English

◀◁ 뒤로 취약점ID 28625 위험도 40 포트 139,445 프로토콜 TCP 분류 SMB 상세설명 해당 시스템의 Security 이벤트 로그의 보존 기간은 보안 정책에 정의된 값보다 작다. 개별 시스템들은 정상적인 사용자들의 행동에 대한 책임 및 시스템의 문제 발견, 원인 규명, 불법적인 동작 추적 등을 위해 적절한 Security 이벤트 로그(Log)의 보존기간을 정하여 운영되어야 한다. 부적절한 로그 보존 기간은 감사할 대상이 지나치게 증가하는 경우, 정해진 저장 공간을 초과하여 시스템을 강제로 종료시키거나 최신의 중요한 이벤트들이 기록되지 않거나 DoS 공격에 영향을 받는 등의 결과를 초래할 수 있다. 보존 기간을 정할 때는 최대 로그 크기가 정해진 로그 갱신 주기를 수용할 수 있을 정도로 충분한 지 확인하여야 한다. 이벤트 로그 보존 방법은 다음과 같은 세 가지가 있다: - 필요한 경우 이벤트 덮어쓰기 : 이벤트 로그 보존 안함. - 다음보다 오래된 이벤트 덮어쓰기 : 최소 1일에서 최대 365일까지 - 이벤트 덮어쓰지 않음(수동으로 로그 지우기) : 수동으로 제거하지 않으면 새로운 이벤트 버림. * 알림: 이 점검항목은 점검하기 위한 원격지 호스트에 로그인할 수 있는 Guest 혹은 그 이상의 권한을 가진 계정을 필요로 한다. 이러한 조건이 안되면 점검을 수행할 수 없으며 모든 취약한 호스트들에 대해서 거짓 음성반응(False Negative)을 보일 수 있다. * 영향을 받는 플랫폼: Microsoft Windows 2000, XP, 2003 해결책 현재 정책에 있는 값과 같거나 더 크게 Security 이벤트 로그의 보존 기간 값을 설정하여야 한다. * 이벤트 뷰어를 사용하여 변경하기: 1. 시작 메뉴에서 "설정 -> 제어판 -> 관리 도구 -> 이벤트 뷰어" 를 선택한다. 2. 이벤트 뷰어 트리 중 "보안 로그" 의 오른쪽 마우스를 클릭하여 등록정보를 선택한다. 3. 일반 탭에서 "최대 로그 크기에 미쳤을 때" 중 보안 정책에 맞게 보존 방법을 선택한다. 4. "다음보다 오래된 이벤트 덮어쓰기"를 선택하는 경우, 보안 정책에 정의된 값으로 기간을 설정한다. * 레지스트리 편집기를 사용하여 변경하기: 1. 레지스트리 편집기를 오픈한다. (Windows 시스템 시작 메뉴에서, 실행 선택, regedit 혹은 regedt32를 타이핑하고 확인을 클릭한다.) 2. "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EventLog\Security" 키로 이동한다. 3. "Retention" 엔트리의 값을 적절한 값 또는 보안 정책에 정의된 값으로 변경한다. - 필요한 경우 이벤트 덮어쓰기 : 0 - 다음보다 오래된 이벤트 덮어쓰기 : 1 - 31536000(365일) (초단위) - 이벤트 덮어쓰지 않음(수동으로 로그 지우기) : 4294967295 4. 변경된 설정을 적용하기 위해서 시스템을 재시작한다. 관련 URL CVE-1999-0596 (CVE) 관련 URL (SecurityFocus) 관련 URL 2579 (ISS)