고급 감사 정책 구성 우선 순위

Tenable Identity Exposure에서 필수 이벤트 로깅을 사용하기 위해 만드는 그룹 정책 개체(GPO)는 적용 모드를 사용으로 설정하여 조직 단위(OU) 도메인 컨트롤러에 연결됩니다.

이렇게 하면 해당 GPO에 높은 우선 순위를 부여하지만, 더 높은 수준(예: 도메인 또는 사이트)에서 구성되어 적용된 GPO가 있으면 이보다 높은 우선 순위를 차지하게 됩니다.

고급 감사 정책 구성 설정을 정의하며 우선 순위가 더 높은 GPO가 Tenable Identity Exposure의 요구 사항과 충돌하는 경우, 이것이 우선 순위를 차지하며 Tenable Identity Exposure에서는 공격 탐지에 필요한 이벤트를 놓칩니다.

Windows는 GPO가 정의한 고급 감사 정책 구성 설정을 병합하기 때문에, 여러 GPO가 각기 다른 설정을 정의할 수 있습니다.

그러나 각 설정 수준에서는 우선 순위가 더 높은 GPO 정의 값만 사용합니다. 예를 들어 Tenable Identity Exposure에는 감사 자격 증명 유효성 검사 설정에 대해 성공 및 실패 값이 필요합니다. 그러나 우선 순위가 더 높은 GPO가 감사 자격 증명 유효성 검사에 성공만 정의하는 경우, Windows는 성공 이벤트만 수집하며 Tenable Identity Exposure에서는 필수적인 실패 이벤트를 놓치게 됩니다.

  1. 도메인 컨트롤러의 명령줄 인터페이스에서 다음과 같은 명령을 실행합니다.

    이것은 모든 GPO와 우선 순위를 고려한 다음 효과적인 고급 감사 정책 구성을 출력합니다.

    복사 
    auditpol.exe /get /category:*

  2. 이 출력을 Tenable Identity Exposure 고급 감사 정책 요구 사항과 비교합니다. Tenable Identity Exposure에 필요한 각 설정에 대하여, 이 효과적인 정책이 이 설정에도 적용되는지 확인합니다.

    • 효과적인 정책이 더 철저한 경우에는 문제가 되지 않습니다. 예를 들어 Tenable Identity Exposure에 "성공" 또는 "실패"가 필요하고, 설정은 "성공과 실패"인 경우가 이에 해당합니다.

    • 효과적인 정책이 충분하지 않은 경우, 우선 순위가 더 높은 GPO가 상충하는 설정을 정의한다는 의미입니다.

  1. 고급 감사 정책 구성을 정의하는 "적용됨" 모드에서 더 높은 수준(도메인 또는 사이트)에 연결된 GPO를 찾습니다.

  2. 명령줄 인터페이스에서, 도메인 컨트롤러에서 다음과 같은 명령을 실행하여 최우선 GPO를 정확히 찾습니다.

    복사 
    gpresult /scope:computer /h gpo.html

  1. GPO에서 상응하는 고급 감사 정책 구성 설정을 Tenable Identity Exposure의 최소 요구 사항에 맞춰 수정합니다. 예:

    • Tenable Identity Exposure에 "성공"이 필요하고 우선 순위가 더 높은 GPO에서는 "실패"가 정의된 경우, 설정을 "성공 및 실패"로 수정합니다.

    • Tenable Identity Exposure에 "성공 및 실패"가 필요하고 우선 순위가 더 높은 GPO에서는 "성공"이 정의된 경우, 설정을 "성공 및 실패"로 수정합니다.

  1. 설정을 수정한 뒤에는 업데이트된 GPO가 적용될 때까지 기다리거나 gpupdate 명령을 사용해 강제 적용할 수 있습니다.

  2. "GPO 우선 순위를 검사하는 방법" 절차를 반복하여 새로운 유효 정책을 확인합니다.