Windows Server 운영체제에서 사용자 계정 관리 방식은 워크 그룹(WorkGroup) 방식과 ( A ) 방식이 있으며, 로컬 사용자 계정은 %SystemRoot%System32\config( B )에 저장되고 있고, ( A )방식은 ( C ) 데이터 베이스에 저장된다.
정답 :
A : 도메인
B : SAM(Security Account Manager)
C : Active directory
윈도우 서버의 계정 관리 방식
윈도우(Windows) OS는 기본적으로 시스템을 관리할 수 있는 다양한 유틸리티들을 제공하고 있다. OS 유틸리티 중 로그를 조회하고 관리할 수 있는 도구는 무엇인지 쓰시오.
정답 :
이벤트 뷰어 (Event Viewer)
이벤트 뷰어
: 이벤트 뷰어는 윈도우 OS에서 로그를 조회하고 관리하는 도구이다. 응용프로그램 로그, 보안 로그, 시스템 로그의 3가지 로그를 기본 로그로 한다.
윈도우 시스템 버전에 따라 차이가 있지만 기본적으로 애플리케이션(application), 시스템(system), 보안(security) 이벤트 로그를 가지고 있다. 현재 시스템이 윈도우 7이라 가정할 때 아래 이벤트 로그에 대한 로그 파일명을 쓰시오
- 애플리케이션 로그 :
%SystemRoot%System32\winev\Logs\( A )
- 시스템 로그 :
%SystemRoot%System32\winev\Logs\( B )
- 보안 로그 :
%SystemRoot%System32\winev\Logs\( C )
정답 :
A : application.evtx
B : system.evtx
C : security.evtx
윈도우 XP 이하 버전의 경우 :
%SystemRoot%System32\Config\AppEvent.Evt
%SystemRoot%System32\Config\SysEvent.Evt
%SystemRoot%System32\Config\SecEvent.Evt
다음은 윈도우 감사 정책을 서술한것이다. 빈칸에 맞는 세부 감사 정책을 기술하시오.
( A ) 정책은 시스템 시작 또는 종료, 보안 로그에 영향을 미치는 이벤트 등을 감사할지 여부를 결정
( B ) 정책은 도메인 컨트롤러에서 도메인 사용자 계정을 인증할 때마다 감사할지 여부를 결정
( C ) 정책은 프로세스 생성, 프로세스 종료, 핸들 복제 및 간접 개체 엑세스 같은 프로세스 관련 이벤트를 감사할지 여부를 결정
다음 설명하고있는 취약점을 무엇인가?
네트워크에 연결된 윈도우 시스템 간에 아이디/패스워드 없이 다른 시스템에 접속할 수 있는 취약점으로 시스템 계정, 비밀번호, 공유정보가 노출될 수 있으므로 제거해야한다.
정답 :
Null Session 취약점
해설 :
Null Session 이란 윈도우가 설치된 네트워크의 다른 원격 컴퓨터에서 사용자명과 패스워드를 NULL로 해서 접속할 수 있게 해주는 것을 말한다.
다음 설명하고있는 공격 명칭을 쓰시오.
윈도우 운영체제에서 Mimikatz(미미카츠)와 같은 도구를 사용하여 등록된 사용자 계정의 NUML 또는 LM(Lan Manager)인증용 해시값을 탈취한 후 원격 서버나 서비스에 인증을 시도하는 공격기법으로 패스워드 자체를 알지 못해도 접속 인증에 성공할 수 있다.
정답 :
Pass the Hash 공격
Mimikatz :
윈도우 시스템에서 사용자 계정, 패스워드 등의 자격증명 정보를 수집할 수 있는 도구
( A )에 의한 입출력은 프로그램에 의한 입출력의 단점을 개선하기 위한 방식이다. CPU가 계속해서 입출력 상태를 검사하고 있는 것이 아니라 입출력 장치가 데이터를 전송할 준비가 되면 CPU에 ( A )를 발생시킨다. 따라서 CPU가 다른 프로그램을 수행하고 있는 동안에 인터페이스가 외부 소자를 모니터한다. CPU가 ( A )신호를 받으면 프로그램 카운터(PC)에 있는 복귀주소를 메모리 ( B )에 저장한 다음, 입출력 전송을 위한 ( C )으로 제어를 이동한다.
정답 :
A : 인터럽트 (Interrupt)
B : 스택 (Stack)
C : 인터럽트 서비스 루틴 or 인터럽트 핸들러
해설 :
리눅스 시스템에서 ( A ) 방식으로 컴파일한 실행파일은 실행 시 호출하는 공유(외부) 라이브러리 함수가 프로그램 외부에 위치하므로 공유 라이브러리 함수를 사용할 수 있도록 주소를 연결해주는 테이블인 ( B )와/과 함수의 실제 주소가 저장되어 있는 테이블인 ( C )을/를 참조한다.
정답 :
A : 동적 링크 (Dynamic Link)
B : PLT
C : GOT
해설 :
링크 : 프로그램 내에서 라이브러리에 있는 함수를 호출할 때 호출된 함수와 라이브러리에 있는 함수 코드를 연결해 주는 과정
정적 링크(static link) : 컴파일 시 정적 라이브러리를 사용하여 실행 파일 내에 라이브러리 함수가 모두 포함되도록 링크하는 방식
동적 링크(dynamic link) : 컴파일 시 공유 라이브러리를 사용하여 프로그램 실행 시에 외부 공유 라이브러리 함수를 동적으로 링크하는 방식