단답형
001
Windows Server 운영체제에서 사용자 계정 관리 방식은 워크 그룹(WorkGroup) 방식과 ( A ) 방식이 있으며, 로컬 사용자 계정은 %SystemRoot%System32\config( B )에 저장되고 있고, ( A )방식은 ( C ) 데이터 베이스에 저장된다.
-
정답 :
A : 도메인
B : SAM(Security Account Manager)
C : Active directory -
윈도우 서버의 계정 관리 방식
- 워크 그룹(Work Group) 방식
- 각각의 계정과 자원을 시스템 별로 관리하는 방식
- 소규모 네트워크에 적합 - pear to pear 라고도 함, 전용 서버 없이 모든 시스템이 서버이면서 클라이언트 기능을 가지며 서로 동등함
- 서버 관리자 필요 X, 보안관련 정보는 각 시스템의 로컬 디렉터리 DB(SAM DB)에 의해 제공됨
- Active Directory가 구축되지 않은 상태로서 다른 시스템에 접근할 때 수시로 엑세스에 필요한 사용자 계정과 암호를 요구
- 각각의 계정과 자원을 시스템 별로 관리하는 방식
- 도메인(Domain) 방식
- 모든 계정과 자원을 특정 서버에서 관리하는 중앙 집중식
- 사용자에게 적절한 사용 권한을 설정
- Active Directory 가 구축된 상태에서 가능, 기존의 windows NT 기반의 도메인 보다 확장된 기능을 제공
- 워크 그룹(Work Group) 방식
002
윈도우(Windows) OS는 기본적으로 시스템을 관리할 수 있는 다양한 유틸리티들을 제공하고 있다. OS 유틸리티 중 로그를 조회하고 관리할 수 있는 도구는 무엇인지 쓰시오.
-
정답 :
이벤트 뷰어 (Event Viewer) -
이벤트 뷰어
: 이벤트 뷰어는 윈도우 OS에서 로그를 조회하고 관리하는 도구이다. 응용프로그램 로그, 보안 로그, 시스템 로그의 3가지 로그를 기본 로그로 한다.
003
윈도우 시스템 버전에 따라 차이가 있지만 기본적으로 애플리케이션(application), 시스템(system), 보안(security) 이벤트 로그를 가지고 있다. 현재 시스템이 윈도우 7이라 가정할 때 아래 이벤트 로그에 대한 로그 파일명을 쓰시오
- 애플리케이션 로그 :
%SystemRoot%System32\winev\Logs\( A )- 시스템 로그 :
%SystemRoot%System32\winev\Logs\( B )- 보안 로그 :
%SystemRoot%System32\winev\Logs\( C )
-
정답 :
A : application.evtx
B : system.evtx
C : security.evtx -
윈도우 XP 이하 버전의 경우 :
%SystemRoot%System32\Config\AppEvent.Evt
%SystemRoot%System32\Config\SysEvent.Evt
%SystemRoot%System32\Config\SecEvent.Evt
005
다음은 윈도우 감사 정책을 서술한것이다. 빈칸에 맞는 세부 감사 정책을 기술하시오.
( A ) 정책은 시스템 시작 또는 종료, 보안 로그에 영향을 미치는 이벤트 등을 감사할지 여부를 결정
( B ) 정책은 도메인 컨트롤러에서 도메인 사용자 계정을 인증할 때마다 감사할지 여부를 결정
( C ) 정책은 프로세스 생성, 프로세스 종료, 핸들 복제 및 간접 개체 엑세스 같은 프로세스 관련 이벤트를 감사할지 여부를 결정
- 정답 :
A : 시스템 이벤트
B : 계정 로그온 이벤트
C : 프로세스 추적
- 윈도우 운영체제 감사 목록
011
다음 설명하고있는 취약점을 무엇인가?
네트워크에 연결된 윈도우 시스템 간에 아이디/패스워드 없이 다른 시스템에 접속할 수 있는 취약점으로 시스템 계정, 비밀번호, 공유정보가 노출될 수 있으므로 제거해야한다.
-
정답 :
Null Session 취약점 -
해설 :
Null Session 이란 윈도우가 설치된 네트워크의 다른 원격 컴퓨터에서 사용자명과 패스워드를 NULL로 해서 접속할 수 있게 해주는 것을 말한다.
013
다음 설명하고있는 공격 명칭을 쓰시오.
윈도우 운영체제에서 Mimikatz(미미카츠)와 같은 도구를 사용하여 등록된 사용자 계정의 NUML 또는 LM(Lan Manager)인증용 해시값을 탈취한 후 원격 서버나 서비스에 인증을 시도하는 공격기법으로 패스워드 자체를 알지 못해도 접속 인증에 성공할 수 있다.
-
정답 :
Pass the Hash 공격 -
Mimikatz :
윈도우 시스템에서 사용자 계정, 패스워드 등의 자격증명 정보를 수집할 수 있는 도구
018
( A )에 의한 입출력은 프로그램에 의한 입출력의 단점을 개선하기 위한 방식이다. CPU가 계속해서 입출력 상태를 검사하고 있는 것이 아니라 입출력 장치가 데이터를 전송할 준비가 되면 CPU에 ( A )를 발생시킨다. 따라서 CPU가 다른 프로그램을 수행하고 있는 동안에 인터페이스가 외부 소자를 모니터한다. CPU가 ( A )신호를 받으면 프로그램 카운터(PC)에 있는 복귀주소를 메모리 ( B )에 저장한 다음, 입출력 전송을 위한 ( C )으로 제어를 이동한다.
-
정답 :
A : 인터럽트 (Interrupt)
B : 스택 (Stack)
C : 인터럽트 서비스 루틴 or 인터럽트 핸들러 -
해설 :
- Program Counter : 다음에 수행할 명령어의 주소를 기억하는 장소
- 인터럽트 : 컴퓨터 시스템에 예기치 않은 일이 발생했을 때 그것을 CPU에게 알려주는 것으로, 실행되는 프로그램이 아닌 프로그램 외부의 다른 것에 의해 제어 흐름이 변경되는 것을 말함
- 인터럽트 서비스 루틴(ISR) : 인터럽트 발생 시 현재 실행 중인 프로그램의 상태를 보존하고, 요청된 인터럽트를 처리하는 루틴으로 제어를 옮기기 위한 프로그램
024
리눅스 시스템에서 ( A ) 방식으로 컴파일한 실행파일은 실행 시 호출하는 공유(외부) 라이브러리 함수가 프로그램 외부에 위치하므로 공유 라이브러리 함수를 사용할 수 있도록 주소를 연결해주는 테이블인 ( B )와/과 함수의 실제 주소가 저장되어 있는 테이블인 ( C )을/를 참조한다.
-
정답 :
A : 동적 링크 (Dynamic Link)
B : PLT
C : GOT -
해설 :
-
링크 : 프로그램 내에서 라이브러리에 있는 함수를 호출할 때 호출된 함수와 라이브러리에 있는 함수 코드를 연결해 주는 과정
-
정적 링크(static link) : 컴파일 시 정적 라이브러리를 사용하여 실행 파일 내에 라이브러리 함수가 모두 포함되도록 링크하는 방식
-
동적 링크(dynamic link) : 컴파일 시 공유 라이브러리를 사용하여 프로그램 실행 시에 외부 공유 라이브러리 함수를 동적으로 링크하는 방식
- 외부 공유 라이브러리에 있는 함수를 찾아내는 과정이 필요
- PLT(Procedure Linkage Table) : 외부 공유 라이브러리 함수를 사용할 수 있도록 주소를 연결해주는 테이블
- GOT(Global Offset Table) : PLT에서 호출하는 resolve() 함수를 통해 실제 주소가 저장되어있는 테이블
-
-
