763.774] 이상 ✅Windows 10 버전 1903 [10.0.18362.329] 이상 ✅Windows 10 버전 2004 [10.0.19041] 이상 |
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditTokenRightAdjusted
이 정책 설정을 사용하면 토큰의 권한을 조정하여 생성된 이벤트를 감사할 수 있습니다.
볼륨: 높음.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 끄기/없음. |
| 1 | 성공. |
| 2 | 실패. |
| 3 | Success+Failure. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 감사 토큰 권한 조정 |
| 경로 | Windows 설정 > 보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책 > 세부 추적 |
DSAccess_AuditDetailedDirectoryServiceReplication
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134.1039] 이상 ✅Windows 10, 버전 1809 [10.0.17763.774] 이상 ✅Windows 10 버전 1903 [10.0.18362.329] 이상 ✅Windows 10 버전 2004 [10.0.19041] 이상 |
./Device/Vendor/MSFT/Policy/Config/Audit/DSAccess_AuditDetailedDirectoryServiceReplication
이 정책 설정을 사용하면 도메인 컨트롤러 간의 자세한 Active Directory Domain Services(AD DS) 복제로 생성된 이벤트를 감사할 수 있습니다.
볼륨: 높음.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 끄기/없음. |
| 1 | 성공. |
| 2 | 실패. |
| 3 | Success+Failure. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 세부 디렉터리 서비스 복제 감사 |
| 경로 | Windows 설정 > 보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책 > DS 액세스 |
DSAccess_AuditDirectoryServiceAccess
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134.1039] 이상 ✅Windows 10, 버전 1809 [10.0.17763.774] 이상 ✅Windows 10 버전 1903 [10.0.18362.329] 이상 ✅Windows 10 버전 2004 [10.0.19041] 이상 |
./Device/Vendor/MSFT/Policy/Config/Audit/DSAccess_AuditDirectoryServiceAccess
이 정책 설정을 사용하면 AD DS(Active Directory Domain Services) 개체에 액세스할 때 생성된 이벤트를 감사할 수 있습니다. 일치하는 SACL(시스템 액세스 제어 목록)이 있는 AD DS 개체만 기록됩니다. 이 하위 범주의 이벤트는 이전 버전의 Windows에서 사용할 수 있는 디렉터리 서비스 액세스 이벤트와 유사합니다.
볼륨: 도메인 컨트롤러가 높습니다. 클라이언트 컴퓨터에서 없음.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 끄기/없음. |
| 1 | 성공. |
| 2 | 실패. |
| 3 | Success+Failure. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 디렉터리 서비스 액세스 감사 |
| 경로 | Windows 설정 > 보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책 > DS 액세스 |
DSAccess_AuditDirectoryServiceChanges
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134.1039] 이상 ✅Windows 10, 버전 1809 [10.0.17763.774] 이상 ✅Windows 10 버전 1903 [10.0.18362.329] 이상 ✅Windows 10 버전 2004 [10.0.19041] 이상 |
./Device/Vendor/MSFT/Policy/Config/Audit/DSAccess_AuditDirectoryServiceChanges
이 정책 설정을 사용하면 Active Directory Domain Services(AD DS)의 개체에 대한 변경 내용에 의해 생성된 이벤트를 감사할 수 있습니다. 개체가 생성, 삭제, 수정, 이동 또는 삭제되지 않은 경우 이벤트가 기록됩니다. 가능하면 이 하위 범주에 기록된 이벤트는 개체 속성의 이전 값과 새 값을 나타냅니다. 이 하위 범주의 이벤트는 도메인 컨트롤러에만 기록되며 일치하는 SACL(시스템 액세스 제어 목록)이 있는 AD DS의 개체만 기록됩니다.
참고
일부 개체 및 속성에 대한 작업으로 인해 스키마의 개체 클래스에 대한 설정으로 인해 감사 이벤트가 생성되지 않습니다.
이 정책 설정을 구성하면 AD DS에서 개체를 변경하려고 할 때 감사 이벤트가 생성됩니다. 성공 감사는 성공적인 시도를 기록합니다. 그러나 실패한 시도는 기록되지 않습니다.
이 정책 설정을 구성하지 않으면 AD DS 개체에서 개체를 변경하려고 할 때 감사 이벤트가 생성되지 않습니다.
볼륨: 도메인 컨트롤러에서만 높음.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 끄기/없음. |
| 1 | 성공. |
| 2 | 실패. |
| 3 | Success+Failure. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 디렉터리 서비스 변경 감사 |
| 경로 | Windows 설정 > 보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책 > DS 액세스 |
DSAccess_AuditDirectoryServiceReplication
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134.1039] 이상 ✅Windows 10, 버전 1809 [10.0.17763.774] 이상 ✅Windows 10 버전 1903 [10.0.18362.329] 이상 ✅Windows 10 버전 2004 [10.0.19041] 이상 |
./Device/Vendor/MSFT/Policy/Config/Audit/DSAccess_AuditDirectoryServiceReplication
이 정책 설정을 사용하면 두 Active Directory Domain Services(AD DS) 도메인 컨트롤러 간의 복제를 감사할 수 있습니다.
이 정책 설정을 구성하면 AD DS 복제 중에 감사 이벤트가 생성됩니다. 성공 감사는 성공적인 복제를 기록하고 실패 감사는 실패한 복제를 기록합니다.
이 정책 설정을 구성하지 않으면 AD DS 복제 중에 감사 이벤트가 생성되지 않습니다.
볼륨: 도메인 컨트롤러의 중간 수준입니다. 클라이언트 컴퓨터에서 없음.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 끄기/없음. |
| 1 | 성공. |
| 2 | 실패. |
| 3 | Success+Failure. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 디렉터리 서비스 복제 감사 |
| 경로 | Windows 설정 > 보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책 > DS 액세스 |
ObjectAccess_AuditApplicationGenerated
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134.1039] 이상 ✅Windows 10, 버전 1809 [10.0.17763.774] 이상 ✅Windows 10 버전 1903 [10.0.18362.329] 이상 ✅Windows 10 버전 2004 [10.0.19041] 이상 |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditApplicationGenerated
이 정책 설정을 사용하면 Windows Auditing API(애플리케이션 프로그래밍 인터페이스)를 사용하여 이벤트를 생성하는 애플리케이션을 감사할 수 있습니다. Windows 감사 API를 사용하도록 설계된 애플리케이션은 이 하위 범주를 사용하여 해당 함수와 관련된 감사 이벤트를 기록합니다. 이 하위 범주의 이벤트에는 애플리케이션 클라이언트 컨텍스트 만들기가 포함됩니다. 애플리케이션 클라이언트 컨텍스트를 삭제합니다. 애플리케이션 클라이언트 컨텍스트를 초기화합니다. Windows 감사 API를 사용하는 다른 애플리케이션 작업.
볼륨: 볼륨을 생성하는 애플리케이션에 따라 달라집니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 끄기/없음. |
| 1 | 성공. |
| 2 | 실패. |
| 3 | Success+Failure. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 응용 프로그램 생성됨 감사 |
| 경로 | Windows 설정 > 보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책 > 개체 액세스 |
ObjectAccess_AuditCentralAccessPolicyStaging
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134.1039] 이상 ✅Windows 10, 버전 1809 [10.0.17763.774] 이상 ✅Windows 10 버전 1903 [10.0.18362.329] 이상 ✅Windows 10 버전 2004 [10.0.19041] 이상 |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditCentralAccessPolicyStaging
이 정책 설정을 사용하면 제안된 정책에 의해 부여되거나 거부된 권한이 개체의 현재 중앙 액세스 정책과 다른 액세스 요청을 감사할 수 있습니다. 이 정책 설정을 구성하는 경우 사용자가 개체에 액세스할 때마다 감사 이벤트가 생성되고 개체에 대한 현재 중앙 액세스 정책에서 부여한 권한은 제안된 정책에서 부여한 권한과 다릅니다. 결과 감사 이벤트는 다음과 같이 생성됩니다. 1) 성공 감사는 구성되면 현재 중앙 액세스 정책이 액세스 권한을 부여하지만 제안된 정책이 액세스를 거부할 때 액세스 시도를 기록합니다. 2) 구성된 경우 실패 감사는 액세스 시도를 기록합니다. a) 현재 중앙 액세스 정책은 액세스 권한을 부여하지 않지만 제안된 정책은 액세스 권한을 부여합니다. b) 보안 주체가 허용되는 최대 액세스 권한을 요청하고 현재 중앙 액세스 정책에서 부여한 액세스 권한은 제안된 정책에서 부여한 액세스 권한과 다릅니다. 볼륨: 제안된 정책이 현재 중앙 액세스 정책과 크게 다른 경우 파일 서버에서 잠재적으로 높습니다.
볼륨: 제안된 정책이 현재 중앙 액세스 정책과 크게 다른 경우 파일 서버에서 잠재적으로 높습니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 끄기/없음. |
| 1 | 성공. |
| 2 | 실패. |
| 3 | Success+Failure. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 중앙 액세스 정책 준비 감사 |
| 경로 | Windows 설정 > 보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책 > 개체 액세스 |
ObjectAccess_AuditCertificationServices
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134.1039] 이상 ✅Windows 10, 버전 1809 [10.0.17763.774] 이상 ✅Windows 10 버전 1903 [10.0.18362.329] 이상 ✅Windows 10 버전 2004 [10.0.19041] 이상 |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditCertificationServices
이 정책 설정을 사용하면 AD CS(Active Directory Certificate Services) 작업을 감사할 수 있습니다. AD CS 작업에는 AD CS 시작/종료/백업/복원이 포함됩니다. CRL(인증서 해지 목록)을 변경합니다. 새 인증서 요청. 인증서 발급. 인증서 해지. AD CS에 대한 인증서 관리자 설정을 변경합니다. AD CS의 구성이 변경되었습니다. 인증서 서비스 템플릿을 변경합니다. 인증서 가져오기. 인증 기관 인증서 게시는 Active Directory Domain Services. AD CS에 대한 보안 권한 변경 키 보관. 키 가져오기. 키 검색. OCSP(온라인 인증서 상태 프로토콜) 응답기 서비스 시작 OCSP(온라인 인증서 상태 프로토콜) 응답기 서비스 중지.
볼륨: Active Directory 인증서 서비스를 실행하는 컴퓨터에서 중간 또는 낮음.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 끄기/없음. |
| 1 | 성공. |
| 2 | 실패. |
| 3 | Success+Failure. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 인증 서비스 감사 |
| 경로 | Windows 설정 > 보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책 > 개체 액세스 |
ObjectAccess_AuditDetailedFileShare
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134.1039] 이상 ✅Windows 10, 버전 1809 [10.0.17763.774] 이상 ✅Windows 10 버전 1903 [10.0.18362.329] 이상 ✅Windows 10 버전 2004 [10.0.19041] 이상 |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditDetailedFileShare
이 정책 설정을 사용하면 공유 폴더의 파일 및 폴더에 액세스하려는 시도를 감사할 수 있습니다. 자세한 파일 공유 설정은 파일 또는 폴더에 액세스할 때마다 이벤트를 기록하는 반면 파일 공유 설정은 클라이언트와 파일 공유 간에 설정된 연결에 대해 하나의 이벤트만 기록합니다. 자세한 파일 공유 감사 이벤트에는 액세스 권한을 부여하거나 거부하는 데 사용되는 권한 또는 기타 조건에 대한 자세한 정보가 포함됩니다.
- 이 정책 설정을 구성하면 공유의 파일 또는 폴더에 액세스하려고 할 때 감사 이벤트가 생성됩니다. 관리자는 성공만 감사할지, 실패만 감사할지, 아니면 성공과 실패를 모두 감사할지를 지정할 수 있습니다.
참고
공유 폴더에 대한 SACL(시스템 액세스 제어 목록)이 없습니다.
- 이 정책 설정을 사용하도록 설정하면 시스템의 모든 공유 파일 및 폴더에 대한 액세스가 감사됩니다.
볼륨: 그룹 정책 필요한 SYSVOL 네트워크 액세스로 인해 파일 서버 또는 도메인 컨트롤러에서 높은 수준입니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 끄기/없음. |
| 1 | 성공. |
| 2 | 실패. |
| 3 | Success+Failure. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 세부 파일 공유 감사 |
| 경로 | Windows 설정 > 보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책 > 개체 액세스 |
ObjectAccess_AuditFileShare
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134.1039] 이상 ✅Windows 10, 버전 1809 [10.0.17763.774] 이상 ✅Windows 10 버전 1903 [10.0.18362.329] 이상 ✅Windows 10 버전 2004 [10.0.19041] 이상 |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditFileShare
이 정책 설정을 사용하면 공유 폴더에 액세스하려는 시도를 감사할 수 있습니다.
이 정책 설정을 구성하면 공유 폴더에 액세스하려고 할 때 감사 이벤트가 생성됩니다.
이 정책 설정이 정의된 경우 관리자는 성공만 감사할지, 실패만 감사할지, 성공 및 실패를 둘 다 감사할지를 지정할 수 있습니다.
참고
공유 폴더에 대한 SACL(시스템 액세스 제어 목록)이 없습니다.
- 이 정책 설정을 사용하도록 설정하면 시스템의 모든 공유 폴더에 대한 액세스가 감사됩니다.
볼륨: 그룹 정책 필요한 SYSVOL 네트워크 액세스로 인해 파일 서버 또는 도메인 컨트롤러에서 높은 수준입니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 끄기/없음. |
| 1 | 성공. |
| 2 | 실패. |
| 3 | Success+Failure. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 파일 공유 감사 |
| 경로 | Windows 설정 > 보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책 > 개체 액세스 |
ObjectAccess_AuditFileSystem
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134.1039] 이상 ✅Windows 10, 버전 1809 [10.0.17763.774] 이상 ✅Windows 10 버전 1903 [10.0.18362.329] 이상 ✅Windows 10 버전 2004 [10.0.19041] 이상 |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditFileSystem
이 정책 설정을 사용하면 파일 시스템 개체에 액세스하려는 사용자의 시도를 감사할 수 있습니다. 보안 감사 이벤트는 SACL(시스템 액세스 제어 목록)이 지정된 개체에 대해서만 생성되며, 요청된 액세스 유형(예: 쓰기, 읽기 또는 수정)과 요청을 만드는 계정이 SACL의 설정과 일치하는 경우에만 생성됩니다. 개체 액세스 감사를 사용하도록 설정하는 방법에 대한 자세한 내용은 을 참조하세요<https://go.microsoft.com/fwlink/?LinkId=122083>.
이 정책 설정을 구성하는 경우 계정이 일치하는 SACL을 사용하여 파일 시스템 개체에 액세스할 때마다 감사 이벤트가 생성됩니다. 성공 감사는 성공적인 시도를 기록하고 실패 감사는 실패한 시도를 기록합니다.
이 정책 설정을 구성하지 않으면 계정이 일치하는 SACL을 사용하여 파일 시스템 개체에 액세스할 때 감사 이벤트가 생성되지 않습니다.
참고
해당 개체의 속성 대화 상자에서 보안 탭을 사용하여 파일 시스템 개체에 SACL을 설정할 수 있습니다.
볼륨: 파일 시스템 SACL을 구성하는 방법에 따라 달라집니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 끄기/없음. |
| 1 | 성공. |
| 2 | 실패. |
| 3 | Success+Failure. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 파일 시스템 감사 |
| 경로 | Windows 설정 > 보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책 > 개체 액세스 |
ObjectAccess_AuditFilteringPlatformConnection
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134.1039] 이상 ✅Windows 10, 버전 1809 [10.0.17763.774] 이상 ✅Windows 10 버전 1903 [10.0.18362.329] 이상 ✅Windows 10 버전 2004 [10.0.19041] 이상 |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditFilteringPlatformConnection
이 정책 설정을 사용하면 WFP(Windows 필터링 플랫폼)에서 허용되거나 차단된 연결을 감사할 수 있습니다. 다음 이벤트가 포함됩니다. Windows 방화벽 서비스는 애플리케이션이 네트워크에서 들어오는 연결을 수락하지 못하도록 차단합니다. WFP는 연결을 허용합니다. WFP는 연결을 차단합니다. WFP는 로컬 포트에 대한 바인딩을 허용합니다. WFP는 로컬 포트에 대한 바인딩을 차단합니다. WFP는 연결을 허용합니다. WFP는 연결을 차단합니다. WFP를 사용하면 애플리케이션 또는 서비스가 들어오는 연결을 위해 포트에서 수신 대기할 수 있습니다. WFP는 들어오는 연결을 위해 포트에서 수신 대기하도록 애플리케이션 또는 서비스를 차단합니다.
이 정책 설정을 구성하면 WFP에 의해 연결이 허용되거나 차단될 때 감사 이벤트가 생성됩니다. 성공 감사는 연결이 허용될 때 생성된 레코드 이벤트를 감사하고 연결이 차단될 때 생성된 레코드 이벤트를 감사합니다.
이 정책 설정을 구성하지 않으면 WFP에 의해 연결되거나 차단될 때 감사 이벤트가 생성되지 않습니다.
볼륨: 높음.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 끄기/없음. |
| 1 | 성공. |
| 2 | 실패. |
| 3 | Success+Failure. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 필터링 플랫폼 연결 감사 |
| 경로 | Windows 설정 > 보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책 > 개체 액세스 |
ObjectAccess_AuditFilteringPlatformPacketDrop
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134.1039] 이상 ✅Windows 10, 버전 1809 [10.0.17763.774] 이상 ✅Windows 10 버전 1903 [10.0.18362.329] 이상 ✅Windows 10 버전 2004 [10.0.19041] 이상 |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditFilteringPlatformPacketDrop
이 정책 설정을 사용하면 WFP(Windows 필터링 플랫폼)에서 삭제된 패킷을 감사할 수 있습니다.
볼륨: 높음.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 끄기/없음. |
| 1 | 성공. |
| 2 | 실패. |
| 3 | Success+Failure. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 필터링 플랫폼 패킷 삭제 감사 |
| 경로 | Windows 설정 > 보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책 > 개체 액세스 |
ObjectAccess_AuditHandleManipulation
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134.1039] 이상 ✅Windows 10, 버전 1809 [10.0.17763.774] 이상 ✅Windows 10 버전 1903 [10.0.18362.329] 이상 ✅Windows 10 버전 2004 [10.0.19041] 이상 |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditHandleManipulation
이 정책 설정을 사용하면 개체에 대한 핸들을 열거나 닫을 때 생성된 이벤트를 감사할 수 있습니다. 일치하는 SACL(시스템 액세스 제어 목록)이 있는 개체만 보안 감사 이벤트를 생성합니다.
이 정책 설정을 구성하면 핸들이 조작될 때 감사 이벤트가 생성됩니다. 성공 감사는 성공적인 시도를 기록하고 실패 감사는 실패한 시도를 기록합니다.
이 정책 설정을 구성하지 않으면 핸들을 조작할 때 감사 이벤트가 생성되지 않습니다.
참고
이 하위 범주의 이벤트는 해당 개체 액세스 하위 범주가 사용하도록 설정된 개체 형식에 대해서만 이벤트를 생성합니다. 예를 들어 파일 시스템 개체 액세스를 사용하도록 설정하면 조작 보안 감사 이벤트가 생성됩니다. Registry 개체 액세스를 사용하도록 설정하지 않으면 조작 보안 감사 이벤트 처리가 생성되지 않습니다.
볼륨: SACL을 구성하는 방법에 따라 달라집니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 끄기/없음. |
| 1 | 성공. |
| 2 | 실패. |
| 3 | Success+Failure. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 핸들 조작 감사 |
| 경로 | Windows 설정 > 보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책 > 개체 액세스 |
ObjectAccess_AuditKernelObject
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134.1039] 이상 ✅Windows 10, 버전 1809 [10.0.17763.774] 이상 ✅Windows 10 버전 1903 [10.0.18362.329] 이상 ✅Windows 10 버전 2004 [10.0.19041] 이상 |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditKernelObject
이 정책 설정을 사용하면 뮤텍스 및 세마포를 포함하는 커널에 액세스하려는 시도를 감사할 수 있습니다. SACL(시스템 액세스 제어 목록)과 일치하는 커널 개체만 보안 감사 이벤트를 생성합니다.
참고
감사: 전역 시스템 개체의 액세스 감사 정책 설정은 커널 개체의 기본 SACL을 제어합니다.
볼륨: 전역 시스템 개체에 대한 감사 액세스를 사용하도록 설정된 경우 높음.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 끄기/없음. |
| 1 | 성공. |
| 2 | 실패. |
| 3 | Success+Failure. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 커널 개체 감사 |
| 경로 | Windows 설정 > 보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책 > 개체 액세스 |
ObjectAccess_AuditOtherObjectAccessEvents
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134.1039] 이상 ✅Windows 10, 버전 1809 [10.0.17763.774] 이상 ✅Windows 10 버전 1903 [10.0.18362.329] 이상 ✅Windows 10 버전 2004 [10.0.19041] 이상 |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditOtherObjectAccessEvents
이 정책 설정을 사용하면 작업 스케줄러 작업 또는 COM+ 개체의 관리에 의해 생성된 이벤트를 감사할 수 있습니다. 스케줄러 작업의 경우 다음이 감사됩니다. 작업이 생성됩니다. 작업이 삭제되었습니다. 작업을 사용하도록 설정했습니다. 작업을 사용할 수 없습니다. 작업이 업데이트되었습니다. COM+ 개체의 경우 다음이 감사됩니다. Catalog 개체가 추가되었습니다. 카탈로그 개체가 업데이트되었습니다. 카탈로그 개체가 삭제되었습니다.
볼륨: 낮음.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 끄기/없음. |
| 1 | 성공. |
| 2 | 실패. |
| 3 | Success+Failure. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 기타 개체 액세스 이벤트 감사 |
| 경로 | Windows 설정 > 보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책 > 개체 액세스 |
ObjectAccess_AuditRegistry
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134.1039] 이상 ✅Windows 10, 버전 1809 [10.0.17763.774] 이상 ✅Windows 10 버전 1903 [10.0.18362.329] 이상 ✅Windows 10 버전 2004 [10.0.19041] 이상 |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditRegistry
이 정책 설정을 사용하면 레지스트리 개체에 액세스하려는 시도를 감사할 수 있습니다. 보안 감사 이벤트는 SACL(시스템 액세스 제어 목록)이 지정된 개체에 대해서만 생성되며, 요청된 액세스 유형(예: 읽기, 쓰기 또는 수정)과 요청을 만드는 계정이 SACL의 설정과 일치하는 경우에만 생성됩니다.
이 정책 설정을 구성하면 계정이 일치하는 SACL을 사용하여 레지스트리 개체에 액세스할 때마다 감사 이벤트가 생성됩니다. 성공 감사는 성공적인 시도를 기록하고 실패 감사는 실패한 시도를 기록합니다.
이 정책 설정을 구성하지 않으면 계정이 일치하는 SACL을 사용하여 레지스트리 개체에 액세스할 때 감사 이벤트가 생성되지 않습니다.
참고
사용 권한 대화 상자를 사용하여 레지스트리 개체에 SACL을 설정할 수 있습니다.
볼륨: 레지스트리 SACL을 구성하는 방법에 따라 달라집니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 끄기/없음. |
| 1 | 성공. |
| 2 | 실패. |
| 3 | Success+Failure. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 레지스트리 감사 |
| 경로 | Windows 설정 > 보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책 > 개체 액세스 |
ObjectAccess_AuditRemovableStorage
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134.1039] 이상 ✅Windows 10, 버전 1809 [10.0.17763.774] 이상 ✅Windows 10 버전 1903 [10.0.18362.329] 이상 ✅Windows 10 버전 2004 [10.0.19041] 이상 |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditRemovableStorage
이 정책 설정을 사용하면 사용자가 이동식 스토리지 디바이스의 파일 시스템 개체에 액세스하려는 시도를 감사할 수 있습니다. 보안 감사 이벤트는 요청된 모든 유형의 액세스에 대한 모든 개체에 대해서만 생성됩니다.
이 정책 설정을 구성하는 경우 계정이 이동식 스토리지의 파일 시스템 개체에 액세스할 때마다 감사 이벤트가 생성됩니다. 성공 감사는 성공적인 시도를 기록하고 실패 감사는 실패한 시도를 기록합니다.
이 정책 설정을 구성하지 않으면 계정이 이동식 스토리지의 파일 시스템 개체에 액세스할 때 감사 이벤트가 생성되지 않습니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 끄기/없음. |
| 1 | 성공. |
| 2 | 실패. |
| 3 | Success+Failure. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 이동식 저장소 감사 |
| 경로 | Windows 설정 > 보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책 > 개체 액세스 |
ObjectAccess_AuditSAM
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134.1039] 이상 ✅Windows 10, 버전 1809 [10.0.17763.774] 이상 ✅Windows 10 버전 1903 [10.0.18362.329] 이상 ✅Windows 10 버전 2004 [10.0.19041] 이상 |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditSAM
이 정책 설정을 사용하면 SAM(Security Accounts Manager) 개체에 액세스하려고 시도하여 생성된 이벤트를 감사할 수 있습니다. SAM 개체에는 SAM_ALIAS -- 로컬 그룹이 포함되었습니다. SAM_GROUP -- 로컬 그룹이 아닌 그룹입니다. SAM_USER - 사용자 계정입니다. SAM_DOMAIN - 도메인입니다. SAM_SERVER - 컴퓨터 계정입니다.
이 정책 설정을 구성하면 커널 개체에 액세스하려고 할 때 감사 이벤트가 생성됩니다. 성공 감사는 성공적인 시도를 기록하고 실패 감사는 실패한 시도를 기록합니다.
이 정책 설정을 구성하지 않으면 커널 개체에 액세스하려고 할 때 감사 이벤트가 생성되지 않습니다.
참고
SAM_SERVER 대한 SACL(시스템 Access Control 목록)만 수정할 수 있습니다. 볼륨: 도메인 컨트롤러가 높습니다.
볼륨: 도메인 컨트롤러가 높습니다. 전역 시스템 개체의 액세스를 감사하여 생성된 이벤트 수를 줄이는 방법에 대한 자세한 내용은 전역 시스템 개체의 액세스 감사를 참조하세요.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 끄기/없음. |
| 1 | 성공. |
| 2 | 실패. |
| 3 | Success+Failure. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | SAM 감사 |
| 경로 | Windows 설정 > 보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책 > 개체 액세스 |
PolicyChange_AuditAuthenticationPolicyChange
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134.1039] 이상 ✅Windows 10, 버전 1809 [10.0.17763.774] 이상 ✅Windows 10 버전 1903 [10.0.18362.329] 이상 ✅Windows 10 버전 2004 [10.0.19041] 이상 |
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditAuthenticationPolicyChange
이 정책 설정을 사용하면 포리스트 및 도메인 트러스트 만들기와 같은 인증 정책의 변경 내용에 의해 생성된 이벤트를 감사할 수 있습니다. 포리스트 및 도메인 트러스트 수정. 포리스트 및 도메인 트러스트 제거. 컴퓨터 구성\Windows 설정\보안 설정\계정 정책\Kerberos 정책에서 Kerberos 정책을 변경합니다. 사용자 또는 그룹에 다음 사용자 권한 부여: 네트워크에서 이 컴퓨터에 액세스합니다. 로컬로 로그온 허용. 터미널 서비스를 통해 로그온 허용. Batch 작업으로 로그온합니다. 서비스 로그온. 네임스페이스 충돌. 예를 들어 새 트러스트의 이름이 기존 네임스페이스 이름과 같은 경우입니다.
이 정책 설정을 구성하면 인증 정책을 변경하려고 할 때 감사 이벤트가 생성됩니다. 성공 감사는 성공적인 시도를 기록하고 실패 감사는 실패한 시도를 기록합니다.
이 정책 설정을 구성하지 않으면 인증 정책이 변경될 때 감사 이벤트가 생성되지 않습니다.
참고
보안 감사 이벤트는 그룹 정책이 적용될 때 기록됩니다. 설정이 수정되는 시점에는 발생하지 않습니다.
볼륨: 낮음.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 1 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0 | 끄기/없음. |
| 1(기본값) | 성공. |
| 2 | 실패. |
| 3 | Success+Failure. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 인증 정책 변경 감사 |
| 경로 | Windows 설정 > 보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책 > 정책 변경 |
PolicyChange_AuditAuthorizationPolicyChange
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134.1039] 이상 ✅Windows 10, 버전 1809 [10.0.17763.774] 이상 ✅Windows 10 버전 1903 [10.0.18362.329] 이상 ✅Windows 10 버전 2004 [10.0.19041] 이상 |
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditAuthorizationPolicyChange
이 정책 설정을 사용하면 "인증 정책 변경" 하위 범주를 통해 감사되지 않는 SeCreateTokenPrivilege와 같은 사용자 권한 할당(권한)과 같은 권한 부여 정책 변경으로 생성된 이벤트를 감사할 수 있습니다. "인증 정책 변경" 하위 범주를 통해 감사되지 않는 SeCreateTokenPrivilege와 같은 사용자 권한(권한)을 제거합니다. EFS(암호화된 파일 시스템) 정책의 변경 내용. 개체의 리소스 특성을 변경합니다. 개체에 적용된 CAP(중앙 액세스 정책)의 변경 내용입니다.
이 정책 설정을 구성하면 권한 부여 정책을 변경하려는 시도가 수행될 때 감사 이벤트가 생성됩니다. 성공 감사는 성공적인 시도를 기록하고 실패 감사는 실패한 시도를 기록합니다.
이 정책 설정을 구성하지 않으면 권한 부여 정책이 변경될 때 감사 이벤트가 생성되지 않습니다.
볼륨: 낮음.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 끄기/없음. |
| 1 | 성공. |
| 2 | 실패. |
| 3 | Success+Failure. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 권한 부여 정책 변경 감사 |
| 경로 | Windows 설정 > 보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책 > 정책 변경 |
PolicyChange_AuditFilteringPlatformPolicyChange
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134.1039] 이상 ✅Windows 10, 버전 1809 [10.0.17763.774] 이상 ✅Windows 10 버전 1903 [10.0.18362.329] 이상 ✅Windows 10 버전 2004 [10.0.19041] 이상 |
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditFilteringPlatformPolicyChange
이 정책 설정을 사용하면 IPsec 서비스 상태 같은 WFP(Windows 필터링 플랫폼)의 변경 내용에 의해 생성된 이벤트를 감사할 수 있습니다. IPsec 정책 설정에 대한 변경 내용입니다. Windows 방화벽 정책 설정이 변경되었습니다. WFP 공급자 및 엔진에 대한 변경 내용
이 정책 설정을 구성하면 WFP에 대한 변경이 시도될 때 감사 이벤트가 생성됩니다. 성공 감사는 성공적인 시도를 기록하고 실패 감사는 실패한 시도를 기록합니다.
이 정책 설정을 구성하지 않으면 WFP에 대한 변경이 발생할 때 감사 이벤트가 생성되지 않습니다.
볼륨: 낮음.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 끄기/없음. |
| 1 | 성공. |
| 2 | 실패. |
| 3 | Success+Failure. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 필터링 플랫폼 정책 변경 감사 |
| 경로 | Windows 설정 > 보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책 > 정책 변경 |
PolicyChange_AuditMPSSVCRuleLevelPolicyChange
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134.1039] 이상 ✅Windows 10, 버전 1809 [10.0.17763.774] 이상 ✅Windows 10 버전 1903 [10.0.18362.329] 이상 ✅Windows 10 버전 2004 [10.0.19041] 이상 |
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditMPSSVCRuleLevelPolicyChange
이 정책 설정을 사용하면 MPSSVC(Microsoft Protection Service)에서 사용하는 정책 규칙의 변경 내용에 의해 생성된 이벤트를 감사할 수 있습니다. 이 서비스는 Windows 방화벽에서 사용됩니다. 이벤트에는 Windows 방화벽 서비스가 시작될 때 활성 정책 보고가 포함됩니다. Windows 방화벽 규칙 변경. Windows 방화벽 예외 목록의 변경 내용입니다. Windows 방화벽 설정 변경. Windows 방화벽 서비스에서 무시되거나 적용되지 않는 규칙입니다. Windows 방화벽 그룹 정책 설정을 변경합니다.
이 정책 설정을 구성하면 MPSSVC에서 사용하는 정책 규칙을 변경하려고 시도하여 감사 이벤트가 생성됩니다. 성공 감사는 성공적인 시도를 기록하고 실패 감사는 실패한 시도를 기록합니다.
이 정책 설정을 구성하지 않으면 MPSSVC에서 사용하는 정책 규칙의 변경으로 인해 감사 이벤트가 생성되지 않습니다.
볼륨: 낮음.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 끄기/없음. |
| 1 | 성공. |
| 2 | 실패. |
| 3 | Success+Failure. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | MPSSVC 규칙 수준 정책 변경 감사 |
| 경로 | Windows 설정 > 보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책 > 정책 변경 |
PolicyChange_AuditOtherPolicyChangeEvents
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134.1039] 이상 ✅Windows 10, 버전 1809 [10.0.17763.774] 이상 ✅Windows 10 버전 1903 [10.0.18362.329] 이상 ✅Windows 10 버전 2004 [10.0.19041] 이상 |
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditOtherPolicyChangeEvents
이 정책 설정을 사용하면 TPM(신뢰할 수 있는 플랫폼 모듈) 구성 변경과 같이 정책 변경 범주에서 감사되지 않는 다른 보안 정책 변경 내용에 의해 생성된 이벤트를 감사할 수 있습니다. 커널 모드 암호화 자체 테스트. 암호화 공급자 작업. 암호화 컨텍스트 작업 또는 수정. 적용된 CAP(중앙 액세스 정책) 변경 내용. BCD(부팅 구성 데이터) 수정.
볼륨: 낮음.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 끄기/없음. |
| 1 | 성공. |
| 2 | 실패. |
| 3 | Success+Failure. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 기타 정책 변경 이벤트 감사 |
| 경로 | Windows 설정 > 보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책 > 정책 변경 |
PolicyChange_AuditPolicyChange
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134.1039] 이상 ✅Windows 10, 버전 1809 [10.0.17763.774] 이상 ✅Windows 10 버전 1903 [10.0.18362.329] 이상 ✅Windows 10 버전 2004 [10.0.19041] 이상 |
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditPolicyChange
이 정책 설정을 사용하면 감사 정책 개체의 설정 권한 및 감사 설정과 같은 보안 감사 정책 설정의 변경 내용을 감사할 수 있습니다. 시스템 감사 정책을 변경합니다. 보안 이벤트 원본 등록 보안 이벤트 원본의 등록을 취소합니다. 사용자별 감사 설정을 변경합니다. CrashOnAuditFail 값이 변경됩니다. 파일 시스템 또는 레지스트리 개체의 시스템 액세스 제어 목록을 변경합니다. 특수 그룹 목록의 변경 내용입니다.
참고
SACL(시스템 액세스 제어 목록) 변경 감사는 개체에 대한 SACL이 변경되고 정책 변경 범주가 사용하도록 설정된 경우 수행됩니다. DACL(임의 액세스 제어 목록) 및 소유권 변경은 개체 액세스 감사를 사용하도록 설정하고 개체의 SACL이 DACL/소유자 변경 감사를 위해 구성된 경우 감사됩니다.
볼륨: 낮음.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 1 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0 | 끄기/없음. |
| 1(기본값) | 성공. |
| 2 | 실패. |
| 3 | Success+Failure. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 감사 정책 변경 |
| 경로 | Windows 설정 > 보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책 > 정책 변경 |
PrivilegeUse_AuditNonSensitivePrivilegeUse
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134.1039] 이상 ✅Windows 10, 버전 1809 [10.0.17763.774] 이상 ✅Windows 10 버전 1903 [10.0.18362.329] 이상 ✅Windows 10 버전 2004 [10.0.19041] 이상 |
./Device/Vendor/MSFT/Policy/Config/Audit/PrivilegeUse_AuditNonSensitivePrivilegeUse
이 정책 설정을 사용하면 중요하지 않은 권한(사용자 권한)을 사용하여 생성된 이벤트를 감사할 수 있습니다. 다음 권한은 중요하지 않습니다. 신뢰할 수 있는 호출자로 자격 증명 관리자에 액세스합니다. 네트워크에서 이 컴퓨터에 액세스합니다. 도메인에 워크스테이션을 추가합니다. 프로세스에 대한 메모리 할당량을 조정합니다. 로컬로 로그온을 허용합니다. 터미널 서비스를 통해 로그온을 허용합니다. 트래버스 검사를 무시합니다. 시스템 시간을 변경합니다. 페이지 파일을 만듭니다. 전역 개체를 만듭니다. 영구 공유 개체를 만듭니다. 기호 링크를 만듭니다. 네트워크에서 이 컴퓨터에 대한 액세스를 거부합니다. 일괄 처리 작업으로 로그온을 거부합니다. 서비스로 로그온을 거부합니다. 로컬로 로그온을 거부합니다. 터미널 서비스를 통해 로그온을 거부합니다. 원격 시스템에서 강제 종료. 프로세스 작업 집합을 늘입니다. 예약 우선 순위를 높입니다. 메모리에서 페이지를 잠급 수 있습니다. 일괄 작업으로 로그온합니다. 서비스로 로그온합니다. 개체 레이블을 수정합니다. 볼륨 유지 관리 작업을 수행합니다. 프로필 단일 프로세스입니다. 프로필 시스템 성능. 도킹 스테이션에서 컴퓨터를 제거합니다. 시스템을 종료합니다. 디렉터리 서비스 데이터를 동기화합니다.
이 정책 설정을 구성하면 중요하지 않은 권한이 호출될 때 감사 이벤트가 생성됩니다. 성공 감사는 성공적인 호출을 기록하고 실패 감사는 실패한 호출을 기록합니다.
이 정책 설정을 구성하지 않으면 중요하지 않은 권한이 호출될 때 감사 이벤트가 생성되지 않습니다.
볼륨: 매우 높습니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 끄기/없음. |
| 1 | 성공. |
| 2 | 실패. |
| 3 | Success+Failure. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 중요하지 않은 권한 사용 감사 |
| 경로 | Windows 설정 > 보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책 > 권한 사용 |
PrivilegeUse_AuditOtherPrivilegeUseEvents
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134.1039] 이상 ✅Windows 10, 버전 1809 [10.0.17763.774] 이상 ✅Windows 10 버전 1903 [10.0.18362.329] 이상 ✅Windows 10 버전 2004 [10.0.19041] 이상 |
./Device/Vendor/MSFT/Policy/Config/Audit/PrivilegeUse_AuditOtherPrivilegeUseEvents
사용되지 않습니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 끄기/없음. |
| 1 | 성공. |
| 2 | 실패. |
| 3 | Success+Failure. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 기타 권한 사용 이벤트 감사 |
| 경로 | Windows 설정 > 보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책 > 권한 사용 |
PrivilegeUse_AuditSensitivePrivilegeUse
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134.1039] 이상 ✅Windows 10, 버전 1809 [10.0.17763.774] 이상 ✅Windows 10 버전 1903 [10.0.18362.329] 이상 ✅Windows 10 버전 2004 [10.0.19041] 이상 |
./Device/Vendor/MSFT/Policy/Config/Audit/PrivilegeUse_AuditSensitivePrivilegeUse
이 정책 설정을 사용하면 권한 있는 서비스가 호출되는 등 중요한 권한(사용자 권한)을 사용할 때 생성된 이벤트를 감사할 수 있습니다. 다음 권한 중 하나가 호출됩니다. 운영 체제의 일부로 작동합니다. 파일 및 디렉터리를 백업합니다. 토큰 개체를 만듭니다. 프로그램을 디버그합니다. 위임에 대해 컴퓨터 및 사용자 계정을 신뢰할 수 있도록 설정합니다. 보안 감사를 생성합니다. 인증 후 클라이언트를 가장합니다. 디바이스 드라이버를 로드하고 언로드합니다. 감사 및 보안 로그를 관리합니다. 펌웨어 환경 값을 수정합니다. 프로세스 수준 토큰을 대체합니다. 파일 및 디렉터리를 복원합니다. 파일 또는 기타 개체의 소유권을 가져옵니다.
이 정책 설정을 구성하면 중요한 권한 요청이 수행될 때 감사 이벤트가 생성됩니다. 성공 감사는 성공적인 요청을 기록하고 실패 감사는 실패한 요청을 기록합니다.
이 정책 설정을 구성하지 않으면 중요한 권한 요청이 수행될 때 감사 이벤트가 생성되지 않습니다.
볼륨: 높음.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 끄기/없음. |
| 1 | 성공. |
| 2 | 실패. |
| 3 | Success+Failure. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 중요한 권한 사용 감사 |
| 경로 | Windows 설정 > 보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책 > 권한 사용 |
System_AuditIPsecDriver
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134.1039] 이상 ✅Windows 10, 버전 1809 [10.0.17763.774] 이상 ✅Windows 10 버전 1903 [10.0.18362.329] 이상 ✅Windows 10 버전 2004 [10.0.19041] 이상 |
./Device/Vendor/MSFT/Policy/Config/Audit/System_AuditIPsecDriver
이 정책 설정을 사용하면 IPsec 서비스의 시작 및 종료와 같은 IPsec 필터 드라이버에서 생성된 이벤트를 감사할 수 있습니다. 무결성 검사 오류로 인해 네트워크 패킷이 삭제되었습니다. 재생 검사 실패로 인해 네트워크 패킷이 삭제되었습니다. 일반 텍스트로 인해 네트워크 패킷이 삭제되었습니다. 잘못된 SPI(보안 매개 변수 인덱스)로 수신된 네트워크 패킷입니다. 이는 네트워크 카드 제대로 작동하지 않거나 드라이버를 업데이트해야 함을 나타낼 수 있습니다. IPsec 필터를 처리할 수 없음
이 정책 설정을 구성하면 IPsec 필터 드라이버 작업에서 감사 이벤트가 생성됩니다. 성공 감사는 성공적인 시도를 기록하고 실패 감사는 실패한 시도를 기록합니다.
이 정책 설정을 구성하지 않으면 IPSec 필터 드라이버 작업에 감사 이벤트가 생성되지 않습니다.
볼륨: 낮음.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 끄기/없음. |
| 1 | 성공. |
| 2 | 실패. |
| 3 | Success+Failure. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | IPsec 드라이버 감사 |
| 경로 | Windows 설정 > 보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책 > 시스템 |
System_AuditOtherSystemEvents
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134.1039] 이상 ✅Windows 10, 버전 1809 [10.0.17763.774] 이상 ✅Windows 10 버전 1903 [10.0.18362.329] 이상 ✅Windows 10 버전 2004 [10.0.19041] 이상 |
./Device/Vendor/MSFT/Policy/Config/Audit/System_AuditOtherSystemEvents
이 정책 설정을 사용하면 Windows 방화벽 서비스 및 드라이버의 시작 및 종료 이벤트를 감사할 수 있습니다. Windows 방화벽 서비스에서 처리하는 보안 정책입니다. 암호화 키 파일 및 마이그레이션 작업.
볼륨: 낮음.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 3 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0 | 끄기/없음. |
| 1 | 성공. |
| 2 | 실패. |
| 3(기본값) | Success+Failure. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 기타 시스템 이벤트 감사 |
| 경로 | Windows 설정 > 보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책 > 시스템 |
System_AuditSecurityStateChange
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134.1039] 이상 ✅Windows 10, 버전 1809 [10.0.17763.774] 이상 ✅Windows 10 버전 1903 [10.0.18362.329] 이상 ✅Windows 10 버전 2004 [10.0.19041] 이상 |
./Device/Vendor/MSFT/Policy/Config/Audit/System_AuditSecurityStateChange
이 정책 설정을 사용하면 컴퓨터의 보안 상태 변경에 의해 생성된 이벤트(예: 컴퓨터 시작 및 종료)를 감사할 수 있습니다. 시스템 시간 변경. 보안 이벤트 로그가 가득 차고 CrashOnAuditFail 레지스트리 항목이 구성되면 시스템이 다시 시작된 후 기록되는 CrashOnAuditFail에서 시스템 복구
볼륨: 낮음.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 1 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0 | 끄기/없음. |
| 1(기본값) | 성공. |
| 2 | 실패. |
| 3 | Success+Failure. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 보안 상태 변경 감사 |
| 경로 | Windows 설정 > 보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책 > 시스템 |
System_AuditSecuritySystemExtension
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134.1039] 이상 ✅Windows 10, 버전 1809 [10.0.17763.774] 이상 ✅Windows 10 버전 1903 [10.0.18362.329] 이상 ✅Windows 10 버전 2004 [10.0.19041] 이상 |
./Device/Vendor/MSFT/Policy/Config/Audit/System_AuditSecuritySystemExtension
이 정책 설정을 사용하면 인증, 알림 또는 보안 패키지와 같은 보안 시스템 확장이 로드되고 LSA(로컬 보안 기관)에 등록되는 등의 보안 시스템 확장 또는 서비스와 관련된 이벤트를 감사할 수 있습니다. 로그온 시도를 인증하고, 로그온 요청을 제출하고, 계정 또는 암호 변경 내용을 제출하는 데 사용됩니다. 보안 시스템 확장의 예로는 Kerberos 및 NTLM이 있습니다. 서비스가 설치되고 서비스 제어 관리자에 등록됩니다. 감사 로그에는 서비스 이름, 이진, 유형, 시작 유형 및 서비스 계정에 대한 정보가 포함됩니다.
이 정책 설정을 구성하면 보안 시스템 확장을 로드하려고 할 때 감사 이벤트가 생성됩니다. 성공 감사는 성공적인 시도를 기록하고 실패 감사는 실패한 시도를 기록합니다.
이 정책 설정을 구성하지 않으면 보안 시스템 확장을 로드하려고 할 때 감사 이벤트가 생성되지 않습니다.
볼륨: 낮음. 보안 시스템 확장 이벤트는 클라이언트 컴퓨터 또는 멤버 서버보다 도메인 컨트롤러에서 더 자주 생성됩니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 끄기/없음. |
| 1 | 성공. |
| 2 | 실패. |
| 3 | Success+Failure. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 보안 시스템 확장 감사 |
| 경로 | Windows 설정 > 보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책 > 시스템 |
System_AuditSystemIntegrity
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134.1039] 이상 ✅Windows 10, 버전 1809 [10.0.17763.774] 이상 ✅Windows 10 버전 1903 [10.0.18362.329] 이상 ✅Windows 10 버전 2004 [10.0.19041] 이상 |
./Device/Vendor/MSFT/Policy/Config/Audit/System_AuditSystemIntegrity
이 정책 설정을 사용하면 다음과 같이 보안 하위 시스템의 무결성을 위반하는 이벤트를 감사할 수 있습니다. 감사 시스템에 문제가 있어 이벤트 로그에 쓸 수 없는 이벤트입니다. 클라이언트 주소 공간에서 회신, 읽기 또는 쓰기를 통해 클라이언트를 가장하는 데 유효하지 않은 LPC(로컬 프로시저 호출) 포트를 사용하는 프로세스입니다. 시스템 무결성을 손상시키는 RPC(원격 프로시저 호출)를 검색합니다. 코드 무결성에 의해 결정된 대로 유효하지 않은 실행 파일의 해시 값을 검색합니다. 시스템 무결성을 손상시키는 암호화 작업입니다.
볼륨: 낮음.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 3 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0 | 끄기/없음. |
| 1 | 성공. |
| 2 | 실패. |
| 3(기본값) | Success+Failure. |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | 시스템 무결성 감사 |
| 경로 | Windows 설정 > 보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책 > 시스템 |
관련 문서
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기