시스템 보안(기본) - 윈도우

윈도우 인증과정에서 사용되는 주요 서비스로 LSA, SAM, SRM이 있다.

 

LSA : 모든 계정의 로그인에 대한 검증 및 시스템 자원(파일 등)에 대한 접근 권한을 검사

 

SAM : 사용자, 그룹 계정 및 암호화된 패스워드 정보를 저장하고 있는 데이터베이스.

 

SRAM : 인증된 사용자에게 SID(Security ID)를 부여

 

---

윈도우 인증에는 로컬인증과 원격(도메인)인증이 있다.

 

 

로컬인증 : 윈도우 부팅 후 로그인 창(Winlogon 화면)에서 아이디와 패스워드를 입력받으면 LSA 서브시스템이 인증 정보를 받아 NTLM 모듈에 넘기고 이를 다시 SAM이 받아 로그인 처리를 한다.

원격(도메인)인증 : LSA 서브시스템이 로컬 인증인지 원격인증인지 확인후 원격시 커버로스 프로토콜을 이요해 도메인 컨트롤러에 인증을 요청한다.

---

윈도우 보안 식별자(Security Identifier) : 윈도우의 각 사용자나 그룹에 부여되는 고유한 번호. SAM파일에 SID정보가 담겨있다.

 

SID 구조에서 식별자 구분 시 번호로 구분. 500번 관리자 식별자, 501번 게스트 식별자, 1000번이상 일반 식별자

---

윈도우 인증 구조는 Challenge & Response구조 :

사용자가 인증을 요청하면 윈도우는 Challenge 값을 생상 후 사용자에 전송. Challenge 값은 임의 값(랜덤 값). 사용자는 Challenge값에 비밀번호를 더하여 Response값 생성 후 윈도우에 전송. Response값이 일치하면 인증 성공.

 

Challenge & Response 방식은 인증과정마다 계속하여 Challenge, Response 값이 달라지기 때문에 재전송 공격 등을 방어할 수 있다. 

---

인증암호 알고리즘 : 윈도우 비스타 이후 NTLMv2(version 2)를 사용하고 있다.