제어되는 리소스에 대한 액세스와 권한 부여 정책의 변경 내용을 모니터링하면 잠재적인 보안 문제를 추적할 수 있고 사용자의 책임 소재를 분명히 할 수 있으며 보안 문제 발생 시 증거를 확보할 수 있습니다.

감사 유형

권한 부여 관리자에서는 런타임 감사와 권한 부여 저장소 변경 감사라는 두 가지 유형의 감사를 사용할 수 있습니다.

런타임 감사

런타임 감사에는 다음과 같은 두 가지 측면이 있습니다.

  • 응용 프로그램을 열 때 감사를 생성하는 런타임 응용 프로그램 초기화 감사

  • 클라이언트 컨텍스트를 만들 때와 클라이언트가 액세스 검사를 요청할 때마다 감사를 생성하는 런타임 클라이언트 컨텍스트 및 액세스 검사 감사. 액세스 검사는 Platform SDK의 권한 부여 섹션에 설명되어 있는 AccessCheck 메서드를 기반으로 수행됩니다. 권한 부여 관련 API(응용 프로그래밍 인터페이스)에 대한 자세한 내용은 권한 부여(페이지는 영문일 수 있음)(https://go.microsoft.com/fwlink/?linkid=64031)를 참조하십시오.

성공과 실패 중 하나 또는 둘 다를 기록하도록 런타임 감사를 구성할 수 있습니다.

권한 부여 저장소 변경 감사

권한 부여 저장소 변경 감사를 활성화하면 권한 부여 저장소를 수정할 때마다 감사가 생성됩니다. 이 감사는 모든 이벤트, 성공 및 실패를 기록합니다.

권한 부여 저장소 변경 감사의 경우 권한 부여 관리자는 NTFS 파일 시스템(XML 기반의 권한 부여 저장소용), AD DS(Active Directory 도메인 서비스), AD LDS(Active Directory Lightweight Directory Services) 및 Microsoft SQL Server를 지원합니다.

감사 이벤트 찾기

권한 부여 관리자에 의해 생성된 감사 이벤트를 보려면 해당 컴퓨터에서 이벤트 로그를 봅니다.

  • 런타임 감사 이벤트는 응용 프로그램이 실행되고 있는 클라이언트 컴퓨터의 보안 로그에 있습니다.

  • 권한 부여 저장소 변경 감사 이벤트는 저장소가 있는 컴퓨터의 보안 로그에 있습니다.

    • XML 기반의 권한 부여 저장소의 경우 XML 파일이 저장된 컴퓨터의 이벤트 뷰어에서 감사 레코드를 찾을 수 있습니다.

    • AD DS나 AD LDS를 사용하는 권한 부여 저장소의 경우 액세스하고 있는 AD LDS 서버 또는 도메인 컨트롤러의 이벤트 뷰어에서 감사 레코드를 찾을 수 있습니다.

    • SQL 기반의 권한 부여 저장소의 경우 SQL Server를 호스트하는 컴퓨터의 이벤트 뷰어에서 감사 레코드를 찾을 수 있습니다.

감사 가용성

다음 항목에 따라 감사 가용성이 달라집니다.

  • 권한 부여 저장소가 AD DS, AD LDS, XML 또는 SQL 중 어디에 기반하는지

  • 감사가 권한 부여 저장소 수준, 응용 프로그램 수준, 범위 수준 중 어느 수준에서 구성되는지

다음 표에서는 두 가지 감사 유형의 사용 가능성에 대해 설명합니다.

수준 런타임 감사 사용 가능 이 수준에서 런타임 감사 구성 가능 권한 부여 저장소 변경 감사 사용 가능

권한 부여 저장소

  • XML

  • AD DS 및 AD LDS

  • SQL Server

  • XML

  • AD DS 및 AD LDS

  • SQL Server

  • XML

  • AD DS 및 AD LDS

  • SQL Server

응용 프로그램

  • XML

  • AD DS 및 AD LDS

  • SQL Server

  • XML

  • AD DS 및 AD LDS

  • SQL Server

  • AD DS 및 AD LDS

  • SQL Server

범위

  • XML

  • AD DS 및 AD LDS

  • SQL Server

사용할 수 없음(응용 프로그램 수준에서 구성)

  • AD DS 및 AD LDS

  • SQL Server

감사를 사용하려면 감사 탭에서 해당 확인란을 선택해야 합니다. 런타임 감사를 활성화하려면 런타임 응용 프로그램 초기화 감사 확인란을 선택합니다. 권한 부여 저장소 변경 감사를 활성화하려면 런타임 클라이언트 컨텍스트 및 액세스 검사 감사 확인란을 선택합니다.

감사를 허용하도록 시스템 구성

감사를 구현하기 전에 감사 정책을 결정해야 합니다. 감사 정책은 감사하려는 보안 관련 이벤트의 범주를 지정합니다. 기본적으로 Windows를 처음 설치하면 모든 감사 범주가 비활성화됩니다.

감사할 응용 프로그램과 범위를 구성하려면 권한 부여 저장소가 있는 컴퓨터에 감사 및 보안 로그 관리 권한이 있어야 합니다. 기본 제공된 Administrators 그룹의 구성원으로 로그온하거나 암호 확인 시 관리자 암호를 지정하면 이 권한이 부여됩니다.

권한 부여 저장소가 XML 기반이면 개체 액세스 감사를 지정해야 하며 권한 부여 저장소가 AD DS 또는 AD LDS 기반이면 디렉터리 서비스 액세스 감사를 지정해야 합니다.

런타임 클라이언트 컨텍스트 및 액세스 검사 감사를 생성하려면 권한 부여 관리자를 사용하는 응용 프로그램의 사용자에게 보안 감사 생성 권한이 부여되어야 합니다. 응용 프로그램 사용자에게 이 권한이 없으면 감사 이벤트가 기록되지 않습니다.

개체 액세스 감사 사용

기본적으로 개체 액세스 감사는 꺼져 있습니다. 개체 액세스 감사를 사용하려면 AD DS 또는 AD LDS의 도메인, 도메인 컨트롤러 또는 기타 사용 가능한 조직 구성 단위 수준에서 그룹 정책을 사용해야 합니다. 로컬 보안 정책을 사용할 수도 있습니다.

XML 기반의 권한 부여 저장소가 도메인 컨트롤러에 있을 경우 기본 도메인 컨트롤러 정책 GPO(그룹 정책 개체)에서 개체 액세스 감사를 켜는 것이 가장 좋습니다. XML 기반의 권한 부여 저장소가 워크스테이션이나 구성원 서버에 있을 경우 해당 컴퓨터에 대한 로컬 GPO를 편집하여 로컬 보안 정책을 설정할 수 있지만 이러한 설정은 그룹 정책 보안 설정을 다음에 새로 고칠 때까지만 적용됩니다. 감사를 한 번만 생성할 경우 이 기능이 유용할 수 있습니다. 그러나 보안 감사를 정기적으로 생성할 계획인 경우 AD DS를 통해 컴퓨터에 적용되는 다른 GPO를 편집해야 합니다.

개체 액세스 감사를 사용하도록 설정하려면 다음 개체를 구성합니다.

  • 로컬 컴퓨터의 경우

    1. 로컬 그룹 정책 편집기를 엽니다.

    2. 콘솔 트리에서 컴퓨터 구성, Windows 설정, 보안 설정, 로컬 정책감사 정책을 두 번 클릭합니다.

    3. 개체 액세스 감사를 클릭합니다.

    4. 세부 정보 창에서 이 정책 설정 정의 확인란, 성공 확인란, 실패 확인란을 차례로 선택합니다.

  • 도메인 컨트롤러의 경우

    1. 시작, 모든 프로그램, 관리 도구를 차례로 클릭한 후 도메인 컨트롤러 보안 정책을 두 번 클릭합니다.

    2. 콘솔 트리에서 컴퓨터 구성, Windows 설정, 보안 설정, 로컬 정책감사 정책을 두 번 클릭합니다.

    3. 개체 액세스 감사를 클릭합니다.

    4. 세부 정보 창에서 이 정책 설정 정의 확인란, 성공 확인란, 실패 확인란을 차례로 선택합니다.

  • 도메인 또는 조직 구성 단위의 경우

    1. GPMC(그룹 정책 관리 콘솔)를 엽니다.

    2. 감사할 GPO를 마우스 오른쪽 단추로 클릭한 다음 편집을 클릭합니다.

    3. 콘솔 트리에서 컴퓨터 구성, 정책, 보안 설정, 로컬 정책감사 정책을 두 번 클릭합니다.

    4. 개체 액세스 감사를 클릭합니다.

    5. 세부 정보 창에서 이 정책 설정 정의 확인란, 성공 확인란, 실패 확인란을 차례로 선택합니다.

추가 고려 사항

  • 도메인 기반 정책 설정을 편집하려면 GPMC를 설치해야 합니다. GPMC는 서버 관리자를 사용하여 설치할 수 있는 Windows Server 2008의 추가 기능입니다.

  • 로컬 GPO를 편집하는 경우에는 로컬 그룹 정책 편집기에 이 정책 설정 정의 확인란이 표시되지 않습니다. AD DS에 저장된 GPO를 편집하는 경우에만 이 확인란이 표시됩니다.

  • 성공실패 감사 확인란을 사용할 수 없는 경우에는 이 정책 설정 정의 확인란이 AD DS 구조의 상위 수준에서 작용하고 있는 보안 정책을 통해 이미 선택되었을 수 있습니다. 이런 경우 이 정책 설정 정의 확인란이 선택된 곳을 찾아서 클릭하여 이 설정의 선택을 취소해야 합니다. 현재 컴퓨터에 영향을 주는 GPO에서 이 설정을 찾아볼 수 있습니다.

디렉터리 액세스 감사 사용

기본적으로 디렉터리 서비스 액세스 감사는 꺼져 있습니다. 디렉터리 액세스 감사를 사용하려면 AD DS의 도메인, 도메인 컨트롤러 또는 기타 사용 가능한 조직 구성 단위 수준에서 그룹 정책을 사용해야 합니다.

개체 액세스 감사를 사용하려면 다음 노드를 확장합니다. 컴퓨터 구성, Windows 설정, 보안 설정, 로컬 정책, 감사 정책을 확장한 다음 디렉터리 서비스 액세스 감사를 두 번 클릭합니다.

이 정책 설정 정의 확인란, 성공 확인란, 실패 확인란을 차례로 선택합니다.

추가 고려 사항

  • 성공실패 감사 확인란을 사용할 수 없는 경우에는 이 정책 설정 정의 확인란이 AD DS의 상위 수준에서 작용하고 있는 보안 정책을 통해 이미 선택되었을 수 있습니다. 이런 경우 이 정책 설정 정의 확인란이 선택된 곳을 찾아서 이 확인란 선택을 취소해야 합니다. 도메인 컨트롤러에 영향을 주는 GPO에서 이 설정을 찾아볼 수 있습니다.

  • GPO를 편집한 후 gpupdate 명령을 실행하면 변경 내용이 즉시 적용됩니다.

상속으로 활성화되는 감사

상속을 통해 성립되는 감사는 로컬 설정에 상관없이 발생합니다. 예를 들어 AD DS에 저장된 권한 부여 저장소의 경우 AD DS의 상위 조직 구성 단위로부터 감사 정책이 상속될 수 있습니다. XML 기반의 권한 부여 저장소의 경우 XML 파일이 들어 있는 폴더의 감사 정책이 적용될 수 있습니다.


목차