중앙 감사 정책으로 보안 감사 배포(데모 단계)

• 적용 대상:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

이 시나리오에서는 Deploy a Central Access Policy (Demonstration Steps)에서 만든 금융 정책을 사용하여 금융 문서 폴더의 파일에 대한 액세스를 감사합니다. 폴더에 대한 액세스 권한이 없는 사용자가 이 폴더에 액세스할 경우 이벤트 뷰어에 작업이 캡처됩니다. 이 시나리오를 테스트하려면 다음 단계가 필요합니다.

Task	설명
전역 개체 액세스 구성	이 단계에서는 도메인 컨트롤러에서 글로벌 개체 액세스 정책을 구성합니다.
그룹 정책 설정 업데이트	파일 서버에 로그인하고 그룹 정책 업데이트를 적용합니다.
글로벌 개체 액세스 정책이 적용되었는지 확인	이벤트 뷰어에서 관련 이벤트를 봅니다. 이벤트에는 국가 및 문서 종류에 대한 메타데이터가 포함되어야 합니다.

글로벌 개체 액세스 정책 구성

이 단계에서는 도메인 컨트롤러에서 글로벌 개체 액세스 정책을 구성합니다.

글로벌 개체 액세스 정책을 구성하려면

1. 암호 pass@word1을 사용하여 contoso\Administrator로 도메인 컨트롤러 DC1에 로그인합니다.

2. 서버 관리자에서 도구를 가리킨 다음 그룹 정책 관리를 클릭합니다.

3. 콘솔 트리에서 도메인을 두 번 클릭하고 contoso.com을 두 번 클릭한 후 Contoso를 클릭하고 파일 서버를 두 번 클릭합니다.

4. FlexibleAccessGPO를 마우스 오른쪽 단추로 클릭한 후 편집을 클릭합니다.

5. 컴퓨터 구성을 두 번 클릭하고 정책을 두 번 클릭한 다음 Windows 설정을 두 번 클릭합니다.

6. 보안 설정을 두 번 클릭하고 고급 감사 정책 구성을 두 번 클릭한 다음 감사 정책을 두 번 클릭합니다.

7. 개체 액세스를 두 번 클릭한 후 파일 시스템 감사를 두 번 클릭합니다.

8. 다음 이벤트 구성 확인란을 선택하고 성공 및 실패 확인란을 선택한 다음 확인을 클릭합니다.

9. 탐색 창에서 글로벌 개체 액세스 감사를 두 번 클릭한 후 파일 시스템을 두 번 클릭합니다.

10. 이 정책 설정 정의 확인란을 선택하고 구성을 클릭합니다.

11. 전역 파일 SACL의 고급 보안 설정 상자에서 추가를 클릭하고 보안 주체 선택을 클릭한 후 모두를 입력하고 확인을 클릭합니다.

12. 전역 파일 SACL 감사 항목 상자의 사용 권한 상자에서 모든 권한을 선택합니다.

13. 조건 추가: 섹션에서 조건 추가를 클릭하고 드롭다운 목록에서 [리소스] [부서] [다음 중 하나] [값] [금융]을 선택합니다.

14. 확인을 세 번 클릭하여 글로벌 개체 액세스 감사 정책 설정에 대한 구성을 완료합니다.

15. 탐색 창에서 개체 액세스를 클릭하고 결과 창에서 핸들 조작 감사를 두 번 클릭합니다. 다음 감사 이벤트 구성, 성공, 실패를 클릭하고 확인을 클릭한 후 유연한 액세스 GPO를 닫습니다.

그룹 정책 설정 업데이트

이 단계에서는 감사 정책을 만든 후 그룹 정책 설정을 업데이트합니다.

그룹 정책 설정을 업데이트하려면

1. 암호 pass@word1을 사용하여 contoso\Administrator로 파일 서버 FILE1에 로그인합니다.

2. Windows 키+R을 누른 다음 cmd를 입력하여 명령 프롬프트 창을 엽니다.

   참고 항목

   사용자 계정 컨트롤 대화 상자가 나타나면 원하는 작업이 표시되었는지 확인한 다음 예를 클릭합니다.

3. gpupdate /force를 입력한 다음 Enter 키를 누릅니다.

글로벌 개체 액세스 정책이 적용되었는지 확인

그룹 정책 설정이 적용된 후 감사 정책 설정이 올바르게 적용되었는지 확인할 수 있습니다.

글로벌 개체 액세스 정책이 적용되었는지 확인하려면

1. Contoso\MReid로 클라이언트 컴퓨터 CLIENT1에 로그인합니다. HYPERLINK "file:///\\\\ID_AD_FILE1\\Finance" \\ FILE1\Finance Documents 폴더를 찾아 Word Document 2를 수정합니다.

2. contoso\administrator로 파일 서버 FILE1에 로그인합니다. 이벤트 뷰어를 열고 Windows 로그를 찾은 후 보안을 선택하고 만들거나, 수정하거나, 삭제한 파일이나 폴더에 대해 명시적인 감사 SACL을 설정하지 않았더라도 작업을 통해 감사 이벤트 4656 및 4663이 생성되었는지 확인합니다.

Important

유효한 액세스를 검사 중인 사용자 대신 리소스가 위치한 컴퓨터에 대해 새 로그온 이벤트가 생성됩니다. 사용자 로그인 작업에 대한 보안 감사 로그 분석 시 유효한 액세스로 인해 생성된 로그온 이벤트와 대화형 네트워크 사용자 로그인으로 인해 생성된 로그온 이벤트를 구별하기 위해 가장 수준 정보가 포함됩니다. 로그온 이벤트가 유효한 액세스로 인해 생성된 경우 가장 수준이 ID가 됩니다. 네트워크 대화형 사용자 로그인에서는 일반적으로 가장 수준이 가장 또는 위임인 로그온 이벤트가 생성됩니다.

참고 항목

• 시나리오: 파일 액세스 감사

• 파일 액세스 감사 계획

• 동적 액세스 제어: 시나리오 개요