감사 정책 권장 사항
이 섹션에서는 Windows 기본 감사 정책 설정, 기본 권장 감사 정책 설정 및 워크스테이션 및 서버 제품에 대한 Microsoft의 보다 적극적인 권장 사항을 다룹니다.
여기에 표시된 SCM 기준 권장 사항과 타협을 감지하는 데 도움이 되는 설정은 관리자에 대한 시작 기준 가이드일 뿐입니다. 각 조직은 직면한 위협, 허용되는 위험 허용 범위 및 사용하도록 설정해야 하는 감사 정책 범주 또는 하위 범주에 대해 자체적으로 결정을 내려야 합니다. 위협에 대한 자세한 내용은 위협 및 대책 가이드를 참조하세요. 신중한 감사 정책이 없는 관리자는 프로덕션 환경에서 구현하기 전에 여기에서 권장하는 설정으로 시작한 다음 수정 및 테스트하는 것이 좋습니다.
권장 사항은 Microsoft가 평균 보안 요구 사항이 있고 높은 수준의 운영 기능이 필요한 컴퓨터로 정의하는 엔터프라이즈급 컴퓨터에 대한 것입니다. 더 높은 보안 요구 사항이 필요한 엔터티는 보다 적극적인 감사 정책을 고려해야 합니다.
참고 항목
Microsoft Windows 기본값 및 기준 권장 사항은 Microsoft 보안 준수 관리자 도구에서 가져왔습니다.
다음 기준 감사 정책 설정은 확인된 악의적 사용자 또는 맬웨어에 의한 활성 및 성공적인 공격을 받고 있는 것으로 알려져 있지 않은 일반 보안 컴퓨터에 권장됩니다.
운영 체제별 권장 감사 정책
이 섹션에는 다음 운영 체제에 적용되는 감사 설정 권장 사항을 나열하는 테이블이 포함되어 있습니다.
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2008
- Windows 10
- Windows 8.1
- Windows 7
이러한 테이블에는 Windows 기본 설정, 기준 권장 사항 및 이러한 운영 체제에 대한 보다 강력한 권장 사항이 포함되어 있습니다.
감사 정책 테이블 범례
| 표기법 | 권장 사항 |
|---|---|
| 예 | 일반 시나리오에서 사용 |
| 아니요 | 일반 시나리오에서는 사용하지 마세요. |
| If | 특정 시나리오에 필요한 경우 또는 감사가 필요한 역할 또는 기능이 컴퓨터에 설치되어 있는지 여부를 사용하도록 설정합니다. |
| DC | 도메인 컨트롤러에 허용 |
| [비어 있음] | 권장 사항 없음 |
Windows 10, Windows 8 및 Windows 7 감사 설정 권장 사항
감사 정책
| 감사 정책 범주 또는 하위 범주 | Windows 기본값
|
기준 권장 사항
|
더 강력한 권장 사항
|
|---|---|---|---|
| 계정 로그온 | |||
| 자격 증명 유효성 감사 | No | No |
Yes | No |
Yes | Yes |
| Kerberos 인증 오류 감사 | Yes | Yes |
||
| Kerberos 서비스 티켓 작업 감사 | Yes | Yes |
||
| 기타 계정 로그온 이벤트 감사 | Yes | Yes |
| 감사 정책 범주 또는 하위 범주 | Windows 기본값
|
기준 권장 사항
|
더 강력한 권장 사항
|
|---|---|---|---|
| 계정 관리 | |||
| 애플리케이션 그룹 관리 감사 | |||
| 컴퓨터 계정 관리 감사 | Yes | No |
Yes | Yes |
|
| 메일 그룹 관리 감사 | |||
| 다른 계정 관리 이벤트 감사 | Yes | No |
Yes | Yes |
|
| 보안 그룹 관리 감사 | Yes | No |
Yes | Yes |
|
| 사용자 계정 관리 감사 | Yes | No |
Yes | No |
Yes | Yes |
| 감사 정책 범주 또는 하위 범주 | Windows 기본값
|
기준 권장 사항
|
더 강력한 권장 사항
|
|---|---|---|---|
| 세부 추적 | |||
| DPAPI 활동 감사 | Yes | Yes |
||
| 프로세스 만들기 감사 | Yes | No |
Yes | Yes |
|
| 프로세스 종료 감사 | |||
| RPC 이벤트 감사 |
| 감사 정책 범주 또는 하위 범주 | Windows 기본값
|
기준 권장 사항
|
더 강력한 권장 사항
|
|---|---|---|---|
| DS 액세스 | |||
| 상세 디렉터리 서비스 복제 감사 | |||
| 디렉터리 서비스 액세스 감사 | |||
| 디렉터리 서비스 변경 감사 | |||
| 디렉터리 서비스 복제 감사 |
| 감사 정책 범주 또는 하위 범주 | Windows 기본값
|
기준 권장 사항
|
더 강력한 권장 사항
|
|---|---|---|---|
| 로그온 및 로그오프 | |||
| 계정 잠금 감사 | Yes | No |
Yes | No |
|
| 사용자/디바이스 클레임 감사 | |||
| IPsec 확장 모드 감사 | |||
| IPsec 주 모드 감사 | IF | IF |
||
| IPsec 빠른 모드 감사 | |||
| 로그오프 감사 | Yes | No |
Yes | No |
Yes | No |
| 로그온 감사 1 | Yes | Yes |
Yes | Yes |
Yes | Yes |
| 네트워크 정책 서버 감사 | Yes | Yes |
||
| 기타 로그온/로그오프 이벤트 감사 | |||
| 특수 로그온 감사 | Yes | No |
Yes | No |
Yes | Yes |
| 감사 정책 범주 또는 하위 범주 | Windows 기본값
|
기준 권장 사항
|
더 강력한 권장 사항
|
|---|---|---|---|
| 개체 액세스 | |||
| 생성된 애플리케이션 감사 | |||
| 인증 서비스 감사 | |||
| 세부 파일 공유 감사 | |||
| 파일 공유 감사 | |||
| 파일 시스템 감사 | |||
| 필터링 플랫폼 연결 감사 | |||
| 필터링 플랫폼 패킷 삭제 감사 | |||
| 핸들 조작 감사 | |||
| 커널 개체 감사 | |||
| 기타 개체 액세스 이벤트 감사 | |||
| 레지스트리 감사 | |||
| 이동식 스토리지 감사 | |||
| SAM 감사 | |||
| 중앙 액세스 정책 준비 감사 |
| 감사 정책 범주 또는 하위 범주 | Windows 기본값
|
기준 권장 사항
|
더 강력한 권장 사항
|
|---|---|---|---|
| 정책 변경 | |||
| 감사 정책 변경 감사 | Yes | No |
Yes | Yes |
Yes | Yes |
| 인증 정책 변경 감사 | Yes | No |
Yes | No |
Yes | Yes |
| 권한 부여 정책 변경 감사 | |||
| 필터링 플랫폼 정책 변경 감사 | |||
| MPSSVC 규칙 수준 정책 변경 감사 | Yes |
||
| 기타 정책 변경 이벤트 감사 |
| 감사 정책 범주 또는 하위 범주 | Windows 기본값
|
기준 권장 사항
|
더 강력한 권장 사항
|
|---|---|---|---|
| 권한 사용 | |||
| 중요하지 않은 권한 사용 감사 | |||
| 기타 권한 사용 이벤트 감사 | |||
| 중요한 권한 사용 감사 |
| 감사 정책 범주 또는 하위 범주 | Windows 기본값
|
기준 권장 사항
|
더 강력한 권장 사항
|
|---|---|---|---|
| 시스템 | |||
| IPsec 드라이버 감사 | Yes | Yes |
Yes | Yes |
|
| 기타 시스템 이벤트 감사 | Yes | Yes |
||
| 보안 상태 변경 감사 | Yes | No |
Yes | Yes |
Yes | Yes |
| 보안 시스템 확장 감사 | Yes | Yes |
Yes | Yes |
|
| 시스템 무결성 감사 | Yes | Yes |
Yes | Yes |
Yes | Yes |
| 감사 정책 범주 또는 하위 범주 | Windows 기본값
|
기준 권장 사항
|
더 강력한 권장 사항
|
|---|---|---|---|
| 전역 개체 액세스 감사 | |||
| IPsec 드라이버 감사 | |||
| 기타 시스템 이벤트 감사 | |||
| 보안 상태 변경 감사 | |||
| 보안 시스템 확장 감사 | |||
| 시스템 무결성 감사 |
1 Windows 10 버전 1809부터 감사 로그온은 기본적으로 성공 및 실패 모두에 대해 사용하도록 설정됩니다. 이전 버전의 Windows에서는 기본적으로 Success만 사용하도록 설정됩니다.
Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 및 Windows Server 2008 감사 설정 권장 사항
| 감사 정책 범주 또는 하위 범주 | Windows 기본값
|
기준 권장 사항
|
더 강력한 권장 사항
|
|---|---|---|---|
| 계정 로그온 | |||
| 자격 증명 유효성 감사 | No | No |
Yes | Yes |
Yes | Yes |
| Kerberos 인증 오류 감사 | Yes | Yes |
||
| Kerberos 서비스 티켓 작업 감사 | Yes | Yes |
||
| 기타 계정 로그온 이벤트 감사 | Yes | Yes |
| 감사 정책 범주 또는 하위 범주 | Windows 기본값
|
기준 권장 사항
|
더 강력한 권장 사항
|
|---|---|---|---|
| 계정 관리 | |||
| 애플리케이션 그룹 관리 감사 | |||
| 컴퓨터 계정 관리 감사 | Yes | DC |
Yes | Yes |
|
| 메일 그룹 관리 감사 | |||
| 다른 계정 관리 이벤트 감사 | Yes | Yes |
Yes | Yes |
|
| 보안 그룹 관리 감사 | Yes | Yes |
Yes | Yes |
|
| 사용자 계정 관리 감사 | Yes | No |
Yes | Yes |
Yes | Yes |
| 감사 정책 범주 또는 하위 범주 | Windows 기본값
|
기준 권장 사항
|
더 강력한 권장 사항
|
|---|---|---|---|
| 세부 추적 | |||
| DPAPI 활동 감사 | Yes | Yes |
||
| 프로세스 만들기 감사 | Yes | No |
Yes | Yes |
|
| 프로세스 종료 감사 | |||
| RPC 이벤트 감사 |
| 감사 정책 범주 또는 하위 범주 | Windows 기본값
|
기준 권장 사항
|
더 강력한 권장 사항
|
|---|---|---|---|
| DS 액세스 | |||
| 상세 디렉터리 서비스 복제 감사 | |||
| 디렉터리 서비스 액세스 감사 | DC | DC |
DC | DC |
|
| 디렉터리 서비스 변경 감사 | DC | DC |
DC | DC |
|
| 디렉터리 서비스 복제 감사 |
| 감사 정책 범주 또는 하위 범주 | Windows 기본값
|
기준 권장 사항
|
더 강력한 권장 사항
|
|---|---|---|---|
| 로그온 및 로그오프 | |||
| 계정 잠금 감사 | Yes | No |
Yes | No |
|
| 사용자/디바이스 클레임 감사 | |||
| IPsec 확장 모드 감사 | |||
| IPsec 주 모드 감사 | IF | IF |
||
| IPsec 빠른 모드 감사 | |||
| 로그오프 감사 | Yes | No |
Yes | No |
Yes | No |
| 로그온 감사 | Yes | Yes |
Yes | Yes |
Yes | Yes |
| 네트워크 정책 서버 감사 | Yes | Yes |
||
| 기타 로그온/로그오프 이벤트 감사 | Yes | Yes |
||
| 특수 로그온 감사 | Yes | No |
Yes | No |
Yes | Yes |
| 감사 정책 범주 또는 하위 범주 | Windows 기본값
|
기준 권장 사항
|
더 강력한 권장 사항
|
|---|---|---|---|
| 개체 액세스 | |||
| 생성된 애플리케이션 감사 | |||
| 인증 서비스 감사 | |||
| 세부 파일 공유 감사 | |||
| 파일 공유 감사 | |||
| 파일 시스템 감사 | |||
| 필터링 플랫폼 연결 감사 | |||
| 필터링 플랫폼 패킷 삭제 감사 | |||
| 핸들 조작 감사 | |||
| 커널 개체 감사 | |||
| 기타 개체 액세스 이벤트 감사 | |||
| 레지스트리 감사 | |||
| 이동식 스토리지 감사 | |||
| SAM 감사 | |||
| 중앙 액세스 정책 준비 감사 |
| 감사 정책 범주 또는 하위 범주 | Windows 기본값
|
기준 권장 사항
|
더 강력한 권장 사항
|
|---|---|---|---|
| 정책 변경 | |||
| 감사 정책 변경 감사 | Yes | No |
Yes | Yes |
Yes | Yes |
| 인증 정책 변경 감사 | Yes | No |
Yes | No |
Yes | Yes |
| 권한 부여 정책 변경 감사 | |||
| 필터링 플랫폼 정책 변경 감사 | |||
| MPSSVC 규칙 수준 정책 변경 감사 | Yes |
||
| 기타 정책 변경 이벤트 감사 |
| 감사 정책 범주 또는 하위 범주 | Windows 기본값
|
기준 권장 사항
|
더 강력한 권장 사항
|
|---|---|---|---|
| 권한 사용 | |||
| 중요하지 않은 권한 사용 감사 | |||
| 기타 권한 사용 이벤트 감사 | |||
| 중요한 권한 사용 감사 |
| 감사 정책 범주 또는 하위 범주 | Windows 기본값
|
기준 권장 사항
|
더 강력한 권장 사항
|
|---|---|---|---|
| 시스템 | |||
| IPsec 드라이버 감사 | Yes | Yes |
Yes | Yes |
|
| 기타 시스템 이벤트 감사 | Yes | Yes |
||
| 보안 상태 변경 감사 | Yes | No |
Yes | Yes |
Yes | Yes |
| 보안 시스템 확장 감사 | Yes | Yes |
Yes | Yes |
|
| 시스템 무결성 감사 | Yes | Yes |
Yes | Yes |
Yes | Yes |
| 감사 정책 범주 또는 하위 범주 | Windows 기본값
|
기준 권장 사항
|
더 강력한 권장 사항
|
|---|---|---|---|
| 전역 개체 액세스 감사 | |||
| IPsec 드라이버 감사 | |||
| 기타 시스템 이벤트 감사 | |||
| 보안 상태 변경 감사 | |||
| 보안 시스템 확장 감사 | |||
| 시스템 무결성 감사 |
워크스테이션 및 서버에서 감사 정책 설정
모든 이벤트 로그 관리 계획은 워크스테이션 및 서버를 모니터링해야 합니다. 서버 또는 도메인 컨트롤러만 모니터링하는 것은 흔한 실수입니다. 악의적인 해킹은 처음에는 워크스테이션에서 발생하기 때문에 워크스테이션을 모니터링하지 않는 것은 가장 빠르고 빠른 정보 원본을 무시하는 것입니다.
관리자는 프로덕션 환경에서 구현하기 전에 감사 정책을 신중하게 검토하고 테스트해야 합니다.
모니터링할 이벤트
보안 경고를 생성하기 위한 완벽한 이벤트 ID에는 다음 특성이 포함되어야 합니다.
허가되지 않은 활동일 가능성이 높은 이벤트 발생
적은 수의 거짓 긍정
발생한 이벤트는 조사/포렌식 결과를 받을 것
다음 두 가지 유형의 이벤트를 모니터링하고 경고해야 합니다.
한 번 발생하더라도 허가되지 않은 활동을 의미하는 이벤트
예상 및 허용 기준을 초과하는 이벤트 누적
첫 번째 이벤트의 예는 다음과 같습니다.
도메인 관리자(DA)가 도메인 컨트롤러가 아닌 컴퓨터에 로그온할 수 없는 경우 최종 사용자 워크스테이션에 로그온하는 DA 멤버가 한 번 발생하면 경고를 생성하고 조사해야 합니다. 이 유형의 경고는 Audit Special Logon 이벤트 4964(새 로그온에 특수 그룹이 할당됨)를 사용하여 쉽게 생성할 수 있습니다. 단일 인스턴스 경고의 다른 예는 다음과 같습니다.
서버 A가 서버 B에 연결하지 않아야 하는 경우 서로 연결할 때 경고합니다.
일반 최종 사용자 계정이 중요한 보안 그룹에 예기치 않게 추가되면 경고합니다.
공장 위치의 직원 A가 야간에 작동하지 않는 경우 사용자가 자정에 로그온할 때 경고합니다.
권한 없는 서비스가 도메인 컨트롤러에 설치되어 있는지 경고합니다.
일반 최종 사용자가 SQL Server에 직접 로그온하려고 시도하는 경우 명확한 이유가 없는지 조사합니다.
DA 그룹에 구성원이 없고 누군가가 해당 그룹에 자신을 추가하는 경우 즉시 확인합니다.
두 번째 이벤트의 예는 다음과 같습니다.
실패한 로그온의 비정상적인 수는 암호 추측 공격을 나타낼 수 있습니다. 기업에서 비정상적으로 많은 수의 실패한 로그온에 대한 경고를 제공하려면 악의적인 보안 이벤트 전에 먼저 환경 내에서 실패한 로그온의 정상 수준을 이해해야 합니다.
손상 징후를 모니터링할 때 포함해야 하는 이벤트의 포괄적인 목록은 부록 L: 모니터링할 이벤트를 참조하세요.
모니터링할 Active Directory 개체 및 특성
다음은 Active Directory Domain Services 설치를 손상하려는 시도를 감지하는 데 도움이 되도록 모니터링해야 하는 계정, 그룹 및 특성입니다.
바이러스 백신 및 맬웨어 방지 소프트웨어의 사용 안 함 또는 제거를 위한 시스템(수동으로 사용하지 않도록 설정된 경우 자동으로 보호 다시 시작)
무단 변경에 대한 관리자 계정
권한 있는 계정을 사용하여 수행되는 활동(의심스러운 활동이 완료되거나 할당된 시간이 만료되면 자동으로 계정 제거)
AD DS의 권한 있는 계정 및 VIP 계정 계정 탭의 변경 사항, 특히 특성 탭(cn, name, sAMAccountName, userPrincipalName, userAccountControl)에 대한 변경을 모니터링합니다. 계정을 모니터링하는 것 외에도 계정을 수정할 수 있는 사용자를 가능한 한 적은 수의 관리 사용자 집합으로 제한합니다.
모니터링할 권장 이벤트 목록, 중요도 등급 및 이벤트 메시지 요약은 부록 L: 모니터링할 이벤트를 참조하세요.
워크로드 분류를 통해 서버를 그룹화하여 가장 면밀하게 모니터링하고 가장 엄격하게 구성해야 하는 서버를 신속하게 식별할 수 있습니다.
다음 AD DS 그룹의 속성 및 멤버 자격 변경: EA(엔터프라이즈 관리자), DA(도메인 관리자), BA(관리자) 및 SA(스키마 관리자)
계정을 사용하도록 설정하기 위한 권한 있는 계정(예: Active Directory 및 멤버 시스템의 기본 제공 관리자 계정) 사용 안 함
계정에 대한 모든 쓰기를 기록하는 관리 계정
서버의 공격 노출 영역을 줄이기 위해 서비스, 레지스트리, 감사 및 방화벽 설정을 구성하는 기본 제공 보안 구성 마법사입니다. 관리 호스트 전략의 일부로 점프 서버를 구현하는 경우 이 마법사를 사용합니다.
Active Directory Domain Services 모니터링에 대한 추가 정보
AD DS 모니터링에 대한 자세한 내용은 다음 링크를 검토하십시오.
Global Object Access Auditing is Magic - Windows 7 및 Windows Server 2008 R2에 추가된 고급 감사 정책 구성 및 사용에 대한 정보를 제공합니다.
Windows 2008의 감사 변경 사항 소개 - Windows 2008의 감사 변경 사항을 소개합니다.
Cool Auditing Tricks in Vista and 2008 - 문제를 해결하거나 사용자 환경에서 발생하는 상황을 확인하는 데 사용할 수 있는 Windows Vista 및 Windows Server 2008의 흥미로운 새 감사 기능에 대해 설명합니다.
Windows Server 2008 및 Windows Vista의 감사에 대 한 원스톱 해결책 - 컴파일 감사 기능 및 Windows Server 2008 및 Windows Vista에 포함 된 정보를 포함합니다.
AD DS 감사 단계별 가이드 -Windows Server 2008의 새로운 Active Directory 도메인 서비스 (AD DS) 감사 기능을 기술합니다. 이 새로운 기능을 구현 하는 절차를 제공 합니다.
보안 이벤트 ID 권장 사항의 일반 목록
모든 이벤트 ID 권장 사항에는 다음과 같이 중요도 등급이 함께 제공됩니다.
높음: 중요도가 높은 이벤트 ID는 항상 즉시 경고를 받고 조사해야 합니다.
중간: 중요 등급이 중간인 이벤트 ID는 악의적인 활동을 나타낼 수 있지만 다른 이상(예: 특정 기간에 발생하는 비정상적인 숫자, 예기치 않은 발생 또는 일반적으로 이벤트를 기록하지 않을 것으로 예상되는 컴퓨터에서 발생)을 동반해야 합니다. 중간 중요도 이벤트는 메트릭으로 수집되고 시간에 따라 비교될 수도 있습니다.
낮음: 중요도가 낮은 이벤트가 있는 이벤트 ID는 중간 또는 높은 중요도 이벤트와 상관 관계가 없는 한 주의를 끌거나 경고를 발생시키지 않아야 합니다.
이러한 권장 사항은 관리자를 위한 기준 가이드를 제공하기 위한 것입니다. 프로덕션 환경에서 구현하기 전에 모든 권장 사항을 철저히 검토해야 합니다.
모니터링할 권장 이벤트 목록, 중요도 등급 및 이벤트 메시지 요약은 부록 L: 모니터링할 이벤트를 참조하세요.