[10] 감사 정책 (로그온, 개체 액세스 감사), 권한 상속

- 2015.01.16

Tip) 계정이 잠겼을 때 즉시 푸는 방법

사용자 정보 오른쪽 - 속성 - 계정 잠겨 있음 체크 풀기

1. 감사 정책

감사 : 사용자의 흔적 또는 운영 체제가 사용한느 것을 확인하고 보안 로그에 비록하는 것.

- 어떠한 일이 발생했는가?

- 누가 했는가?

- 언제 했는가?

- 결과가 어떻게 되었는가?

감사 정책에는 크게 2가지가 있다. : 성공, 실패

[감사 정책 설정]

시작 - 관리 도구 - 로컬 보안 저책 - 로컬 정책 - 감사 정책

개체 액세스 감사 : 파일이나 폴더 액세스에 대한 감사

계정 로그온 이벤트 감사 : 계정의 자격 증명을 확인할 때마다 감사

로그온 이벤트 감사 : 로그온 또는 로그오프 인스턴트를 감사

      성공, 실패 모두 체크 : 사용자의 로그온 성공, 실패에 대한 감사 진행

[감사 결과 확인]

시작 - 관리도구 - 이벤트 뷰어 - Windows 로그 - 보안 - 로그온 성공/실패 에 대한 기록 확인 가능

     => 시스템의 시간을 아무나 바꿀 수 없도록 해야 하는 이유

우측 메뉴 중 현재 로그 필터링 기능을 이용하여 원하는 작업번호만 확인 가능하다.

우측 메뉴 중 속성 에서 로그에 대한 세부 설정이 가능하다.

     최대 로그 크기를 지정 가능 - 1달간의 로그 용량을 기준으로 회사 기준에 맞게 용량을 책정한다.

     로그 기록에 대한 파일 설정 가능 (업데이트, 로그 기록 중지, 새 로그 파일 기록)

=> 시스템 관리자는 로그 기록을 통해 파일의 생성, 삭제, 이동 등에 대한 로그 기록을 남기도록 설정해야한다.

[감사 정책-로그온 이벤트 감사 문제]

1. 로그온 이벤트 감사 설정

 - 성공 체크 

 - 실패 체크

2. 사용자 계정을 test1으로 생성 후 로그온 실패 후

    이벤트 뷰어에서 보안 로그 확인 

3. test1이라는 계정으로 로그인 성공 후 이벤트 뷰어에서

   보안 로그 확인

[Tip]

1) 로그인 실패 감사 작업번호 : 4625

2) 로그인 성공 감사 작업번호 : 4624

[감사 정책-개체 액세스 감사 문제]

브릿지 설정 후 진행하세요.

1. Server1에 test1~5 계정 생성 후 패스워드

   전부 P@ssw0rd 설정

2. itbank라는 그룹 생성 후 test1~5 계정 소속

3. Server1에 C:\에 본인 이름으로 폴더 생성 후

   폴더 공유(itbank 그룹 모든 권한)

4. 본인이름 디렉토리에 itbank 그룹 삭제 성공 감사 적용

5. 본인이름 디렉토리에 본인이름1~5 텍스트 파일 생성

==========================

제가 삭제한 파일이 뭔지 이벤트 뷰어에서 확인 후 말씀

[Tip]

1) 감사정책 - 개체 액세스 감사 정책 설정

2) 공유폴더 지정 이후에 폴더 속성 - 보안 - 고급 - 감사 에서 지정

3) 이벤트 뷰어로 계정 이름, 원본 주소, DELETE 사항 확인 / 작업번호 : 4656, 4660

4) 폴더 속성에서 감사 설정할 때에 지정한 사용자 및 계정의 액세스만 감사 기록 남김

2. 권한 상속

상위 디렉터리의 권한을 하위 디렉터리로 권한 상속을 진행할 수 있다.

만약 test1의 계정이 읽기 권한 밖에 없는 경우, 하위 디렉터리에도 역시 그 권한이 적용된다.

[Tip]

윈도우의 기본 값으로 C:\ 에 대한 권한 설정이 되어 있다.

기본적으로 Administrator는 C:\ 에 대한 모든 권한이 있지만 일반 Users 는 C: 에는 읽기 권한밖에 없다.

[실습]

1) 바탕화면에 1 폴더 생성 => 1 폴더는 바탕화면의 권한과 같음

2) 1 폴더 속성 - 보안 - 고급 - 사용 권한 - 이 개체의 부모로부터 상속 가능한 사용 권한 포함 체크 해제

    (부모 : 바로 상위 폴더)

3) 추가 사용 권한 계정 생성 후 1 폴더 하위 폴더에 2 폴더 생성 => 1 폴더와 같은 권한으로 2 폴더 생성됨

4) 허용 / 거부 권한이 부딪혔을 때 거부 권한이 이긴다.