기사 자격증(알기사, 윈도우 보안)

윈도우 인증 구성요소

- 윈도우 로그인 과정

 

- 윈도우 인증의 주요서비스는 LSA, SAM, SRM 등이 있다.

 1. LSA

  - 윈도우 인증의 핵심

  - 모든 계정의 로그인에 대한 검증, 시스템 파일에 대한 접근권한 검사

  - 계정명과 SID를 매칭하여 SRM이 생성한 감사 로그 기록

 

 2. SAM

  - 사용자 / 그룹 계정 정보에 대한 DB 관리

  - SAM 파일은 사용자, 그룹 계정, 암호화된 패스워드정보 저장

  - 위치는 C 드라이브 → Windows → Windows32 → config → SAM파일

 

 3. SRM

  - 인증된 사용자에게 SID 부여

  - SID 기반으로 파일, 디렉터리에 접근 여부 판단하고 이에대한 감사메시지 생성

 

윈도우 인증방식

1. 로컬 인증

 - 직접 들어가 로그인 하는 방식

 - 로컬인증 순서

  1. winlogon 화면서 아이디 패스워드 입력

  2. win logon은 LSA의 서브시스템 인증정보를 받아 NTLM 모듈에 인증정보 넘기고 다시 SAM으로 넘김

  3. SAM은 받은 인증정보를 가지고 로그인 처리

 

 2. 원격(도메인) 인증

 - 도메인 인증 순서

 1. Winlogon 화면서 아이디 패스워드 입력

 2. Winlogon은 LSA 서브시스템의 서브시스템이 인증 정보 받아 로컬인증인지 도메인 인증인지 확인 후 도메인 인증이면 커버로스 프로토콜을 이용해 도메인 컨트롤러 인증 요청

 3. 도메인 컨트롤러는 인증정보 확인 후 사용자에게 접속토큰 부여, 해당 권한으로 프로세스 실행

 

SAM 파일은 계정 및 비밀번호, SID가 들어있기 때문에 관리자, system 그룹 외에는 SAM 접근권한을 없애야 한다.

 

윈도우 보안 식별자(SID)

- 윈도우 각 사용자, 그룹에 부여되는 고유 식별번호

- SAM 파일에 SID가 저장되어있음

- SID 구조(실행 → wmic → useraccount list brief)

S-1 : 윈도우 시스템을 의미 5-21 : 시스템이 도메인 컨트롤러 인지 단독시스템인지 의미 색칠한부분 : 해당 시스템만이 가지는 고유 식별자, 윈도우를 다시 설치해도 동일값 가짐 500 ~ 1001 : 사용자 식별자(500 = 관리자, 501 = 게스트, 1000 이상 = 일반사용자)

 

윈도우 인증구조

- 윈도우는 시도-응답(challenge&response)방식 이용

  ※ 시도-응답 방식 구조

- 윈도우 인증 알고리즘

 1. LM(LAN Manager) : 윈도우 2000, xp의 기본 알고리즘으로 구조적으로 취약한 알고리즘, 네트워크를 통한 파일 및 프린터 공유 같은 작업 시 인증을 담당 → NTLMv2 사용 권장

  → vista 이후로는 LM을 기본적으로 사용 불가

 2. NTLM 해시 : LM 해시 + MD4 해시

 3. NTLMv2 해시 : 윈도우 비스타 이후 윈도우 시스템의 기본 인증 프로토콜, 현재까지 복잡도가 충분해 크래킹이 어려움

 

패스워드 크래킹

1. Dictionary 공격

 - 사전공격이라는 의미

 - 비밀번호로 사용할 것 같은 단어를 미리 모아 사전형식 파일로 만든 후 하나씩 대입하는 방식

 

2. Bruteforce 공격

 - 무작위 대입 공격

 - 일반적으로 Dictionary 공격 실패 후 무차별 공격 실행

 

3. Hybrid 공격

 - Dictionary 공격 + Brute force 공격

 - 미리 사전에 만들어 놓은 파일에 무작위로 문자, 숫자를 더해 암호 크래킹

 

4. 레인보우 테이블을 이용한 공격

 - 패스워드와 이에 매핑되는 해시값을 미리 만들어 일치하는 해시값을 찾는 방식