이전 항목: 비IPv4 텔넷 연결이 Windows Server 2008에서 보안되지 않음다음 항목: Windows 레지스트리 보호

Windows용 끝점 관리 안내서리소스 관리Windows 서비스 보호보호된 Windows 서비스에 대한 액세스 시도 보기

보호된 Windows 서비스에 대한 액세스 시도 보기

CA ControlMinder은 Windows 서비스를 보호할 때 서비스와 관련된 액세스 시도를 차단하고 감사 로그에 기록합니다. 이러한 액세스 시도는 시작, 중지 등 서비스를 관리하기 위해 services.exe 프로세스를 사용한 결과이거나, 보호된 서비스의 서비스 데이터베이스 관리 영역에 대한 레지스트리 액세스의 결과일 수 있습니다. 전자의 경우 서비스 이름만 포함되지만 후자(레지스트리 액세스)의 경우 전체 레지스트리 경로가 포함됩니다. Windows 서비스와 관련된 모든 액세스 시도를 보려면 와일드카드를 사용해야 합니다.

보호된 Windows 서비스에 대한 액세스 시도를 보려면 WINSERVICE 클래스 및 리소스 이름 *myService*의 감사 레코드를 필터링하는 감사 필터를 작성하십시오.

레지스트리와 서비스 관리 인터페이스 중 어디를 통해 액세스가 시도되었든, CA ControlMinder은 사용자가 정의한 WINSERVICE 리소스에 대한 모든 감사 레코드를 표시합니다.

예: 인쇄 스풀러 서비스에 대한 모든 액세스 시도 보기

이 예는 사용자가 다음과 같이 액세스 없이 CA ControlMinder에 대해 인쇄 스풀러 서비스를 정의했다고 가정합니다.

er winservice spooler defaccess(none) owner(nobody)

그러면 다음과 같이 seaudit 유틸리티를 사용하여 인쇄 스풀러 서비스에 대한 모든 액세스 시도를 나열할 수 있습니다.

seaudit -resource WINSERVICE *spooler* *

이 명령은 인쇄 스풀러 서비스에 대한 액세스 시도가 기록된, WINSERVICE 클래스에 대한 모든 감사 레코드를 나열합니다. 출력 결과는 다음과 유사할 수 있습니다.

seaudit - Audit log lister
3 Apr 2008 16:48:53 D WINSERVICE   bigHost1\Administrator Read       69  2 Spooler
   c:\WINDOWS\system32\services.exe bigHost1.comp.com
3 Apr 2008 16:48:53 D WINSERVICE   bigHost1\Administrator Read       69  2 Spooler
   c:\WINDOWS\system32\services.exe bigHost1.comp.com
3 Apr 2008 16:50:53 D WINSERVICE   bigHost1\Administrator Read       69  2 Spooler
   c:\WINDOWS\system32\services.exe bigHost1.comp.com
3 Apr 2008 16:50:53 D WINSERVICE   bigHost1\Administrator Read       69  2 Spooler
   c:\WINDOWS\system32\services.exe bigHost1.comp.com
3 Apr 2008 16:53:53 D WINSERVICE   bigHost1\Administrator Read       69  2 Spooler
   c:\WINDOWS\system32\services.exe bigHost1.comp.com
3 Apr 2008 16:53:53 D WINSERVICE   bigHost1\Administrator Read       69  2 Spooler
   c:\WINDOWS\system32\services.exe bigHost1.comp.com
03 Apr 2008 16:54:10 D WINSERVICE   bigHost1\Administrator Read       69  2 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spooler
   C:\WINDOWS\regedit.exe bigHost1.comp.com
03 Apr 2008 16:54:10 D WINSERVICE   bigHost1\Administrator Read       69  2 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spooler
   C:\WINDOWS\regedit.exe bigHost1.comp.com
03 Apr 2008 16:54:19 D WINSERVICE   bigHost1\Administrator Read       69  2 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spooler
   C:\WINDOWS\regedit.exe bigHost1.comp.com
03 Apr 2008 16:54:26 D WINSERVICE   bigHost1\Administrator Read       69  2 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spooler
   C:\WINDOWS\regedit.exe bigHost1.comp.com
03 Apr 2008 16:54:26 D WINSERVICE   bigHost1\Administrator Modify     69  2 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spooler
   C:\WINDOWS\regedit.exe bigHost1.comp.com

Total records displayed 11