보안기사
Edit on GitHub1. 윈도우 시스템
윈도우 시스템에 대한 보안 인증(Authentication)/인가(Authorization)
1) LSA(Local Security Authority) - 인증&인가 모듈?
인증과 인가 모두 처리(로컬 및 원격 포함). 로그인에 대한 검증, 시스템 자원에 대한 보안 인증 보안 서브 시스템으로 보안의 핵심 요소이다.
2) SAM(Security Account Manager) - 인증모듈?
- 사용자/그룹 계정 정보에 대한 데이터베이스를 관리.
- SID : Security ID로 사용자와 그룹 계정을 관리한다.
- SAM 파일 : 데이터베이스 파일. 사용자 계정, 그룹계정 등 정보를 가지고 있다. 경로 : C:\windows\system32\config\SAM
3) SRM(Service Reference Monitor) - 인가 모듈?
- 사용자에게 SID를 부여하고 SID에 따라 파일/접근 허용 여부
- 접근에 대한 감사 메세지 생성
4) 도메인 인증 시나리오
winlogon -> local security authority(lsa-local) > lsa(도메인 컨트롤러, AD)
5) SID
시큐리티 아이디 로그인 후 사용자에게 접근 토큰이 생성되며, 토큰에는 사용자와 그룹에 대한 SID가 담겨있다. 사용자가 프로세스를 실행하면 토큰이 함께 저장된다.
예시 - administrator sid
ex) s-1(os type : windows)-5-21(system type : domain controller or standalone)-4243233100-317452425-4165118588(system id)-500(user id : administrator id)
6) 윈도우 인증 구조
challenge & response. 매 요청마다 임시 값을 서버에서 클라로 던져서 랜덤값을 포함한 비밀번호 값을 던진다.
- 인증요청 ->
- \<- challenge 값 전송(랜덤값)
- Response (challenge + 비밀번호 ) 전송 ->
- 인증 성공
7) 인증 암호 알고리즘
LM(Lan Manager 해시) NTLM NTLMv2 : 비스타 이후 윈도우용.
8) Lan Manager
파일공유, 프린터 공유 등 공유 자원에 대한 인증을 담당하는 서비스 보안 알고리즘을 선택할 수 있는데 7)의 NTLMv2를 사용하면 안전
9) 패스워드 크래킹
사전공격 브루트포스 어택 혼합 공격(dic + bruteforce) 레인보우테이블 공격 : hash(패스워드) 로 이루어진 테이블을 이용한 사전 공격