[window/윈도우 서버] 원격에서 이벤트 로그 파일 접근 차단
- 정보보안/Windows 서버
- 2022. 9. 6.
W-71 원격에서 이벤트 로그 파일 접근 차단
■ 점검영역 : 로그 관리
■ 항목 중요도 : 중
■ 점검내용
원격에서 로그 파일의 접근을 차단하기 위한 권한 적절성 점검
■ 점검목적
원격에서 로그 파일을 접근하는 것을 차단하여 로그 파일의 훼손 및 변조를 차단하기 위함
■ 보안위협
원격 익명 사용자의 시스템 로그 파일에 접근이 가능한 경우 ‘중요 시스템 로그’ 파일 및 ‘애플리케이션 로그’ 등 중요 보안 감사 정보의 변조·삭제·유출의 위험이 존재
■ 참고
※ 로그 디렉토리 위치
• 시스템 로그 디렉토리: %systemroot%\system32\config
• IIS 로그 디렉토리: %systemroot%\system32\LogFiles
점검대상 및 판단기준(윈도우 서버, window)
■ 대상 : Windows NT, 2000, 2003, 2008, 2012, 2016, 2019
양호
로그 디렉토리의 접근권한에 Everyone 권한이 없는 경우
취약
로그 디렉토리의 접근권한에 Everyone 권한이 있는 경우
■ 조치방법
로그 디렉토리의 접근권한에 Everyone 제거
점검 및 조치 방법
■ Windows NT, 2000, 2003, 2008, 2012
Step 1) 탐색기> 로그 디렉토리> 속성> 보안
Step 2) Everyone 권한 제거
■ Windows 2016, 2019
Step 1) 탐색기> 로그 디렉토리> 속성> 보안> 고급
Step 2) Everyone 권한 제거
※ 일반적으로 시스템 로그는C:\winnt\system32\config 파일에 저장되지만. 애플리케이션 로그 파일은 각각의 애플리케이션마다 로그 저장 위치가 다름. 웹 서버에 많이 사용하는 IIS 경우, C:\winnt\system32\LogFiles에 저장됨.
■ 조치 시 영향 : 일반적인 경우 영향 없음