[시스템 보안] Windows 기본 학습

1. Windows 인증과정 주요 서비스

 가. LSA

  □ 모든 계정 로그인 검증(SAM의 도움을 받음)

  □ 시스템 자원 접근 권한 검사(SRM의 도움을 받음)

  □ 계정명 - SID 매칭 

 나. SAM

  □ 사용자/그룹 계정 정보 DB 관리

  □ 사용자 로그인 정보와 SAM 파일에 저장된 패스워드 정보를 비교해 인증 여부 결정

  □ SAM 파일 : 사용자, 그룹, 암호화된 패스워드 정보 및 SID 정보를 저장하고 있는 DB

 3) SRM

  □ 인증된 사용자에게 SID 부여

  □ SID 기반 파일 및 디렉터리 접근 허용 여부 결정 및 감사 메시지 생성

 

2. SID

 가. 개념

  □ Security Identifier , 보안 식별자

  □ 윈도우의 사용자 혹은 그룹에 부여되는 고유 식별번호

 나. 구조

  □ 예시 : S-1-5-21-00000000-0000000-0000000-500

             (윈도우 시스템 - 도메인 컨트롤러 - 시스템 고유 식별자 - 사용자 식별자)

  □ 사용자 식별자 : 500(관리자), 501(게스트), 1000 이상(일반 사용자 식별자)

 다. 확인 방법

  □ Win+R → wmic → useraccount list brief

 

3. Windows 인증 과정

 가. Challenge & Response 구조

  □ 사용자의 인증 요청(패스워드 전달 X) → 윈도우에서 Challenge(일회성 임의의 값)

     생성 및 전달 → 사용자의 Response 값 생성(Challenge + PW) 및 전송

 나. 인증 암호 알고리즘

  □ LM, NTLM 해시(LM+MD5), NTLMv2 해시

 

4. 패스워드 크래킹

 가. 사전 공격

  □ 패스워드로 자주 사용되는 단어를 미리 사전 파일로 만들어 대입

 나. 무차별 대입 공격

  □ 패스워드에 사용될 수 있는 문자열 범위를 지정하고 생성 및 대입

 다. 혼합 공격 

  □ 사전 파일 + 무차별 대입 공격

 라. 레인보우 테이블

  □ PW 및 Hash 값 매핑

 

5. Windows Log

 가. Event Viewer

  □ Windows 에서 로그를 조회하고 관리할 수 있는 도구

 나. Windows 로그 분류

구분	기록 주체	예시	파일명
응용 프로그램 로그	응용 프로그램	응용 프로그램 에러, 서비스 시작, 그룹 멤버 추가/삭제	Application.evtx
시스템 로그	Windows OS 구성 요소	시스템 시작/중지, RDP Connection	System.evtx
보안 로그	감사 로그 설정*	로그온 시도 및 성공/실패, 사용자 권한 변경	Security.evtx

   * Windows OS 감사 정책 별도 존재