Windows Server 2003에서 로컬로 또는 그룹 정책을 사용하여 이벤트 로그 보안을 설정하는 방법

요약

Windows Server 2003에서 관리자는 이벤트 로그에 대한 보안 액세스 권한을 사용자 지정할 수 있으며 로컬로 또는 그룹 정책을 통해 이러한 설정을 구성할 수 있습니다. 이 문서에서는 이러한 두 가지 방법을 모두 설명합니다.

사용자에게 이벤트 로그에 대한 다음 액세스 권한 중 하나 이상을 부여할 수 있습니다.

읽기
쓰기
지우기

중요?같은 방법으로 보안 로그를 구성할 수 있지만 읽기 및 지우기 액세스 권한만 변경할 수 있습니다. 보안 로그에 대한 쓰기 액세스 권한은 Windows LSA(로컬 보안 기관)용으로만 예약되어 있습니다.

로컬로 이벤트 로그 보안 구성

경고 레지스트리 편집기를 잘못 사용하면 심각한 문제가 발생할 수 있으며 문제를 해결하기 위해 운영 체제를 다시 설치해야 할 수도 있습니다. Microsoft는 레지스트리 편집기를 잘못 사용하여 발생하는 문제에 대해 해결을 보증하지 않습니다. 레지스트리 편집기 사용에 따른 모든 책임은 사용자에게 있습니다.
각 로그의 보안은 다음 레지스트리 키 값을 통해 로컬로 구성됩니다.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog

예를 들어, 응용 프로그램 로그 보안 설명자는 다음 레지스트리 값으로 구성됩니다.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD

시스템 로그 보안 설명자는 다음을 통해 구성됩니다.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD

각 로그 보안 설명자는 SDDL(Security Descriptor Definition Language) 구문을 사용하여 지정됩니다. SDDL 구문에 대한 자세한 내용은 플랫폼 SDK를 참조하거나 이 문서의 "참조" 절에 나와 있는 Microsoft 웹 사이트를 방문하십시오.

SDDL 문자열을 구성하는 경우 이벤트 로그와 관련된 세 가지 권한(읽기, 쓰기, 지우기)이 있습니다. 이러한 권한은 ACE 문자열의 액세스 권한 필드에서 다음 비트에 해당합니다.

1= 읽기
2 = 쓰기
4 = 지우기

다음은 응용 프로그램 로그의 기본 SDDL 문자열을 보여주는 예제 SDDL입니다. 액세스 권한(16진수)은 굵은 글꼴로 표시됩니다.

O:BAG:SYD:(D;; 0xf0007;;;AN)(D;; 0xf0007;;;BG)(A;; 0xf0007;;;SY)(A;; 0x5;;;BA)(A;; 0x7;;;SO)(A;; 0x3;;;IU)(A;; 0x2;;;BA)(A;; 0x2;;;LS)(A;; 0x2;;;NS)

예를 들어, 첫 번째 ACE는 로그에 대한 익명 사용자의 읽기, 쓰기 및 지우기 액세스를 거부합니다. 여섯 번째 ACE는 대화형 사용자가 로그를 읽거나 쓰도록 허용합니다.

로컬 정책을 수정하여 이벤트 로그 보안의 사용자 지정 허용

%WinDir%\Inf\Sceregvl.inf 파일을 알기 쉬운 위치에 백업합니다.
메모장에서 %WinDir%\Inf\Sceregvl.inf를 엽니다.
파일 중간으로 스크롤한 다음 [Strings] 바로 앞에 포인터를 놓습니다.
다음 줄을 삽입합니다.
MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD,1,%AppLogSD%,2

MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD,1,%SysLogSD%,2
파일 끝으로 스크롤하고 다음 줄을 삽입합니다.
AppLogSD="Event log: Specify the security of the application log in Security Descriptor Definition Language (SDDL) syntax"

SysLogSD="Event log: Specify the security of the System log in Security Descriptor Definition Language (SDDL) syntax"
파일을 저장하고 닫습니다.
시작, 실행을 차례로 누르고 열기 상자에 regsvr32 scecli.dll을 입력한 다음 Enter 키를 누릅니다.
DllRegisterServer in scecli.dll succeeded 대화 상자에서 확인을 누릅니다.

컴퓨터의 로컬 그룹 정책을 사용하여 응용 프로그램 및 시스템 로그 보안 설정

시작, 실행을 차례로 누르고 gpedit.msc를 입력한 다음 확인을 누릅니다.
그룹 정책 편집기에서 Windows 설정, 보안 설정, 로컬 정책을 차례로 확장한 다음 보안 옵션을 확장합니다.
이벤트 로그: 응용 프로그램 로그 SDDL을 두 번 누르고 로그 보안에 추가할 SDDL 문자열을 입력한 다음 확인을 누릅니다.
이벤트 로그: 시스템 로그 SDDL을 두 번 누르고 로그 보안에 추가할 SDDL 문자열을 입력한 다음 확인을 누릅니다.

그룹 정책을 사용하여 Active Directory에서 도메인, 사이트 또는 조직 구성 단위의 응용 프로그램 및 시스템 로그 보안 설정

중요: 그룹 정책 편집기에서 이 문서에서 설명하는 그룹 정책 설정을 보려면 우선 다음 단계를 완료한 다음 "그룹 정책을 사용하여 응용 프로그램 및 시스템 로그 보안 설정" 절을 계속합니다.

메모장과 같은 텍스트 편집기를 사용하여 %Windir%\Inf 폴더에 있는 Sceregvl.inf를 엽니다.
[Register Registry Values] 섹션에 다음 줄을 추가합니다.
MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD,1,%AppCustomSD%,2
MACHINE\System\CurrentControlSet\Services\Eventlog\Security\CustomSD,1,%SecCustomSD%,2
MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD,1,%SysCustomSD%,2
MACHINE\System\CurrentControlSet\Services\Eventlog\Directory Service\CustomSD,1,%DSCustomSD%,2
MACHINE\System\CurrentControlSet\Services\Eventlog\DNS Server\CustomSD,1,%DNSCustomSD%,2
MACHINE\System\CurrentControlSet\Services\Eventlog\File Replication Service\CustomSD,1,%FRSCustomSD%,2
[Strings] 섹션에 다음 줄을 추가합니다.
AppCustomSD="Eventlog: Security descriptor for Application event log"
SecCustomSD="Eventlog: Security descriptor for Security event log"
SysCustomSD="Eventlog: Security descriptor for System event log"
DSCustomSD="Eventlog: Security descriptor for Directory Service event log"
DNSCustomSD="Eventlog: Security descriptor for DNS Server event log"
FRSCustomSD="Eventlog: Security descriptor for File Replication Service event log"
Sceregvl.inf 파일에 변경한 내용을 저장한 다음 regsvr32 scecli.dll 명령을 실행합니다.
Gpedit.msc를 시작하고 다음 항목을 두 번 눌러 확장합니다.
컴퓨터 구성
Windows 설정
보안 설정
로컬 정책
보안 옵션
오른쪽 창에서 새 "Eventlog" 설정을 찾습니다.

그룹 정책을 사용하여 응용 프로그램 및 시스템 로그 보안 설정

Active Directory 사이트 및 서비스 스냅인 또는 Active Directory 사용자 및 컴퓨터 스냅인에서 정책을 설정할 개체를 마우스 오른쪽 단추로 누른 다음 속성을 누릅니다.
그룹 정책 탭을 누릅니다.
새 정책을 만들어야 하는 경우 새로 만들기를 누른 다음 정책 이름을 정의합니다. 그렇지 않은 경우에는 5단계로 이동합니다.
원하는 정책을 선택한 다음 편집을 누릅니다.

로컬 그룹 정책 MMC 스냅인이 나타납니다.
컴퓨터 구성, Windows 설정, 보안 설정, 로컬 정책을 차례로 확장한 다음 보안 옵션을 누릅니다.
이벤트 로그: 응용 프로그램 로그 SDDL을 두 번 누르고 로그 보안에 추가할 SDDL 문자열을 입력한 다음 확인을 누릅니다.
이벤트 로그: 시스템 로그 SDDL을 두 번 누르고 로그 보안에 추가할 SDDL 문자열을 입력한 다음 확인을 누릅니다.