Sankim's Blog : Security

[보안감사 3탄] 파일 삭제 감사(Audit); 누가 언제 내 파일을 삭제 하였나?

sankim — Mon, 10 Mar 2008 05:22:00 GMT

지난주 Workshop으로 남이섬을 다녀 왔는데 벌써 봄기운이 느껴지더군요.

추위를 잘타는 체질이라 따뜻함을 한껏 느끼고 돌아 왔습니다. ^^

이번 포스트는 누군가 중요 파일을 삭제 하였는지 감사하기 위한 설정과 감사 방법입니다.

[파일 감사를 위한 구성환경]

공유 파일 위치: 컴퓨터 W2K3SP1

연결 클라이언트: XPSP2sk

테스트 계정: DELTEST, TESTDEL

삭제할 파일: C:\TEST 폴더 안의 test1.txt, test2.txt, test3.txt

1. 해당 폴더에 다음과 같이 ‘삭제’에 대한 감사를 설정 합니다. (감사 설정은 해당 폴더의 등록정보 > 보안 > 고급 > 감사로 이동합니다)

2. 정책 편집기에서 ‘개체 액세스 감사’의 ‘성공’감사를 설정합니다.

[TEST Step]

1. 클라이언트 컴퓨터에서 DELTEST라는 계정으로 해당 폴더에 액세스 하여 test3.txt 파일을 삭제 합니다.

삭제 후 Security 이벤트 로그

성공 감사 2007-06-29 오전 10:39:48 Security 개체 액세스 564 DELTEST W2K3SP1

성공 감사 2007-06-29 오전 10:39:48 Security 개체 액세스 567 DELTEST W2K3SP1

성공 감사 2007-06-29 오전 10:39:48 Security 개체 액세스 560 DELTEST W2K3SP1

2. 클라이언트 컴퓨터에서 TESTDEL라는 계정으로 해당 폴더에 액세스 하여 test2.txt 파일을 삭제 합니다.

삭제 후 Security 이벤트 로그

성공 감사 2007-06-29 오전 10:50:45 Security 개체 액세스 564 TESTDEL W2K3SP1

성공 감사 2007-06-29 오전 10:50:45 Security 개체 액세스 567 TESTDEL W2K3SP1

성공 감사 2007-06-29 오전 10:50:45 Security 개체 액세스 560 TESTDEL W2K3SP1

3. 로컬에서 Administrator 계정으로 계정으로 해당 폴더에 액세스 하여 test1.txt 파일을 삭제 합니다.

삭제 후 Security 이벤트 로그

성공 감사 2007-06-29 오전 10:53:36 Security 개체 액세스 564 Administrator W2K3SP1

성공 감사 2007-06-29 오전 10:53:36 Security 개체 액세스 567 Administrator W2K3SP1

성공 감사 2007-06-29 오전 10:53:36 Security 개체 액세스 560 Administrator W2K3SP1

*직접 테스트한 시간과 사용자가 위 로그 동일 합니다.

삭제된 파일과 좀더 자세한 정보를 보시기 위해서는 해당 로그의 속성을 확인 합니다.

삭제를 위한 Access 정보

이벤트 형식: 성공 감사

이벤트 원본: Security

이벤트 범주: 개체 액세스

이벤트 ID: 560

날짜: 2007-06-29

시간: 오전 10:39:48

사용자: SPTEST\DELTEST => 해당 파일을 삭제하기 위해 Access한 사용자

컴퓨터: W2K3SP1

설명:

개체 열기:

개체 서버: Security

개체 종류: File

개체 이름: C:\TEST\TEST3.txt => 삭제할 파일 경로 및 이름

핸들 ID: 6304 => 이 작업을 위한 핸들

작업 ID: {0,187663}

프로세스 ID: 4

이미지 파일 이름:

기본 사용자 이름: W2K3SP1$

기본 도메인: SPTEST

기본 로그온 ID: (0x0,0x3E7)

Client 사용자 이름: DELTEST

클라이언트 도메인: SPTEST

클라이언트 로그온ID: (0x0,0x2D9F0)

액세스: DELETE => Delete 하기 위한 Access

ReadAttributes

사용 권한: -

제한된 Sid 카운트: 0

액세스 마스크: 0x10080

이벤트 형식: 성공 감사

이벤트 원본: Security

이벤트 범주: 개체 액세스

이벤트 ID: 567

날짜: 2007-06-29

시간: 오전 10:39:48

사용자: SPTEST\DELTEST

컴퓨터: W2K3SP1

설명:

시도한 개체 액세스:

개체 서버: Security

핸들 ID: 6304

개체 종류: File

프로세스 ID: 4

이미지 파일 이름:

액세스: DELETE

액세스 마스크: 0x10000

삭제가 성공했음을 확인 할 수 있는 로그

이벤트 형식: 성공 감사

이벤트 원본: Security

이벤트 범주: 개체 액세스

이벤트 ID: 564

날짜: 2007-06-29

시간: 오전 10:39:48

사용자: SPTEST\DELTEST

컴퓨터: W2K3SP1

설명:

삭제된 개체: =>

개체 서버: Security

핸들 ID: 6304 => 위 560 작업임을 나타내는 동일한 핸들 ID

프로세스 ID: 4

이미지 파일 이름:

그러므로 이 로그로 DELTEST라는 사용자가 2007-06-29 오전 10:39:48에 C:\TEST\TEST3.txt 파일을 삭제 했음을 확인 할 수 있습니다.

[결론]

Security 564가 있으면 어떠한 객체가 삭제 되었음을 의미합니다. 그러므로 삭제된 파일 정보가 필요하다면 Security 560과 564가 쌍을 이루어 나타나게 되므로 이벤트 로그에서 Security 564를 필터로 검색한 뒤 바로 이전에 생성된 Security 560 정보를 확인 합니다.

*이전에 보안 감사 시리즈는 아래 링크를 참고하세요

[보안감사 2탄] 언제/누가/어떻게 원격에서 로그온 했는지 Audit 해보자!

http://blogs.technet.com/sankim/archive/2007/07/05/2-audit.aspx

[보안감사] 누가 사용자 계정을 삭제 하였나? - AD 환경에서 계정 삭제 감사(Audit) 방법

http://blogs.technet.com/sankim/archive/2007/07/05/ad.aspx

[보안감사 2탄] 언제/누가/어떻게 원격에서 로그온 했는지 Audit 해보자!

sankim — Thu, 05 Jul 2007 11:09:00 GMT

아래 보안감사에 이은 2탄 입니다.

질문: 원격에서 로그온한 사용자를 감사(Thanks가 아니라 audit )하고 싶다, 즉 누가 원격에서 액세스했는지 알고 싶다.

해답:

원격에서 로그온한 사용자의 정보와 사용자 Action을 보안 감사를 통해서 확인하실 수 있습니다, 보안 감사를 설정하시고 아래와 같이 보안 이벤트 로그를 확인 하십시오.

원격에서 사용자가 원격로그인 했을때 해당 로그온을 허락한 컴퓨터는 Event ID 540 발생합니다. (콘솔로 직접 연결한 경우는 EventID 528이 발생합니다)

[위 이벤트 로그 전체 내용입니다]

이벤트 형식: 성공 감사

이벤트 원본: Security

이벤트 범주: 로그온/로그오프

이벤트 ID: 540

날짜: 2006-08-31

시간: 오후 2:58:48

사용자: I-SANKIM02\Administrator

컴퓨터: I-SANKIM02

설명:

성공적 네트워크 로그온:

사용자 이름: Administrator => 로컬에 로그인한 계정

도메인: I-SANKIM02

로그온 ID: (0x0,0x6C9F6D)

로그온 유형: 3 => 로그온 Type, 3의 경우 네트워크에서 연결했음을 의미

로그온 프로세스: NtLmSsp

인증 패키지: NTLM

워크스테이션 이름: SANKIM01 => 원격에서 연결한 컴퓨터 이름

로그온 GUID: -

호출자 사용자 이름: -

호출자 도메인: -

호출자 로그온 ID: -

호출자 프로세스 ID: -

전송된 서비스: -

원본 네트워크 주소: 157.60.9.137 => 원격 컴퓨터의 IP

원본 포트: 0

결론적으로 위 로그를 보고 2006년 8월 31일 오후 2시 58분에 IP 157.60.9.137인 SANKIM01 컴퓨터가 Administrator 계정으로 네트워크를 통해 로그온 했음을 알 수 있습니다.

[아래는 로그온 Type 에 대한 설명 입니다]

Logon type 2 Interactive: A user logged on to this computer.

Logon type 3 Network: A user or computer logged on to this computer from the network.

Logon type 4 Batch: Batch logon type is used by batch servers, where processes may be executing on behalf of a user without their direct intervention.

Logon type 5 Service: A service was started by the Service Control Manager.

Logon type 7 Unlock: This workstation was unlocked.

Logon type 8 NetworkCleartext: A user logged on to this computer from the network. The user's password was passed to the authentication package in its unhashed form. The built-in authentication packages all hash credentials before sending them across the network. The credentials do not traverse the network in plaintext (also called cleartext).

Logon type 9 NewCredentials: A caller cloned its current token and specified new credentials for outbound connections. The new logon session has the same local identity, but uses different credentials for other network connections.

Logon type 10 RemoteInteractive: A user logged on to this computer remotely using Terminal Services or Remote Desktop.

Logon type 11 CachedInteractive: A user logged on to this computer with network credentials that were stored locally on the computer. The domain controller was not contacted to verify the credentials.

[관련문서]

Audit logon events

http://technet2.microsoft.com/WindowsServer/en/library/e104c96f-e243-41c5-aaea-d046555a079d1033.mspx?mfr=true

Auditing User Authentication

http://support.microsoft.com/kb/174073

W2K and NT Security Event Log Descriptions

http://www.windowsnetworking.com/nt/atips/atips155.shtml

*실제 보안 로그를 보면 엄청난 양의 로그로 질리기 부터 할때가 있습니다. 꼭 이벤트 뷰어의 필터를 이용하십시오.

**3년전엔가 15대의 보안 로그를 일주일 넘게 분석했던 기억이.. 죽는줄 알았습니다..

[보안감사] 누가 사용자 계정을 삭제 하였나? - AD 환경에서 계정 삭제 감사(Audit) 방법

sankim — Thu, 05 Jul 2007 10:32:00 GMT

"AD 환경에서 누군가 계정을 삭제 했다 누가 언제 삭제 했는지 알고 싶다"를 가지고 문의가 종종 들어 옵니다.

그래서 간단하게 아래와 같이 정리해 보았습니다.

*시나리오는 Test라는 계정이 삭제된것으로 하였습니다.

1. Default domain policy에서 아래 같이 계정 관리 감사, 개체 액세스 감사, 디렉터리 서비스 액세스 감사 를 설정 합니다ㅏ.

2. GPUPDATE /force를 실행합니다.

3. 계정이 삭제 되면 '이벤트 뷰어 > 보안'를 열어 아래와 같은 이벤트를 확인 합니다.

삭제된 계정 확인은 원본: Security, 범주: 계정 관리, 이벤트 ID: 640 의 설명 부분에 삭제된 계정과 호출자 등의 정보를 확인 할 수 있습니다. 설명 부분의 속성을 보면 Delete라고 되어 있습니다.

도메인 환경에서 패스워드 정책이 적용되지 않는 원인 [Bydesign]

sankim — Mon, 11 Jun 2007 10:37:00 GMT

일반적으로 도메인 관리자들은 서로 다른 OU를 생성한 뒤 각 OU 별로 서로 다른 패스워드 정책을 설정 하려고 하는 경우가 많이 있습니다, 그런데 이때 정책이 적용되지 않아 의아해 하시는 분들이 많이 있습니다.(경험해보지 못하신 분들께서는 한번 테스트해 보시죠)

원인은 패스워드 정책은 오직 도메인 레벨(Domain Level)에서만 적용될 수 있기 때문입니다. 간단히 말씀드리면 AD 초기에 생성된 '기본 도메인 정책(Default domain policy)'에서 설정한 패스워드 정책만이 클라이언트에 적용됩니다.

이는 Bydesign으로 패스워드 정책은 Active Directory의 Domain Object의 Attribute로 저장되기 때문입니다. 그러므로 다른 OU와 같은 Object에서 생성한 정책은 속성에 정책 자체를 저장할 수 없으므로 클라이언트가 정책을 가져가서 적용하더라도 해당 적책이 적용되지 않습니다.

[참고]
Changes are not applied when you change the password policy
http://support.microsoft.com/default.aspx?scid=kb;en-us;269236

SYMPTOMS
When you change the password policy, the changes are not applied as expected.
Back to the top

CAUSE
This issue can occur in either of the following scenarios:
-The Block Policy Inheritance option is enabled on the Domain Controllers organizational unit.
-The password policy is not set in the Default Domain policy.