[W-71(중)] 4. 로그 관리 > 4.4 원격에서 이벤트 로그 파일 접근 차단

작업 환경

• VMware Workstation Pro (17.6.2 ver)
• Server 
  • Windows Server 2016 : NAT

W-71 (중)	4. 로그 관리 > 4.4 원격에서 이벤트 로그 파일 접근 차단
취약점 개요
점검 내용	원격에서 로그 파일의 접근을 차단하기 위한 권한 적절성 점검
점검 목적	원격에서 로그 파일을 접근하는 것을 차단하여 로그 파일의 훼손 및 변조를 차단하기 위함
보안 위협	원격 익명 사용자의 시스템 로그 파일에 접근이 가능한 경우 ‘중요 시스템 로그’ 파일 및 ‘애플리케이션 로그’ 등 중요 보안 감사 정보의 변조·삭제·유출 의 위험이 존재
판단 기준	양호 : 로그 디렉토리의 접근권한에 Everyone 권한이 없는 경우 취약 : 로그 디렉토리의 접근권한에 Everyone 권한이 있는 경우
참고	로그 디렉토리 위치 • 시스템 로그 디렉토리: %systemroot%\system32\config • IIS 로그 디렉토리: %systemroot%\system32\LogFiles

 

 

Windows Server 2016

• Step 1) 탐색기 → 로그 디렉토리 → 속성 → 보안 → 고급
• Step 2) Everyone 권한 제거

시스템 로그 디렉토리: %systemroot%\system32\config

everyone 권한 없음

 

IIS 로그 디렉토리: %systemroot%\system32\LogFiles

everyone 권한 없음

 

※ 일반적으로 시스템 로그는C:\winnt\system32\config 파일에 저장되지만.

애플리케이션 로 그 파일은 각각의 애플리케이션마다 로그 저장 위치가 다름.

웹 서버에 많이 사용하는 IIS 경우, C:\winnt\system32\LogFiles에 저장됨