Windows2013. 9. 23. 16:22

Windows Server 2008 R2 및 Windows 7에서 보안 이벤트 설명

Windows Server 2008 R2 및 Windows 7에서 보안 이벤트 설명

기술 자료: 977519 - 이 문서가 적용되는 제품 보기.
기계 번역된 문서기계 번역 고지 사항 보기
시스템 팁본 문서의 정보는 현재 사용하는 Windows 버전과 다른 버전에 적용됩니다. 따라서 문서의 내용이 관련되지 않을 수도 있습니다.Windows 8 솔루션 센터 방문하기

Collapse image이 페이지에서

Collapse image소개

이 문서에서는 다양한 보안 관련 및 감사 관련 이벤트에 Windows 7 에서 및 Windows Server 2008 R2에서 설명합니다. 이 문서에서는 이러한 이벤트를 해석하는 방법에 대한 정보도 제공합니다. 이러한 이벤트는 보안 로그에 나타나며 보안 분석 중 원본과 기록됩니다. 이 문서에서는 또한 개별 이벤트에 대한 보다 자세한 데이터를 검색하는 방법을 설명합니다.
위로 가기 | 피드백 보내기

Collapse image추가 정보

이 섹션에서는 감사 관련된 모든 Windows 7 및 Windows Server 2008 R2 보안 이벤트 범주 및 하위 범주를 나열합니다.

범주: 계정 로그온

하위 범주: 자격 증명 유효성 검사

표 축소표 확대
ID 메시지
4774 계정이 로그온에 매핑되었습니다.
4775 로그온 계정을 매핑할 수 없습니다.
4776 컴퓨터 계정에 대한 자격 증명의 유효성을 했습니다.
4777 도메인 컨트롤러가 계정에 대한 자격 증명의 유효성을 검사하지 못했습니다.

하위 범주: Kerberos 인증 서비스

표 축소표 확대
ID 메시지
4768 Kerberos 인증 티켓 (TGT) 요청했습니다.
4771 Kerberos 사전 인증이 실패했습니다.
4772 Kerberos 인증 티켓 요청이 실패했습니다.

하위 범주: Kerberos 서비스 티켓 작업

표 축소표 확대
ID 메시지
4769 Kerberos 서비스 티켓이 요청되었습니다.
4770 Kerberos 서비스 티켓을 갱신할 수 없습니다.
4773 Kerberos 서비스 티켓 요청이 실패했습니다.

범주: 계정 관리

하위 범주: 응용 프로그램 그룹 관리

표 축소표 확대
ID 메시지
4783 기본 응용 프로그램 그룹이 만들어졌습니다.
4784 기본 응용 프로그램 그룹이 변경되었습니다.
4785 기본 응용 프로그램 그룹에 구성원이 추가되었습니다.
4786 기본 응용 프로그램 그룹에서 구성원이 제거되었습니다.
4787 비-구성원 기본 응용 프로그램 그룹에 추가되었습니다.
4788 비-구성원이 기본 응용 프로그램 그룹에서 제거되었습니다.
4789 기본 응용 프로그램 그룹이 삭제되었습니다.
4790 LDAP 쿼리 그룹이 만들어졌습니다.
4791 기본 응용 프로그램 그룹이 변경되었습니다.
4792 LDAP 쿼리 그룹이 삭제되었습니다.

하위 범주: 컴퓨터 계정 관리

표 축소표 확대
ID 메시지
4741 컴퓨터 계정을 만들었습니다.
4742 컴퓨터 계정이 변경되었습니다.
4743 컴퓨터 계정이 삭제되었습니다.

하위 범주: 메일 그룹 관리

표 축소표 확대
ID 메시지
4744 보안이 비활성화된 로컬 그룹이 만들어졌습니다.
4745 보안이 비활성화된 로컬 그룹이 변경되었습니다.
4746 보안이 비활성화된 로컬 그룹에 구성원이 추가되었습니다.
4747 보안이 비활성화된 로컬 그룹에서 구성원이 제거되었습니다.
4748 보안이 비활성화된 로컬 그룹이 삭제되었습니다.
4749 보안이 비활성화된 글로벌 그룹이 만들어졌습니다.
4750 보안이 비활성화된 글로벌 그룹이 변경되었습니다.
4751 보안이 비활성화된 글로벌 그룹에 구성원이 추가되었습니다.
4752 보안이 비활성화된 글로벌 그룹에서 구성원이 제거되었습니다.
4753 보안이 비활성화된 글로벌 그룹이 삭제되었습니다.
4759 보안이 비활성화된 유니버설 그룹이 만들어졌습니다.
4760 보안이 비활성화된 유니버설 그룹이 변경되었습니다.
4761 보안이 비활성화된 유니버설 그룹에 구성원이 추가되었습니다.
4762 보안이 비활성화된 유니버설 그룹에서 구성원이 제거되었습니다.

하위 범주: 다른 계정 관리 이벤트

표 축소표 확대
ID 메시지
4782 암호 해시를 계정을 액세스했습니다.
4793 암호 정책 검사 API는 호출했습니다.

하위 범주: 보안 그룹 관리

표 축소표 확대
ID 메시지
4727 보안된 글로벌 그룹이 만들어졌습니다.
4728 보안된 글로벌 그룹에 구성원이 추가되었습니다.
4729 보안된 글로벌 그룹에서 구성원이 제거되었습니다.
4730 보안된 글로벌 그룹이 삭제되었습니다.
4731 보안된 로컬 그룹이 만들어졌습니다.
4732 보안된 로컬 그룹에 구성원이 추가되었습니다.
4733 보안된 로컬 그룹에서 구성원이 제거되었습니다.
4734 보안된 로컬 그룹이 삭제되었습니다.
4735 보안된 로컬 그룹이 변경되었습니다.
4737 보안된 글로벌 그룹이 변경되었습니다.
4754 보안이 활성화된 유니버설 그룹이 만들어졌습니다.
4755 보안이 활성화된 유니버설 그룹이 변경되었습니다.
4756 보안이 활성화된 유니버설 그룹에 구성원이 추가되었습니다.
4757 보안이 활성화된 유니버설 그룹에서 구성원이 제거되었습니다.
4758 보안이 활성화된 유니버설 그룹이 삭제되었습니다.
4764 있는 그룹 형식이 변경되었습니다.

하위 범주: 사용자 계정 관리

표 축소표 확대
ID 메시지
4720 사용자 계정을 만들었습니다.
4722 사용자 계정을 사용할 수 있습니다.
4723 계정의 암호를 변경하려고 했습니다.
4724 계정의 암호를 원래대로 했습니다.
4725 사용자 계정은 사용하지 않도록 설정했습니다.
4726 사용자 계정이 삭제되었습니다.
4738 사용자 계정이 변경되었습니다.
4740 사용자 계정이 잠겨 있었습니다.
4765 SID 기록의 계정은 추가되었습니다.
4766 계정의 SID 히스토리를 추가할 수 없습니다.
4767 사용자 계정 잠금이 해제되었습니다.
4780 관리자 그룹의 구성원인 계정에 대한 ACL이 설정되었습니다.
4781 계정 이름이 변경되었습니다.
4794 디렉터리 서비스 복원 모드를 설정하려면 시도가 있었습니다.
5376 자격 증명 관리자 자격 증명이 백업되지 않았습니다.
5377 자격 증명 관리자 자격 증명은 백업에서 복원되었습니다.

범주: 세부 추적

하위 범주: DPAPI 활동

표 축소표 확대
ID 메시지
4692 데이터 보호 마스터 키가 백업은 수행하려고 했습니다.
4693 데이터 보호 마스터 키가 복구가 .
4694 보호된 감사 가능 데이터가 보호가 .
4695 감사 가능한 보호된 데이터의 unprotection이 .

하위 범주: 프로세스 생성

표 축소표 확대
ID 메시지
4688 새 프로세스를 만들었습니다.
4696 처리할 주 토큰이 할당되었습니다.

하위 범주: 프로세스 종료

표 축소표 확대
ID 메시지
4689 프로세스가 종료되었습니다.

하위 범주: RPC 이벤트

표 축소표 확대
ID 메시지
5712 한 원격 프로시저 호출 (RPC) 하려고 했습니다.

범주: DS 액세스

하위 범주: 세부 디렉터리 서비스 복제

표 축소표 확대
ID 메시지
4928 않은 Active Directory 복제 원본 명명 컨텍스트가 설정되었습니다.
4929 않은 Active Directory 복제 원본 명명 컨텍스트가 제거되었습니다.
4930 않은 Active Directory 복제 원본 명명 컨텍스트가 수정되었습니다.
4931 않은 Active Directory 복제 대상 명명 컨텍스트가 수정되었습니다.
4934 Active Directory 개체의 특성이 복제되지 않았습니다.
4935 복제 실패가 시작합니다.
4936 복제 실패가 끝납니다.
4937 느린 개체가 복제 데이터베이스에서 제거되었습니다.

하위 범주: 디렉터리 서비스 액세스

표 축소표 확대
ID 메시지
4662 개체에 대한 작업을 수행할 수 있었습니다.

하위 범주: 디렉터리 서비스 변경

표 축소표 확대
ID 메시지
5136 디렉터리 서비스 개체가 수정되었습니다.
5137 디렉터리 서비스 개체를 만들지 못했습니다.
5138 디렉터리 서비스 개체를 삭제 취소할 수 없습니다.
5139 디렉터리 서비스 개체가 이동되었습니다.
5141 디렉터리 서비스 개체가 삭제되었습니다.

하위 범주: 디렉터리 서비스 복제

표 축소표 확대
ID 메시지
4932 Active Directory 명명 컨텍스트의 복제본을 동기화를 시작했습니다.
4933 Active Directory 명명 컨텍스트의 복제본 동기화가 끝났습니다.

로그온/로그오프 범주:

하위 범주: IPsec 모드 확장

표 축소표 확대
ID 메시지
4978 확장된 모드 협상 중에 IPsec 협상 잘못된 패킷을 받았습니다. 이 문제가 계속되면 네트워크 문제 또는 수정하거나 이 협상 재생 하면 나타낼 수 있습니다.
4979 IPsec 주 모드 및 확장된 모드 보안 연결을 설정했습니다.
4980 IPsec 주 모드 및 확장된 모드 보안 연결을 설정했습니다.
4981 IPsec 주 모드 및 확장된 모드 보안 연결을 설정했습니다.
4982 IPsec 주 모드 및 확장된 모드 보안 연결을 설정했습니다.
4983 모드 협상이 실패한 경우 IPsec 확장. 해당 주 모드 보안 연결이 삭제되었습니다.
4984 모드 협상이 실패한 경우 IPsec 확장. 해당 주 모드 보안 연결이 삭제되었습니다.

하위 범주: IPsec 주 모드

표 축소표 확대
ID 메시지
4646 IKE는 DoS 방지 모드가 시작되었습니다.
4650 IPsec 주 모드 보안 연결이 설정되었습니다. 확장된 모드를 사용할 수 없습니다. 인증서 인증을 사용하지 않았습니다.
4651 IPsec 주 모드 보안 연결이 설정되었습니다. 확장된 모드를 사용할 수 없습니다. 인증서 인증은 위해 사용되었습니다.
4652 IPsec 주 모드 협상이 실패했습니다.
4653 IPsec 주 모드 협상이 실패했습니다.
4655 IPsec 주 모드 보안 연결이 종료되었습니다.
4976 주 모드 협상 중에 IPsec 협상 잘못된 패킷을 받았습니다. 이 문제가 계속되면 네트워크 문제 또는 수정하거나 이 협상 재생 하면 나타낼 수 있습니다.
5049 IPsec 보안 연결이 삭제되었습니다.
5453 IPsec 정책 에이전트가 Active Directory 저장소 IPsec 정책이 컴퓨터에 적용되는.

하위 범주: IPsec 빠른 모드

표 축소표 확대
ID 메시지
4654 IPsec 빠른 모드 협상이 실패했습니다.
4977 빠른 모드 협상 중에 IPsec 협상 잘못된 패킷을 받았습니다. 이 문제가 계속되면 네트워크 문제 또는 수정하거나 이 협상 재생 하면 나타낼 수 있습니다.
5451 IPsec 빠른 모드 보안 연결이 설정되었습니다.
5452 IPsec 빠른 모드 보안 연결을 끝냈습니다.

하위 범주: 로그오프

표 축소표 확대
ID 메시지
4634 계정을 로그오프하지 못했습니다.
4647 사용자가 로그오프를 시작했습니다.

하위 범주: 로그온

표 축소표 확대
ID 메시지
4624 계정은 성공적으로 로그온하지 않았습니다.
4625 계정에 로그온하지 못했습니다.
4648 명시적 자격 증명을 사용하여 로그온이 시도되었습니다.
4675 SID 필터링 않았습니다.

하위 범주: 네트워크 정책 서버

표 축소표 확대
ID 메시지
6272 네트워크 정책 서버 사용자에게 액세스를 부여할.
6273 네트워크 정책 서버 사용자에게 액세스가 거부되었습니다.
6274 네트워크 정책 서버 사용자에 대한 요청을 무시합니다.
6275 네트워크 정책 서버 사용자 계정 요청을 무시합니다.
6276 사용자가 네트워크 정책 서버 격리.
6277 네트워크 정책 서버 사용자에게 액세스 권한이 있지만 호스트 정의된 상태 정책을 충족하지 않으므로 probation에 넣습니다.
6278 네트워크 정책 서버 호스트 정의된 상태 정책을 충족하지 않으므로 모든 권한을 사용자에게 부여할.
6279 네트워크 정책 서버 반복되는 실패한 인증 시도 인하여 사용자 계정이 잠겨.
6280 네트워크 정책 서버 사용자 계정 잠금이.

하위 범주: 기타 로그온/로그오프 이벤트

표 축소표 확대
ID 메시지
4649 재생 공격이 검색되었습니다.
4778 세션 창 스테이션 다시 연결되지 않았습니다.
4779 창 스테이션에서 세션 연결이 끊어졌습니다.
4800 워크스테이션이 잠겼습니다.
4801 워크스테이션의 잠금이 해제되었습니다.
4802 화면 보호기 호출된.
4803 화면 보호기를 해제할 수 없습니다.
5378 요청한 자격 증명 위임 정책에서 허용하지 않습니다.
5632 무선 네트워크 인증을 위해 요청이 작성되었습니다.
5633 유선된 네트워크에 인증하기 위해 요청이 작성되었습니다.

하위 범주: 특수 로그온

표 축소표 확대
ID 메시지
4964 특수 그룹은 새 로그온 할당되었습니다.

범주: 개체 액세스

하위 범주: 응용 프로그램 생성

표 축소표 확대
ID 메시지
4665 응용 프로그램이 클라이언트 컨텍스트를 만들려고 했습니다.
4666 응용 프로그램이 했습니다.
4667 응용 프로그램 클라이언트 컨텍스트가 삭제되었습니다.
4668 응용 프로그램이 초기화되었습니다.

하위 범주: 인증 서비스

표 축소표 확대
ID 메시지
4868 인증서 관리자 보류 중인 인증서 요청을 거부했습니다.
4869 인증서 서비스가 resubmitted 인증서 요청을 받았습니다.
4870 인증서 서비스에서 인증서를 해지했습니다.
4871 인증서 서비스에서 인증서 해지 목록 (CRL) 게시 요청을 받았습니다.
4872 인증서 서비스에서 인증서 해지 목록 (CRL)을 게시했습니다.
4873 인증서 요청 확장이 변경되었습니다.
4874 하나 이상의 인증서 요청 특성이 변경되었습니다.
4875 인증서 서비스가 종료 요청을 받았습니다.
4876 인증서 서비스 백업을 시작했습니다.
4877 인증서 서비스 백업이 완료되었습니다.
4878 인증서 서비스 복원을 시작했습니다.
4879 인증서 서비스 복원이 완료되었습니다.
4880 인증서 서비스가 시작되었습니다.
4881 인증서 서비스가 중지되었습니다.
4882 인증서 서비스에 대한 보안 권한을 변경했습니다.
4883 인증서 서비스에서 보관된 키를 검색할.
4884 인증서 서비스에서 인증서를 해당 데이터베이스로 가져옵니다.
4885 인증서 서비스의 감사 필터가 변경되었습니다.
4886 인증서 서비스에서 인증서 요청을 받았습니다.
4887 인증서 서비스에서 인증서 요청을 승인했으며 인증서를 발급했습니다.
4888 인증서 서비스에서 인증서 요청을 거부했습니다.
4889 인증서 서비스에서 인증서 요청 상태를 대기 중으로 설정.
4890 인증서 서비스의 인증서 관리자 설정이 변경되었습니다.
4891 인증서 서비스에서 변경할 구성 항목입니다.
4892 인증서 서비스의 속성이 변경되었습니다.
4893 인증서 서비스에서 키가 보관되었습니다.
4894 인증서 서비스에서 가져온 및 키 보관.
4895 인증서 서비스는 CA 인증서를 Active Directory 도메인 서비스 게시되었습니다.
4896 인증서 데이터베이스에서 하나 이상의 행이 삭제되었습니다.
4897 역할 구분 사용:
4898 인증서 서비스에서 템플릿을 로드할.
4899 인증서 서비스 템플릿이 업데이트되었습니다.
4900 인증서 서비스 템플릿 보안이 업데이트되었습니다.
5120 OCSP 응답자 서비스를 시작했습니다.
5121 OCSP 응답자 서비스가 중지되었습니다.
5122 OCSP 응답자 서비스를 변경할 구성 항목.
5123 OCSP 응답자 서비스를 변경할 구성 항목.
5124 보안 설정은 OCSP 응답자 서비스는 업데이트되었습니다.
5125 요청이 OCSP 응답자 서비스는 제출되었습니다.
5126 인증서 서명 OCSP 응답자 서비스는 자동으로 업데이트되었습니다.
5127 OCSP 해지 공급자 해지 정보를 업데이트했습니다.

하위 범주: 자세한 파일 공유

표 축소표 확대
ID 메시지
5145 네트워크 공유에 개체 액세스를 원하는 클라이언트의 부여할 수 있는지 여부를 확인하려면 체크 인된.

하위 범주: 파일 공유

표 축소표 확대
ID 메시지
5140 네트워크 공유에 개체에 액세스했습니다.
5142 네트워크 공유에 개체에 추가되었습니다.
5143 네트워크 공유에 개체가 수정되었습니다.
5144 네트워크 공유에 개체가 삭제되었습니다.
5168 SMB/SMB2 Spn 확인하지가 못했습니다.

하위 범주: 파일 시스템

표 축소표 확대
ID 메시지
4664 하드 링크를 만들려고 했습니다.
4985 트랜잭션 상태가 변경되었습니다.
5051 파일을 가상화할 수 없습니다.

하위 범주: 플랫폼 연결 필터링

표 축소표 확대
ID 메시지
5031 Windows 방화벽 서비스가 네트워크에서 들어오는 연결을 허용하지 못하도록 응용 프로그램을 차단했습니다.
5148 Windows 필터링 플랫폼 DoS 공격이 검색되어 방어 모드로 들어간, 이 공격은 관련된 패킷을 잃게 됩니다.
5149 DoS 공격은 subsided 가진 및 정상적인 처리를 다시 시작되었습니다.
5150 Windows 필터링 플랫폼 패킷을 차단했습니다.
5151 보다 제한적인 Windows 필터링 플랫폼 필터 패킷을 차단했습니다.
5154 Windows 필터링 플랫폼 응용 프로그램 또는 서비스가 포트에서 들어오는 연결을 수신할 수 사용할 수 있습니다.
5155 Windows 필터링 플랫폼 응용 프로그램 또는 서비스가 포트에서 들어오는 연결을 수신하는 것을 차단했습니다.
5156 Windows 필터링 플랫폼 연결을 사용할 수 있습니다.
5157 Windows 필터링 플랫폼 연결을 차단했습니다.
5158 로컬 포트에 바인딩하기 Windows 필터링 플랫폼 사용할 수 있습니다.
5159 로컬 포트에 바인딩하기를 Windows 필터링 플랫폼 차단했습니다.

하위 범주: 플랫폼 패킷 Drop 필터링

표 축소표 확대
ID 메시지
5152 Windows 필터링 플랫폼 패킷을 차단했습니다.
5153 보다 제한적인 Windows 필터링 플랫폼 필터 패킷을 차단했습니다.

하위 범주: 핸들 조작

표 축소표 확대
ID 메시지
4656 개체에 대한 핸들이 요청되었습니다.
4658 개체에 대한 핸들이 닫혔습니다.
4690 개체에 대한 핸들을 복제할 했습니다.

하위 범주: 기타 개체 액세스 이벤트

표 축소표 확대
ID 메시지
4671 응용 프로그램을 통해 TBS와 차단된 서수를 액세스하려고 했습니다.
4691 개체에 대한 간접 액세스가 요청되었습니다.
4698 예약된 작업을 만들었습니다.
4699 예약된 작업이 삭제되었습니다.
4700 예약된 작업을 사용할 수 있습니다.
4701 예약된 작업을 사용할 수 없습니다.
4702 예약된 작업이 업데이트되었습니다.
4702 예약된 작업이 업데이트되었습니다.
5888 COM + 카탈로그에 있는 개체가 수정되었습니다.
5889 COM + 카탈로그에서 개체가 삭제되었습니다.
5890 개체는 COM + 카탈로그 추가되었습니다.

하위 범주: 레지스트리

표 축소표 확대
ID 메시지
4657 레지스트리 값이 수정되었습니다.
5039 레지스트리 키를 가상화할 수 없습니다.

하위 범주: 특정 Multi-use 하위 범주

참고 해당 하위 범주를 사용하면 모든 리소스 관리자가 다음과 같은 이벤트가 생성될 수 있습니다. 예를 들어, 다음 이벤트가 레지스트리 리소스 관리자에 의해 또는 파일 시스템 리소스 관리자에 의해 생성될 수 있습니다. 해당 개체 액세스: 커널 개체개체 액세스: SAM 하위 범주를 이러한 이벤트를 단독으로 사용할 하위 범주를 예입니다.
표 축소표 확대
ID 메시지
4659 개체에 대한 핸들은 삭제하려면 의도로 요청했습니다.
4660 개체가 삭제되었습니다.
4661 개체에 대한 핸들이 요청되었습니다.
4663 개체에 액세스하려고 했습니다.

범주: 정책 변경

하위 범주: 감사 정책 변경

표 축소표 확대
ID 메시지
4715 개체에 대한 감사 정책 (SACL) 변경되었습니다.
4719 시스템 감사 정책이 변경되었습니다.
4817 개체에 대한 감사 설정은 변경되었습니다.
4902 사용자 당 감사 정책을 테이블을 만들었습니다.
4904 보안 이벤트 소스를 등록할 했습니다.
4905 보안 이벤트 소스를 했습니다.
4906 CrashOnAuditFail 값이 변경되었습니다.
4907 개체에 대한 감사 설정은 변경되었습니다.
4908 특수 그룹 로그온 테이블을 수정할입니다.
4912 사용자 당 감사 정책 변경되었습니다.

하위 범주: 인증 정책 변경

표 축소표 확대
ID 메시지
4706 새 트러스트는 도메인에 만들어집니다.
4707 도메인에 트러스트가 제거되었습니다.
4713 Kerberos 정책이 변경되었습니다.
4716 트러스트된 도메인 정보가 수정되었습니다.
4717 시스템 보안 액세스는 위해 계정은 부여했습니다.
4718 시스템 보안 액세스 계정의 제거되었습니다.
4739 도메인 정책 변경되었습니다.
4864 네임스페이스 충돌이 감지되었습니다.
4865 트러스트된 포리스트 정보를 항목이 추가되었습니다.
4866 트러스트된 포리스트 정보를 항목이 제거되었습니다.
4867 트러스트된 포리스트 정보를 항목이 수정되었습니다.

하위 범주: 권한 부여 정책 변경

표 축소표 확대
ID 메시지
4704 사용자 권한이 할당되었습니다.
4705 사용자 권한이 제거되었습니다.
4714 데이터 복구 에이전트 그룹 정책에 대한 파일 시스템 암호화(EFS) 변경되었습니다. 새 변경 사항이 적용되었습니다.

하위 범주: 필터링 플랫폼 정책 변경

표 축소표 확대
ID 메시지
4709 IPsec 정책 에이전트 서비스가 시작되었습니다.
4710 IPsec 정책 에이전트 서비스를 사용할 수 없습니다.
4711 다음 중 하나가 포함될 수 있습니다.
  • PAStore 엔진이 해당 컴퓨터에서 로컬로 캐시된 복사본을 Active Directory 저장소 IPsec 정책이 적용됩니다.
  • PAStore 엔진이 Active Directory 저장소 IPsec 정책이 컴퓨터에 적용되는.
  • PAStore 엔진이 로컬 레지스트리 저장소 IPsec 정책이 컴퓨터에 적용되는.
  • PAStore 엔진이 컴퓨터에 로컬로 캐시된 복사본을 Active Directory 저장소 IPsec 정책 적용하지 못했습니다.
  • PAStore 엔진이 컴퓨터에 Active Directory 저장소 IPsec 정책을 적용하지 못했습니다.
  • PAStore 엔진이 컴퓨터에 로컬 레지스트리 저장소 IPsec 정책을 적용하지 못했습니다.
  • PAStore 엔진이 컴퓨터에 있는 일부 활성 IPsec 정책 규칙을 적용할 수 없습니다.
  • PAStore 엔진이 디렉터리 저장소 컴퓨터에서 IPsec 정책을 로드하지 못했습니다.
  • PAStore 엔진이 디렉터리 저장소 컴퓨터에서 IPsec 정책을 로드할.
  • PAStore 엔진이 로컬 저장소 컴퓨터에서 IPsec 정책을 로드하지 못했습니다.
  • PAStore 엔진이 로컬 저장소의 IPsec 정책이 컴퓨터에 로드된.
  • PAStore 엔진이 활성 IPsec 정책 변경을 폴링합니다 및 검색된 변경 내용이 없습니다.
4712 IPsec 정책 에이전트에 잠재적인 심각한 오류가 발생했습니다.
5040 IPsec 설정이 변경되었습니다. 인증 집합이 추가되었습니다.
5041 IPsec 설정이 변경되었습니다. 인증 집합이 수정되었습니다.
5042 IPsec 설정이 변경되었습니다. 인증 집합이 삭제되었습니다.
5043 IPsec 설정이 변경되었습니다. 연결 보안 규칙이 추가되었습니다.
5044 IPsec 설정이 변경되었습니다. 연결 보안 규칙이 수정되었습니다.
5045 IPsec 설정이 변경되었습니다. 연결 보안 규칙이 삭제되었습니다.
5046 IPsec 설정이 변경되었습니다. 암호화 설정이 추가되었습니다.
5047 IPsec 설정이 변경되었습니다. 암호화 설정이 수정되었습니다.
5048 IPsec 설정이 변경되었습니다. 암호화 설정이 삭제되었습니다.
5440 다음 설명선 Windows 필터링 플랫폼 기본 필터링 엔진 시작할 때 존재했던.
5441 다음 필터를 사용하면 Windows 필터링 플랫폼 기본 필터링 엔진 시작할 때 존재했던.
5442 다음 공급자가 Windows 필터링 플랫폼 기본 필터링 엔진 시작할 때 존재했던.
5443 다음 공급자 컨텍스트가 Windows 필터링 플랫폼 기본 필터링 엔진 시작할 때 존재했던.
5444 다음 sub-layer Windows 필터링 플랫폼 기본 필터링 엔진 시작할 때 존재했던.
5446 Windows 필터링 플랫폼 설명선이 변경되었습니다.
5448 Windows 필터링 플랫폼 공급자가 변경되었습니다.
5449 Windows 필터링 플랫폼 공급자 컨텍스트가 변경되었습니다.
5450 Windows 필터링 플랫폼 sub-layer가 변경되었습니다.
5456 PAStore 엔진이 Active Directory 저장소 IPsec 정책이 컴퓨터에 적용되는.
5457 IPsec 정책 에이전트가 컴퓨터에서 Active Directory 저장소 IPsec 정책을 적용하지 못했습니다.
5458 로컬로 적용된 IPsec 정책 에이전트가 컴퓨터의 IPsec 정책 Active Directory 저장소 복사본이 캐시된.
5459 IPsec 정책 에이전트가 컴퓨터에서 로컬로 캐시된 복사본을 Active Directory 저장소 IPsec 정책 적용하지 못했습니다.
5460 IPsec 정책 에이전트가 로컬 레지스트리 저장소 IPsec 정책이 컴퓨터에 적용되는.
5461 IPsec 정책 에이전트 컴퓨터에서 로컬 레지스트리에 저장소 IPsec 정책을 적용하지 못했습니다.
5462 IPsec 정책 에이전트가 컴퓨터에서 일부 활성 IPsec 정책 규칙을 적용할 수 없습니다. IP 보안 모니터 스냅인을 사용하여 문제를 진단하십시오.
5463 IPsec 정책 에이전트가 활성 IPsec 정책 변경을 폴링합니다 및 검색된 변경 내용이 없습니다.
5464 IPsec 정책 에이전트가 활성 IPsec 정책 변경을 폴링합니다 변경 내용을 검색하고 적용한.
5465 IPsec 정책 에이전트가 IPsec 정책을 강제로 다시 로드하기 위한 컨트롤을 받았으며 해당 컨트롤을 성공적으로 처리했습니다.
5466 IPsec 정책 에이전트에 의해 Active Directory 도달할 수 및 Active Directory IPsec 정책의 캐시된 사본을 대신 사용할 Active Directory IPsec 정책 변경 내용을 폴링합니다. 마지막 폴링 적용할 수 있으므로 Active Directory IPsec 정책 변경.
5467 IPsec 정책 에이전트가 Active Directory 도달하면 및 수 정책이 없는 변경 내용이 있는지 확인할 Active Directory IPsec 정책 변경을 폴링합니다. Active Directory IPsec 정책 캐시된 복사본이 더 이상 사용 중입니다.
5468 Active Directory 도달할 수, 정책 변경 내용을 찾아서 해당 변경 내용이 적용된 IPsec 정책 에이전트가 Active Directory IPsec 정책 변경을 폴링합니다 결정됩니다. Active Directory IPsec 정책 캐시된 복사본이 더 이상 사용 중입니다.
5471 IPsec 정책 에이전트가 로컬 저장소의 IPsec 정책이 컴퓨터에 로드된.
5472 IPsec 정책 에이전트가 로컬 저장소 컴퓨터에서 IPsec 정책을 로드하지 못했습니다.
5473 IPsec 정책 에이전트가 디렉터리 저장소 컴퓨터에서 IPsec 정책을 로드할.
5474 IPsec 정책 에이전트가 디렉터리 저장소 컴퓨터에서 IPsec 정책을 로드하지 못했습니다.
5477 IPsec 정책 에이전트가 빠른 모드 필터를 추가할 수 없습니다.

하위 범주: MPSSVC 규칙 수준 정책 변경

표 축소표 확대
ID 메시지
4944 Windows 방화벽을 시작할 때 다음 정책을 활성 않았습니다.
4945 Windows 방화벽을 시작할 때 규칙 목록에 없습니다.
4946 Windows 방화벽 예외 목록에 변경되었습니다. 규칙이 추가되었습니다.
4947 Windows 방화벽 예외 목록에 변경되었습니다. 규칙이 수정되었습니다.
4948 Windows 방화벽 예외 목록에 변경되었습니다. 규칙이 삭제되었습니다.
4949 Windows 방화벽 설정은 기본값으로 복원했습니다.
4950 Windows 방화벽 설정이 변경되었습니다.
4951 주 버전 번호를 인식할 수 없으므로 Windows 방화벽 규칙을 무시합니다.
4952 부 버전 번호를 인식할 수 없으므로 Windows 방화벽 규칙의 부분을 무시합니다. 다른 부분에 규칙이 적용됩니다.
4953 구문 분석할 수 있기 때문에 Windows 방화벽 규칙을 무시합니다.
4954 Windows 방화벽 그룹 정책 설정이 변경된 및 새 설정이 적용되지 않았습니다.
4956 활성 프로필의 Windows 방화벽 변경되었습니다.
4957 Windows 방화벽은 다음과 같은 규칙을 적용하지 못했습니다.
4958 이 컴퓨터에 구성된 항목을 규칙에 참조되는 때문에 Windows 방화벽을 다음과 같은 규칙을 적용하지 못했습니다.
5050 이 API는 이 버전의 Windows에서는 지원되지 않기 때문에 프로그래밍 방식으로 INetFwProfile.FirewallEnabled(FALSE) 인터페이스 호출을 사용하여 Windows 방화벽 해제 시도가 거부되었습니다. 이 버전의 Windows와 호환되지 않는 프로그램 때문인 것 같습니다. 호환되는 프로그램 버전이 있는지 해당 프로그램 제조업체에 문의하십시오.

하위 범주: 기타 정책 변경 이벤트

표 축소표 확대
ID 메시지
4909 해당 TBS 로컬 정책 설정은 변경되었습니다.
4910 해당 TBS 그룹 정책 설정은 변경되었습니다.
5063 암호화 공급자의 작업이 시도되었습니다.
5064 암호화 컨텍스트를 작업이 시도되었습니다.
5065 암호화 컨텍스트를 수정이 .
5066 암호화 기능이 작업이 시도되었습니다.
5067 암호화 기능이 수정이 .
5068 함수는 암호화 공급자가 작업이 시도되었습니다.
5069 암호화 기능이 속성 작업이 시도되었습니다.
5070 암호화 기능이 속성 수정이 .
5447 Windows 필터링 플랫폼 필터가 변경되었습니다.
6144 그룹 정책 개체의 보안 정책이 성공적으로 적용된.
6145 그룹 정책 개체의 보안 정책을 처리하는 동안 하나 이상의 오류가 발생했습니다.

하위 범주: 특정 Multi-use 하위 범주

참고 해당 하위 범주를 사용하면 모든 리소스 관리자가 다음과 같은 이벤트가 생성될 수 있습니다. 예를 들어, 다음 이벤트가 레지스트리 리소스 관리자에 의해 또는 파일 시스템 리소스 관리자에 의해 생성될 수 있습니다.
표 축소표 확대
ID 메시지
4670 개체의 사용 권한은 변경되었습니다.

범주: 권한 사용

권한 사용의 중요한 하위 범주:/비 구분 권한 사용

표 축소표 확대
ID 메시지
4672 새 로그온에 할당된 특별한 권한이입니다.
4673 권한 있는 서비스가 호출되었습니다.
4674 권한 개체에서 작업이 시도되었습니다.

범주: 시스템

하위 범주: IPsec 드라이버

표 축소표 확대
ID 메시지
4960 무결성 검사를 실패한 인바운드 패킷은 IPsec가 삭제했습니다. 이 문제가 계속되면 네트워크 문제 또는 해당 패킷을 이 컴퓨터로 전송되는 수정되는 나타낼 수 있습니다. 원격 컴퓨터에서 보낸 패킷이 이 컴퓨터가 받는 것과 같은지 확인하십시오. 또한 이 오류는 다른 IPsec 구현이 상호 운용성 문제를 나타낼 수 있습니다.
4961 IPsec 재생 검사에 실패한 인바운드 패킷을 삭제했습니다. 이 문제가 계속되면 이 컴퓨터에서 재생 공격을 나타낼 수 있습니다.
4962 IPsec 재생 검사에 실패한 인바운드 패킷을 삭제했습니다. 인바운드 패킷 재생 않았습니다 하기 위해 너무 낮은 시퀀스 번호가 있었습니다.
4963 IPsec 보안이 설정되어 있어야 합니다 인바운드 일반 텍스트 패킷을 삭제했습니다. 요청 아웃바운드 IPsec 정책이 설정된 원격 컴퓨터가 구성된 경우 이 심각하지 및 예상 수 있습니다. 또한 이 컴퓨터에 알리지 않고 IPsec 정책을 변경하면 원격 컴퓨터에 의해 발생할 수 있습니다. 스푸핑 공격을 시도할 수도 있습니다.
4965 함께 있는 잘못된 보안 매개 변수 색인 (SPI) 원격 컴퓨터에서 IPsec 패킷을 받았습니다. 일반적으로 이 패킷을 손상시키는 고장난 하드웨어에 의해 발생합니다. 이 오류가 계속되면 원격 컴퓨터에서 보낸 패킷이 이 컴퓨터가 받는 것과 같은지 확인하십시오. 또한 이 오류는 다른 IPsec 구현이 상호 운용성 문제를 나타낼 수 있습니다. 연결 impeded 경우, 이 경우 다음 이러한 이벤트는 무시할 수 있습니다.
5478 IPsec 정책 에이전트 서비스가 시작되었습니다.
5479 IPsec 서비스는 성공적으로 종료되었습니다. IPsec 서비스의 종료 컴퓨터에 네트워크 공격 큰 위험에 처할 수 또는 잠재적인 보안 위험에 컴퓨터가 노출될 수 있습니다.
5480 IPsec 정책 에이전트가 컴퓨터의 네트워크 인터페이스에 전체 목록을 가져오지 못했습니다. 일부 네트워크 인터페이스는에 의해 적용된 IPsec 필터를 제공하는 보호 얻지 못할 수 있기 때문에 보안 위험이 발생합니다. IP 보안 모니터 스냅인을 사용하여 문제를 진단하십시오.
5483 IPsec 정책 에이전트 서비스가 RPC 서버를 초기화하지 못했습니다. 서비스를 시작할 수 없습니다.
5484 IPsec 정책 에이전트가 심각한 오류로 인해 및 종료되었습니다. 이 서비스의 종료 컴퓨터에 네트워크 공격 큰 위험에 처할 수 또는 잠재적인 보안 위험에 컴퓨터가 노출될 수 있습니다.
5485 IPsec 정책 에이전트가 네트워크 인터페이스에 대한 플러그 앤 플레이 이벤트에 대한 일부 IPsec 필터를 처리하지 못했습니다. 일부 네트워크 인터페이스는에 의해 적용된 IPsec 필터를 제공하는 보호 얻지 못할 수 있기 때문에 보안 위험이 발생합니다. IP 보안 모니터 스냅인을 사용하여 문제를 진단하십시오.

하위 범주: 기타 시스템 이벤트

표 축소표 확대
ID 메시지
5024 Windows 방화벽 서비스를 성공적으로 시작했습니다.
5025 Windows 방화벽 서비스가 중지되었습니다.
5027 Windows 방화벽 서비스가 로컬 저장소에서 보안 정책을 검색할 수 없습니다. Windows 방화벽이 계속 현재 정책을 적용합니다.
5028 Windows 방화벽에서 새 보안 정책을 구문 분석할 수 없습니다. Windows 방화벽이 계속 현재 정책을 적용합니다.
5029 Windows 방화벽 서비스의 드라이버를 초기화할 수 없습니다. Windows 방화벽이 계속 현재 정책을 적용합니다.
5030 Windows 방화벽 서비스를 시작하지 못했습니다.
5032 Windows 방화벽에서 응용 프로그램을 네트워크에서 들어오는 연결을 허용하지 못하도록 차단된 사용자에게 알릴 수 없습니다.
5033 Windows 방화벽 드라이버 시작했습니다.
5034 Windows 방화벽 드라이버가 중지되었습니다.
5035 Windows 방화벽 드라이버를 시작하지 못했습니다.
5037 Windows 방화벽 드라이버 중요한 런타임 오류가 종료합니다.
5058 키 파일 작업입니다.
5059 키 마이그레이션 작업입니다.
6400 BranchCache: 가용성 콘텐츠를 검색하는 동안 잘못된 형식의 응답을 받았습니다.
6401 BranchCache: 에서 피어 잘못된 데이터를 받았습니다. 데이터가 삭제됩니다.
6403 BranchCache: 이 호스팅된 캐시 잘못된 형식의 응답을 클라이언트에게 보냈습니다.
6404 BranchCache: 호스팅되는 캐시 제공된 SSL 인증서를 사용하여 인증할 수 없습니다.
6405 BranchCache: %2 인스턴스 이벤트 ID %1 중 발생했습니다.
6406 %1 컨트롤에 대해 다음 필터링 Windows 방화벽으로 등록된: %2
6407 1 %

하위 범주: 보안 상태 변경

표 축소표 확대
ID 메시지
4608 Windows 시작하는 중입니다.
4616 시스템 시간이 변경되었습니다.
4621 관리자에서 CrashOnAuditFail 시스템이 복구되었습니다. 관리자가 아닌 사용자는 로그온할 때 이제 허용됩니다. 일부 감사 가능한 작업이 기록되어 있을 수 없습니다.

하위 범주: 보안 시스템 확장

표 축소표 확대
ID 메시지
4610 로컬 보안 기관에 의해 인증 패키지가 로드되었습니다.
4611 신뢰할 수 있는 로그온 프로세스가 로컬 보안 권한으로 등록되었습니다.
4614 보안 계정 관리자가 알림 패키지가 로드되었습니다.
4622 로컬 보안 기관에 의해 보안 패키지가 로드되었습니다.
4697 서비스는 시스템에 설치된 것입니다.

하위 범주: 시스템 무결성

표 축소표 확대
ID 메시지
4612 일부 감사를 손실을 선행 감사 메시지 대기열에 할당된 내부 리소스가 없으므로 않은 있습니다.
4615 LPC 포트 사용이 잘못되었습니다.
4618 모니터링되는 보안 이벤트 패턴을 발생했습니다.
4816 RPC 들어오는 메시지의 암호를 해독하는 동안 무결성 위반을 발견했습니다.
5038 코드 무결성을 파일의 이미지 해시 유효하지 않음을 확인했습니다. 잘못된 해시 잠재적인 디스크 장치 오류 나타낼 수 파일이 무단된 수정을 인해 손상되었을 수 있습니다.
5056 암호화 자체 테스트가 수행되었습니다.
5057 암호화 기본 작업을 수행하지 못했습니다.
5060 확인 작업이 실패했습니다.
5061 암호화 작업입니다.
5062 커널 모드 암호화 자체 테스트 수행되었습니다.
6281 이미지 파일의 페이지 해시가 유효한지 코드 무결성 확인했습니다. 파일을 잘못 서명된 페이지 해시를 없이 또는 손상된 무단된 수정을 인하여 될 수 있습니다. 잘못된 해시가 잠재적인 디스크 장치 오류 나타낼 수 있습니다.

슬라이드 노트

  • 보다 반환하려면 관리자로 상승된 명령 프롬프트에서 다음 명령을 실행하여 모든 보안 감사 이벤트 항목의 목록을 자세히:
    wevtutil GP/ge/gm:true Microsoft-Windows-보안 감사
    출력의 일부를 보여 주는 예제입니다: 
      event:
    value: 4706
    version: 0
    opcode: 0
    channel: 10
    level: 4
    task: 0
    keywords: 0x8000000000000000
    message: A new trust was created to a domain.

Subject:
	Security ID:		%3
	Account Name:		%4
	Account Domain:		%5
	Logon ID:		%6

Trusted Domain:
	Domain Name:		%1
	Domain ID:		%2

Trust Information:
	Trust Type:		%7
	Trust Direction:		%8
	Trust Attributes:		%9
	SID Filtering:		%10
  • 모든 보안 감사 범주와 목록을 반환할 관리자로 상승된 명령 프롬프트에서 다음 명령을 실행하십시오.
    auditpol/list/subcategory: *
위로 가기 | 피드백 보내기

Collapse image참조

Wevtutil 유틸리티에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 방문하십시오.
http://technet2.microsoft.com/windowsserver2008/en/library/d4c791e0-7e59-45c5-aa55-0223b77a48221033.mspx
(http://technet2.microsoft.com/windowsserver2008/en/library/d4c791e0-7e59-45c5-aa55-0223b77a48221033.mspx)
Auditpol 유틸리티에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 방문하십시오.
http://technet2.microsoft.com/windowsserver2008/en/library/a02cfb9d-732f-4e77-aeba-f18265daa3af1033.mspx
(http://technet2.microsoft.com/windowsserver2008/en/library/a02cfb9d-732f-4e77-aeba-f18265daa3af1033.mspx)
고급 보안 감사 정책 설정 Windows 7 및 Windows Server 2008 R2에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 방문하십시오.
http://technet.microsoft.com/en-us/library/dd772712(WS.10).aspx
(http://technet.microsoft.com/en-us/library/dd772712(WS.10).aspx)
Windows Vista 및 Windows Server 2008에서 보안 감사에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
947226
(http://support.microsoft.com/kb/947226/ )
Windows Vista 에서 및 Windows Server 2008의 보안 이벤트 설명
위로 가기 | 피드백 보내기

'Windows' 카테고리의 다른 글

Terminal Services Command Reference  (0) 2013.09.26
로그온 유형 코드 이해하기  (0) 2013.09.23
서버 보안 설정 샘플 설정 파일  (0) 2013.07.05
sc.exe 명령어 / svchost.exe 특정 서비스 격리  (0) 2013.06.24
gpupdate  (0) 2013.06.13
Posted by 배움나눔
Cacti2013. 8. 16. 18:58

Centos NTP 클라이언트 설정

[root@localhost ~]# service ntpd stop

 

[root@localhost ~]# ntpdate 123.123.123.123

 

[root@localhost ~]# service ntpd start

 

부팅시에 ntpd 데몬이 실행되도록 등록

[root@localhost ~]# chkconfig ntpd on

 

 

'Cacti' 카테고리의 다른 글

Install Cacti on CentOS 6/7  (0) 2015.02.16
Install Cacti Network Monitoring Tool on CentOS 6.4 / RHEL 6.4 / Scientific Linux 6.4  (0) 2014.01.27
SPINE: Poller[0] FATAL: Connection Failed, Error:'1040', Message:'Too many connections' (Spine thread)  (0) 2013.05.27
CACTI Data Template  (0) 2013.05.10
cacti http to https login redirection  (0) 2013.04.08
Posted by 배움나눔
Windows2013. 7. 5. 12:18

서버 보안 설정 샘플 설정 파일

ISMS 인증 서버 보안 설정 샘플

 

 

[version]
signature="$CHICAGO$"
revision=1
DriverVer=07/01/2001,5.1.2600.0

[System Access]
;----------------------------------------------------------------
;Account Policies - Password Policy
;----------------------------------------------------------------
MinimumPasswordAge = 2
MaximumPasswordAge = 42
MinimumPasswordLength = 8
PasswordComplexity = 1
PasswordHistorySize = 24
ClearTextPassword = 0
LSAAnonymousNameLookup = 0
EnableGuestAccount = 0

;----------------------------------------------------------------
;Account Policies - Lockout Policy
;----------------------------------------------------------------
LockoutBadCount = 5
ResetLockoutCount = 30
LockoutDuration = -1

;----------------------------------------------------------------
;Local Policies - Security Options
;----------------------------------------------------------------
;DC Only
;ForceLogoffWhenHourExpire = 1

;NewAdministatorName =
;NewGuestName =
;SecureSystemPartition

;----------------------------------------------------------------
;Event Log - Log Settings
;----------------------------------------------------------------
;Audit Log Retention Period:
;0 = Overwrite Events As Needed
;1 = Overwrite Events As Specified by Retention Days Entry
;2 = Never Overwrite Events (Clear Log Manually)

[System Log]
RestrictGuestAccess = 1

[Security Log]
MaximumLogSize = 10240
AuditLogRetentionPeriod = 0
RestrictGuestAccess = 1

[Application Log]
RestrictGuestAccess = 1

;----------------------------------------------------------------------
; Local Policies\Audit Policy
;----------------------------------------------------------------------
[Event Audit]
AuditSystemEvents = 3
AuditObjectAccess = 3
AuditPrivilegeUse = 3
AuditPolicyChange = 3
AuditAccountManage = 3
AuditProcessTracking = 0
;AuditDSAccess=0
AuditAccountLogon=3
AuditLogonEvents = 3

;----------------------------------------------------------------
;Registry Values
;----------------------------------------------------------------
[Registry Values]
; Registry value name in full path = Type, Value
; REG_SZ ( 1 )
; REG_EXPAND_SZ ( 2 ) // with environment variables to expand
; REG_BINARY ( 3 )
; REG_DWORD ( 4 )
; REG_MULTI_SZ ( 7 )

MACHINE\System\CurrentControlSet\Control\Lsa\AuditBaseObjects=4,0
MACHINE\System\CurrentControlSet\Control\Lsa\CrashOnAuditFail=4,0
MACHINE\System\CurrentControlSet\Control\Lsa\DisableDomainCreds=4,1
MACHINE\System\CurrentControlSet\Control\Lsa\EveryoneIncludesAnonymous=4,0
;Leave model alone
;MACHINE\System\CurrentControlSet\Control\Lsa\ForceGuest=4,0
MACHINE\System\CurrentControlSet\Control\Lsa\FullPrivilegeAuditing=3,0
MACHINE\System\CurrentControlSet\Control\Lsa\LimitBlankPasswordUse=4,1
MACHINE\System\CurrentControlSet\Control\Lsa\LmCompatibilityLevel=4,5
MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinClientSec=4,0
MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinServerSec=4,0
MACHINE\System\CurrentControlSet\Control\Lsa\NoLMHash=4,1
MACHINE\System\CurrentControlSet\Control\Lsa\RestrictAnonymous=4,1
MACHINE\System\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM=4,1
;Domain Controllers Only
;MACHINE\System\CurrentControlSet\Control\Lsa\SubmitControl=4,0
MACHINE\System\CurrentControlSet\Control\Print\Providers\LanMan Print Services\Servers\AddPrinterDrivers=4,1

MACHINE\System\CurrentControlSet\Control\Session Manager\Kernel\ObCaseInsensitive=4,1
MACHINE\System\CurrentControlSet\Control\Session Manager\Memory Management\ClearPageFileAtShutdown=4,1
MACHINE\System\CurrentControlSet\Control\Session Manager\ProtectionMode=4,1

MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1
MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature=4,1
MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableForcedLogOff=4,1
MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\AutoDisconnect=4,15

MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnableSecuritySignature=4,1
MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature=4,0
MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnablePlainTextPassword=4,0

MACHINE\System\CurrentControlSet\Services\LDAP\LDAPClientIntegrity=4,1

MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange=4,0
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge=4,30
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\SignSecureChannel=4,1
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\SealSecureChannel=4,1
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal=4,1
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey=4,1

MACHINE\Software\Microsoft\Driver Signing\Policy=3,2

MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableCAD=4,0
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DontDisplayLastUserName=4,1
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeCaption=1,""
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeText=7,""
;Requiring logon to shutdown makes sense only if machine is physically secured.
;MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\ShutdownWithoutLogon=4,0
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\UndockWithoutLogon=4,0

MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole\SecurityLevel=4,0
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole\SetCommand=4,0

MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\AllocateCDRoms=1,0
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\AllocateDASD=1,0
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\AllocateFloppies=1,0
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CachedLogonsCount=1,0
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ForceUnlockLogon=4,1
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\PasswordExpiryWarning=4,14
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ScRemoveOption=1,1

[Group Membership]
;Default Power User ACLs are insecure. Make sure nobody is a Power User.
%SceInfPowerUsers%__Memberof =
%SceInfPowerUsers%__Members =
;Make sure only Admins are Admins
%SceInfAdmins%__Memberof =
%SceInfAdmins%__Members = %SceInfDomainAdmins%, %SceInfAdministrator%

'Windows' 카테고리의 다른 글

로그온 유형 코드 이해하기  (0) 2013.09.23
Windows Server 2008 R2 및 Windows 7에서 보안 이벤트 설명  (0) 2013.09.23
sc.exe 명령어 / svchost.exe 특정 서비스 격리  (0) 2013.06.24
gpupdate  (0) 2013.06.13
로컬 보안 정책 초기화 (secedit 매개 변수 설명)  (0) 2013.06.13
Posted by 배움나눔
Windows2013. 6. 24. 17:30

sc.exe 명령어 / svchost.exe 특정 서비스 격리

 

출처 : http://smileyoon.kr/50140380416

 

sc 명령어를 service control manager and services를 조작할 수 있다.

 

활용법1) 현재 서버에서 실행되고 있는 모든 service의 status 확인

 

c:\>sc query --모든 서비스 리스트 확인 가능하며 status도 확인 가능

c:\>sc queryex --위 명령어보다 더 자세히 service status를 확인 가능 <특히 PID 확인>

=>어떤 서버에서 tasklist /svc 통해서 PID 확인하고 싶었는데 안되었다..... 이제부터는 한가지 방법 추가^^;;;

 

활용법2) 서비스 중지 및 시작 가능  

 

!!!!)해당 서비스가 종속성이 걸려 있다면 중지 및 시작이 안되요~~~~

자 여기서 mssqlserver 서비스를 중지 시켜 볼까요????

허거거거거걱.... 왜 안되지.....? 당연하죠 해당 서비스는 sqlserveragent가 의존하고 있기 때문이죠...

그래서 해당 서비스를 중지 시킬려면 sqlserveragent를 중지시킨 후 해야 합니다.

 

짜잔^^ net stop <서비스명> net start <서비스명> 명령어로도 서비스를 제어할 수 있지만 sc명령어도 할 수 있어요

 

활용법3) 이것 때문에 제가 SC 명령어에 관심이 가지게 되었습니다.

 

svchost.exe를 이용하는 서비스 중 한개가 문제를 일으키고 있었습니다..... 특정 서비스를 강제 kill시키고 싶은데

그런데 아시다파시 svchost.exe 같은 경우 여러 프로세스가 공유해서 사용하고 있습니다..

이럴 때 어떻게 할까요??? 공유해서 사용하고 있는 걸 격리 시켜서 한개의 svchost.exe에 서비스 시킬 수 있습니다.

자 가볼까요???? (-.- 왜이렇게 말이 주저리 주저리 길고 깔끔하지가 못할까요 ㅠㅠ)

bits 서비스를 따로 서비스 되도록 격리 시키도록 하겠습니다. (bits 서비스를 왜 선택했냐면... 종속적이지 않기 때문에^^)

 

!!!!여기서 주목 sc config <서비스명> type= own 명령을 통해 서비스 구성을 변경했습니다.

그런데 웃긴점 발견 type=own 붙여서 쓰면 안되요!!!! 거짓말 같으신가요 해보세요 ㅋㅋ 꼭 한칸을 띄고 own을 타이핑해야 합니다.

그리고 나서 바로 tasklist /svc로 확인해 보겠습니다.

 

헐..... 왜 격리가 안되지??? ㅋㅋㅋ 서비스를 재시작해줘야 합니다.

자 위에서 배운 sc stop bits -> sc start bits 실행 한 후 다시 확인해 보겠습니다.



우하하 격리 성공 PID 4492이네요

작업 관리자가 가서 PID가 4492 프로세스를 강제로 kill 시킬 수 있었습니다.

 

유용한 명령어가 참 많은것 같습니다.^^

지속적으로 제가 습득한 명령어를 정리하여 포스팅하도록 하겠습니다.

 

장문의 글을 읽어 주셔서 감사합니다.

아차차차 그리고 제발 읽고만 가지 말아주세요.... 보신 후 뭔가 이상하다 싶은게 있으면 바로 알려주세요

확인 후 수정토록 하겠습니다. 단방향보다 양방향을 좋아합니다.^^

이상!!! 

[출처] sc.exe 명령어 / svchost.exe 특정 서비스 격리|작성자 Smileyoon

'Windows' 카테고리의 다른 글

Windows Server 2008 R2 및 Windows 7에서 보안 이벤트 설명  (0) 2013.09.23
서버 보안 설정 샘플 설정 파일  (0) 2013.07.05
gpupdate  (0) 2013.06.13
로컬 보안 정책 초기화 (secedit 매개 변수 설명)  (0) 2013.06.13
로컬 보안 정책 백업 및 복구  (0) 2013.06.13
Posted by 배움나눔
Windows2013. 6. 13. 12:27

gpupdate

출처 : http://genes1s.egloos.com/2827377

 

보안 설정을 포함하여 Active Directory에 저장되어 있는 로컬 그룹 정책 설정과 그룹 정책 설정을 새로 고칩니다. 이 명령은 더 이상 사용되지 않는 secedit 명령의 /refreshpolicy 옵션을 대체합니다.

* 구문
gpupdate [/target:{computer | user}] [/force] [/wait:Value] [/logoff] [/boot]

* 매개 변수
/target:{computer|user}
Computer 설정 또는 현재 User 설정만 처리합니다. 기본적으로 컴퓨터 설정과 사용자 설정이 모두 처리됩니다.
/force
모든 처리 최적화를 무시하고 모든 설정을 다시 적용합니다.
/wait:Value
정책 처리가 끝나기를 기다리는 시간(초)입니다. 기본값은 600초입니다. 0은 기다리지 않음을 나타내고 -1은 무기한 대기를 나타냅니다.
/logoff
새로 고침이 끝난 다음 로그오프합니다. 이 명령은 백그라운드 새로 고침 주기에서는 처리하지 않고 사용자 그룹 정책 소프트웨어 설치 및 폴더 리디렉션과 같이 사용자가 로그온한 경우에만 처리하는 그룹 정책 클라이언트 확장에 필요합니다. 이 옵션은 사용자가 로그오프하도록 요청하는 확장이 없는 경우에는 효과가 없습니다.
/boot
새로 고침이 끝난 후 컴퓨터를 다시 시작합니다. 이 명령은 백그라운드 새로 고침 주기에서는 처리하지 않고 컴퓨터 그룹 정책 소프트웨어 설치 및 폴더 리디렉션과 같이 컴퓨터를 시작한 경우에만 처리하는 그룹 정책 클라이언트 확장에 필요합니다. 이 옵션은 컴퓨터를 다시 시작하도록 요청하는 확장이 없는 경우에는 효과가 없습니다.
/?
명령 프롬프트에서 도움말을 표시합니다.

* gpupdate 명령의 사용 방법
gpupdate
gpupdate /target:computer
gpupdate /force /wait:100
gpupdate /boot

'Windows' 카테고리의 다른 글

서버 보안 설정 샘플 설정 파일  (0) 2013.07.05
sc.exe 명령어 / svchost.exe 특정 서비스 격리  (0) 2013.06.24
로컬 보안 정책 초기화 (secedit 매개 변수 설명)  (0) 2013.06.13
로컬 보안 정책 백업 및 복구  (0) 2013.06.13
netlogon 로그 오류 코드  (0) 2013.06.04
Posted by 배움나눔
Windows2013. 6. 13. 12:26

로컬 보안 정책 초기화 (secedit 매개 변수 설명)

출처 : http://genes1s.egloos.com/2827347

 

로컬 보안정책을 설정하고나서 정리가 안되면 나중에는 무엇을 설정했는지 알수가 없어 난감하고, 초기화를 할 필요성이 있을때가 있다.
그럴땐 아래의 명령어를 커맨드창에서 입력해주면 된다.
(초기화 전에 먼저 기존 정책을 백업받을 필요성이 있는데, http://genes1s.egloos.com/2827374 참고)

--------------------------------------------------------------------------------------
Windows XP & 2003
secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose
*윈도우 xp에서는 %windir%\repair\secsetup.inf 에 보안템플릿설정이 저장되어있다.  

Windows Vista & 7 & 2008
secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose
*윈도우 7 이상이세는 %windir%\inf\defltbase.inf 에 보안템플릿설정이 저장되어있다. 
--------------------------------------------------------------------------------------
"작업을 완료했습니다." 메시지와 특정 작업을 완료할 수 없다는 경고 메시지가 표시됩니다. 
이 메시지에 대한 자세한 내용은 %windir%\Security\Logs\Scesrv.log 파일을 참조하십시오.
이 메시지는 무시해도 됩니다.

위와 같이 초기화를 하게 되면 Users 그룹에서 제외가 되는경우가 생긴다.
이럴땐 컴퓨터관리->사용자관리->그룹관리에서 사용자를 추가해주거나,
net localgroup users 사용자계정 /add 명령을 이용하여 추가해주면된다..

* Secedit 매개 변수 설명
  • /configure: Secedit.exe가 시스템 보안 설정을 지정함을 나타냅니다.
  • /DB 파일 이름: 적용할 보안 템플릿이 들어 있는 데이터베이스에 대한 경로를 제공합니다. 이것은 필수 인수입니다. 그러나 /CFG 스위치를 사용하여 보안 템플릿을 지정하는 경우에는 데이터베이스 파일이 없어도 됩니다.
  • /CFG 파일 이름: 이 인수는 /DB 매개 변수와 함께 사용할 때만 유효합니다. 이 인수는 데이터베이스로 가져오고 시스템에 적용할 보안 템플릿 경로입니다. 이 인수를 지정하지 않으면 데이터베이스에 이미 저장된 템플릿이 적용됩니다.
  • /overwrite: 이 인수는 /CFG 인수와 함께 사용할 때만 유용합니다. 이 인수는 /CFG 인수의 보안 템플릿을 이미 저장된 템플릿에 추가하는 대신 데이터베이스에 저장된 템플릿이나 복합 템플릿을 이 보안 템플릿으로 덮어쓸지 여부를 지정합니다. 이 인수를 지정하지 않으면 /CFG 인수의 템플릿이 이미 저장된 템플릿에 추가됩니다.
  • /areas 영역 이름 1영역 이름 2...: 시스템에 적용할 보안 영역을 지정합니다. 기본값은 "모든 영역"입니다. 각 영역은 공백으로 구분해야 합니다.
    SECURITYPOLICY - 계정 정책, 감사 정책 및 기타 정책을 비롯한 시스템에 대한 로컬 정책 및 도메인 정책

    GROUP_MGMT - 보안 템플릿에 지정된 그룹에 대한 제한된 그룹 설정

    USER_RIGHTS - 사용자 로그온 권한과 권한 부여

    REGKEYS - 로컬 레지스트리 키의 보안

    FILESTORE - 로컬 파일 저장소의 보안

    SERVICES - 정의된 모든 서비스에 대한 보안

    참고 각 영역은 보안 템플릿의 유사 이름과 일치합니다.

  • /log 로그 경로: 이 스위치를 사용하여 변경 내용을 추적하는 로그 파일의 위치를 구성할 수 있습니다.
  • /verbose: 보다 자세한 진행 정보를 지정합니다.
  • /quiet: 업데이트하는 동안 화면과 로그 파일에 제공되는 피드백을 줄입니다.

    • 'Windows' 카테고리의 다른 글

    sc.exe 명령어 / svchost.exe 특정 서비스 격리  (0) 2013.06.24
    gpupdate  (0) 2013.06.13
    로컬 보안 정책 백업 및 복구  (0) 2013.06.13
    netlogon 로그 오류 코드  (0) 2013.06.04
    Raid Controller Driver 설치 ( 구 서버 )  (0) 2013.05.08
    Posted by 배움나눔
    Windows2013. 6. 13. 12:25

    로컬 보안 정책 백업 및 복구

    출처 : http://genes1s.egloos.com/2827374

    <로컬 보안 정책 백업>

    Secedit /export /cfg localsec.inf

    localsec.inf로 기존 정책 백업.

     
    <로컬 보안 정책 복구>

    secedit /configure /db localsec.sdb /cfg localsec.inf /log localsec.log

    localse.inf의 정책내용을 해당 서버에 복구및 적용.
    위에서 /db부분은 사실 없어도 되는 부분이긴 함.
    매개변수에 대해서는 http://genes1s.egloos.com/2827347 참조.

    적용한후 gpupdate /force 를 실행 해서 그룹 정책을 업데이트하고 확인.
    (gpupdate 에 대해선 http://genes1s.egloos.com/2827377 참조)



    * 백업파일 내용
    아래의 4가지 섹션으로 구성되어 있음.
    [System Access] : 계정정책 & 보안옵션
    [Event Audit] : 감사정책
    [Registry Values] : 보안 옵션
    [Privilege Rights] : 사용자 권한 할당

    위의 내용들중 필요한 것만 골라서 남긴후, 마지막 [Version]부분을 반듯이 넣어준후 저장.
    위의 로컬 보안정책 복구 명령을 이용하여 수정한 정책파일을 적용한다.


    * 배치파일 내용

    @echo off
    echo [System Access] > test.inf
    echo MinimumPasswordAge = 1 >> test.inf
    echo MaximumPasswordAge = 31 >> test.inf
    echo MinimumPasswordLength = 8 >> test.inf
    echo PasswordComplexity = 1 >> test.inf
    echo PasswordHistorySize = 3 >> test.inf
    echo LockoutBadCount = 5 >> test.inf
    echo ResetLockoutCount = 30 >> test.inf
    echo LockoutDuration = 30 >> test.inf
    echo [Version] >> test.inf
    echo signature="$CHICAGO$" >> test.inf
    echo Revision=1 >> test.inf
    secedit /configure /db test.sdb /cfg test.inf
    del test.sdb
    del test.inf
    exit

    위의 내용을 메모장에서 .bat / .cmd로 저장 한 후 실행하면 쉽게 적용 가능.

    'Windows' 카테고리의 다른 글

    gpupdate  (0) 2013.06.13
    로컬 보안 정책 초기화 (secedit 매개 변수 설명)  (0) 2013.06.13
    netlogon 로그 오류 코드  (0) 2013.06.04
    Raid Controller Driver 설치 ( 구 서버 )  (0) 2013.05.08
    Install Windows Components from Command Line  (0) 2013.03.28
    Posted by 배움나눔
    Windows2013. 6. 4. 12:07

    netlogon 로그 오류 코드

    출처 : http://blog.naver.com/hacap07/130069109023

     

    표 3 Netlogon 로그 오류 코드

    로그 코드 설명

    0x0

    로그인되었습니다.

    0xC0000064

    지정한 사용자가 없습니다.

    0xC000006A

    현재 암호로 제공한 값이 잘못되었습니다.

    0xC000006C

    암호 정책을 충족하지 않습니다.

    0xC000006D

    시도한 로그온은 사용자 이름이 잘못되어 유효하지 않습니다.

    0xC000006E

    사용자 계정 제한 때문에 로그인하지 못했습니다.

    0xC000006F

    사용자 계정에 시간 제한이 있으며 지금은 로그온할 수 없습니다.

    0xC0000070

    사용자가 제한되었으며 원본 워크스테이션에서 로그온할 수 없습니다.

    0xC0000071

    사용자 계정의 암호가 만료되었습니다.

    0xC0000072

    사용자 계정이 현재 비활성화되어 있습니다.

    0xC000009A

    시스템 리소스가 부족합니다.

    0xC0000193

    사용자의 계정이 만료되었습니다.

    0xC0000224

    처음 로그온하기 전에 사용자가 암호를 변경해야 합니다.

    0xC0000234

    사용자 계정이 자동으로 잠겼습니다. 

    'Windows' 카테고리의 다른 글

    로컬 보안 정책 초기화 (secedit 매개 변수 설명)  (0) 2013.06.13
    로컬 보안 정책 백업 및 복구  (0) 2013.06.13
    Raid Controller Driver 설치 ( 구 서버 )  (0) 2013.05.08
    Install Windows Components from Command Line  (0) 2013.03.28
    Windows에서 디스크 용량 보기 명령어  (0) 2013.01.09
    Posted by 배움나눔
    Cacti2013. 5. 27. 18:45

    SPINE: Poller[0] FATAL: Connection Failed, Error:'1040', Message:'Too many connections' (Spine thread)

    SPINE: Poller[0] FATAL: Connection Failed, Error:'1040', Message:'Too many connections' (Spine thread)

    MYSQL 세션 제한에 따른 오류로 MYSQL 동시 세션수를 늘려 주면된다

     

    # vi /etc/my.cnf

    [mysqld]

    max_connections=999

     

     

    MYSQL 재시작

    # service mysqld restart

     

    'Cacti' 카테고리의 다른 글

    Install Cacti Network Monitoring Tool on CentOS 6.4 / RHEL 6.4 / Scientific Linux 6.4  (0) 2014.01.27
    Centos NTP 클라이언트 설정  (0) 2013.08.16
    CACTI Data Template  (0) 2013.05.10
    cacti http to https login redirection  (0) 2013.04.08
    Cacti / Windows Memory 그래프 나타내는 방법  (0) 2013.03.29
    Posted by 배움나눔
    NETWORK2013. 5. 20. 12:50

    TCP Operational Overview and the TCP Finite State Machine (FSM)

    출처 : http://www.tcpipguide.com/free/t_TCPOperationalOverviewandtheTCPFiniteStateMachineF-2.htm

     

    TCP Operational Overview and the TCP Finite State Machine (FSM)
    (Page 2 of 3)

    The Simplified TCP Finite State Machine

    In the case of TCP, the finite state machine can be considered to describe the “life stages” of a connection. Each connection between one TCP device and another begins in a null state where there is no connection, and then proceeds through a series of states until a connection is established. It remains in that state until something occurs to cause the connection to be closed again, at which point it proceeds through another sequence of transitional states and returns to the closed state.

    The full description of the states, events and transitions in a TCP connection is lengthy and complicated—not surprising, since that would cover much of the entire TCP standard. For our purposes, that level of detail would be a good cure for insomnia but not much else. However, a simplified look at the TCP FSM will help give us a nice overall feel for how TCP establishes connections and then functions when a connection has been created.

    Table 151 briefly describes each of the TCP states in a TCP connection, and also describes the main events that occur in each state, and what actions and transitions occur as a result. For brevity, three abbreviations are used for three types of message that control transitions between states, which correspond to the TCP header flags that are set to indicate a message is serving that function. These are:

    • SYN: A synchronize message, used to initiate and establish a connection. It is so named since one of its functions is to synchronizes sequence numbers between devices.

    • FIN: A finish message, which is a TCP segment with the FIN bit set, indicating that a device wants to terminate the connection.

    • ACK: An acknowledgment, indicating receipt of a message such as a SYN or a FIN.

    Again, I have not shown every possible transition, just the ones normally followed in the life of a connection. Error conditions also cause transitions but including these would move us well beyond a “simplified” state machine. The FSM is also illustrated in Figure 210, which you may find easier for seeing how state transitions occur.


     

    Table 151: TCP Finite State Machine (FSM) States, Events and Transitions

    State

    State Description

    Event and Transition

    CLOSED

    This is the default state that each connection starts in before the process of establishing it begins. The state is called “fictional” in the standard. The reason is that this state represents the situation where there is no connection between devices—it either hasn't been created yet, or has just been destroyed. If that makes sense. J

    Passive Open: A server begins the process of connection setup by doing a passive open on a TCP port. At the same time, it sets up the data structure (transmission control block or TCB) needed to manage the connection. It then transitions to the LISTEN state.

    Active Open, Send SYN: A client begins connection setup by sending a SYN message, and also sets up a TCB for this connection. It then transitions to the SYN-SENT state.

    LISTEN

    A device (normally a server) is waiting to receive a synchronize (SYN) message from a client. It has not yet sent its own SYN message.

    Receive Client SYN, Send SYN+ACK: The server device receives a SYN from a client. It sends back a message that contains its own SYN and also acknowledges the one it received. The server moves to the SYN-RECEIVED state.

    SYN-SENT

    The device (normally a client) has sent a synchronize (SYN) message and is waiting for a matching SYN from the other device (usually a server).

    Receive SYN, Send ACK: If the device that has sent its SYN message receives a SYN from the other device but not an ACK for its own SYN, it acknowledges the SYN it receives and then transitions to SYN-RECEIVED to wait for the acknowledgment to its SYN.

    Receive SYN+ACK, Send ACK: If the device that sent the SYN receives both an acknowledgment to its SYN and also a SYN from the other device, it acknowledges the SYN received and then moves straight to the ESTABLISHED state.

    SYN-RECEIVED

    The device has both received a SYN (connection request) from its partner and sent its own SYN. It is now waiting for an ACK to its SYN to finish connection setup.

    Receive ACK: When the device receives the ACK to the SYN it sent, it transitions to the ESTABLISHED state.

    ESTABLISHED

    The “steady state” of an open TCP connection. Data can be exchanged freely once both devices in the connection enter this state. This will continue until the connection is closed for one reason or another.

    Close, Send FIN: A device can close the connection by sending a message with the FIN (finish) bit sent and transition to the FIN-WAIT-1 state.

    Receive FIN: A device may receive a FIN message from its connection partner asking that the connection be closed. It will acknowledge this message and transition to the CLOSE-WAIT state.

    CLOSE-WAIT

    The device has received a close request (FIN) from the other device. It must now wait for the application on the local device to acknowledge this request and generate a matching request.

    Close, Send FIN: The application using TCP, having been informed the other process wants to shut down, sends a close request to the TCP layer on the machine upon which it is running. TCP then sends a FIN to the remote device that already asked to terminate the connection. This device now transitions to LAST-ACK.

    LAST-ACK

    A device that has already received a close request and acknowledged it, has sent its own FIN and is waiting for an ACK to this request.

    Receive ACK for FIN: The device receives an acknowledgment for its close request. We have now sent our FIN and had it acknowledged, and received the other device's FIN and acknowledged it, so we go straight to the CLOSED state.

    FIN-WAIT-1

    A device in this state is waiting for an ACK for a FIN it has sent, or is waiting for a connection termination request from the other device.

    Receive ACK for FIN: The device receives an acknowledgment for its close request. It transitions to the FIN-WAIT-2 state.

    Receive FIN, Send ACK: The device does not receive an ACK for its own FIN, but receives a FIN from the other device. It acknowledges it, and moves to the CLOSING state.

    FIN-WAIT-2

    A device in this state has received an ACK for its request to terminate the connection and is now waiting for a matching FIN from the other device.

    Receive FIN, Send ACK: The device receives a FIN from the other device. It acknowledges it and moves to the TIME-WAIT state.

    CLOSING

    The device has received a FIN from the other device and sent an ACK for it, but not yet received an ACK for its own FIN message.

    Receive ACK for FIN: The device receives an acknowledgment for its close request. It transitions to the TIME-WAIT state.

    TIME-WAIT

    The device has now received a FIN from the other device and acknowledged it, and sent its own FIN and received an ACK for it. We are done, except for waiting to ensure the ACK is received and prevent potential overlap with new connections. (See the topic describing connection termination for more details on this state.)

    Timer Expiration: After a designated wait period, device transitions to the CLOSED state.



     

    Figure 210: The TCP Finite State Machine (FSM)

    This diagram illustrates the simplified TCP FSM. The color codings are not an official part of the definition of the FSM; I have added them to show more clearly the sequences taken by the two devices to open and close a link. For both establishment and termination there is a regular sequence, where the initiating and responding devices go through different states, and a simultaneous sequence where each uses the same sequence.

     


     

    Tap tap… still awake? Okay, I guess even with serious simplification, that FSM isn't all that simple. It may seem a bit intimidating at first, but if you take a few minutes with it, you can get a good handle on how TCP works. The FSM will be of great use in making sense of the connection establishment and termination processes later in this section—and conversely, reading those sections will help you make sense of the FSM. So if your eyes have glazed over completely, just carry on and try coming back to this topic later.

    Posted by 배움나눔

    티스토리툴바