[CH01] 시스템 기본 학습
1. 윈도우 인증과정
1) 윈도우 인증 구성요소
LSA(Local Security Authority)
- 모든 계정의 로그인에 대한 검증 및 시스템 자원에 대한 접근 권한을 검사
- 계정명과 SID를 매칭하며, SRM이 생성한 감사로그를 기록
- 보안 서브시스템이라 불림
SAM(Security Account Manager)
- 사용자/그룹 계정 정보에 대한 데이터베이스를 관리
- SAM파일은 사용자, 그룹 계정 및 암호화된 패스워드정보를 저장하고 있는 데이터베이스 (C:\Winnt 또는 C:\Windows)
SRM(Service Reference Monitor)
- 인증된 사용자에게 SID 부여
- 파일이나 디렉터리에 대한 접근을 허용할지 여부를 결정하고 이에 대한 감사 메시지를 생성
2) 로컬 인증
LSA 서브시스템이 인증 정보를 받아 NTLM 모듈에 넘기고 이를 다시 SAM이 받아 로그인을 처리
3) 원격(도메인) 인증
커버로스 프로토콜을 이용해 "도메인 컨트롤러"에 인증을 요청한다.
도메인 컨트롤러는 인증 정보를 확인하여 접속하고자 하는 사용자에게 접근 토큰을 부여하고 해당 권한으로 프로세스를 실행한다.
4) SAM 파일 접근 통제 설정
- 적절한 접근 통제가 필요
- 패스워드 공격 시도에 따른 정보 노출의 위험이 있음
- Administrators 및 System 그룹 외에는 SAM파일에 대한 접근을 제한해야 한다.
2. 윈도우 보안 식별자(SID:Security Identifier)
1) 개요
윈도우의 각 사용자나 그룹에 부여되는 고유한 식별번호
사용자가 로그인을 수행하면 접근 토큰이 생성되며, 해당 토큰에는 로그인한 사용자와 그 사용자가 속한 모든 작업 그룹들을에 대한 보안 식별자 정보가 담겨있다.
접근 토큰의 사본은 그 사용자에 의해 시작된 모든 프로세스에게 할단된다.
SAM파일(C:\Windows\system32\congi)에 SID 정보가 저장되어 있다.
2) SDI 구조
- S-1 : 윈도우 시스템
- 5-21 : 도메인 컨트롤러 이거나 단독 시스템을 의미
- 500 : 관리자(Administrator) 식별자
- 501 : 게스트(Guest) 식별자
- 1000이상 : 일반 사용자 식별자
S-1-5-21-4243233100-3174512425-4165118588-500
=> Administrator
S-1-5-21-4243233100-3174512425-4165118588-501
=> Guest
S-1-5-21-4243233100-3174512425-4165118588-1001
=> 일반 사용자
SID 실습
실행 - wmic - useraccount list brief
3. 윈도우 인증 구조
1) 개요
- 인증 요청 : 인증을 수행하고자 하는 주체가 인증 서버에 인증을 요청한다.
- Challenge 값 생성 : 인증을 요청받은 인증 서버는 문자열 등의 값을 특정 규칙을 따르거나 혹은 랜덤하게 생성하여 인증 요구자에 전달한다.
- Response 값 생성 : 인증 요구자는 서버에서 전달받은 Challenge 값과 본인이 입력한 패스워드 정보 등을 이용해 서버에 보낼 값을 생성한다.
- Response 값 전송 : 인증 요구자는 생성한 Response 값을 인증 서버에게 전달하고 인증 서버는 이 Response 값을 확인하여 알린다.
2) 인증 암호 알고리즘