* 윈도우 인증 구조 : Challenge & Response 방식으로 사용자에게 인증 요청을 수신, 규칙 또는 랜덤한 Challenge 값을 생성 하여 전달, 이후 사용자는 해당 Challeng 값과 패스워드 정보를 이용한 Response 값 생성 후 서버에 전달, 해당 값을 확인하여 인증 성공 여부를 전달
* 윈도우 인증 암호 알고리즘
| 알고리즘 | 내용 |
| LM (Lan Manager) 해시 | Windows 2000, XP의 기본 알고리즘으로 취약하여 Vista 이후 사용 불가 |
| NT (New Technology) LM 해시 | LM 해시에 MD4 해시가 추가된 형태 |
| NT (New Technology) LMv2 해시 | Vista 이후 Windows 기본 인증 프로토콜로 복잡도 충분으로 크래킹이 어려움 |
- Lan Manager : 네트워크 기반 작업(파일 및 프린터 공유 등)시, 인증을 담당하는 서비스로, LM 인증 수준 설정(Challenge/Response 인증 프로토콜 결정)으로 인증 수준이 결정되어 NTLMv2 사용이 권장됨
* Windows 내 로컬/원격 인증에 대한 접근 제어 과정
* 윈도우 인증 구성 요소
1) LSA (Local Security Authority) : 로걸 및 원격을 포함하여, 모든 계정의 로그인 검증, 시스템 자원(파일 등)에 대한 접근 권한 검사, 계정명과 SID(Security ID) 매칭, SRM이 생성한 감사 로그를 기록
- Security Subsystem으로 불림
2) SAM (Security Account Manager) : 윈도우 사용자 및 그룹의 계정을 로컬 또는 원격 인증 용도로 사용, 금지된 사용자가 시스템에 대한 접근 획득을 막기 위해 및 패스워드 정보는 암호화하여 비밀번호를 저장하는 데이터베이스 파일
* SAM 운용 사항
| 운용 사항 | 내용 |
| 비밀번호 | NTLM 형태의 해시(Hash) 포맷으로 저장 |
| 위치 | c:\Winnt 또는 \Windows\system32\config\SAM |
| 암호화 | 모든 계정 비밀번호를 키(SYSKEY)를 이용해 암호화 수행 |
| 연동 인증 | 실제 네트워크 인증인 AD(Active Directory)와 연동 가능 |
3) SRM (Security Reference Monitor) : 인증된 사용자에게 SID(Security ID)를 부여, SID 기반으로 시스템 자원(파일 등)에 대한 접근 허용 여부를 결정 후 이에 대한 감사 메세지 생성
* Windows Local/Remote 인증
1) Windows Local 인증
- 로그인 창(Winlogon)에서 ID/PW를 입력, LSA 서브시스템에서 인증 정보를 수신, NTLM(New Technology Local area network Module)에 넘기고 이를 SAM이 받아 로그인 접근 토큰을 제공하여 로그인 완료
2) Windows Remote 인증
- 로그인 창(Winlogon)에서 ID/PW를 입력, LSA 서브 시스템에서 해당 인증 정보가 로컬/원격 용인지 판단, 원격 용도라면 커버로스 프로토콜을 이용하여 도메인 컨트롤러(DC)에 인증을 요청, DC에서 인증 정보를 확인 후 접근 토큰을 제공하여 로그인 완료
* SAM 파일 접근 통제 설정 (시스템 취약점 분석, 평가 항목)
- Administrator 및 System 그룹 외 SAM 파일에 대한 접근을 제한
- 불필요한 그룹 및 계정에 대해서는 권한을 제거
'Information Security > Access Control' 카테고리의 다른 글
| Router Security (0) | 2021.05.06 |
|---|---|
| Windows SID (Security Identifier) (0) | 2021.02.28 |
| TCP Wrapper (0) | 2021.01.17 |
| 접근 통제 (Access Control) (0) | 2021.01.17 |
