감사

  • 아티클

WFP(Windows 필터링 플랫폼)는 방화벽 및 IPsec 관련 이벤트에 대한 감사를 제공합니다. 이러한 이벤트는 시스템 보안 로그에 저장됩니다.

감사된 이벤트는 다음과 같습니다.

감사 범주 감사 하위 범주 감사된 이벤트
정책 변경
{6997984D-797A-11D9-BED3-505054503030}
 필터링 플랫폼 정책 변경
{0CCE9233-69AE-11D9-BED3-505054503030}
 참고: 숫자는 이벤트 뷰어(eventvwr.exe)에서 표시하는 이벤트 ID를 나타냅니다.
WFP 개체 추가 및 제거:
- 5440 영구 콜아웃이 추가됨
- 5441 부팅 시간 또는 영구 필터가 추가됨
- 5442 영구 공급자 추가됨
- 5443 영구 공급자 컨텍스트가 추가됨
- 5444 영구 하위 계층이 추가됨
- 5446 런타임 콜아웃 추가 또는 제거
- 5447 런타임 필터 추가 또는 제거
- 5448 런타임 공급자 추가 또는 제거
- 5449 런타임 공급자 컨텍스트 추가 또는 제거
- 5450 런타임 하위 계층 추가 또는 제거
개체 액세스
{6997984A-797A-11D9-BED3-505054503030}
 필터링 플랫폼 패킷 삭제
{0CCE9225-69AE-11D9-BED3-505054503030}
 WFP에서 삭제한 패킷:
  • 5152 패킷 삭제됨
  • 5153 패킷 거부
개체 액세스
 플랫폼 연결 필터링
{0CCE9226-69AE-11D9-BED3-505054503030}
 허용된 연결 및 차단된 연결:
- 5154 수신 허용
- 5155 수신 대기 차단됨
- 5156 연결 허용됨
- 5157 연결 차단됨
- 5158 바인딩 허용됨
- 5159 바인딩 차단됨
참고: 허용된 연결이 항상 연결된 필터의 ID를 감사하는 것은 아닙니다. TCP에 대한 FilterID는 UserID, AppID, Protocol, Remote Port와 같은 필터링 조건의 하위 집합을 사용하지 않는 한 0이 됩니다.
개체 액세스
 다른 개체 액세스 이벤트
{0CCE9227-69AE-11D9-BED3-505054503030}
 참고: 이 하위 범주는 많은 감사를 사용하도록 설정합니다. WFP 관련 감사는 아래에 나열되어 있습니다.
서비스 거부 방지 상태:
- 5148 WFP DoS 방지 모드 시작
- 5149 WFP DoS 방지 모드가 중지됨
로그온/로그 오프
{69979849-797A-11D9-BED3-505054503030}
 IPsec 주 모드
{0CCE9218-69AE-11D9-BED3-505054503030}
 IKE 및 AuthIP 기본 모드 협상:
  • 4650, 4651 보안 협회 설립
  • 4652, 4653 협상 실패
  • 4655 보안 연결 종료
로그온/로그 오프
 IPsec 빠른 모드
{0CCE9219-69AE-11D9-BED3-505054503030}
 IKE 및 AuthIP 빠른 모드 협상:
  • 5451 보안 연결 설정
  • 5452 보안 연결 종료
  • 4654 협상 실패
로그온/로그 오프
 IPsec 확장 모드
{0CCE921A-69AE-11D9-BED3-505054503030}
 AuthIP 확장 모드 협상:
  • 4978 잘못된 협상 패킷
  • 4979, 4980, 4981, 4982 보안 협회 설립
  • 4983, 4984 협상 실패
시스템
{69979848-797A-11D9-BED3-505054503030}
 IPsec 드라이버
{0CCE9213-69AE-11D9-BED3-505054503030}
 IPsec 드라이버에서 삭제한 패킷:
  • 4963 인바운드 지우기 텍스트 패킷 삭제됨

기본적으로 WFP에 대한 감사는 사용하지 않도록 설정됩니다.

그룹 정책 개체 편집기 MMC 스냅인, 로컬 보안 정책 MMC 스냅인 또는 auditpol.exe 명령을 통해 범주별로 감사를 사용하도록 설정할 수 있습니다.

예를 들어 정책 변경 이벤트의 감사를 사용하도록 설정하려면 다음을 수행할 수 있습니다.

  • 그룹 정책 개체 편집기 사용

    1. gpedit.msc를 실행합니다.
    2. 로컬 컴퓨터 정책을 확장합니다.
    3. 컴퓨터 구성을 펼칩니다.
    4. Windows 설정을 확장합니다.
    5. 보안 설정을 확장합니다.
    6. 로컬 정책을 확장합니다.
    7. 감사 정책을 클릭합니다.
    8. 속성 대화 상자를 시작하려면 감사 정책 변경을 두 번 클릭합니다.
    9. 성공 및 실패 검사 확인란을 선택합니다.

  • 로컬 보안 정책 사용

    1. secpol.msc를 실행합니다.
    2. 로컬 정책을 확장합니다.
    3. 감사 정책을 클릭합니다.
    4. 속성 대화 상자를 시작하려면 감사 정책 변경을 두 번 클릭합니다.
    5. 성공 및 실패 검사 확인란을 선택합니다.

  • auditpol.exe 명령 사용

    • auditpol /set /category:"Policy Change" /success:enable /failure:enable

감사는 auditpol.exe 명령을 통해서만 하위 범주별로 사용하도록 설정할 수 있습니다.

감사 범주 및 하위 범주 이름은 지역화됩니다. 감사 스크립트에 대한 지역화를 방지하기 위해 이름 대신 해당 GUID를 사용할 수 있습니다.

예를 들어 필터링 플랫폼 정책 변경 이벤트의 감사를 사용하도록 설정하려면 다음 명령 중 하나를 사용할 수 있습니다.

  • auditpol /set /subcategory:"필터링 플랫폼 정책 변경" /success:enable /failure:enable
  • auditpol /set /subcategory:"{0CCE9233-69AE-11D9-BED3-505054503030}" /success:enable /failure:enable

Auditpol

이벤트 로그

그룹 정책