[정보보안기사] 윈도우 인증 구성요소

noob3er·2023년 1월 9일
0

정보보안기사

목록 보기
1/6
post-thumbnail

윈도우 인증과정

1) 윈도우 인증 구성요소

윈도우 인증과정에서 사용되는 주요 서비스에는 LSA(Local Security Authority), SAM(Security Account Manager), SRM(Security Reference Monitor) 등이 있다.

LSA (Local Security Authority)

  • 모든 계정의 로그인에 대한 검증 및 시스템 자원(파일 등)에 대한 접근 권한을 검사(로컬 및 원격 로그인 포함)
  • 계정명과 SID(Security ID)를 매칭하며 SRM이 생성한 감사 로그를 기록
  • NT 보안의 중심 서비스이며 보안 서브시스템(Security Subsystem)이라 불림

SAM(Security Account Manager)

  • 사용자/그룹 계정 정보에 대한 데이터베이스를 관리
  • 사용자 로그인 정보와 SAM 파일에 저장된 사용자 패스워드 정보를 비교해 인증 여부를 결정
  • SAM 파일은 사용자, 그룹 계정 및 암호화된 패스워드정보를 저장하고 있는 데이터베이스로 윈도우 설치 디렉터리에 위치하고 있다

SRM(Security Reference Monitor)

  • 인증된 사용자에게 SID(Security ID)를 부여
  • SID를 기반으로 하여 파일이나 디렉터리에 대한 접근을 허용할지 여부를 결정하고 이에 대한 감사 메시지를 생성

2) 로컬 인증

윈도우 부팅 후 로그인 창(Winlogon 화면)에서 아이디와 패스워드를 입력하면
LSA 서브시스템이 인증 정보를 받아 NTLM 모듈에 넘기고 이를 다시 SAM이 받아 로그인 처리를 한다.


3) 원격(도메인) 인증

  • 윈도우 부팅 후 로그인 창(Winlogon 화면)에서 아이디와 패스워드를 입력하면 LSA 서브시스템이 인증 정보를 받아 로컬 인증용인지 도메인 인증용인지 확인하고 커버로스(Kerberos) 프로토콜을 이용해 "도메인 컨트롤러"에 인증을 요청한다.
  • 도메인 컨트롤러는 인증 정보를 확인하여 접속하고자 하는 사용자에게 접근 토큰을 부여하고 해당 권한으로 프로세스를 실행한다.

4) SAM 파일 접근 통제 설정(시스템 취약점 분석 & 평가 항목)

  • SAM 파일은 사용자와 그룹 계정의 패스워드를 관리하고 LSA를 통한 인증을 제공하는 중요한 파일이므로 적절한 접근 통제가 필요
  • 공격자로부터 SAM 파일에 대한 패스워드 공격 시도에 따른 정보 노출의 위험이 있음
  • 보안설정

    • Administrators 및 System 그룹 외에는 SAM 파일에 대한 접근을 제한한다
    • 불필요한 그룹 및 계정에 대해서는 권한을 제거한다.
profile
"Hard work beats talent when talent doesn't work hard."

0개의 댓글