Windows 파일 삭제한 계정 찾기

[주제]

- 파일이나 폴더를 삭제한 범인 찾아내기

 

[환경]

- Windows

 

[Preview]

1.    우리는 공동 작업에 대해 데이터나 파일을 공유하며, 업무를 진행하고 있습니다.

2.    필요한 파일이나 데이터는 공유 폴더를 생성하여 공유하고 있습니다.

3.    간혹 공유 폴더에 필요 없는 파일이나 폴더가 생성되거나, 중요파일이 삭제되는 이슈가 발생합니다.

4.    이번 사례는 로깅 설정을 통해 추적하는 방법을 공유 드립니다.

 

[사전지식]

1. 로컬보안정책 이란?

  A. 컴퓨터 보안에 영향을 주는 설정들을 모아 놓고 설정, 관리하는 도구

  B. 계정 정책

- 암호 정책: 암호 복잡성, 길이, 사용 기간 등 설정

- 계정 잠금 정책 : 게정 잠금 기긴, 로그인 시도 횟수 등 설정

C. 로컬 정책

- 감사 정책: 개체 엑세스, 계정 로그온, 디렉터리 엑세스 등 로깅 설정

- 사용자 권한 할당: 시스템에 대한 권한을 계정 별로 부여

- 보안 옵션: 각 요소에 대한 세부적 보안 설정

 

2. 그룹보안정책

A. 그룹으로 묶인 Server 및 PC에 대해 중앙에서 정책 설정 시 관련 정책에 대해 그룹 Server와 PC 전체가 동일하게 정책이 적용되는 도구

B. 로컬보안정책보다 상위 개념

C. 보통은 AD(Active Directory)를 통해 도메인으로 그룹화 한 후 관리함

 

[기술문의]

1.    윈도우 Server로 파일서버를 구축하였습니다.

2.    어떤 사용자가 어떤 파일을 생성/수정/삭제 했는지 로그 보는 방법 문의

3.    어떤 사용자가 어떤 파일과 폴더에 권한을 생성/수정/삭제 했는지 로그 보는 방법 문의

 

[해결방안]

Windows Server에서 파일 및 폴더에 생성/수정/삭제에 대한 로그를 남기려면 

먼저 감사로그를 저장하도록 로컬 보안 정책을 설정하여야 합니다. (제어판-관리도구-로컬보안정책)

 

 

 

 

로컬보안 정책에서 로컬정책-감사정책-개체 엑세스 감사를 실행하여 성공, 실패 감사를 체크합니다. 

개체에 엑세스가 성공이나 실패를 확인할 수 있습니다. 

 

 

 

다음으로 모니터링 하고자 하는 폴더에 ‘속성-보안-고급-[감사]’에서 

감사할 사용자를 추가(모든 사용자인 경우 Everyone)을 추가하고 감사할 항목을 선택해야 합니다.

 

 

 

위 두가지 설정을 완료하면 이후부터 이벤트 뷰어에 ‘보안’ 항목에 파일 관련 감사 로그가 기록되기 시작합니다.

각 항목을 확인하려면 이벤트 뷰어에 ‘현재 로그 필터링’을 실행하고 아래의 이벤트ID로 필터링하여 내역을 확인하실 수 있습니다.

l  새 파일을 만드는 경우 이벤트 ID 4656과 이벤트 ID 4663이 모두 기록됩니다.

l  파일 및 폴더를 삭제하는 경우 ID ​​4660가 기록되며, 권한을 변경하는 경우 ID4670가 기록됩니다.

l  누군가 파일을 열면 이벤트 ID 4656 및 4663이 기록됩니다

 

상기 내용에 대해 설정 및 확인 방법이 잘 정리된 자료가 있어 링크 드리오니 참고하시기 바랍니다.

 

l  Windows 파일 서버에서 파일 및 폴더 활동을 추적하는 방법
https://www.lepide.com/how-to/track-file-and-folder-activities-on-windows-file-servers.html

l  Windows 파일 서버에서 파일 삭제 및 권한 변경 추적
https://www.lepide.com/how-to/track-file-deletions-and-permission-changes-on-file-servers.html

l  Windows 파일 서버에서 누가 액세스하고 파일을 읽는지 추적하는 방법
https://www.lepide.com/how-to/track-who-read-files-on-your-windows-file-servers.html

 

다만 윈도우 기본 기능으로 파일 감사를 설정하시는 경우 이벤트 뷰어에 ‘보안’ 항목이 너무 많은 내용이 쌓이고 

설정에 따라 덮어쓰기 되는 경우 과거 내용을 확인하기 어려울 수 있습니다.

 

또한 항목이 많아 이벤트 뷰어 기능 만으로는 확인이 어려울 수 있어 

대부분 파일 사용에 대한 감사를 하고자 하는 경우 별도의 파일 감시 모니터링 솔루션을 도입하시는 것을 권장 드립니다.