로그
이벤트 로그
- 응용 프로그램 로그
- 프로그램이 기록한 이벤트. 응용 프로그램 로그에 기록되는 이벤트는 소프트웨어 프로그램 개발자가 결정한다.
- 보안 로그
- 유효하거나 유효하지 않은 로그온 시도와 같은 보안관련 이벤트, 또한 리소스 사용과 관련된 이벤트(예: 파일을 만들거나 열거나 삭제할 경우)도 포함. 보안 로그 설정 및 사용 및 보안 로그에 기록할 이벤트를 지정하려면 관리자 또는 Administrator 그룹의 구성원으로 로그온해야 한다.
- 디렉토리 서비스 로그
- Active Directory 관련 이벤트다. 이 로그는 도메인 컨트롤러에서만 사용할 수 있다. 즉, AD 가 구성되어 있을 경우에만 기록된다.
- DNS 서버 로그
- 인터넷 프로토콜(IP) 주소에 대한 DNS 이름 확인과 관련된 이벤트다. 이 로그는 DNS 서버가 구성된 경우에만 사용할 수 있다.
- 파일 복제 서비스 로그
- 도메인 컨트롤러 간의 복제 프로세스 동안 기록된 이벤트. 이 로그는 디렉토리 서비스 로그와 마찬가지로 도메인 컨트롤러에서만 사용할 수 있다.
로그파일
생성위치
- %SystemRoot%\System32\Config*.evt
이벤트뷰어콘솔(eventvwr.msc)로 볼 수 있다.
IIS
기본 저장 경로
- %SystemDrive%\inetpub\logs\LogFiles
레지스트리
공유폴더 접근 차단
- Regedit 실행한다.
- HKEYLOCALMACHINE\SYSTEMCurrentControlset\Control\Lsa 에서
restrict anonymous의 값을1로 변경
공유폴더
- 윈도우즈에서는 관리목적으로 폴더를 공유
- 원격 커퓨터에서 유저명과 패스워드를 널(null)로 하여 접속하게 할 수 있도록 해서 취약점을 노출시키는 기본공유폴더 형태
- IPC$
명령어
ipconfig
- 시스템에 구성된 전체 IP주소, 서브넷 마스크, 기본 게이트웨이를 확인하고 추가적으로 IP라우팅 옵션이 enable 되어 있는지, 새로운 IP주소가 추가되어 있는지, 초기 설정에 변경사항이 있는지를 점검하는 내부 명령어
- /all : 시스템에 설치된 모든 네트워크 인터페이스 정보를 출력
net sess
- 로컬 컴퓨터의 공유자원에 접속한 클라이언트의 세션 정보를 수집
- 현재 공유자원에 접속한 컴퓨터 이름, 사용자 이름, 클라이언트 유형, 접속자 수, 접속유지 시간을 알 수 있다.
nbtstat -c
- tcp/ip 의 NetBIOS 이름 테이블 정보 수집