누가 내 파일을 지웠을까?
누가 내 치즈를 옮겼을까? ... (뭐, 상관없는 주제입니다. 갑자기 제목이 떠올라서.. ㅎㅎㅎ)
어느 날 갑자기 개인정보 공유폴더에 저장된 문서5.txt 라는 파일이 사라졌습니다. 어떤 사용자가 이 파일을 삭제하였는지 보안 로그를 통해 분석하는 데 실패하였습니다. 차후에도 이런 문제가 발생하면 또 이렇게 당해야만 할까요?
자, 방법이 있습니다.
개체 액세스에 대한 감사를 설정하여 누가 언제 어떤 파일을 어떻게 하였는지? 이벤트 보안 로그에 남기면 됩니다. 단, 환경에 따라 엄청나게 늘어날 수 있는 보안 로그 용량에 대해서 대책을 마련해 놓으셔야 합니다. 필요할 때만 잠깐 사용하는 게 좋을 듯!
[환경]
Windows Server 2003 SP2
[사건 개요]
문서5.txt 파일이 어느 날 갑자기 사라졌다. 과연 누가 이 파일을 지웠을까?
[조치방법] // 소 잃고 외양간 고치기
1. 그룹 정책 개체 편집기 실행 (시작 - 실행 - gpedit.msc)
2. 컴퓨터 구성 - Windows 설정 - 보안 설정 - 로컬 정책 - 감사 정책 - 개체 액세스 감사 - 성공
3. C:\개인정보 - 속성 - 보안 - 고급 - 감사 - 추가
4. 공유 폴더 액세스 권한이 있는 Users 그룹에 대해서 개체에 대해 '삭제'를 성공하였을 때 이벤트 로그에 기록하도록 아래와 같이 설정합니다.
[사건 발생]
문서2.txt 파일이 삭제되었습니다.
[분석결과]
개체 액세스 성공 감사 이벤트 로그를 확인하여 범인을 DELETE 명령을 수행한 사용자를 확인할 수 있습니다.
이벤트 형식: 성공 감사
이벤트 원본: Security
이벤트 범주: 개체 액세스
이벤트 ID: 560
날짜: 2009-02-16
시간: 오전 10:54:20
사용자: VLAIGOT1\bigbang
컴퓨터: VLAIGOT1
설명:
개체 열기:
개체 서버: Security
개체 종류: File
개체 이름: C:\개인정보\문서2.txt
핸들 ID: 1272
작업 ID: {0,937227}
프로세스 ID: 3736
이미지 파일 이름: C:\WINDOWS\explorer.exe
기본 사용자 이름: bigbang
기본 도메인: VLAIGOT1
기본 로그온 ID: (0x0,0xD6C9A)
Client 사용자 이름: -
클라이언트 도메인: -
클라이언트 로그온ID: -
액세스: DELETE
SYNCHRONIZE
ReadAttributes
사용 권한: -
제한된 Sid 카운트: 0
액세스 마스크: 0x110080
이벤트 형식: 성공 감사
이벤트 원본: Security
이벤트 범주: 개체 액세스
이벤트 ID: 567
날짜: 2009-02-16
시간: 오전 10:54:20
사용자: VLAIGOT1\bigbang
컴퓨터: VLAIGOT1
설명:
시도한 개체 액세스:
개체 서버: Security
핸들 ID: 1272
개체 종류: File
프로세스 ID: 3736
이미지 파일 이름: C:\WINDOWS\explorer.exe
액세스: DELETE
액세스 마스크: 0x10000
이벤트 형식: 성공 감사
이벤트 원본: Security
이벤트 범주: 개체 액세스
이벤트 ID: 564 // 보호 되는 개체가 삭제되었을 경우 564 이벤트가 발생합니다.
날짜: 2009-02-16
시간: 오전 10:54:20
사용자: VLAIGOT1\bigbang
컴퓨터: VLAIGOT1
설명:
삭제된 개체:
개체 서버: Security
핸들 ID: 1272
프로세스 ID: 3736
이미지 파일 이름: C:\WINDOWS\explorer.exe
로그 확인 결과 문서2.txt 파일을 삭제한 범인은 bigbang 입니다.
[참고자료]
개체 액세스 감사
http://technet.microsoft.com/ko-kr/library/cc776774.aspx
작성자 : Lai Go / 작성일자 : 2009.02.16
