윈도우 인증과정에서 사용되는 주요 서비스에는 LSA(Local Security Authority), SAM(Security Account Manager), SRM(Security Reference Monitor) 등이 있다.
LSA (Local Security Authority)
- 모든 계정의 로그인에 대한 검증 및 시스템 자원(파일 등)에 대한 접근 권한을 검사(로컬 및 원격 로그인 포함)
- 계정명과 SID(Security ID)를 매칭하며 SRM이 생성한 감사 로그를 기록
- NT 보안의 중심 서비스이며 보안 서브시스템(Security Subsystem)이라 불림
SAM(Security Account Manager)
- 사용자/그룹 계정 정보에 대한 데이터베이스를 관리
- 사용자 로그인 정보와 SAM 파일에 저장된 사용자 패스워드 정보를 비교해 인증 여부를 결정
- SAM 파일은 사용자, 그룹 계정 및 암호화된 패스워드정보를 저장하고 있는 데이터베이스로 윈도우 설치 디렉터리에 위치하고 있다
SRM(Security Reference Monitor)
- 인증된 사용자에게 SID(Security ID)를 부여
- SID를 기반으로 하여 파일이나 디렉터리에 대한 접근을 허용할지 여부를 결정하고 이에 대한 감사 메시지를 생성
윈도우 부팅 후 로그인 창(Winlogon 화면)에서 아이디와 패스워드를 입력하면
LSA 서브시스템이 인증 정보를 받아 NTLM 모듈에 넘기고 이를 다시 SAM이 받아 로그인 처리를 한다.
- 윈도우 부팅 후 로그인 창(Winlogon 화면)에서 아이디와 패스워드를 입력하면 LSA 서브시스템이 인증 정보를 받아 로컬 인증용인지 도메인 인증용인지 확인하고 커버로스(Kerberos) 프로토콜을 이용해 "도메인 컨트롤러"에 인증을 요청한다.
- 도메인 컨트롤러는 인증 정보를 확인하여 접속하고자 하는 사용자에게 접근 토큰을 부여하고 해당 권한으로 프로세스를 실행한다.
- SAM 파일은 사용자와 그룹 계정의 패스워드를 관리하고 LSA를 통한 인증을 제공하는 중요한 파일이므로 적절한 접근 통제가 필요
- 공격자로부터 SAM 파일에 대한 패스워드 공격 시도에 따른 정보 노출의 위험이 있음
- 보안설정
- Administrators 및 System 그룹 외에는 SAM 파일에 대한 접근을 제한한다
- 불필요한 그룹 및 계정에 대해서는 권한을 제거한다.