Windows Server 2008이 나오면... (40) - Active Directory Audit의 변화

액티브 디렉터리를 관리하였던 경험을 생각해보면, 여러 에피소드가 기억이 나긴 하지만 그중 속성 값을 변경하고, 원복해야 할때, 이전 값이 기억나지 않는다는 것입니다. 물론 나이가 들고 기억력이 떨어져서 기억 못할 수도 있지만, 바쁜 업무와 여러 요청 사항을 다 처리하다보니...

액티브 디렉터리를 위한 감사 정책중 Audit directory service access라는 항목이 있습니다. 액티브 디렉터리에서 발생한 여러 액세스 기록을 이벤트 로그의 보안 로그에 기록해주는 항목으로, 이를 이용하면 누가 언제 어떤 개체를 손댔는지까지는 Windows 2000,2003에서도 기록에 잘 남았습니다. 물론 사전에 Object에 대한 감사 설정은 해놓았다는 가정은 들어가죠.

감사를 설정하고, 특정 개체에 대한 수정, 복제작업등을 하면.. 이벤트 뷰어에... Event ID 4662 로그가 보안 로그에 남게 됩니다.

Windows Server 2008에서는 Audit directory service access라는 항목이 큰 글로벌 설정으로 존재하고, 하위 감사 설정으로 4가지 서브 항목이 있습니다.

Directory Service Access
Directory Service Changes
Directory Service Replication
Detailed Directory Service Replication

해당 항목을 Auditpol.exe라는 툴을 이용하셔서 사용 설정하셔야 합니다.

그럼 도대체 어떤 항목이 남느냐?!

1. 수정된 개체의 경우, 이전, 새로운 속성값이 남습니다.
2. 새롭게 생성된 개체의 경우, 속성값이 기록에 남습니다.
3. 컨테이너간 이동된 개체의 경우, 위치 정보가 기록에 남습니다.
4. 복구된 개체의 경우, 위치 정보가 기록에 남습니다.

기록되는 Event-ID 정보는 다음과 같습니다.

5136 - 개체의 속성이 수정되었음
5137 - 개체가 생성되었음
5138 - 개체가 복구되었음
5139 - 도메인내에서 개체가 이동되었음

개체의 전화번호의 변경을 기록한 로그입니다.

Windows Server 2008의 감사 설정 세부 변화로 관리자 분들께서는 좀더 편리하게 기존 작업에 대한 히스토리 관리를 하실 수 있을 뿐더러, 자세한 보안 로그 기록을 통해 보안 향상을 이끌어 내실 수 있을거라 생각합니다.

어느덧 40회째 Windows Server 2008 글입니다. 기억에 나는 거리대로 글을 쓰다 보니 여기까지 왔는데, 많은 관심 감사드립니다. :)