[AD계정감사정책] 권한관리 감사를 위한 AD정책세팅

  AD는 강력한 중앙관리를 제공하는 MS의 디렉토리 서비스입니다.
수많은 기업에서 사용하고 있지요…   중앙관리라는 면에 있어서.. 정말 좋습니다.
하지만 내부에서 이루어지는 많은 일들에 대해서 감사하는 것은  너무 단순한듯합니다.
인터페이스도 그렇고 감사수준도 그렇습니다.

  AD상에선 특정 보안그룹의 유저들에게  중요권한을 제공하여서  권한을 행사할수있도록 할수있습니다.
예를 들자면  특정 사업부의 유저그룹과  관리자그룹을  OU (AD상의 권한관리를 위한 카테고리) 내에 생성하여
관리자 그룹에게 해당 OU 내의  그룹에 해당하는 유저들을 추가하거나 제거하도록 권한을 위임할수있습니다.
이렇게 함으로써  좀더 현장에서 기민하게  필요한 권한을 부여하거나 제거하도록 도울수있습니다.
제 경우엔  권한위임을 할때 모든 활동은 감사되며 기록에 남는다고 경고하고 있지요..

  이런 권한부여작업이 제대로 되고 있는지 감사하지 않는다면  보다 더 큰 보안위협이 발생할수있죠..
따라서 이럴땐 AD상에 적절한 보안권한을 설정해 두고 있어야 합니다.
이 글에선 어떻게 감사정책을 설정하는지와  어떻게 확인하는지 정리해보도록 하겠습니다.

아래의 작업은 DC에서 이루어져야하며   감사로그도 DC에서 가능하다는 것을 알려드립니다.

1. 모든 DC에서 Domain Controller Security 를 이용하여  계정관리를 감사하겠다고 설정한다.
   -  모든 프로그램/  관리도구 / Domain Controller Security Setting 을 연다.
   -  Local Policies / Audit Policy 항목으로 이동
   -  Audit account management 를 Success로 세팅한다.
        (실패로는 권한이 없는 사람이 시도한 것을 나타내고  성공은 권한있는 사람이 작업한 이력을 보여줌)

2. dsa.msc를 이용하여 도메인 보안그룹에 유저를 추가하거나 제거한다.
      –  혹은 사전에 제작한 Taskpad를 활용하여 그룹관리를 시행한다.

3. 이벤트로그를 열어서  계정관리 로그를 확인한다.
      -  이벤트뷰어의 Security 항목을 연다.
      -  category중  Account management 라고 된 부분을 찾는다.
      -  이벤트코드: 633은 그룹의 멤버에서 유저를 제거한것  632는 유저를 추가한 것이다.
      -  user 란엔 실제로 이 작업을 한 주체가 누구인지 표시가 된다.