W-43 이벤트 로그 파일 접근 통제 설정

가이드라인 원문

항목	내용
항목코드	W-43
점검내용	원격에서로그파일의접근을차단하기위한권한적절성점검
점검대상	Windows NT, 2000, 2003, 2008, 2012, 2016, 2019, 2022
판단기준	양호: 로그디렉터리의접근권한에Everyone권한이없는경우
판단기준	취약: 로그디렉터리의접근권한에Everyone권한이있는경우
조치방법	로그디렉터리의접근권한에Everyone제거

상세 설명

1. 항목 개요

이 항목은 **이벤트 로그 파일(.evtx)**이 저장된 디렉터리 및 파일에 대해 **비인가자의 접근(삭제, 변경, 조회)**을 차단하고 있는지 점검합니다. 로그 정책을 아무리 잘 세워도(W-40), 로그 파일 자체를 지워버리면 소용이 없습니다.

2. 왜 이 항목이 필요한가요?

무결성(Integrity) 및 기밀성(Confidentiality) 보장

증거 인멸 방지: 공격자는 자신의 흔적을 지우기 위해 가장 먼저 로그 파일을 삭제하거나 변조하려 합니다.
정보 유출 방지: 로그 파일에는 로그인한 계정명, 시스템 내부 경로, 실행된 프로세스 등 민감한 정보가 포함될 수 있어 일반 사용자가 열람하지 못하게 해야 합니다.

보안 위협 시나리오

공격자가 웹 취약점을 통해 시스템 내부 침투 (Guest 또는 일반 권한)
C:\Windows\System32\winevt\Logs 폴더에 접근
Wevtutil cl Security 명령이나 파일 직접 삭제로 로그 초기화
관리자는 침해 사고 원인 분석 불가

3. 점검 대상

Windows NT, 2000, 2003, 2008, 2012, 2016, 2019, 2022 서버

4. 판단 기준

구분	기준
양호	로그 파일 디렉터리에 Everyone, Guests 등 비인가 그룹의 권한이 제거되고, 관리자(SYSTEM, Administrators)만 접근 가능한 경우
취약	로그 파일 디렉터리에 Everyone 그룹 등 일반 사용자의 쓰기/삭제 권한이 있는 경우

5. 점검 방법

방법 1: 탐색기 확인

1
2
3
4
5
1. 로그 폴더 이동: %SystemRoot%\System32\winevt\Logs (기본값)
2. 폴더 우클릭 > [속성] > [보안] 탭
3. 그룹 또는 사용자 이름 확인
   - Everyone, Users, Guests 등의 그룹이 있는지 확인
   - 해당 그룹에 '수정' 또는 '모든 권한'이 있는지 확인

방법 2: 명령줄 확인 (ICACLS)

1
icacls C:\Windows\System32\winevt\Logs

6. 조치 방법

로그 폴더에 대한 Everyone 접근 권한을 제거하고, 관리자와 시스템 계정만 허용합니다.

방법 1: 탐색기 설정 (권장)

1
2
3
4
5
6
1. 탐색기 > C:\Windows\System32\winevt\Logs 폴더 우클릭 > 속성 > [보안]
2. [편집] 클릭
3. **Users**, **Guests**, **Everyone** 그룹 선택 후 [제거]
   (단, EventLogService가 LogFiles에 접근해야 하므로 'EventLog' 등 서비스 계정 권한은 유지 필요할 수 있음. 기본 상속을 끊고 Admin/System만 남기는 것이 가장 안전)
4. **SYSTEM**, **Administrators**: 모든 권한 허용 유지
5. 확인

7. 조치 시 주의사항

주의사항	설명
서비스 계정	무리하게 권한을 축소하면 Event Log 서비스가 파일을 기록하지 못할 수 있습니다. `Service` 계정이나 `Network Service` 등의 권한이 필요한지 확인해야 합니다. (일반적으로 SYSTEM 권한으로 동작)
백업 솔루션	로그를 백업하는 솔루션이 있다면 해당 서비스 계정에 ‘읽기’ 권한이 필요할 수 있습니다.

8. 참고 자료

Microsoft Docs: Event Log File Permissions

요약

W-43 이벤트로그파일접근통제설정은 로그 파일을 ‘철제 금고’에 넣는 것과 같습니다. 관리자 외에는 누구도 로그를 건드릴 수 없게 권한을 설정하세요.