이벤트 ID 560 및 562 보안 이벤트 로그에 여러 번 나타납니다.

기술 자료 번역 기술 자료 번역
기술 자료: 841001 - 이 문서가 적용되는 제품 보기.
모두 확대 | 모두 축소

이 페이지에서

현상

개체 액세스를 감사하려면 그룹 정책이나 로컬 보안 정책을 구성한 후에는 다음과 같은 이벤트가 유사한 많은 이벤트가 보안 이벤트 로그에 나타납니다.

이벤트 원본: 보안
개체 액세스 이벤트 범주:
이벤트 ID: 560에
날짜: date
시간: time
형식: 성공
EXAMPLE 사용자: \ username
컴퓨터: computer_name
설명:
개체 열기:
서버 개체: 보안
개체 유형: Object_Type
개체 이름: Object_Type
새 핸들 ID: 104
작업 ID: {0,252360}
프로세스 ID: 1156
주 사용자 이름: username
주 도메인: EXAMPLE
기본 로그온 ID: logon_ID
클라이언트 사용자 이름:
클라이언트 도메인:
클라이언트 로그온 ID:
액세스
<List of Accesses>
권한



이벤트 원본: 보안
개체 액세스 이벤트 범주:
이벤트 ID: 562
날짜: date
시간: time
형식: 성공
EXAMPLE 사용자: \ username
컴퓨터: computer_name
설명:
닫은 핸들:
서버 개체: 보안
핸들 ID: 104
프로세스 ID: 1156


이러한 이벤트는 감사 있는 개체에 대한 보안 액세스 제어 목록 (SACL) 구성한 경우 나타납니다. 또한 이벤트를 SACL을 구성한 경우에는 아니라 나열된 모든 액세스가 나타납니다. 예를 들어, 사용자가 이러한 이벤트가 기록됩니다. 또는 프로그램을 레지스트리 하위 키를 읽고 선택한 없습니다 읽기 제어 또는 쿼리 값 확인란을 해당 레지스트리 하위 키에 대한 감사 항목에서.

참고 감사를 구성하는 방법에 대한 자세한 내용은 "추가 정보" 절을 참조하십시오.

원인

이 문제는 다음 조건 중 하나에 해당하면 발생합니다.
  • 글로벌 시스템 개체에 대한 액세스 감사 로컬 보안 정책 설정을 활성화합니다. 이 설정을 사용하면 많은 감사 이벤트가 생성됩니다. 이러한 이벤트는 일반적으로 원본 보안 이벤트와 이벤트 ID 560에 있는 개체 형식이 이벤트, 뮤턴트를, 프로세스, 섹션, 세마포, 스레드 또는 토큰 수 있습니다. 이러한 이벤트는 시스템 개발자 전용 관심을입니다. 일반적으로 글로벌 시스템 개체에 대한 액세스 감사 로컬 보안 정책 설정은 해제되어 있습니다.
  • 도메인 컨트롤러에서 감사를 사용하도록 합니다. 도메인 컨트롤러에서 감사를 활성화하면 감사 이벤트가 생성될 일반적으로 다음과 같은 개체 형식에 대한 참조를 포함하는:
    • SAM_ALIAS
    • SAM_GROUP
    • SAM_USER
    • SAM_DOMAIN
    • SAM_SERVER
    보안 계정 관리자 (SAM) 개체에는 보안 액세스 제어 목록 (SACL) 및 훨씬 SAM 있는지 이러한 이벤트를 나타내는 작업이 발생하는. 일반적으로 이러한 이벤트는 도메인 컨트롤러에서만 발생합니다.
  • 감사되는 개체에 너무 자주 여는 또는 응용 프로그램에 필요한 것보다 더 큰 액세스 감사 개체를 여는 응용 프로그램을 사용하여. 예를 들어, 응용 프로그램 액세스 전체 제어 요청할 응용 프로그램에 읽기 권한만 필요한 경우 수 있습니다. 이 문제가 발생하면 참조된 프로세스는 매우 동일한 응용 프로그램에 항상 이벤트가 생성될 수 있습니다.

해결 방법

이 문제를 해결하려면 다음 방법 중 하나를 사용하십시오.

방법 1

이 설정은 이전에 설정한 경우 글로벌 시스템 개체에 대한 액세스 감사 로컬 보안 정책 설정을 해제하십시오. 다음 이 단계를 수행하십시오.
  1. 시작 을 클릭하고 실행 을 클릭합니다 gpedit.msc 를 입력한 다음 확인 을 클릭하십시오.
  2. 다음 항목을 찾습니다.
    콘솔 Root\Local 컴퓨터 정책\컴퓨터 구성\Windows 설정\보안 설정\로컬 정책\보안 옵션
  3. 글로벌 시스템 개체에 대한 액세스 감사 정책을 두 번 누릅니다 사용 안 함 로컬 정책 에서 클릭한 다음 확인 을 클릭하십시오.
  4. 콘솔 메뉴에서 끝내기 를 클릭한 다음 컴퓨터를 다시 시작하십시오.

방법 2

ADSI 편집 스냅인을 사용하여 도메인 컨트롤러에서 감사를 사용하도록 설정한 경우 SAM 개체에 대해 SACL 감사 항목을 제거할. 이렇게 하려면 다음과 같이 하십시오.

참고 ADSI 편집 스냅인을 Windows 2000 설치 CD-ROM에 지원 폴더에 위치합니다.

경고 ADSI 편집 스냅인을 사용하여 LDP 유틸리티 또는 기타 LDAP 버전 3 클라이언트, 및 수 Active Directory 개체 특성을 잘못 수정할 경우 심각한 문제가 발생할 수 있습니다. 이러한 문제는 Microsoft Windows 2000 Server, Microsoft Windows Server 2003, Microsoft Exchange 2000 Server, Microsoft Exchange Server 2003 또는 둘 다 Windows 및 Exchange 다시 설치해야 할 수도 있습니다. Microsoft는 Active Directory 개체 특성을 잘못 수정하면 발생하는 문제를 해결할 보증하지 않습니다. 책임은 이러한 특성을 수정하여.
  1. 도메인 관리자 권한이 있는 계정을 사용하여 도메인 컨트롤러에 로그온하십시오.
  2. 시작 을 클릭하고 실행 adsiedit.msc 입력한 다음 확인 을 클릭하십시오.
  3. ADSI 관리 콘솔을 ADSI 을 마우스 오른쪽 단추로 연결하려면 다음 클릭하십시오.
  4. 연결 대화 상자에서 고유 이름 옵션이 선택되어 있는지 확인하고 고유 이름 필드에 다음을 입력하십시오.
    CN 서버 CN = 시스템, DC = Domain_Name, DC = 전체에서 이러한 단계를. Domain_Extension aceholder =
  5. 기본 (도메인 또는 로그인했기 있는 서버) 옵션을 선택한 다음 확인 을 클릭하십시오.
  6. ADSI 관리 콘솔을 마우스 단추로 CN 서버 CN = 시스템, DC = Domain_Name, DC = Domain_Extension = 폴더를 클릭한 다음 속성 을 클릭합니다.
  7. 있는 경우 CN 서버 CN = 시스템, DC = Domain_Name, DC = Domain_Extension 속성 = 대화 상자에서 보안 탭을 클릭하고.
  8. 고급 을 클릭한 다음 감사 탭을 클릭하십시오.
  9. 허용 상속 가능한 감사 항목을 부모 개체에서 이 개체에 전파할 수 있음 확인란 선택을 클릭.
  10. 다음 메시지와 함께 수 표시되면 제거를 클릭하십시오.

    상속 가능한 감사 항목을 이 개체에 전파되지 못하도록 방해하고 있습니다. 작업을 어떤 선택하십시오.
  11. 확인 을 누릅니다 설정을 저장하려면 을 닫습니다 있는 CN 서버 CN = 시스템, DC = Domain_Name, DC = Domain_Extension 속성 = 대화 상자.

방법 3

필요한 로만 감사된 개체를 열 사용자 지정 응용 프로그램을 구성하십시오. 예를 들어, 필요한 최소 액세스 요청에 사용자 지정 응용을 구성하십시오. 사용자 지정 응용 프로그램 특정 개체에 대한 읽기 권한이 필요하면 경우에만 읽기 권한을 할당하십시오. 이 경우 모든 권한 액세스 필요하지 않습니다.

추가 정보

Windows 2000을 기반으로 한 사용자 또는 프로그램이 요청한 액세스 감사를 구현합니다. 사용자 또는 프로그램이 개체 액세스 감사 가능한 사용 권한 수준을 가진 계정을 사용하여 개체에 액세스하면, Windows 해당 감사 이벤트가 생성됩니다. 예를 들어, 개체에 쓰기 권한으로 프로그램을 구성하고 쓰기 이벤트에 대한 감사가 구성한 경우 프로그램을 개체에 액세스하면 쓰기 감사 이벤트가 생성됩니다. 이 문제는 프로그램이 레지스트리 하위 키로의 쓰기 작업을 수행하지 경우에도 발생합니다. 이 시나리오에서는 프로그램이 개체를 쓸 가능성이 있기 때문에 이 감사 이벤트가 생성됩니다.

Windows는 Common 인증 표준 및 이전에 C2 인증 표준을 준수하도록 유지하려면 감사 이 메서드를 구현합니다. C2 감사 요구 사항에 대한 자세한 내용은 참고하십시오 A 트러스트된 시스템의 이해 감사. 이 가이드를 보려면 다음 웹 페이지를 방문하십시오.
http://www.fas.org/irp/nsa/rainbow/tg001.htm
구역 6.1.1 감사할 이벤트를 "이 가이드의 다음 두 감사할 이벤트를 포함합니다.
  • 사용자 주소 공간으로 개체 소개
  • 사용자 주소 공간에서 개체 삭제
Windows 이벤트 ID 560에 첫 번째 이벤트가 나타내고 이벤트 ID 562 두 번째 이벤트를 나타냅니다.

Common 인증 표준에 대한 자세한 내용은 다음 Microsoft 웹 사이트를:
http://technet.microsoft.com/en-us/library/cc700818.aspx
레지스트리 키를 감사하는 방법에 대한 자세한 문서를 보려면 Microsoft 기술 자료에 있는 다음 문서 번호를 누릅니다.
315416그룹 정책을 사용하여 Windows 2000 레지스트리 키 감사 방법을
자세한 내용은 Microsoft 기술 자료에 있는 문서를 보려면 다음 문서 번호를 클릭하여:
816915Microsoft Windows 소프트웨어 업데이트 패키지의 파일 명명 스키마를 새
824684Microsoft 소프트웨어 업데이트를 설명하는 데 사용되는 표준 용어에 대한 설명
Microsoft는 기술 지원을 찾을 수 있도록 타사 연락처 정보를 제공합니다. 이 연락처 정보는 예고 없이 변경될 수 있습니다. Microsoft는 타사 연락처 정보의 정확성을 보증하지 않습니다.

속성

기술 자료: 841001 - 마지막 검토: 2007년 3월 27일 화요일 - 수정: 2.6
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows NT 4.0
  • Microsoft Windows NT Advanced Server 3.1
  • Microsoft Windows NT Server 4.0 Standard Edition
키워드:?
kbmt kbeventlog kbenv kbbug kbfix kbqfe kbwin2000presp5fix kbprb KB841001 KbMtko
기계 번역된 문서
중요: 본 문서는 전문 번역가가 번역한 것이 아니라 Microsoft 기계 번역 소프트웨어로 번역한 것입니다. Microsoft는 번역가가 번역한 문서 및 기계 번역된 문서를 모두 제공하므로 Microsoft 기술 자료에 있는 모든 문서를 한글로 접할 수 있습니다. 그러나 기계 번역 문서가 항상 완벽한 것은 아닙니다. 따라서 기계 번역 문서에는 마치 외국인이 한국어로 말할 때 실수를 하는 것처럼 어휘, 구문 또는 문법에 오류가 있을 수 있습니다. Microsoft는 내용상의 오역 또는 Microsoft 고객이 이러한 오역을 사용함으로써 발생하는 부 정확성, 오류 또는 손해에 대해 책임을 지지 않습니다. Microsoft는 이러한 문제를 해결하기 위해 기계 번역 소프트웨어를 자주 업데이트하고 있습니다.

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com