Windows 2000에서 보안 감사를 설정 및 적용하는 방법

기술 자료 번역 기술 자료 번역
기술 자료: 300549 - 이 문서가 적용되는 제품 보기.
이 문서는 이전에 다음 ID로 출판되었음: KR300549
모두 확대 | 모두 축소

이 페이지에서

요약

이 문서에서는 Windows 보안 감사를 설정하고 적용하는 방법을 단계별로 설명합니다.

Windows 보안 감사 설정

액세스 권한이 없는 사용자로부터 정보 및 서비스 리소스를 보호하는 동시에 권한 있는 사용자는 리소스를 사용할 수 있도록 하는 것이 중요합니다. 이 문서는 Windows 2000 보안 기능을 사용하여 리소스에 대한 액세스를 감사하는 방법을 설명합니다.

보안 로그를 구성하여 디렉터리와 파일 액세스 또는 서버 이벤트에 대한 정보를 기록할 수 있습니다. Microsoft Management Console(MMC)의 감사 정책을 사용하여 이 수준의 감사를 설정할 수 있습니다. 이러한 이벤트는 Windows 보안 로그에 기록됩니다. 보안 로그는 유효하거나 유효하지 않은 로그온 시도 같은 보안 이벤트뿐만 아니라 파일을 만들거나 열거나 삭제하는 등의 리소스 사용과 관련된 이벤트를 기록할 수 있습니다. 어떤 이벤트를 감사하고 보안 로그에 표시할 것인지 제어하려면 관리자로 로그온해야 합니다.

중요: Windows 2000에서 파일과 폴더에 대한 액세스를 감사하려면 그룹 정책 스냅인을 사용하여 감사 정책에서 개체 액세스 감사를 설정해야 합니다. 그렇지 않으면 파일과 폴더에 대한 감사를 설정할 때 오류 메시지가 표시되고 파일이나 폴더가 감사되지 않습니다. 그룹 정책에서 감사를 설정한 후에 이벤트 뷰어에서 보안 로그를 확인하여 대상 파일과 폴더에 대한 감사의 성공 또는 실패 여부를 검토하십시오.

Windows 보안 감사를 설정하려면 다음과 같이 하십시오.
  1. 관리자 권한이 있는 계정으로 Windows 2000에 로그온합니다. 다른 사용자에게 감사 설정 권한을 부여하려면 이 문서의 "참조" 절에 있는 "다른 계정을 설정하여 감사를 구성하는 방법" 절을 참조하십시오.
  2. 그룹 정책 스냅인이 설치되어 있는지 확인합니다. 설치되어 있지 않으면 이 문서의 "참조" 절에 있는 "그룹 정책 스냅인을 설치하는 방법" 절의 지시에 따라 설치합니다.
  3. 시작을 누르고 설정을 가리킨 후 제어판을 누릅니다.
  4. 관리 도구를 두 번 누릅니다.
  5. 로컬 보안 정책을 두 번 눌러 로컬 보안 설정 MMC 스냅인을 시작합니다.
  6. 로컬 정책을 두 번 눌러 확장하고 감사 정책을 두 번 누릅니다.
  7. 오른쪽 창에서 설정하거나 해제하려는 정책을 두 번 누릅니다.
  8. 로그온과 로그오프에 대해 성공(성공한 보안 액세스 시도 감사) 및 실패(실패한 보안 액세스 시도 감사) 확인란을 선택합니다. 예를 들어 이 설정에서는 사용자가 시스템에 로그온하려는 시도가 성공하면 성공 감사 이벤트로 기록됩니다. 사용자가 네트워크 드라이브에 액세스를 시도하여 실패하면 이 시도는 실패 감사 이벤트로 기록됩니다.
  9. Microsoft Internet Information Services(IIS) 버전 5.0을 실행하는 웹 서버에 대해 감사를 설정하는 경우, 이 문서의 "참조" 절에 있는 "Windows 2000과 Internet Information Services 5.0을 실행하는 웹 서버 감사를 위한 권장 사항"에서 제안하는 감사 목록을 참조하십시오.
참고: 사용자가 도메인의 구성원이고 도메인 수준의 정책이 정의된 경우 도메인 수준 설정이 로컬 정책 설정보다 우선합니다.

Active Directory가 설정되어 있으면 관리자가 Active Directory에 대한 액세스를 모니터링할 수 있어 성공한 감사 시도와 "실패한" 감사 시도가 디렉터리 서비스 이벤트 로그에 기록됩니다. 이 이벤트 로그는 Windows 2000 도메인 컨트롤러에서만 제공됩니다.

Active Directory의 감사를 설정하려면 다음과 같이 하십시오.
  1. 관리자 권한이 있는 계정으로 Windows 2000에 로그온합니다. 다른 사용자에게 감사 설정 권한을 부여하려면 아래의 참조 절을 읽어보십시오.
  2. 그룹 정책 스냅인이 설치되어 있는지 확인합니다. 설치되어 있지 않으면 아래 절에 나열된 지시에 따라 설치합니다.
  3. 시작을 누르고 프로그램을 가리킨 후 관리 도구를 가리켜 Active Directory 사용자 및 컴퓨터를 시작합니다.
  4. 보기 메뉴에서 고급 기능을 누릅니다.
  5. Domain Controllers 컨테이너를 마우스 오른쪽 단추로 누르고 속성을 누릅니다.
  6. 그룹 정책 탭을 누릅니다.
  7. Default Domain Controller Policy를 누른 다음 편집을 누릅니다.
  8. 컴퓨터 구성, Windows 설정, 보안 설정, 로컬 정책감사 정책을 각각 차례로 두 번씩 눌러 엽니다.
  9. 오른쪽 창에서 디렉터리 서비스 액세스 감사를 엽니다.
  10. 이 정책 설정 정의 확인란을 선택하고 성공, 실패 중 적절한 옵션을 선택하거나 둘 다 선택합니다.
  11. IIS 5.0 웹 서버에 대해 감사를 설정하는 경우 이 문서의 "참조" 절에 있는 "Windows 2000과 Internet Information Services 5.0을 실행하는 웹 서버 감사를 위한 권장 사항"에서 제안하는 감사 목록을 참조하십시오.
참고: Windows 2000에서 도메인 컨트롤러는 5분마다 정책 변경을 폴링합니다. 엔터프라이즈의 다른 도메인 컨트롤러는 이 간격에 복제 시간을 더한 시간마다 변경을 수신합니다.

참고: 감사 항목 대화 상자의 액세스 아래에 있는 확인란이 회색으로 표시되거나 액세스 컨트롤 설정 대화 상자에서 제거 단추를 사용할 수 없으면 감사가 부모 폴더에서 상속된 것입니다. 보안 로그의 크기는 제한되어 있기 때문에 감사할 파일과 폴더를 신중하게 선택하십시오. 또한 보안 로그에 전용으로 사용할 디스크 공간 크기도 고려하십시오. 최대 크기는 이벤트 뷰어에서 정의됩니다.

Windows 2000 Server의 이벤트 감사

Windows 파일이나 폴더 감사 설정, 보기, 변경 또는 제거

사용자가 기밀 파일이나 폴더에 액세스를 시도할 때와 같은 보안 관련 이벤트를 검색하고 기록하도록 감사를 설정합니다. 감사 개체가 특정한 방법으로 액세스될 때마다 Windows 2000 보안 로그에 해당 항목이 기록됩니다. 감사 개체, 동작을 감사할 사용자, 감사할 동작의 정확한 유형을 결정합니다. 감사를 설정한 후에는 특정 개체에 액세스하는 사용자를 추적하고 보안 위반을 분석할 수 있습니다. 감사 추적을 확인하면 작업을 수행한 사용자와 허용되지 않은 작업을 수행하려고 시도한 사용자를 알 수 있습니다.

감사를 설정하려면 다음과 같이 하십시오.
  1. 시작을 누르고 프로그램, 보조프로그램을 차례로 가리킨 후 Windows 탐색기를 눌러 Windows 탐색기를 시작한 다음, 감사할 파일이나 폴더를 찾습니다.
  2. 파일이나 폴더를 마우스 오른쪽 단추로 누르고 등록 정보를 누른 후 보안 탭을 누릅니다.
  3. 고급을 누르고 감사 탭을 누릅니다.
  4. 해당되면 다음 중 하나를 수행합니다.
    1. 새 그룹이나 사용자에 대해 감사를 설정하려면 다음과 같이 하십시오.
      1. 추가를 누릅니다. 이름 상자에 감사할 사용자 이름을 입력합니다.
      2. 확인을 누르면 감사 항목 대화 상자가 자동으로 열립니다.
    2. 기존 그룹 또는 사용자에 대한 감사를 보거나 변경하려면 이름을 누르고 보기/편집을 누릅니다.
    3. 기존 그룹 또는 사용자에 대한 감사를 제거하려면 이름을 누르고 제거를 누릅니다.
  5. 액세스에서 감사할 액세스 유형에 따라 성공 또는 실패를 누르거나 성공실패를 모두 누릅니다.
  6. 트리의 파일과 하위 폴더에 이러한 감사 항목을 상속하지 않도록 하려면 이 컨테이너에 있는 개체 및/또는 컨테이너에 감사 항목 적용 확인란을 선택합니다.

무단 액세스를 검색하도록 감사

Windows 보안 로그에서 무단 액세스 시도를 검색할 수 있으며, 이러한 시도는 경고나 오류 로그 항목으로 나타날 수 있습니다. 나중에 사용하기 위해 이 로그를 보관할 수도 있습니다.

Windows 보안 로그를 검토하여 가능한 보안 문제를 검색하려면 다음과 같이 하십시오.
  1. 시작을 누르고 설정을 가리킨 후 제어판을 누릅니다.
  2. 관리 도구를 두 번 누르고 컴퓨터 관리를 두 번 누릅니다.
  3. 시스템 도구를 확장하고 이벤트 뷰어를 확장합니다.
  4. 보안 로그를 누릅니다.

    참고: 보안 로그를 볼 수 없는 경우 사용 중인 사용자 계정에 해당 권한이 없는 것입니다. 이 문제는 도메인 수준 보안 정책이 로컬 컴퓨터 수준 보안 정책보다 우선하기 때문에 발생합니다. 즉, 로컬 컴퓨터의 관리자로 로그온할 수 있지만 컴퓨터의 보안 로그에는 액세스하지 못합니다. 이러한 사용 권한을 얻으려면 네트워크 관리자에게 문의하십시오. 보안 정책에 대한 자세한 내용은 Windows 설명서를 참조하십시오.
  5. 다음 이벤트를 포함하여 의심이 되는 보안 이벤트가 있는지 로그를 살펴 보십시오.
    • 잘못된 로그온 이벤트
    • 성공하지 못한 사용 권한 사용
    • .bat 또는 .cmd 파일을 액세스하고 수정하려는 성공하지 못한 시도
    • 보안 사용 권한이나 감사 로그를 변경하려는 시도
    • 서버를 종료하려는 시도

Windows 보안 로그 작업

Windows 보안 로그를 보관하는 방법

Windows 보안 로그를 보관하려면 다음과 같이 하십시오.
  1. 시작을 누르고 설정을 가리킨 후 제어판을 누릅니다.
  2. 관리 도구를 두 번 누르고 컴퓨터 관리를 두 번 누릅니다.
  3. 시스템 도구를 확장하고 이벤트 뷰어를 확장합니다.
  4. 보안을 누릅니다.
  5. 동작 메뉴에서 다른 이름으로 로그 파일 저장을 누릅니다.
  6. 다른 이름으로 저장 대화 상자에서 파일을 저장할 디렉터리를 누르고 파일 이름을 입력합니다.
참고: 보안 로그는 이벤트 파일(.evt), 텍스트 파일(.txt) 또는 쉼표로 구분된 파일(.csv)로 저장할 수 있습니다.

보관된 Windows 보안 로그를 여는 방법

보관된 Windows 보안 로그를 열려면 다음과 같이 하십시오.
  1. 시작을 누르고 설정을 가리킨 후 제어판을 누릅니다.
  2. 관리 도구를 두 번 누르고 컴퓨터 관리를 두 번 누릅니다.
  3. 시스템 도구를 확장하고 이벤트 뷰어를 확장합니다.
  4. 로그 메뉴에서 보안을 누릅니다.
  5. 동작 메뉴에서 로그 파일 열기를 누릅니다.
  6. 열기 대화 상자에서 앞서 저장한 로그를 누르거나 찾는 위치 목록의 위치로 변경하고 파일을 찾습니다.
  7. 로그 종류 목록에서 보안을 누릅니다.
  8. 확인을 눌러 뷰어에서 파일을 엽니다.

문제 해결

보안 로그의 크기는 제한되어 있기 때문에 감사할 파일과 폴더를 신중하게 선택하십시오. 또한 보안 로그 전용으로 사용할 디스크 공간 크기도 고려하십시오. 최대 크기는 이벤트 뷰어에서 정의됩니다.

중요: Windows 2000에서 파일과 폴더에 대한 액세스를 감사하려면 그룹 정책 스냅인을 사용하여 감사 정책에서 개체 액세스 감사를 설정해야 합니다. 개체 액세스 감사를 설정하지 않으면 파일과 폴더에 대한 감사를 설정할 때 오류 메시지가 표시되고 파일이나 폴더가 감사되지 않습니다. 그룹 정책에서 감사를 설정한 후에 이벤트 뷰어에서 보안 로그를 보고 감사하는 파일과 폴더에 대한 시도가 성공했는지 실패했는지 검토하십시오.




참조

그룹 정책 스냅인을 설치하는 방법

이 문서에서 설명하는 감사 기능을 사용하려면 그룹 정책 스냅인을 설치해야 합니다. 이 스냅인은 컴퓨터 관리 콘솔에 포함되어 있지 않으며 그룹 정책 스냅인을 위한 새 콘솔을 만들어야 합니다. MMC 스냅인 추가에 대한 자세한 내용은 Windows 2000 설명서를 참조하십시오.

MMC 콘솔을 새로 만들고 그룹 정책 스냅인을 추가하려면 다음과 같이 하십시오.
  1. 시작을 누르고 실행을 누릅니다. 열기 대화 상자에 mmc를 입력하여 새로운 MMC 콘솔을 시작합니다.
  2. 콘솔 메뉴에서 스냅인 추가/제거를 누릅니다.
  3. 스냅인 추가/제거 대화 상자에서 추가를 누릅니다.
  4. 독립 실행형 스냅인 추가 대화 상자의 사용 가능한 스냅인 목록에서 그룹 정책을 누르고 추가를 누릅니다.
  5. 그룹 정책 개체 선택 대화 상자에서 마침을 눌러 로컬 컴퓨터를 감사하거나 찾아보기를 눌러 감사할 컴퓨터를 찾습니다.
  6. 찾아보기를 누른 경우 7단계를 진행하고, 마침을 누른 경우 9단계로 갑니다.
  7. 그룹 정책 개체 찾아보기 대화 상자에서 컴퓨터 탭을 누르고 다른 컴퓨터를 누른 후 감사할 컴퓨터를 찾아 확인을 누릅니다.
  8. 그룹 정책 개체 선택 대화 상자에서 마침을 누릅니다.
  9. 독립 실행형 스냅인 추가 대화 상자를 닫습니다.
  10. 확인을 누릅니다.
  11. 콘솔 메뉴에서 저장을 선택하여 새로운 콘솔을 하드 디스크에 저장합니다. 이 콘솔은 감사 기능을 구성하는 데 사용됩니다.

다른 계정을 사용하여 감사를 구성하는 방법

기본적으로 Administrators 그룹의 구성원에만 감사를 구성할 권한이 있습니다. 그룹 정책에서 감사 관리와 보안 로그 권한을 부여하여 서버 이벤트의 감사를 구성하는 작업을 다른 사용자 계정에 위임할 수 있습니다.

감사를 구성할 계정을 설정하려면 다음과 같이 하십시오.
  1. 사용자가 만든 그룹 정책 콘솔에서 아래 순서대로 다음 메뉴를 확장합니다.
    1. 컴퓨터 구성
    2. Windows 설정
    3. 보안 설정
    4. 로컬 정책
    5. 사용자 권한 할당
  2. 감사 및 보안 로그 관리, 동작, 보안을 차례로 누릅니다.
  3. 감사 및 보안 로그 관리 대화 상자에서 추가를 누릅니다.

    참고: 추가 단추가 흐리게 표시되어 사용할 수 없으면 로컬 정책에서 제외 확인란의 선택을 취소하여 추가 단추를 활성화합니다.
  4. 목록에서 적절한 사용자나 사용자 그룹을 누르고 추가를 누릅니다. 확인을 누릅니다.

Windows 2000 IIS 5.0 웹 서버 감사를 위한 권장 사항

IIS 5.0이 실행되는 Windows 2000 Server 기반 컴퓨터는 다음 Windows 이벤트를 사용하여 감사해야 합니다. "성공"은 성공한 이벤트를 감사하는 것이며 "실패"는 수행에 실패한 이벤트를 감사하는 것입니다. "사용함"은 이벤트를 감사하는 것이며 "사용 안 함"은 이벤트를 감사하지 않음을 의미합니다.

다음은 IIS 웹 서버 역할을 하는 Windows 2000 기반 컴퓨터의 다양한 이벤트에 대한 감사 제안 목록입니다.
  • 계정 로그온
    성공: 사용함

    실패: 사용함
  • 계정 관리
    성공: 사용 안 함

    실패: 사용함
  • 디렉터리 서비스 액세스
    성공: 사용 안 함

    실패: 사용함
  • 로그온
    성공: 사용함

    실패: 사용함
  • 개체 액세스
    성공: 사용 안 함

    실패: 사용 안 함
  • 정책 변경
    성공: 사용함

    실패: 사용함
  • 사용 권한 사용
    성공: 사용 안 함

    실패: 사용함
  • 프로세스 추적
    성공: 사용 안 함

    실패: 사용 안 함
  • 시스템
    성공: 사용 안 함

    실패: 사용 안 함




Microsoft 제품 관련 기술 전문가들과 온라인으로 정보를 교환하시려면 Microsoft 뉴스 그룹에 참여하시기 바랍니다.

속성

기술 자료: 300549 - 마지막 검토: 2006년 3월 27일 월요일 - 수정: 4.0
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
키워드:?
kbhowto kbhowtomaster kbperformance KB300549

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com