[보안감사 3탄] 파일 삭제 감사(Audit); 누가 언제 내 파일을 삭제 하였나?
지난주 Workshop으로 남이섬을 다녀 왔는데 벌써 봄기운이 느껴지더군요.
추위를 잘타는 체질이라 따뜻함을 한껏 느끼고 돌아 왔습니다. ^^
이번 포스트는 누군가 중요 파일을 삭제 하였는지 감사하기 위한 설정과 감사 방법입니다.
[파일 감사를 위한 구성환경]
공유 파일 위치: 컴퓨터 W2K3SP1
연결 클라이언트: XPSP2sk
테스트 계정: DELTEST, TESTDEL
삭제할 파일: C:\TEST 폴더 안의 test1.txt, test2.txt, test3.txt
1. 해당 폴더에 다음과 같이 ‘삭제’에 대한 감사를 설정 합니다. (감사 설정은 해당 폴더의 등록정보 > 보안 > 고급 > 감사로 이동합니다)
![clip_image002[7]](http://blogs.technet.com/blogfiles/sankim/WindowsLiveWriter/3_9F2B/clip_image002%5B7%5D_thumb.jpg)
2. 정책 편집기에서 ‘개체 액세스 감사’의 ‘성공’감사를 설정합니다.
![clip_image004[7]](http://blogs.technet.com/blogfiles/sankim/WindowsLiveWriter/3_9F2B/clip_image004%5B7%5D_thumb.jpg)
[TEST Step]
1. 클라이언트 컴퓨터에서 DELTEST라는 계정으로 해당 폴더에 액세스 하여 test3.txt 파일을 삭제 합니다.
| 삭제 후 Security 이벤트 로그 성공 감사 2007-06-29 오전 10:39:48 Security 개체 액세스 564 DELTEST W2K3SP1 성공 감사 2007-06-29 오전 10:39:48 Security 개체 액세스 567 DELTEST W2K3SP1 성공 감사 2007-06-29 오전 10:39:48 Security 개체 액세스 560 DELTEST W2K3SP1 |
2. 클라이언트 컴퓨터에서 TESTDEL라는 계정으로 해당 폴더에 액세스 하여 test2.txt 파일을 삭제 합니다.
| 삭제 후 Security 이벤트 로그 성공 감사 2007-06-29 오전 10:50:45 Security 개체 액세스 564 TESTDEL W2K3SP1 성공 감사 2007-06-29 오전 10:50:45 Security 개체 액세스 567 TESTDEL W2K3SP1 성공 감사 2007-06-29 오전 10:50:45 Security 개체 액세스 560 TESTDEL W2K3SP1 |
3. 로컬에서 Administrator 계정으로 계정으로 해당 폴더에 액세스 하여 test1.txt 파일을 삭제 합니다.
| 삭제 후 Security 이벤트 로그 성공 감사 2007-06-29 오전 10:53:36 Security 개체 액세스 564 Administrator W2K3SP1 성공 감사 2007-06-29 오전 10:53:36 Security 개체 액세스 567 Administrator W2K3SP1 성공 감사 2007-06-29 오전 10:53:36 Security 개체 액세스 560 Administrator W2K3SP1 |
*직접 테스트한 시간과 사용자가 위 로그 동일 합니다.
삭제된 파일과 좀더 자세한 정보를 보시기 위해서는 해당 로그의 속성을 확인 합니다.
| 삭제를 위한 Access 정보 이벤트 형식: 성공 감사 이벤트 원본: Security 이벤트 범주: 개체 액세스 이벤트 ID: 560 날짜: 2007-06-29 시간: 오전 10:39:48 사용자: SPTEST\DELTEST => 해당 파일을 삭제하기 위해 Access한 사용자 컴퓨터: W2K3SP1 설명: 개체 열기: 개체 서버: Security 개체 종류: File 개체 이름: C:\TEST\TEST3.txt => 삭제할 파일 경로 및 이름 핸들 ID: 6304 => 이 작업을 위한 핸들 작업 ID: {0,187663} 프로세스 ID: 4 이미지 파일 이름: 기본 사용자 이름: W2K3SP1$ 기본 도메인: SPTEST 기본 로그온 ID: (0x0,0x3E7) Client 사용자 이름: DELTEST 클라이언트 도메인: SPTEST 클라이언트 로그온ID: (0x0,0x2D9F0) 액세스: DELETE => Delete 하기 위한 Access ReadAttributes 사용 권한: - 제한된 Sid 카운트: 0 액세스 마스크: 0x10080 |
| 이벤트 형식: 성공 감사 이벤트 원본: Security 이벤트 범주: 개체 액세스 이벤트 ID: 567 날짜: 2007-06-29 시간: 오전 10:39:48 사용자: SPTEST\DELTEST 컴퓨터: W2K3SP1 설명: 시도한 개체 액세스: 개체 서버: Security 핸들 ID: 6304 개체 종류: File 프로세스 ID: 4 이미지 파일 이름: 액세스: DELETE 액세스 마스크: 0x10000 삭제가 성공했음을 확인 할 수 있는 로그 |
| 이벤트 형식: 성공 감사 이벤트 원본: Security 이벤트 범주: 개체 액세스 이벤트 ID: 564 날짜: 2007-06-29 시간: 오전 10:39:48 사용자: SPTEST\DELTEST 컴퓨터: W2K3SP1 설명: 삭제된 개체: => 개체 서버: Security 핸들 ID: 6304 => 위 560 작업임을 나타내는 동일한 핸들 ID 프로세스 ID: 4 이미지 파일 이름: |
그러므로 이 로그로 DELTEST라는 사용자가 2007-06-29 오전 10:39:48에 C:\TEST\TEST3.txt 파일을 삭제 했음을 확인 할 수 있습니다.
[결론]
Security 564가 있으면 어떠한 객체가 삭제 되었음을 의미합니다. 그러므로 삭제된 파일 정보가 필요하다면 Security 560과 564가 쌍을 이루어 나타나게 되므로 이벤트 로그에서 Security 564를 필터로 검색한 뒤 바로 이전에 생성된 Security 560 정보를 확인 합니다.
*이전에 보안 감사 시리즈는 아래 링크를 참고하세요
[보안감사 2탄] 언제/누가/어떻게 원격에서 로그온 했는지 Audit 해보자!
http://blogs.technet.com/sankim/archive/2007/07/05/2-audit.aspx
[보안감사] 누가 사용자 계정을 삭제 하였나? - AD 환경에서 계정 삭제 감사(Audit) 방법
http://blogs.technet.com/sankim/archive/2007/07/05/ad.aspx
