[보안감사 2탄] 언제/누가/어떻게 원격에서 로그온 했는지 Audit 해보자!

  • Article

아래 보안감사에 이은 2탄 입니다.

질문: 원격에서 로그온한 사용자를 감사(Thanks가 아니라 audit )하고 싶다, 즉 누가 원격에서 액세스했는지 알고 싶다.

해답:

원격에서 로그온한 사용자의 정보와 사용자 Action을 보안 감사를 통해서 확인하실 수 있습니다, 보안 감사를 설정하시고 아래와 같이 보안 이벤트 로그를 확인 하십시오.

원격에서 사용자가 원격로그인 했을때 해당 로그온을 허락한 컴퓨터는 Event ID 540 발생합니다. (콘솔로 직접 연결한 경우는 EventID 528이 발생합니다)

[위 이벤트 로그 전체 내용입니다]

이벤트 형식:        성공 감사

이벤트 원본:        Security

이벤트 범주:        로그온/로그오프

이벤트 ID:            540

날짜:                   2006-08-31

시간:                   오후 2:58:48

사용자:                I-SANKIM02\Administrator

컴퓨터:   I-SANKIM02

설명:

성공적 네트워크 로그온:

사용자 이름:        Administrator =>  로컬에 로그인한 계정

도메인:                I-SANKIM02

로그온 ID:                         (0x0,0x6C9F6D)

로그온 유형:        3 =>  로그온 Type, 3의 경우 네트워크에서 연결했음을 의미

로그온 프로세스:  NtLmSsp

인증 패키지:        NTLM

워크스테이션 이름:            SANKIM01 =>  원격에서 연결한 컴퓨터 이름

로그온 GUID:       -

호출자 사용자 이름:           -

호출자 도메인:     -

호출자 로그온 ID: -

호출자 프로세스 ID: -

전송된 서비스: -

원본 네트워크 주소:           157.60.9.137 =>  원격 컴퓨터의 IP

원본 포트:            0

결론적으로 위 로그를 보고  2006년 8월 31일 오후 2시 58분에 IP 157.60.9.137인 SANKIM01 컴퓨터가 Administrator 계정으로 네트워크를 통해 로그온 했음을 알 수 있습니다.

[아래는 로그온 Type 에 대한 설명 입니다]

Logon type 2 Interactive: A user logged on to this computer.

Logon type 3 Network: A user or computer logged on to this computer from the network.

Logon type 4 Batch: Batch logon type is used by batch servers, where processes may be executing on behalf of a user without their direct intervention.

Logon type 5 Service: A service was started by the Service Control Manager.

Logon type 7 Unlock: This workstation was unlocked.

Logon type 8 NetworkCleartext: A user logged on to this computer from the network. The user's password was passed to the authentication package in its unhashed form. The built-in authentication packages all hash credentials before sending them across the network. The credentials do not traverse the network in plaintext (also called cleartext).

Logon type 9 NewCredentials: A caller cloned its current token and specified new credentials for outbound connections. The new logon session has the same local identity, but uses different credentials for other network connections.

Logon type 10 RemoteInteractive: A user logged on to this computer remotely using Terminal Services or Remote Desktop.

Logon type 11 CachedInteractive: A user logged on to this computer with network credentials that were stored locally on the computer. The domain controller was not contacted to verify the credentials.

[관련문서]

Audit logon events

https://technet2.microsoft.com/WindowsServer/en/library/e104c96f-e243-41c5-aaea-d046555a079d1033.mspx?mfr=true

Auditing User Authentication

https://support.microsoft.com/kb/174073

W2K and NT Security Event Log Descriptions

https://www.windowsnetworking.com/nt/atips/atips155.shtml

*실제 보안 로그를 보면 엄청난 양의 로그로 질리기 부터 할때가 있습니다. 꼭 이벤트 뷰어의 필터를 이용하십시오.

**3년전엔가 15대의 보안 로그를 일주일 넘게 분석했던 기억이..    죽는줄 알았습니다..