[정보보안기사]윈도우 인증 과정

(1) 윈도우 인증과정

[윈도우 인증 서비스]

1) 윈도우 인증 구성요소

a. 윈도우 인증과정에서 사용되는 주요 서비스에는 LSA(Local Security Authority), SAM(Security Account Manager), SRM(Security Reference Monitor) 등이 있다.

b. LSA(Local Security Authority), SAM(Security Account Manager)

 - 모든 계정의 로그인에 대한 검증 및 시스템 자원(파일 등)에 대한 접근 권한을 검사(로컬 및 원격 로그인 포함)

 - 계정명과 SID(Security ID)를 매칭하며  SRM이 생성한 감사 로그를 기록

 -  NT 보안의 중심 서비스이며 보안 서브시스템(Securtiy Subsystem)이라 불림

c. SAM(Security Account Manager)

 - 사용자/그룹 계정 정보에 대한 데이터베이스를 관리

 - 사용자 로그인 정보와  SAM 파일에 저장된 사용자 패스워드 정보를 비교해 인증 여부를 결정

 - SAM 파일은 사용자, 그룹 계정 및 암호화된 패스워드정보를 저장하고 있는 데이터베이스로 윈도우 설치 디렉터리(C:\Winnt 또는 C:\Windows)에 위치하고 있다.

[SAM 파일 위치]

d. SRM(Security Reference Monitor)

 - 인증된 사용자에게 SID(Security ID)를 부여

 - SID를 기반으로 하여 파일이나 디렉터리에 대한 접근을 허용할지 여부를 결정하고 이에 대한 감사 메시지를 생성

2) 로컬인증

[윈도우 로컬 인증]

a. 윈도우 부팅 후 로그인 창(Winlogon 화면)에서 아이디와 패스워드를 입력하면 LSA 서브시스템이 인증 정보를 받아 NTLM 모듈에 넘기고 이를 다시 SAM이 받아 로그인 처리를 한다.

3) 원격(도메인) 인증

[윈도우 도메인 인증]

a. 원도우 부팅 후 로그인 창(WInlogon 화면)에서 아이디와 패스워드를 입력하면 LSA 서브시스템이 인증 정보를 받아 로컬 인증용인지 도메인 인증용인지 확인하고 커버로스(Kerberos) 프로토콜을 이용해 "도메인 컨트롤러"에 인증을 요청한다.

b. 도메인 컨트롤러는 인증 정보를 확인하여 접속하고자 하는 사용자에게 접근 토큰을 부여하고 해당 권한으로 프로세스를 실행한다.

4) SAM 파일 접근 통제 설정(시스템 취약점 분석/평가 항목)

a. SAM 파일은 사용자와 그룹 계정의 패스워드를 관리하고 LSA를 통한 인증을 제공하는 중요한 파일이므로 적절한 접근 통제가 필요

b. 공격자로부터 SAM 파일에 대한 패스워드 공격 시도에 따른 노출의 위험이 있음

c. 보안설정

 - C:\Windows\system32\config\SAM 속성 중 보안 탭 확인

 - Administrators 및 System 그룹 외에는 SAM 파일에 대한 접근을 제한한다.

 - 불필요한 그룹 및 계정에 대해서는 권한을 제거한다.