Information Security ˗ˋˏ ♡ ˎˊ˗

기타

[정보보안기사/시스템] 윈도우 인증 서비스(LSA, SAM, SRM 등), 인증 알고리즘, 인증 구조

토오쓰 2023. 5. 8. 18:13

<윈도우 인증 관련 용어>

1) 인증(Authentication): 사용자가 맞는지 확인하는 과정

- 인증하는 대표적인 과정: password

2) 인가(Authorization): 인증받은 사용자가 어떠한 자원에 접근하려고 할 때, 적절한 접근권한을 가지고 있는지 확인하는 과정

3) SID(Security ID): 윈도우는 사용자와 그룹을 식별하기 위한 값

 

 

<윈도우 인증 구성요소>

윈도우 인증과정에서 사용되는 주요 서비스: LSA. SAM, SRM 등

 

1. LSA(Local Security Authority)

- 모든 계정 로그인에 대한 검증 및 시스템 자원에 대한 접근 권한을 검사(로컬 및 원격 로그인 포함)

- 계정명과  SID(Security ID) 매칭하여 SRM이 생성한 감사로그 기록

- 보안 서브시스템

 

2. SRM(Security Reference Monitor)

- 인증 사용자에게 SID 부여

- 파일이나 디렉터리에 대한 접근 여부 결정, 감사메시지를 생성

 

3. SAM(Security Account Manager)

- 사용자/그룹 계정 정보에 대한 데이터베이스 관리

- 사용자 로그인 정보와 SAM 파일에 저장된 사용자 패스워드 정보를 비교하여 인증 여부를 점검

- SAM 파일 위치는 C:\Winnt, C:\Windows

 

 

<윈도우 인증 종류>

* 로컬인증

- 윈도우 부팅 후 로그인 창(Winlogon 화면)에서 아이디와 패스워드를 입력하면 LSA 서브시스템이 인증 정보를 받아 NTLM 모듈에 넘기고 다시 SAM이 받아 로그인 처리함

 

* 원격(도메인) 인증

- 로컬 인증과 LSA 서브시스템이 인증 정보 받는 것은 동일하고 후에 로컬인지 원격 인증인지  확인하고 커버로스 프로토콜을 이용하여 도메인 컨트롤러에 인증을 요청함

⇒ 도메인 컨트롤러는 인증 정보를 확인하여 접속하고자 하는 사용자에게 접근 토큰 부여하고 해당 권한으로 프로세스 실행

 

 

<SAM 파일 접근 통제 설정>

* 주요정보통신기반시설 취약점 Windows 서버 점검 항목, W-63(상)

점검목적

SAM 파일은 사용자와 그룹 계정의 패스워드를 관리하고 LSA를 통한 인증을 제공하는 중요한 파일이므로 접근 통제가 필요함

보안위협

SAM 파일이 노출될 경우 패스워드 공격 시도로 인해 계정 및 패스워드 데이터베이스 정보가 탈취될 우려가 존재함

점검방법

○ Window 2000, 2003, 2008, 2012

1) C:\Windows\system32\config\SAM> 속성보안 탭

2) Administrator, System 그룹 외 다른 사용자 및 그룹 권한 제거

 

 

<윈도우 보안 식별자>

* SID: Security Identifier

1. 개요

- 각 사용자나 그룹에 부여되는 고유한 식별번호

- 인증에 성공했을 때 접근 토큰 생성, 해당 토큰에는 로그인한 사용자와 그 사용자가 속한 모든 작업 그룹들에 대한 보안 식별자 정보 존재

- 접근 토큰의 사본은 모든 프로세스에게 할당

- 사용자 계정 및 패스워드 정보를 담고 있는 SAM 파일에 SID 정보가 저장

 

2. 구조

S-1-5-21-420000-317000-416000-500

2-1) S-1

- 윈도우 시스템을 의미

2-2) 5-21

- 시스템이 도메인 컨트롤러이거나 단독 시스템 의미

2-3) 420000-317000-416000

- 시스템만의 고유 식별자, 재 설치해도 동일한 값 가지지 않음

- 동일한 시스템 내에 있는 계정들은 동일한 식별자를 가짐

2-4) 500/501/1001

- 500: 관리자 식별자

- 501: 게스트 식별자

- 1000 이상: 일반 사용자 식별자

 

* 관리명령 콘솔을 통해 확인

- 실행 > wmic > useraccount list brief 명령 실행

 

 

<윈도우 인증 구조 및 알고리즘>

1. 인증 구조

Challenge & Response 방식

- Challenge값: 일회성 임의의 값

- Response값: 알고리즘(Challenge+Password)

 

2. 인증 알고리즘

: 단순 아이디와 패스워드를 전달하여 인증하는 방식은 정보 노출 및 패스워드 재사용 공격에 취약함, 높은 수준의 인증이 필요한 경우에 적절하지 않음

- LM(Lan Manager) 해시: 취약한 알고리즘

- NTLM 해시

- NTLMv2: 윈도우 비스타 이후 윈도우 시스템 기본 인증 프로토콜로 기존 인증 알고리즘과는 전혀 다른 알고리즘으로 해시 값을 생성하며 현재까지 복잡도 충분

 

 

<Lan Manager 인증 수준>

* 주요정보통신기반시설 취약점 Windows 서버 점검 항목, W-77(중)

점검목적

 Lan Manager 인증 수준 설정을 통해 네트워크 로그온에 사용할 Challenge/Response 인증 프로토콜을 결정하며안전한 인증 절차를 적용하기 위함

인증 수준 설정을 통해 네트워크 로그온에 사용할 Challenge & Response 인증 프로토콜을 결정하면이 설정은 클라언트가 사용하는 인증 프로토콜 수준협상된 세션 보안 수준 및 서버가 사용하는 인증 수준에 영향을 주기 때문에 보다 안전한 인증을 위해 NTLMv2 사용을 권장

* Lan Manager: 네트워크를 통한 파일 및 프린터 공유 등과 같은 작업 시 인증을 담당하는 서비스, 파일이나 디렉터리 공유를 할 때 패스워드를 걸어 놓는 것을 말함

보안위협

안전하지 않은 LAN Manager 인증 수준을 사용하는 경우 인증 트래픽을 가로채기를 통해 악의적인 계정 정보 노출을 허용할 수 있음

점검방법

"LAN Manager 인증 수준정책에 "NTLMv2 응답만 보냄’’이 설정되어 있는 경우 양호함

 

secpol.msc(로컬보안정책) -> 로컬 정책 -> 보안 항목

"네트워크 보안: LAN Manager 인증 수준정책에 NTLMv2 응답만 보냄설정

 

 

 

참고

https://schmidtiana95.tistory.com/entry/%EC%8B%9C%EC%8A%A4%ED%85%9C1-1-%EC%9C%88%EB%8F%84%EC%9A%B0-%EC%9D%B8%EC%A6%9D-%EA%B3%BC%EC%A0%95

https://itinformation.tistory.com/369