이전 항목: GROUP 레코드에 대한 AUDIT 속성 값 변경

다음 항목: 감사 프로세스

Windows용 끝점 관리 안내서모니터 및 감사CA ControlMinder 감사 대상Windows에서 감사 정책 설정

Windows에서 감사 정책 설정

접근자 및 리소스에 대한 액세스 규칙을 설정하는 것 이외에도 감사 로그에 기록할 Windows 이벤트를 지정할 수 있습니다. 그룹, 프로필 그룹 또는 개별 사용자를 기준으로 전체 조직에 대해 이러한 감사 정책을 지정할 수 있습니다.

예: 프로필 그룹의 모든 구성원에 대한 감사 정책 설정

다음 예는 프로필 그룹에 속한 모든 사용자에 대해 감사 정책을 설정하는 방법을 보여줍니다.

  1. 필요한 감사 모드로 새 프로필 그룹을 만듭니다. 예: 
    newgrp profileGroup audit(failure) owner(nobody)
  2. 새 사용자를 만들어 위에서 만든 프로필 그룹에 추가합니다. 예: 
    newusr user1 profile(profileGroup) owner(nobody)
  3. 사용자의 감사 설정을 제거합니다. 예: 
    chusr user1 audit-

이제 이 설정이 유효한지 검사할 수 있습니다.

  1. 다음과 같이 새 사용자로 로그온합니다. 
    runas /user:user1 cmd.exe
  2. user1의 명령 프롬프트 창에서 다음을 입력합니다. 
    secons -whoami

    이 명령을 입력하면 권한 부여에 사용되며 user1의 ACEE에 보관되는 정보가 표시됩니다.

    ACEE audit mode is: Failure; Originated from Profile group definition

    이 메시지를 통해 감사 정책이 사용자가 추가된 프로필 그룹에서 파생되었음을 알 수 있습니다.

예: 그룹 구성원에 대한 감사 정책 설정

이 예제에서는 가상의 회사인 "Forward Inc"가 CA ControlMinder을 사용하여 /production 디렉터리에 있는 모든 파일을 보호하려고 합니다. /production 디렉터리는 네이티브 환경에서 전체 액세스 권한을 가지고 있습니다.

Forward Inc는 /production 디렉터리에 대한 액세스를 거부하고 모든 액세스 시도를 감사 기록하려고 합니다. 하지만 Forward Inc는 개발자들에게는 /production 디렉터리에 대한 읽기 액세스를 부여하려고 합니다. 이 액세스는 감사 기록하지 않습니다. 개발자가 /production 디렉터리에 쓰기를 시도하면 이 시도가 거부되고 감사 기록됩니다.

개발자는 /production 디렉터리에 대한 전체 액세스를 요구할 수 있습니다. Forward Inc는 전체 액세스 권한을 가진 사용자가 /production 디렉터리에서 수행하는 모든 작업을 감사 기록합니다.

다음 프로세스는 앞의 시나리오를 구현하기 위해 Forward Inc가 수행하는 절차를 설명합니다.

  1. 네이티브 환경에서 "Developers"란 이름의 그룹을 만듭니다. 모든 개발자를 이 그룹에 추가하십시오.
  2. 네이티브 환경에서 "Dev_Access_All"이란 이름의 그룹을 만듭니다. 이 그룹에 어떤 사용자도 추가하지 마십시오.
  3. 다음과 같이 /production 디렉터리에 대한 일반 액세스 규칙을 정의합니다. 
    authorize FILE /production/* access(none) uid(*)

    이 규칙은 기본 액세스를 지정하지 않습니다.

  4. 다음과 같이 /production 디렉터리에 대한 일반 감사 규칙을 정의합니다. 
    editres FILE /production/* audit(failure)

    이 규칙은 /production 디렉터리에 대한 모든 실패한 액세스 시도를 감사 기록합니다.

  5. 다음과 같이 "Developers" 그룹에 대한 액세스 규칙을 정의합니다. 
    authorize FILE /production/* access(read) xgid(Developers)

    이 규칙은 "Developers" 그룹의 구성원에게 /production 디렉터리에 대한 읽기 액세스를 부여합니다.

    참고: 4 단계에서 설정한 규칙은 개발 그룹의 구성원을 포함한 모든 사용자에 의한 모든 실패한 액세스 시도가 CA ControlMinder에서 감사 기록될 수 있도록 해 줍니다.

  6. 다음과 같이 "Dev_Access_All" 그룹에 대한 액세스 규칙을 정의합니다. 
    authorize FILE /production/* access(all) xgid(Dev_Access_All)

    이 규칙은 "Dev_Access_All" 그룹의 구성원에게 /production 디렉터리에 대한 전체 액세스 권한을 부여합니다.

  7. 다음과 같이 "Dev_Access_All" 그룹에 대한 감사 규칙을 정의합니다. 
    chxgrp Dev_Access_All audit(all)

    이 규칙은 Dev_Access_All 그룹의 구성원이 수행하는 모든 작업을 감사 기록합니다.

  8. "Developers" 그룹의 한 구성원에게 /production 디렉터리에 대한 전체 액세스 권한이 필요한 경우 이 사용자를 네이티브 환경에서 Dev_Access_All 그룹에 추가합니다.

    이렇게 하면 해당 사용자는 /production 디렉터리에 대한 전체 액세스 권한을 갖게 되며 CA ControlMinder은 이 사용자가 수행하는 모든 작업을 감사 기록합니다.

    참고: 그룹 구성원의 변경 사항이 반영되려면 사용자가 새 로그온 세션을 시작해야 합니다.

  9. 이 사용자가 /production 디렉터리에서 작업을 완료한 다음에는 이 사용자를 네이티브 환경에서 Dev_Access_All 그룹으로부터 제거합니다.

    이제 이 사용자는 /production 디렉터리에 대한 읽기 액세스 권한을 갖습니다. 이 사용자가 /production 디렉터리에 대한 다른 액세스를 시도하면 CA ControlMinder은 액세스를 거부하고 이 시도를 감사 기록합니다.

    참고: 그룹 구성원의 변경 사항이 반영되려면 사용자가 새 로그온 세션을 시작해야 합니다.