시스템 - WINDOWS 인증방식

가. 윈도 인증 과정에서 사용되는 주요 서비스

① LSA( Local Security Authority )

   로컬 및 원격 계정의 로그인에 대한 검증 및 시스템 자원에 대한 접근 권한을 검사

② SAM ( Security Account Manager )

    사용자 및 그룹 계정 정보에 대한 데이터 베이스를 관리

사용자 로그인 정보와 SAM 파일에 저장된 사용자 패스워드 정보를 비교해 인증 여부 처리

   SAM 파일 위치 

      C:\Windows\System32\config

 

 

 

③ SRM ( Service Reference Monitor)

    인증된 사용자에게 SID ( Security ID )를 부여

    SID를 기반으로 하여 파일이나 디렉터리 접근 허용 여부 결정

나. 윈도우 인증과정 

 

※ Kerberos

   어원 : 그리스 신화에 나오는 세 개의 머리와 뱀의 꼬리를 가진 지옥의 문을 지키는 개의 이름

  분산 컴퓨팅 환경에서 대칭키를 이용하여 사용자 인증을 제공하는 중앙 집중형 인증 방식으로 MIT Athena 프로젝트에서 개발되었음.

   윈도우 기본 인증 프로토콜

1) 로컬 인증  

1. 로그인 창에서 아이디 패스워드 입력

2. LSA 서브시스템이 인증정보를 받아 NTLM 모듈에 넘김

3. NTLM은 SAM 서비스에 정보를 넘겨 로그인 처리

 

2) 원격(도매인) 인증

1. 로그인 창에서 아이디 패스워드 입력

2. LAS 서브스템에서 로컬 인증용인지 도메인 인증용인지 확인

3. Kerberos 프로토콜을 이용하여 "도메인 컨트롤러"에 인증 요청

4. 도메인 컨트롤러는 인증 정보를 확인하여 접속하고자 하는 사용자에게 접근 토큰을 부여하고 해당 권한으로 프로세스를 실행

다. SAM 파일 접근 통제 설정

 SAM  파일은 사용자와 그룹 계정의 패스워드를 관리하고 LSA를 통한 인증을 제공하는 중요한 파일이므로 적적한 접근 통제가 필요

 SAM 파일 보안 설정 확인

  → Administrators 및 System 그룹 외에는 권한을 제거 

 

라. 윈도 보안 식별자(SID)

 1. 윈도우의 각 사용자나 그룹에 부여되는 고유한 번호

 2. 사용자가 로그인을 수행하면 접근 토큰(액세스 토큰)이 생성되며, 해당 토큰에는 로그인한 사용자와 그 사용자가 속한 모든 작업 그룹들에 관한 보안 식별자(SID) 정보가 담겨있다.

 3.SID 구조

wmic 명령어로 확인 

useraccount list brief

-S-1: 윈도우 시스템을 의미

-5-21:  시스템이 도메인 컨트롤러 이거나 단독 시스템

-2362839989-2572811186-1623500012(가변): 시스템의 고유 식별자, 윈도 재설치 시 값 변경됨

-500:  관리자(administrator) 식별자

-501:  게스트 식별자

-1000이상 : 일반 식별자

마. 패스워드 크래킹

① 사전 대입 공격(Dictionary Attack)

-목록화된  예상 패스워드를 입력하여 크래킹 하는 방법 

② 무차별 대입공격( Brute Force Attack)

-패스워드에 사용될 수 있는 문자열의 범위를 정하고 그 범위 내에서 생성 가능한 모든 패스워드를 생성하여 하나씩 대입

③ 레인보우 테이블( Rainbow Table)을 이용한 공격

-하나의 패스워드에서 시작해 특정한 변이 함수를 이용해 여러 변이 된 형태의 패스워드를 생성한다.

-해시테이블과 R(Reduction) 함수의 반복 수행을 통해 일치하는 해시값을 통해서 패스워드를 찾아내는 방식이다.