[실기] 1.1 Windows 기본 학습 - (1) 윈도우 인증과정

1. Windows 인증 과정 

 

※ 인증과 인가의 차이

인증 (Authentication) :  사용자를 인증하는 것

인가 (Authorization) : 인증된 사용자가 어떤 자원에 접근 시 적절한 접근권한을 소유하고 있는지를 검증하는 것

 

 

(1) Winlogon 프로세스 기동

• Winlogon : Windows System에 접근할 때 계정과 pw를 묻는 화면

(2) LSA Server Service 

• Local 인증 : Winlogon 에서 받은 인증정보를 NTLM 모듈로 넘김
• Domain 인증 / 원격 인증 : Winlogon 에서 받은 인증정보를 Kerberos 프로토콜을 이용하여 도메인 컨트롤러(Domain Controller, DC) 로 인증 요청

(3) NTLM (Local) 과 Domain Controller (Domain / 원격) 

• NTLM : LSA에서 받은 인증정보와 SAM 파일 내의 계정과 매핑되는 패스워드 값을 비교 후 접근 토큰 부여

Windows Local 인증

 

 

• DC : 커버로스(Kerberos) 프로토콜을 통해 받은 인증정보를 확인하여 접근 토큰 부여

Windows Domain 인증

(4) 인증 성공 시 해당 권한으로 프로세스 실행 

• 로그인 프로세스 완료 후 획득한 권한으로 새로운 프로세스 실행

 

2. Windows 인증 구성 요소 

(1) LSA (Local Security Authority) 서비스

• Windows 보안의 핵심적인 서비스
• 계정명, SID를 매칭
• SRM이 생성한 감사로그 기록

(2) SAM (Security Account Manager) 서비스

• 사용자 및 그룹 계정 정보에 대한 DataBase 관리
• 사용자가 입력한 로그인 정보와 SAM 파일에 저장된 사용자 pw 정보를 비교하여 인증 여부 결정

 

 SAM 파일 

• 사용자, 그룹 계정 및 암호화된 패스워드 정보를 저장하고 있는 DB 파일
• Windows 설치 디렉터리에 위치 ( c:\Winnt 또는 c:\Windows )
• 내PC > Windows (C:) > System32 > config 에서 확인 가능

 

(3) SRM (Service Reference Monitor)

• 인증된 사용자에게 SID 부여
• SID를 기반으로 파일 및 디렉터리에 대한 접근 허용 여부 결정
• 결정 후 이에 대한 감사 메시지를 생성

 

 

3. SAM 파일 접근 통제 설정 

(1) 필요성 

• SAM 파일 내에서 사용자 및 그룹 계정의 패스워드 관리
• LSA를 통한 인증을 제공하는 중요 파일
• 공격자의 SAM 파일에 대한 패스워드 공격 시도로 인한 정보 노출의 위험이 따름 

(2) 보안 대책

• SAM 파일에 대한 접근 제한 설정 -> System 그룹 및 Administrators 만 접근 가능
• 불필요한 그룹 및 계정의 권한 제거

SAM 파일 접근 통제 설정 순서

1) SAM 파일 마우스 우클릭 >  [속성]

2) [보안] 탭 클릭 후 삭제할 계정( Administrators / SYSTEM 제외 ) 선택 후 [편집] 클릭

3) 계정 선택 후  [제거] 클릭

 

 

 

출처 :  알기사 정보보안기사 실기 이론편, 정일영 [2021]