<윈도우 인증 관련 용어>
1) 인증(Authentication): 사용자가 맞는지 확인하는 과정
- 인증하는 대표적인 과정: password
2) 인가(Authorization): 인증받은 사용자가 어떠한 자원에 접근하려고 할 때, 적절한 접근권한을 가지고 있는지 확인하는 과정
3) SID(Security ID): 윈도우는 사용자와 그룹을 식별하기 위한 값
<윈도우 인증 구성요소>
윈도우 인증과정에서 사용되는 주요 서비스: LSA. SAM, SRM 등
1. LSA(Local Security Authority)
- 모든 계정 로그인에 대한 검증 및 시스템 자원에 대한 접근 권한을 검사(로컬 및 원격 로그인 포함)
- 계정명과 SID(Security ID) 매칭하여 SRM이 생성한 감사로그 기록
- 보안 서브시스템
2. SRM(Security Reference Monitor)
- 인증 사용자에게 SID 부여
- 파일이나 디렉터리에 대한 접근 여부 결정, 감사메시지를 생성
3. SAM(Security Account Manager)
- 사용자/그룹 계정 정보에 대한 데이터베이스 관리
- 사용자 로그인 정보와 SAM 파일에 저장된 사용자 패스워드 정보를 비교하여 인증 여부를 점검
- SAM 파일 위치는 C:\Winnt, C:\Windows
<윈도우 인증 종류>
* 로컬인증
- 윈도우 부팅 후 로그인 창(Winlogon 화면)에서 아이디와 패스워드를 입력하면 LSA 서브시스템이 인증 정보를 받아 NTLM 모듈에 넘기고 다시 SAM이 받아 로그인 처리함
* 원격(도메인) 인증
- 로컬 인증과 LSA 서브시스템이 인증 정보 받는 것은 동일하고 후에 로컬인지 원격 인증인지 확인하고 커버로스 프로토콜을 이용하여 도메인 컨트롤러에 인증을 요청함
⇒ 도메인 컨트롤러는 인증 정보를 확인하여 접속하고자 하는 사용자에게 접근 토큰 부여하고 해당 권한으로 프로세스 실행
<SAM 파일 접근 통제 설정>
* 주요정보통신기반시설 취약점 Windows 서버 점검 항목, W-63(상)
점검목적
SAM 파일은 사용자와 그룹 계정의 패스워드를 관리하고 LSA를 통한 인증을 제공하는 중요한 파일이므로 접근 통제가 필요함
보안위협
SAM 파일이 노출될 경우 패스워드 공격 시도로 인해 계정 및 패스워드 데이터베이스 정보가 탈취될 우려가 존재함
점검방법
○ Window 2000, 2003, 2008, 2012
1) C:\Windows\system32\config\SAM> 속성> 보안 탭
2) Administrator, System 그룹 외 다른 사용자 및 그룹 권한 제거
<윈도우 보안 식별자>
* SID: Security Identifier
1. 개요
- 각 사용자나 그룹에 부여되는 고유한 식별번호
- 인증에 성공했을 때 접근 토큰 생성, 해당 토큰에는 로그인한 사용자와 그 사용자가 속한 모든 작업 그룹들에 대한 보안 식별자 정보 존재
- 접근 토큰의 사본은 모든 프로세스에게 할당
- 사용자 계정 및 패스워드 정보를 담고 있는 SAM 파일에 SID 정보가 저장
2. 구조
S-1-5-21-420000-317000-416000-500
2-1) S-1
- 윈도우 시스템을 의미
2-2) 5-21
- 시스템이 도메인 컨트롤러이거나 단독 시스템 의미
2-3) 420000-317000-416000
- 시스템만의 고유 식별자, 재 설치해도 동일한 값 가지지 않음
- 동일한 시스템 내에 있는 계정들은 동일한 식별자를 가짐
2-4) 500/501/1001
- 500: 관리자 식별자
- 501: 게스트 식별자
- 1000 이상: 일반 사용자 식별자
* 관리명령 콘솔을 통해 확인
- 실행 > wmic > useraccount list brief 명령 실행
<윈도우 인증 구조 및 알고리즘>
1. 인증 구조
Challenge & Response 방식
- Challenge값: 일회성 임의의 값
- Response값: 알고리즘(Challenge+Password)
2. 인증 알고리즘
: 단순 아이디와 패스워드를 전달하여 인증하는 방식은 정보 노출 및 패스워드 재사용 공격에 취약함, 높은 수준의 인증이 필요한 경우에 적절하지 않음
- LM(Lan Manager) 해시: 취약한 알고리즘
- NTLM 해시
- NTLMv2: 윈도우 비스타 이후 윈도우 시스템 기본 인증 프로토콜로 기존 인증 알고리즘과는 전혀 다른 알고리즘으로 해시 값을 생성하며 현재까지 복잡도 충분
<Lan Manager 인증 수준>
* 주요정보통신기반시설 취약점 Windows 서버 점검 항목, W-77(중)
점검목적
Lan Manager 인증 수준 설정을 통해 네트워크 로그온에 사용할 Challenge/Response 인증 프로토콜을 결정하며, 안전한 인증 절차를 적용하기 위함
인증 수준 설정을 통해 네트워크 로그온에 사용할 Challenge & Response 인증 프로토콜을 결정하면, 이 설정은 클라언트가 사용하는 인증 프로토콜 수준, 협상된 세션 보안 수준 및 서버가 사용하는 인증 수준에 영향을 주기 때문에 보다 안전한 인증을 위해 NTLMv2 사용을 권장
* Lan Manager: 네트워크를 통한 파일 및 프린터 공유 등과 같은 작업 시 인증을 담당하는 서비스, 파일이나 디렉터리 공유를 할 때 패스워드를 걸어 놓는 것을 말함
보안위협
안전하지 않은 LAN Manager 인증 수준을 사용하는 경우 인증 트래픽을 가로채기를 통해 악의적인 계정 정보 노출을 허용할 수 있음
점검방법
"LAN Manager 인증 수준" 정책에 "NTLMv2 응답만 보냄’’이 설정되어 있는 경우 양호함
secpol.msc(로컬보안정책) -> 로컬 정책 -> 보안 항목
"네트워크 보안: LAN Manager 인증 수준" 정책에 NTLMv2 응답만 보냄" 설정
참고
'기타' 카테고리의 다른 글
| [정보보안기사/시스템] 패스워드 크래킹 의미와 종류 (1345) | 2023.05.08 |
|---|---|
| [정보보안기사/시스템] 윈도우 인증 서비스(LSA, SAM, SRM 등) (1507) | 2023.04.25 |
| [Security] 위험, 위협 그리고 취약점에 대한 차이점 (0) | 2020.09.10 |