http://technet.microsoft.com/ko-kr/library/dd560628(v=ws.10).aspx
Windows 보안 감사의 새로운 기능
업데이트 날짜: 2010년 3월
적용 대상: Windows Server 2008 R2
주요 변경 내용
Windows Server® 2008 R2와 Windows® 7에서는 보안 감사 로그의 세부 정보 수준을 높이고 감사 정책의 배포와 관리를 간소화하기 위해 다양한 기능이 개선되었습니다. 개선된 기능은 다음과 같습니다.
- 전역 개체 액세스 감사. Windows Server 2008 R2와 Windows 7에서 관리자는 파일 시스템이나 레지스트리에 대해 컴퓨터 전체의 SACL(시스템 액세스 제어 목록)을 정의할 수 있습니다. 그러면 지정한 SACL이 해당 유형의 모든 개체에 자동으로 적용됩니다. 이러한 기능은 보호된 컴퓨터에서 모든 중요한 파일, 폴더 및 레지스트리 설정을 확인하거나, 시스템 리소스 문제가 발생한 경우를 식별하는 데 유용하게 사용할 수 있습니다.
- "액세스 이유" 보고. 이 ACE(액세스 제어 항목) 목록은 개체에 대한 액세스를 허용할지 아니면 거부할지 결정하는 데 기반이 되는 권한을 제공합니다. 감사 가능한 특정 이벤트의 발생을 허용하거나 차단하는 사용 권한(예: 그룹 구성원 자격)을 문서화하는 데 유용합니다.
- 고급 감사 정책 설정.로컬 정책\감사 정책에 있는 9개의 기본 감사 설정 대신 이러한 53개의 새로운 설정을 사용하여 관리자가 감사하고자 하는 작업의 유형을 보다 구체적으로 지정하고 감사 로그의 관리 및 해독에 어려움을 주는 불필요한 감사 작업을 제거할 수 있습니다.
다음 섹션에서는 이러한 고급 감사 정책에 대해 자세히 설명합니다.
고급 감사 정책의 기능
Windows XP에서 관리자는 9개 범주로 구분되는 보안 감사 이벤트로 성공, 실패 또는 두 가지 경우 모두를 모니터링합니다. 이러한 이벤트는 범위가 상당히 넓고 여러 가지 비슷한 동작으로 트리거될 수 있습니다. 따라서 많은 양의 이벤트 로그 항목이 생성될 수도 있습니다.
Windows Vista®와 Windows Server 2008에서는 감사 가능한 이벤트 수가 9개에서 53개로 늘어나 관리자가 감사할 이벤트의 수와 유형을 보다 구체적으로 선택할 수 있게 되었습니다. 그러나 아홉 개의 Windows XP 기본 이벤트와 달리 새로운 감사 이벤트는 그룹 정책과 통합되지 않으며 Auditpol.exe 명령줄 도구를 사용하여 생성한 로그온 스크립트로만 배포할 수 있습니다.
Windows Server 2008 R2와 Windows 7에서는 모든 감사 기능이 그룹 정책과 통합되었습니다 따라서 관리자는 도메인, 사이트 또는 OU(조직 구성 단위)에 대한 GPMC(그룹 정책 관리 콘솔)나 로컬 보안 정책 스냅인에서 이러한 설정을 구성, 배포, 관리할 수 있습니다. Windows Server 2008 R2와 Windows 7에서는 IT 전문가가 네트워크에서 발생하는 중요 작업을 정밀하게 정의하여 추적하기가 용이합니다.
Windows Server 2008 R2와 Windows 7에서는 관리자가 비즈니스 규칙과 감사 정책을 연결할 수 있도록 감사 정책 기능이 향상되었습니다. 예를 들어 도메인이나 OU별로 감사 정책 설정을 적용하면 관리자가 다음과 같이 규칙 준수 여부를 문서화할 수 있습니다.
- 금융 정보가 포함된 서버에서 모든 그룹 관리자 작업을 추적합니다.
- 정의된 직원 그룹이 액세스한 파일을 모두 추적합니다.
- 액세스하는 모든 파일, 폴더 및 레지스트리 키에 올바른 SACL이 적용되는지 확인합니다.
이 기능의 대상 사용자
Windows Server 2008 R2 및 Windows 7의 향상된 감사 기능은 조직에서 물리적 자산과 정보 자산의 보안을 지속적으로 구현 및 유지 관리하고 모니터링해야 하는 IT 전문가의 업무를 지원합니다.
이러한 설정은 관리자가 다음과 같은 정보를 확인하는 데 도움이 됩니다.
- 자산에 액세스하는 사용자
- 액세스 대상 자산
- 액세스 시간 및 위치
- 액세스 권한 획득 방법
보안 의식과 과학 수사의 단서에 대한 필요성이 늘어남에 따라 이러한 정보에 대한 중요성도 높아졌습니다. 때문에 감사자를 두어 이러한 정보의 품질을 평가하고 보장하고자 하는 조직이 점점 더 늘어나고 있습니다.
특별 고려 사항
Windows Server 2008 R2 및 Windows 7의 향상된 감사 기능과 관련한 여러 가지 작업에는 몇 가지 특별 고려 사항이 있습니다.
- 감사 정책 만들기. 고급 Windows 보안 감사 정책을 만들려면 Windows Server 2008 R2 또는 Windows 7을 실행하는 컴퓨터에서 GPMC나 로컬 보안 정책 스냅인을 사용해야 합니다. GPMC는 Windows 7을 실행하는 컴퓨터에 원격 서버 관리 도구를 설치하면 사용할 수 있습니다.
- 감사 정책 설정 적용. 그룹 정책을 사용하여 고급 감사 정책 설정과 전역 개체 액세스 설정을 적용하는 경우 클라이언트 컴퓨터에서 Windows Server 2008 R2 또는 Windows 7을 실행 중이어야 합니다. 또한 Windows Server 2008 R2나 Windows 7을 실행하는 컴퓨터만 "액세스 이유" 보고 데이터를 제공할 수 있습니다.
- 감사 정책 모델 개발. 고급 보안 감사 설정과 전역 개체 액세스 설정을 계획하려면 Windows Server 2008 R2을 실행하는 도메인 컨트롤러를 대상으로 GPMC를 사용해야 합니다.
- 감사 정책 배포. 고급 보안 감사 설정을 포함한 GPO(그룹 정책 개체)를 개발한 후에는 Windows 서버 운영 체제를 실행하는 도메인 컨트롤러를 사용하여 이를 배포할 수 있습니다. 그러나 Windows 7을 실행하는 클라이언트 컴퓨터를 별도의 OU에 배치할 수 없는 경우 WMI(Windows Management Instrumentation) 필터링을 사용하여 고급 정책 설정이 Windows 7을 실행하는 컴퓨터에만 적용되도록 해야 합니다.
 참고 |
|---|
| 고급 감사 정책 설정은 Windows Vista를 실행하는 클라이언트 컴퓨터에도 적용할 수 있지만 이러한 클라이언트 컴퓨터의 감사 정책은 Auditpol.exe 로그온 스크립트를 사용하여 별도로 만들고 적용해야 합니다.
|
| 중요 |
|---|
| 로컬 정책\감사 정책의 기본 감사 정책 설정과 고급 감사 정책 구성의 고급 설정을 모두 사용하면 예기치 않은 결과가 발생할 수 있습니다. 따라서 두 가지 감사 정책 설정을 조합해서는 안 됩니다. 고급 감사 정책 구성 설정을 사용하는 경우 로컬 정책\보안 옵션 에서 감사: 감사 정책 하위 범주 설정(Windows Vista 또는 그 이후 버전)이 감사 정책 범주 설정보다 우선하도록 강제로 설정합니다. 정책 설정을 사용하도록 설정해야 합니다. 이 설정은 기본 보안 감사를 강제로 무시하여 비슷한 설정 간의 충돌을 방지합니다.
|
또한 보안 이벤트 감사 정책을 계획 및 배포하려면 관리자가 다음과 같은 여러 가지 운영 및 전략적 문제를 확인해야 합니다.
- 감사 정책이 왜 필요한가?
- 조직에서 가장 중요한 작업과 이벤트는 무엇인가?
- 감사 전략에서 제외할 수 있는 감사 이벤트 유형은 무엇인가?
- 데이터 생성, 수집 및 저장 이벤트를 전담하는 데 필요한 관리자 업무 시간과 네트워크 리소스는 어느 정도인가?
이 기능을 포함하는 버전
그룹 정책을 처리할 수 있는 Windows Server 2008 R2 및 Windows 7의 모든 버전은 이러한 향상된 보안 감사 기능을 사용하도록 구성할 수 있습니다. 도메인 가입이 불가능한 Windows Server 2008 R2 및 Windows 7 버전에서는 이러한 기능을 사용할 수 없습니다. Windows 7의 32비트 버전과 64비트 버전 간에 보안 감사 지원과 관련한 차이점은 없습니다.
새로운 기능
Windows Server 2008 R2와 Windows 7은 전역 개체 액세스 감사, "액세스 이유" 설정 및 고급 감사 정책 설정이라는 새로운 기능을 제공합니다.
전역 개체 액세스 감사
전역 개체 액세스 감사를 사용하면 관리자가 개체 유형별로 파일 시스템 또는 레지스트리에 대한 컴퓨터 SACL을 정의할 수 있습니다. 그러면 지정한 SACL이 해당 유형의 모든 개체에 자동으로 적용됩니다.
감사자는 전역 개체 액세스 감사 정책 설정의 내용을 검토하여 손쉽게 시스템의 모든 리소스가 감사 정책으로 보호된다는 사실을 입증할 수 있습니다. 예를 들어 "그룹 관리자의 모든 변경 내용 추적"이라는 정책 설정만 확인하면 이 정책이 적용되고 있는지를 확인할 수 있습니다.
진단을 할 경우에도 리소스 SACL은 유용합니다. 예를 들어 특정 사용자의 작업을 모두 기록하도록 전역 개체 액세스 감사 정책을 설정하고 리소스(파일 시스템, 레지스트리)에서 액세스 실패 감사 정책을 설정하면 관리자가 시스템에서 사용자 액세스를 거부하는 개체를 금방 식별할 수 있습니다.
| 참고 |
|---|
| 컴퓨터에 파일 또는 폴더 SACL과 전역 개체 액세스 감사 정책(또는 단일 레지스트리 설정 SACL과 전역 개체 액세스 감사 정책)이 모두 구성되어 있으면 파일 또는 폴더 SACL과 전역 개체 액세스 감사 정책을 결합한 SACL이 파생되어 적용됩니다. 즉, 파일 또는 폴더 SACL이나 전역 개체 액세스 감사 정책 중 하나라도 일치하는 작업이 발생하면 감사 이벤트가 생성됩니다.
|
"액세스 이유" 설정
Windows에는 작업이 성공하거나 실패할 때마다 작업을 감사하는 이벤트가 몇 가지 있습니다. 대개 이러한 이벤트에는 사용자, 개체 및 작업에 대한 정보가 포함되지만 작업을 허용하거나 거부한 이유는 알 수 없습니다.Windows Server 2008 R2 및 Windows 7에서는 특정 사용 권한을 기준으로 사용자에게 회사 리소스에 대한 액세스가 허용되는 이유를 기록하도록 과학 수사적 분석 및 지원 시나리오가 개선되었습니다.
고급 감사 정책 설정
Windows Server 2008 R2 및 Windows 7에서는 도메인 그룹 정책을 사용하여 향상된 감사 정책을 구성하고 배포할 수 있기 때문에 관리 비용과 오버헤드를 줄이고 보안 감사의 유연성과 효율성을 크게 높일 수 있습니다.
다음 섹션에서는 그룹 정책의 고급 감사 정책 구성 노드에서 사용 가능한 새로운 이벤트와 이벤트 범주에 대해 설명합니다.
계정 로그온 이벤트
이 범주의 이벤트는 도메인 컨트롤러나 로컬 SAM(보안 계정 관리자)에 계정 데이터를 인증하기 위한 도메인 시도를 기록하는 데 도움이 됩니다. 특정 컴퓨터에 대한 액세스 시도를 추적하는 로그온/로그오프 이벤트와는 달리 이 범주의 이벤트는 사용 중인 계정 데이터베이스에 대해 보고합니다.
| 설정 | 설명 |
|---|---|
|
자격 증명 유효성 검사 |
사용자 계정 로그온 자격 증명에 대한 유효성 검사 테스트에서 생성되는 이벤트를 감사합니다. |
|
Kerberos 서비스 티켓 작업 |
Kerberos 서비스 티켓 요청으로 생성되는 이벤트를 감사합니다. |
|
기타 계정 로그온 이벤트 |
자격 증명 유효성 검사나 Kerberos 티켓에 해당하지 않는 사용자 계정 로그온 자격 증명 요청에 대한 응답으로 생성되는 이벤트를 감사합니다. |
|
Kerberos 인증 서비스 |
Kerberos 인증 TGT(Ticket-Granting Ticket) 요청으로 생성되는 이벤트를 감사합니다. |
계정 관리 이벤트
이 범주의 설정은 사용자/컴퓨터 계정 및 그룹의 변경 사항을 모니터링하는 데 사용할 수 있습니다.
| 설정 | 설명 | ||
|---|---|---|---|
|
사용자 계정 관리 |
사용자 계정 변경 사항을 감사합니다. | ||
|
컴퓨터 계정 관리 |
컴퓨터 계정을 만들거나 변경하거나 삭제하는 등의 컴퓨터 계정 변경 사항이 발생할 때 생성되는 이벤트를 감사합니다. | ||
|
보안 그룹 관리 |
보안 그룹 변경으로 생성되는 이벤트를 감사합니다. | ||
|
메일 그룹 관리 |
메일 그룹이 변경될 때 생성되는 이벤트를 감사합니다.
| ||
|
응용 프로그램 그룹 관리 |
응용 프로그램 그룹이 변경될 때 생성되는 이벤트를 감사합니다. | ||
|
기타 계정 관리 이벤트 |
이 범주에 해당하지 않는 기타 사용자 계정 변경 사항이 발생할 때 생성되는 이벤트를 감사합니다. |
세부 추적 이벤트
세부 추적 이벤트는 개별 응용 프로그램의 작업을 모니터링하여 컴퓨터의 사용 방식과 해당 컴퓨터에서 사용자가 수행하는 작업을 파악하는 데 사용됩니다.
| 설정 | 설명 |
|---|---|
|
프로세스 만들기 |
프로세스를 만들거나 시작할 때 생성되는 이벤트를 감사합니다. 프로세스를 만든 응용 프로그램 또는 사용자의 이름도 감사됩니다. |
|
프로세스 종료 |
프로세스가 끝날 때 생성되는 이벤트를 감사합니다. |
|
DPAPI 작업 |
DPAPI(데이터 보호 응용 프로그램 인터페이스)에 대해 암호화 또는 암호 해독 요청이 발생할 때 생성되는 이벤트를 감사합니다. DPAPI는 저장된 암호나 키 정보와 같은 비밀 정보를 보호하는 데 사용됩니다. DPAPI에 대한 자세한 내용은 Windows 데이터 보호(영문일 수 있음)를 참조하십시오. |
|
RPC 이벤트 |
인바운드 RPC(원격 프로시저 호출) 연결을 감사합니다. |
DS 액세스 이벤트
DS 액세스 이벤트는 AD DS(Active Directory® 도메인 서비스)의 개체에 대한 액세스 및 수정 시도와 관련하여 낮은 수준의 감사 추적 기능을 제공합니다. 이러한 이벤트는 도메인 컨트롤러에서만 기록됩니다.
| 설정 | 설명 |
|---|---|
|
디렉터리 서비스 액세스 |
AD DS 개체가 액세스된 경우 생성되는 이벤트를 감사합니다. 일치하는 SACL이 있는 AD DS 개체만 기록됩니다. 이 하위 범주의 이벤트는 이전 버전의 Windows에서 제공된 디렉터리 서비스 액세스 이벤트와 유사합니다. |
|
디렉터리 서비스 변경 |
AD DS 개체가 변경될 때 생성되는 이벤트를 감사합니다. 개체가 생성, 삭제, 수정, 이동 또는 삭제 취소된 경우에 이벤트가 기록됩니다. |
|
디렉터리 서비스 복제 |
두 AD DS 도메인 컨트롤러 간의 복제 작업을 감사합니다. |
|
세부 디렉터리 서비스 복제 |
도메인 컨트롤러 간의 세부 AD DS 복제로 생성되는 이벤트를 감사합니다. |
로그온/로그오프 이벤트
로그온/로그오프 이벤트를 사용하면 대화형 로그온 또는 네트워크를 통한 컴퓨터 로그온 시도를 추적할 수 있습니다. 이러한 이벤트는 특히 사용자 작업을 추적하고 네트워크 리소스에 대한 잠재적인 공격 행위를 식별하는 데 유용합니다.
| 설정 | 설명 |
|---|---|
|
로그온 |
컴퓨터에 대한 사용자 계정 로그온 시도로 생성되는 이벤트를 감사합니다. |
|
로그오프 |
로그온 세션이 종료될 때 생성되는 이벤트를 감사합니다. 이들 이벤트는 액세스된 컴퓨터에서 발생합니다. 대화형 로그온의 경우 사용자 계정이 로그온된 컴퓨터에서 보안 감사 이벤트가 생성됩니다. |
|
계정 잠금 |
로그온에 실패하여 계정이 잠긴 경우에 생성되는 이벤트를 감사합니다. |
|
IPsec 주 모드 |
주 모드 협상 중에 IKE(Internet Key Exchange) 프로토콜 및 AuthIP(인증된 인터넷 프로토콜)에 의해 생성되는 이벤트를 감사합니다. |
|
IPsec 빠른 모드 |
빠른 모드 협상 중에 IKE(Internet Key Exchange) 프로토콜 및 AuthIP(인증된 인터넷 프로토콜)에 의해 생성되는 이벤트를 감사합니다. |
|
IPsec 확장 모드 |
확장 모드 협상 중에 IKE(Internet Key Exchange) 프로토콜 및 AuthIP(인증된 인터넷 프로토콜)에 의해 생성되는 이벤트를 감사합니다. |
|
특수 로그온 |
특수 로그온으로 생성되는 이벤트를 감사합니다. |
|
기타 로그온/로그오프 이벤트 |
로그온/로그오프 범주에 포함되지 않은 로그온/로그오프 관련 이벤트를 감사합니다. |
|
네트워크 정책 서버 |
RADIUS(IAS) 및 NAP(네트워크 액세스 보호) 사용자 액세스 요청으로 생성되는 이벤트를 감사합니다. 이러한 요청에는 허용, 거부, 무시, 격리, 잠금 및 잠금 해제가 있습니다. |
개체 액세스 이벤트
개체 액세스 이벤트를 사용하면 네트워크 또는 컴퓨터의 특정 개체나 개체 유형에 대한 액세스 시도를 추적할 수 있습니다. 파일, 디렉터리, 레지스트리 키 또는 기타 개체를 감사하려면 성공 및 실패 이벤트에 대해 개체 액세스 범주를 사용하도록 설정해야 합니다. 예를 들어 파일 작업을 감사하려면 파일 시스템 하위 범주를 사용하도록 설정해야 하고, 레지스트리 액세스를 감사하려면 레지스트리 하위 범주를 사용하도록 설정해야 합니다.
이 정책은 외부 감사자가 적용 여부를 입증하기 어렵습니다. 모든 상속된 개체에 대해 SACL이 올바르게 설정되어 있는지를 쉽게 확인할 수 없기 때문입니다.
| 설정 | 설명 | ||
|---|---|---|---|
|
파일 시스템 |
사용자의 파일 시스템 개체 액세스 시도를 감사합니다. 보안 감사 이벤트는 SACL이 있는 개체에 한해, 요청되는 액세스의 유형(예: 쓰기, 읽기 또는 수정)과 요청하는 계정이 SACL의 설정과 일치하는 경우에만 생성됩니다. | ||
|
레지스트리 |
레지스트리 개체에 대한 액세스 시도를 감사합니다. 보안 감사 이벤트는 SACL이 있는 개체에 한해, 요청되는 액세스의 유형(예: 읽기, 쓰기 또는 수정)과 요청하는 계정이 SACL의 설정과 일치하는 경우에만 생성됩니다. | ||
|
커널 개체 |
뮤텍스, 세마포 등의 시스템 커널에 대한 액세스 시도를 감사합니다. 일치하는 SACL이 있는 커널 개체만 보안 감사 이벤트를 생성합니다.
| ||
|
SAM |
SAM(보안 계정 관리자) 개체에 대한 액세스 시도로 생성되는 이벤트를 감사합니다. | ||
|
인증 서비스 |
AD CS(Active Directory 인증서 서비스) 작업을 감사합니다. | ||
|
응용 프로그램 생성됨 |
Windows 감사 API(응용 프로그래밍 인터페이스)를 사용하여 이벤트를 생성하는 응용 프로그램을 감사합니다. Windows 감사 API를 사용하도록 디자인된 응용 프로그램은 이 하위 범주를 사용해 해당 기능과 관련된 감사 이벤트를 기록합니다. | ||
|
핸들 조작 |
개체의 핸들을 열거나 닫을 때 생성되는 이벤트를 감사합니다. 일치하는 SACL이 있는 개체만 보안 감사 이벤트를 생성합니다. | ||
|
파일 공유 |
공유 폴더에 대한 액세스 시도를 감사합니다. 단, 폴더를 만들거나 삭제하거나 공유 사용 권한을 변경할 때는 보안 감사 이벤트가 생성되지 않습니다. | ||
|
세부 파일 공유 |
공유 폴더의 파일과 폴더에 대한 액세스 시도를 감사합니다. 파일 공유 설정이 클라이언트와 파일 공유 간에 설정된 연결에 대해 하나의 이벤트만 기록하는 반면, 세부 파일 공유 설정은 파일이나 폴더를 액세스할 때마다 이벤트를 기록합니다 세부 파일 공유 감사 이벤트에는 액세스를 허용하거나 거부하는 데 사용된 사용 권한 또는 기타 조건에 대한 자세한 정보가 들어 있습니다. | ||
|
필터링 플랫폼 패킷 삭제 |
WFP(Windows 필터링 플랫폼)에서 삭제되는 패킷을 감사합니다. | ||
|
필터링 플랫폼 연결 |
WFP에서 허용 또는 차단되는 연결을 감사합니다. | ||
|
기타 개체 액세스 이벤트 |
작업 스케줄러 작업 또는 COM+ 개체 관리로 생성되는 이벤트를 감사합니다. |
정책 변경 이벤트
정책 변경 이벤트는 로컬 시스템이나 네트워크에서 중요 보안 정책의 변경 사항을 추적하는 데 사용됩니다. 일반적으로 정책은 관리자가 네트워크 시스템의 보안을 강화하기 위해 설정하기 때문에 정책의 변경이나 변경 시도는 네트워크의 보안 관리 측면에서 중요할 수 있습니다.
| 설정 | 설명 |
|---|---|
|
정책 변경 감사 |
보안 감사 정책 설정의 변경 사항을 감사합니다. |
|
인증 정책 변경 |
인증 정책 변경으로 생성되는 이벤트를 감사합니다. |
|
권한 부여 정책 변경 |
권한 부여 정책 변경으로 생성되는 이벤트를 감사합니다. |
|
MPSSVC 규칙 수준 정책 변경 |
Windows 방화벽에 사용되는 정책 규칙 변경으로 생성되는 이벤트를 감사합니다. |
|
필터링 플랫폼 정책 변경 |
WFP 변경으로 생성되는 이벤트를 감사합니다. |
|
기타 정책 변경 이벤트 |
정책 변경 범주에서 감사되지 않는 기타 보안 정책 변경으로 생성되는 이벤트를 감사합니다. |
권한 사용 이벤트
네트워크에 대한 권한은 사용자나 컴퓨터가 정의된 작업을 수행하도록 하기 위해 부여됩니다. 권한 사용 이벤트를 사용하면 하나 이상의 컴퓨터에서 특정 권한의 사용을 추적할 수 있습니다.
| 설정 | 설명 |
|---|---|
|
중요한 권한 사용 |
운영 체제의 일부로 작동하거나 파일 및 디렉터리를 백업하거나 클라이언트 컴퓨터를 가장하거나 보안 감사를 생성하는 등의 중요한 권한(사용자 권한) 사용으로 생성되는 이벤트를 감사합니다. |
|
중요하지 않은 권한 사용 |
로컬로 또는 원격 데스크톱 연결을 사용하여 로그온하거나 시스템 시간을 변경하거나 도킹 스테이션에서 컴퓨터를 제거하는 등의 중요하지 않은 권한(사용자 권한) 사용으로 생성되는 이벤트를 감사합니다. |
|
기타 권한 사용 이벤트 |
사용되지 않습니다. |
시스템 이벤트
시스템 이벤트를 사용하면 컴퓨터 전체에 적용되고 보안상 중요하지만 다른 범주에는 포함되지 않은 변경 사항을 추적할 수 있습니다.
| 설정 | 설명 |
|---|---|
|
보안 상태 변경 |
컴퓨터의 보안 상태 변경으로 생성되는 이벤트를 감사합니다. |
|
보안 시스템 확장 |
보안 시스템 확장 또는 서비스와 관련한 이벤트를 감사합니다. |
|
시스템 무결성 |
보안 하위 시스템의 무결성을 위반하는 이벤트를 감사합니다. |
|
IPsec 드라이버 |
IPsec 필터 드라이버에 의해 생성되는 이벤트를 감사합니다. |
|
기타 시스템 이벤트 |
다음과 같은 이벤트를 감사합니다.
|
'Windows > 2008' 카테고리의 다른 글
| [스크랩] 자동 업데이트 정책 변경 내역 (0) | 2014.12.24 |
|---|---|
| [스크랩] 윈도우 보안 이벤트 설명 (0) | 2014.12.24 |
| [스크랩] AD 조인 실패시 트러블슈팅 (0) | 2014.11.17 |
| [스크랩] Windows RDP 접속 이력 조회 (0) | 2014.10.22 |
| 로그인한 사람 확인 이벤트id (0) | 2014.10.16 |