[윈도우 보안] 로그 관리 - 원격에서 이벤트 로그 파일 접근 차단
■ 대상 OS
- Windows NT, 2000, 2003, 2008
■ 취약점 개요
- 익명으로 중요 "시스템 로그" 파일 및 "애플리케이션 로그" 파일에 접근할 수 있어 중요 보안 감사 정보의 변조, 삭제, 유출의 위험이 존재하므로 원격 익명 사용자의 시스템 로그 접근을 제한하여야 함.
※ 일반적으로 시스템 로그는 C:\winnt\system32\config 파일에 저장되지만, 애플리케이션 로그 파일은 각각의 애플리케이션마다 로그 저장 위치가 다름.
웹 서버에 많이 사용하는 IIS 경우, C:\winnt\system32\Logfiles에 저장됨.
■ 보안대책
- 양호 : 로그 디렉토리의 권한에 Everyone 권한이 없는 경우
- 취약 : 로그 디렉토리의 접근 권한이 Everyone 권한이 있는 경우
▶ 시스템 로그 디렉토리 : %systemroot%\system32\config
▶ IIS 로그 디렉토리 : %systemroot%\system32\LogFiles
■ 조치방법
- 로그 디렉토리의 접근권한에 Everyone 제거
■ 보안설정방법
◆ Windows NT, 2000, 2003, 2008
1. 탐색기 -> 로그 디렉토리 -> 속성 -> 보안
2. Everyone 제거
■ 조치 시 영향
- 일반적인 경우 영향 없음
※ 문의 사항은 메일 : jyuhm@sntkor.com 이나 070-8611-4853
'Infra > 윈도우 서버' 카테고리의 다른 글
| [윈도우 보안] 보안 관리 - 로그온 하지 않고 시스템 종료 허용 (0) | 2018.08.23 |
|---|---|
| [윈도우 보안] 보안 관리 - SAM 파일 접근 통제 설정 (0) | 2018.08.22 |
| [윈도우 보안] 로그 관리 - 이벤트 로그 관리 설정 (0) | 2018.08.21 |
| [윈도우 보안] 로그 관리 - 원격으로 액세스 할 수 있는 레지스트리 경로 (0) | 2018.08.21 |
| [윈도우 보안] 로그 관리 - 로그의 정기적 검토 및 보고 (0) | 2018.08.21 |
