Chapter 6. Security & Audit Policy

Chapter 6. Security & Audit Policy
1. 보안 정책(Security Policy)
 - 사용자 권한(User Right)

  · 객체(사용자, Group, Computer)가 System에 접근할 수 있는 권한
  · 사용자 권한 할당

  ◦ secpol.msc → 로컬 정책 → 사용자 권한 할당
  ◦ 해당 계정이 필요한 권한을 선택해 해당 권한에 사용자를 추가하는 방식으로 권한을 부여한다.
 - 계정 정책

  · 계정은 암호를 추측해서 해당 계정으로 침투하는 공격(Brute Force 공격)에 이용당할 수 있어 계정 정책을 통해 계정을 보호한다.
  · 계정 정책의 값을 변경하려면 보안 템플릿(Security Template)을 이용해야한다.
  · 계정 정책의 종류
  ◦ 암호 정책

   ▹ 암호의 사용 기간 및 복잡성 설정
   ▹ 설정 정책
    ▸  최대 암호 사용 기간 : 암호를 최대로 사용할 수 있는 기간(Default : 42일)
    ▸  최소 암호 사용 기간 : 암호를 최소 사용해야하는 기간(Default : 1일)
    ▸  최소 암호 사용 길이 : 암호를 설정할 때 최소 문자의 수(Default : 7문자)
    ▸  복잡성 : 암호의 복잡성을 사용할 것 인지에 대한 값. 복잡성 설정은 보안 템플릿에서 설정 가능(Default : 사용)
    ▸  해독 가능한 암호화 : 운영 체제가 해독 가능한 암호화를 사용하여 암호를 저장할지 여부를 결정(Default : 사용 안 함)
  ◦ 계정 잠금 정책

   ▹ 계정 잠금 임계값 설정(Log on에 몇 회 이상 실패 했을 시 계정이 잠기는 값 설정)
   ▹ 설정 정책
    ▸  계정 잠금 기간 : Log on 실패 제한 횟수 초과 시 계정이 잠기는 기간 설정(Default : 정의되지 않음)
    ▸  계정 잠금 임계 값 : Log on 실패 제한 횟수 설정(Default : 0)
    ▸  계정 잠금 수를 원래대로 설정 : Log on 실패 횟수 Counter 초기화 시간(Default : 정의되지 않음)
 - 보안 템플릿(Security Template)
  · 사용자를 위해 정의 되어 있는 보안 설정으로 사용자가 기존 계정 정책의 설정을 확인하거나 계정 정책으로 새롭게 변경할 때 사용한다.
  · 설정 및 적용 가능 내용
  ◦ 여러 Computer에 공통된 보안 설정 가능
  ◦ Server 환경에 맞춰 설정 가능
  ◦ Group 정책으로 배포 가능
  · 보안 템플릿 추가 방법

  ◦ MMC → 스냅인 추가/제거 → ‘보안 구성 및 분석’, ‘보안 템플릿’ 추가

  ◦ 보안 템플릿 Menu → 새 템플릿

  ◦ 템플릿 이름 설정 후 추가

​  ◦ 추가 시 출력되는 화면

  · 설정 방법

  ◦ 변경하고자하는 정책을 선택해 속성에서 원하는 설정으로 변경한다.

  ◦ 사용자가 원하는 설정을 완료 후 해당 Template의 Menu에서 저장을 선택해 저장하면 된다.
  ◦ 변경하고자하는 정책을 모두 설정 후 적용할 때는 보안 구성 및 분석을 이용한다.
  · 보안 템플릿 적용

  ◦ ‘보안 구성 및 구성’의 Menu에서 ‘데이터베이스 열기’ 선택

  ◦ 데이터베이스는 처음에 존재하지 않기 때문에 원하는 이름을 작성 후 ‘열기’를 하면 해당 이름으로 데이터 베이스가 생성된다.

  ◦ 데이터베이스 내에 들어가면 기존에 설정 했었던 보안 템플릿이 존재하며 해당 템플릿을 선택해 ‘열기’를 하면 템플릿이 열린다.

  ◦ 기존에 설정한 템플릿의 내용과 기존의 Computer의 설정된 내용을 비교하기 위해 ‘지금 컴퓨터 분석’ 선택
  ◦ 기존에 설정한 템플릿의 내용을 확인한 후 적용하는 것이 안정적이기 때문에 사용

  ◦ 기존에 설정한 템플릿의 내용과 기존의 Computer의 설정된 내용을 ICON 종류 별로 표현해준다.
  ◦ 1) 템플릿의 설정 내용과 기존의 설정이 일치할 시
  ◦ 2) 템플릿의 설정 내용과 기존의 설정이 일치하지 않으며 다른 내용으로 설정을 했을 시
  ◦ 3) 템플릿의 설정 내용과 기존의 설정이 일치하지 않으며 다른 내용으로 설정 또한 안했을 시

  ◦ 설정한 내용이 사용자가 만족해 Computer에 적용하고 싶을 시 ‘보안 구성 및 분석’의 Menu에서 ‘지금 컴퓨터 구성’ 선택

 

2. 감사 정책(Audit Policy)
 - 감사
  · 사용자의 흔적 또는 운영 체제가 사용하는 것을 확인하고 보안 Log에 기록하는 것
  · 감사 내용은 Log(보안 로그에 저장) 기록 또는 보고서로 작성될 수 있으며 6하 원칙으로 작성된다.
  · 일반적인 감사 Event 유형
  ◦ 개체 Access 감사
  ◦ 계정 관리
  ◦ System에 Log on, Log off하는 사용자
  · 설정 방법 : secpol.msc에서 감사정책 또는 개체에서 ‘개체 액세스 감사’에서 설정
  · 정책 설정이유
  ◦ System 내의 성공, 실패 Event 확인
  ◦ 공인 되지 않은 자원 사용 최소화
  ◦ 활동 기록 유지
  ◦ 기록 유지로 인한 보안성 확대
  · 감사 정책 설정 시 미리 결정해야하는 사항
  ◦ 감사하려는 Event 범주 지정
  ◦ 보안 Log의 크기 및 동작 설정
  ◦ 개체 Access 감사를 할 경우 개체 Access 유형 결정
  · 감사 Event 유형

  ◦ 개체 액세스 감사
   ▹ 감사할 개체로 설정한 개체에 접근 시 감사할지 여부를 결정
   ▹ 감사할 개체 설정 방법

    ▸  감사할 개체는 해당 개체의 속성에서 설정
  ◦ 계정 관리 감사
   ▹ 계정의 설정을 바꿀 시 감사할지 여부를 결정
  ◦ 계정 로그온 이벤트 감사
   ▹ 계정을 확인하기 위해 해당 Computer를 사용하는 다른 Computer에서의 사용자 Log on Instance 또는 Log off Instance를 감사할지 여부를 결정
  ◦ 권한 사용 감사

   ▹ 사용자 권한을 실행하는 사용자의 각 instance를 감사할지 여부를 결정
  ◦ 디렉터리 서비스 액세스 감사 
   ▹ SACL(System Access Control List)이 지정된 Active Directory 개체에 Access하는 사용자의 Event를 감사할지 여부를 결정
   ▹  감사 내용
    ▸  Directory Service 변경
    ▸  Directory Service 복제
    ▸  Directory Service 복제 상세 정보
  ◦ 로그온 이벤트 감사
   ▹ 사용자 Log on Instance 또는 Log off Instance를 감사할지 여부를 결정
  ◦ 시스템 이벤트 감사
   ▹ Computer를 다시 시작하거나 종료할 때 또는 System 보안이나 보안 Log에 영향을 주는 Event가 발생할 때 감사할지 여부를 결정
  ◦ 정책 변경 감사
   ▹ 사용자 권한 할당 정책, 감사 정책 또는 Trust 정책에 대한 모든 변경 문제를 감사할지 여부를 결정
  ◦ 프로세스 추적 감사
   ▹ Program 정품 인증, Process 종료, Handle 복제 및 간접 개체 Access 등과 같은 Event에 대한 자세한 추적 정보를 감사할지 여부를 결정

3. 보안 로그(Security Log)
 - 이벤트 뷰어(Event Viewer)

  · Event Log를 찾아보고 관리하는데 사용하는 관리도구
  · System 상태를 Monitoring 하고 문재를 찾고 해결하는데 반드시 필요한 도구
  · Event Viewer를 통해 확인할 수 있는 일반적인 Log
  ◦ 관리 Event
  ◦ 용용 프로그램 및 Service Log
  ◦ Server 역할
   ▹ Active Directory Domain Service
   ▹ DNS Server
  ◦ Windows Log
   ▹ 응용 프로그램
   ▹ 보안
   ▹ System
  · 보안 로그

  ◦ 설정한 감사 정책 Event 확인
  ◦ 보안 Log의 크기 설정 가능
  ◦ Filtering 작업을 통해 원하는 Event만 확인 가능
  ◦ 보안 Log 설정

   ▹ Event Viewer에서 속성 Tab을 선택하면 Log 크기 설정을 설정할 수 있다
   ▹ '최대 이벤트 로그 크기에 도달할 때' 설정
    ▸ 최대 크기에 도달 했을 때 Log가 삭제되면 System을 감사할 때 문제가 생길 수 있으므로 가장 밑의 Option인 ‘이벤트 덮어쓰지 않음(수동으로 로그 지우기)’를 권장한다.
  ◦ Filtering

   ▹ '현재 로그 필터링'을 통해 원하는 Log를 찾아볼 수 있다.