[보안감사 3탄] 파일 삭제 감사(Audit); 누가 언제 내 파일을 삭제 하였나?

지난주 Workshop으로 남이섬을 다녀 왔는데 벌써 봄기운이 느껴지더군요.

추위를 잘타는 체질이라 따뜻함을 한껏 느끼고 돌아 왔습니다. ^^

이번 포스트는 누군가 중요 파일을 삭제 하였는지 감사하기 위한 설정과 감사 방법입니다.

[ 파일 감사를 위한 구성환경]

공유 파일 위치: 컴퓨터 W2K3SP1

연결 클라이언트: XPSP2sk

테스트 계정: DELTEST, TESTDEL

삭제할 파일: C:\TEST 폴더 안의 test1.txt, test2.txt, test3.txt

1. 해당 폴더에 다음과 같이 ‘삭제’에 대한 감사를 설정 합니다. (감사 설정은 해당 폴더의 등록정보 > 보안 > 고급 > 감사로 이동합니다)

clip_image002[7]

2. 정책 편집기에서 ‘개체 액세스 감사’의 ‘성공’감사를 설정합니다.

clip_image004[7]

[TEST Step]

1. 클라이언트 컴퓨터에서 DELTEST라는 계정으로 해당 폴더에 액세스 하여 test3.txt 파일을 삭제 합니다.

삭제 후 Security 이벤트 로그성공 감사 2007-06-29 오전 10:39:48 Security 개체 액세스 564 DELTEST W2K3SP1성공 감사 2007-06-29 오전 10:39:48 Security 개체 액세스 567 DELTEST W2K3SP1성공 감사 2007-06-29 오전 10:39:48 Security 개체 액세스 560 DELTEST W2K3SP1

2. 클라이언트 컴퓨터에서 TESTDEL라는 계정으로 해당 폴더에 액세스 하여 test2.txt 파일을 삭제 합니다.

삭제 후 Security 이벤트 로그성공 감사 2007-06-29 오전 10:50:45 Security 개체 액세스 564 TESTDEL W2K3SP1성공 감사 2007-06-29 오전 10:50:45 Security 개체 액세스 567 TESTDEL W2K3SP1성공 감사 2007-06-29 오전 10:50:45 Security 개체 액세스 560 TESTDEL W2K3SP1

3. 로컬에서 Administrator 계정으로 계정으로 해당 폴더에 액세스 하여 test1.txt 파일을 삭제 합니다.

삭제 후 Security 이벤트 로그성공 감사 2007-06-29 오전 10:53:36 Security 개체 액세스 564 Administrator W2K3SP1성공 감사 2007-06-29 오전 10:53:36 Security 개체 액세스 567 Administrator W2K3SP1성공 감사 2007-06-29 오전 10:53:36 Security 개체 액세스 560 Administrator W2K3SP1

*직접 테스트한 시간과 사용자가 위 로그 동일 합니다.

삭제된 파일과 좀더 자세한 정보를 보시기 위해서는 해당 로그의 속성을 확인 합니다.

삭제를 위한 Access 정보이벤트 형식: 성공 감사이벤트 원본: Security이벤트 범주: 개체 액세스이벤트 ID: 560날짜: 2007-06-29시간: 오전 10:39:48사용자: SPTEST\DELTEST => 해당 파일을 삭제하기 위해 Access한 사용자컴퓨터: W2K3SP1설명:개체 열기:개체 서버: Security개체 종류: File개체 이름: C:\TEST\TEST3.txt => 삭제할 파일 경로 및 이름핸들 ID: 6304 => 이 작업을 위한 핸들작업 ID: {0,187663}프로세스 ID: 4이미지 파일 이름:기본 사용자 이름: W2K3SP1$기본 도메인: SPTEST기본 로그온 ID: (0x0,0x3E7)Client 사용자 이름: DELTEST클라이언트 도메인: SPTEST클라이언트 로그온ID: (0x0,0x2D9F0)액세스: DELETE => Delete 하기 위한 AccessReadAttributes사용 권한: -제한된 Sid 카운트: 0액세스 마스크: 0x10080
이벤트 형식: 성공 감사이벤트 원본: Security이벤트 범주: 개체 액세스이벤트 ID: 567날짜: 2007-06-29시간: 오전 10:39:48사용자: SPTEST\DELTEST컴퓨터: W2K3SP1설명:시도한 개체 액세스:개체 서버: Security핸들 ID: 6304개체 종류: File프로세스 ID: 4이미지 파일 이름:액세스: DELETE액세스 마스크: 0x10000삭제가 성공했음을 확인 할 수 있는 로그
이벤트 형식: 성공 감사이벤트 원본: Security이벤트 범주: 개체 액세스이벤트 ID: 564날짜: 2007-06-29시간: 오전 10:39:48사용자: SPTEST\DELTEST컴퓨터: W2K3SP1설명:삭제된 개체: =>개체 서버: Security핸들 ID: 6304 => 위 560 작업임을 나타내는 동일한 핸들 ID프로세스 ID: 4이미지 파일 이름:

그러므로 이 로그로 DELTEST라는 사용자가 2007-06-29 오전 10:39:48에 C:\TEST\TEST3.txt 파일을 삭제 했음을 확인 할 수 있습니다.

[ 결론]

Security 564가 있으면 어떠한 객체가 삭제 되었음을 의미합니다. 그러므로 삭제된 파일 정보가 필요하다면 Security 560과 564가 쌍을 이루어 나타나게 되므로 이벤트 로그에서 Security 564를 필터로 검색한 뒤 바로 이전에 생성된 Security 560 정보를 확인 합니다.

*이전에 보안 감사 시리즈는 아래 링크를 참고하세요

[보안감사 2탄] 언제/누가/어떻게 원격에서 로그온 했는지 Audit 해보자!

https://blogs.technet.com/sankim/archive/2007/07/05/2-audit.aspx

[보안감사] 누가 사용자 계정을 삭제 하였나? - AD 환경에서 계정 삭제 감사(Audit) 방법

https://blogs.technet.com/sankim/archive/2007/07/05/ad.aspx