2007~2011/Windows Platform2009. 2. 16. 18:20

누가 내 파일을 지웠을까?
누가 내 치즈를 옮겼을까? ... (뭐, 상관없는 주제입니다. 갑자기 제목이 떠올라서.. ㅎㅎㅎ)

어느 날 갑자기 개인정보 공유폴더에 저장된 문서
5.txt 라는 파일이 사라졌습니다어떤 사용자가 이 파일을 삭제하였는지 보안 로그를 통해 분석하는 데 실패하였습니다차후에도 이런 문제가 발생하면 또 이렇게 당해야만 할까요

 

, 방법이 있습니다
 

개체 액세스에 대한 감사를 설정하여 누가 언제 어떤 파일을 어떻게 하였는지? 이벤트 보안 로그에 남기면 됩니다. , 환경에 따라 엄청나게 늘어날 수 있는 보안 로그 용량에 대해서 대책을 마련해 놓으셔야 합니다. 필요할 때만 잠깐 사용하는 게 좋을 듯!



[
환경]

Windows Server 2003 SP2 



[
사건 개요]

문서5.txt 파일이 어느 날 갑자기 사라졌다. 과연 누가 이 파일을 지웠을까?


 


[조치방법] //
소 잃고 외양간 고치기

1. 그룹 정책 개체 편집기 실행 (시작 - 실행 - gpedit.msc)

2. 컴퓨터 구성 - Windows 설정 - 보안 설정 - 로컬 정책 - 감사 정책 - 개체 액세스 감사 - 성공

 

 

3. C:\개인정보 - 속성 - 보안 - 고급 - 감사 - 추가

 


4.
공유 폴더 액세스 권한이 있는 Users 그룹에 대해서 개체에 대해 '삭제'를 성공하였을 때 이벤트 로그에 기록하도록 아래와 같이 설정합니다


 

 

[사건 발생]

문서2.txt 파일이 삭제되었습니다.

 

 


[
분석결과]

개체 액세스 성공 감사 이벤트 로그를 확인하여 범인을 DELETE 명령을 수행한 사용자를 확인할 수 있습니다.

 

이벤트 형식:        성공 감사

이벤트 원본:        Security

이벤트 범주:        개체 액세스

이벤트 ID:        560

날짜:                2009-02-16

시간:                오전 10:54:20

사용자:                VLAIGOT1\bigbang

컴퓨터:        VLAIGOT1

설명:

개체 열기:

         개체 서버:        Security

         개체 종류:        File

         개체 이름:        C:\개인정보\문서2.txt

         핸들 ID:        1272

         작업 ID:        {0,937227}

         프로세스 ID:        3736

         이미지 파일 이름:        C:\WINDOWS\explorer.exe

         기본 사용자 이름:        bigbang

         기본 도메인:        VLAIGOT1

         기본 로그온 ID:        (0x0,0xD6C9A)

         Client 사용자 이름:        -

         클라이언트 도메인:        -

         클라이언트 로그온ID:        -

         액세스:        DELETE

SYNCHRONIZE

ReadAttributes

 

         사용 권한:        -

         제한된 Sid 카운트:         0

         액세스 마스크:        0x110080

 

 

이벤트 형식:        성공 감사

이벤트 원본:        Security

이벤트 범주:        개체 액세스

이벤트 ID:        567

날짜:                2009-02-16

시간:                오전 10:54:20

사용자:                VLAIGOT1\bigbang

컴퓨터:        VLAIGOT1

설명:

시도한 개체 액세스:

         개체 서버:        Security

         핸들 ID:        1272

         개체 종류:        File

         프로세스 ID:        3736

         이미지 파일 이름:        C:\WINDOWS\explorer.exe

         액세스:        DELETE

 

         액세스 마스크:        0x10000

 

 

이벤트 형식:        성공 감사

이벤트 원본:        Security

이벤트 범주:        개체 액세스

이벤트 ID:        564 // 보호 되는 개체가 삭제되었을 경우 564 이벤트가 발생합니다.

날짜:                2009-02-16

시간:                오전 10:54:20

사용자:                VLAIGOT1\bigbang

컴퓨터:        VLAIGOT1

설명:

삭제된 개체:

         개체 서버:        Security

         핸들 ID:        1272

         프로세스 ID:        3736

         이미지 파일 이름:        C:\WINDOWS\explorer.exe

 

로그 확인 결과 문서2.txt 파일을 삭제한 범인은 bigbang 입니다.

 

[참고자료]

개체 액세스 감사

http://technet.microsoft.com/ko-kr/library/cc776774.aspx 


작성자 : Lai Go / 작성일자 : 2009.02.16

Posted by 사용자 Lai Go

댓글을 달아 주세요