부록 3: 코드 무결성 이벤트 로깅 및 시스템 감사 사용

  • 아티클
  • 읽는 데 4분 걸림

코드 무결성 이벤트 로깅 및 시스템 감사 사용

Code 무결성 이벤트 로깅 및 시스템 감사에서 발췌한 내용:

코드 무결성은 드라이버 서명 확인을 구현하는 커널 모드 구성 요소입니다. 이미지 확인과 관련된 시스템 이벤트를 생성하고 코드 무결성 로그에 정보를 기록합니다.

  • 코드 무결성 작업 로그 보기에는 이미지 확인 오류 이벤트만 표시됩니다.

  • 코드 무결성 자세한 정보 표시 로그 보기는 성공적인 서명 확인을 위한 이벤트를 보여 줍니다.

다음 절차에서는 모든 성공적인 운영 체제 로더 및 커널 모드 이미지 확인 이벤트를 보기 위해 코드 무결성 자세한 정보 표시 이벤트 로깅을 사용하도록 설정하는 방법을 보여 줍니다.

코드 무결성 자세한 정보 표시 이벤트 로깅을 사용하도록 설정하려면

시스템 이벤트 감사 로그 사용에서 발췌:

자세한 로깅을 사용하도록 설정하려면 다음 단계를 수행합니다.

  1. 관리자 권한 명령 프롬프트 창을 엽니다.

  2. 명령줄에서 Eventvwr.exe 실행합니다.

  3. 이벤트 뷰어의 왼쪽 창에 있는 이벤트 뷰어 폴더 아래에서 다음 하위 폴더 시퀀스를 확장합니다.

    1. 애플리케이션 및 서비스 로그

    2. Microsoft

    3. Windows

  4. Windows 폴더 아래의 코드 무결성 하위 폴더를 확장하여 상황에 맞는 메뉴를 표시합니다.

  5. 보기를 선택합니다.

  6. 분석 및 디버그 로그 표시를 선택합니다. 그러면 이벤트 뷰어에 Operational 폴더와 Verbose 폴더가 포함된 하위 트리가 표시됩니다.

  7. 자세한 내용을 마우스 오른쪽 단추로 클릭한 다음 팝업 상황에 맞는 메뉴에서 속성을 선택합니다.

  8. 속성 대화 상자에서 일반 탭을 선택한 다음 속성 페이지 가운데에 있는 로깅 사용 옵션을 선택합니다. 이렇게 하면 자세한 로깅이 활성화됩니다.

  9. 변경 내용을 적용하려면 컴퓨터를 다시 시작합니다.

코드 무결성 이미지 확인 실패 이벤트를 포함하는 시스템 이벤트 레코드를 사용하도록 설정할 수도 있습니다. 이러한 이벤트는 서명 오류로 인해 Windows 커널이 드라이버를 로드하지 못할 때 생성됩니다. 코드 무결성 운영 이벤트 로그 보기에도 유사한 이벤트가 기록됩니다.

실패한 작업에 대한 시스템 범주에서 감사 이벤트를 생성하도록 감사 정책을 사용하도록 설정하려면

보안 감사 정책을 사용하여 감사 로그에서 부하 오류를 캡처하려면 다음 단계를 수행합니다.

  1. 관리자 권한 명령 프롬프트 창을 엽니다. 관리자 권한 명령 프롬프트 창을 열려면 바탕 화면 바로 가기를 만들어 Cmd.exeCmd.exe 바로 가기를 마우스 오른쪽 단추로 클릭하고 관리자 권한으로 실행을 선택합니다.

  2. 관리자 권한 명령 프롬프트 창에서 다음 명령을 실행합니다.

    Auditpol /set /Category:System /failure:enable

  3. 변경 내용을 적용하려면 컴퓨터를 다시 시작합니다.

다음 스크린샷에서는 Auditpol을 사용하여 보안 감사를 사용하도록 설정하는 방법을 보여 줍니다.

screen shot of command-prompt window illustrating the use of auditpol to enable security auditing.