윈도우 기본학습1

시스템 기본 학습
<윈도우 기본 학습>

① 윈도우 인증과정
(1) 윈도우 인증 구성요소
1. 윈도우 인증과정에 사용되는 주요 서비스 : LSA(Local Security Authority), SAM, SRM 등이 있다.
2. LSA 서비스 기능
- 모든 계정 로그인에 대한 검증 및 시스템 자원에 대한 접근 권한 검사(원격 로그인 포함)
(* 인증(사용자가 맞는지 확인하는 과정), 인가(인증받은 사용자가 어떤행동을 할 때 권한이 있는지) 구분)
- 계정과 SID(Security ID)를 매칭. SRM이 생성한 감사 로그 기록
(리눅스에선 UserId와 GroupId 사용하고 윈도우는 SID를 사용한다)
- NT 보안의 중심 서비스. 보안 서비스시스템이라 불림.
3. SAM(Security Account Manager) 서비스 기능
- 사용자/그룹 정보 데이터베이스 관리 (SAM 파일)
- SAM 파일은 사용자, 그룹계정, 암호화된 패스워드 정보를 저장하는 데이터베이스. c:\Winnt 또는 c:\windows에 위치
4. SRM(Service Reference Monitor) 서비스 기능
- 인증된 사용자에게 SID 부여
- SID를 기반으로 파일/디렉터리에 대한 접근 허용여부를 결정하고 감사메시지 생성

 

인증과정 간략 순서

Winlogon (윈도우 첫 서비스. 계정명, 패스워드 입력하는 프로세스)
-> LSA 서버 서비스
-> LTML
-> SAM 서비스
-> 사용자 인증 정보 접근
-> SRM

 

(2) 로컬 인증

로그인창 (Winlogon 화면)에서 아이디와 패스워드 정보를 LSA 서브시스템이 인증 정보를 받아,
NTLM 모듈에 넘기고, 이를 다시 SAM이 받아 처리함

 

(3) 원격(도메인) 인증

-로그인창 (Winlogon 화면)에서 아이디와 패스워드 정보를 LSA 서브시스템이 인증 정보를 받아,
로컬인지 도메인인지 확인하고 커버로스(Kerberos) 프로토콜을 이용해 도메인 컨트롤러에 인증 요청함
-도메인 컨트롤러(DC)는 접속토큰을 부여하고 해당 권한으로 프로세스 실행

 

(4) SAM 파일 접근 통제 설정 (시스템 취약점 분석, 평가 항목)

-적절한 접근 통제가 필요
-보안설정 (Administrators 및 System 그룹 외에는 접근을 제한하고 권한을 제거한다)

 

 

② 윈도우 보안 식별자 (SID)

1) 개요

- 고유한 식별번호
- 로그인시 생성되는 접근토큰(액세스 토큰)에 로그인한 사용자, 작업그룹, 보안 식별자(SID) 정보가 있다
- 접근 토큰의 사본은 사용자에 의해 시작된 모든 프로세스에게 할당된다
- SAM 파일에 SID 정보가 저장되어 있다

 

(2) SID 구조
1) 계정별 SID 구조
- Administrator : S-1-5-21-4243233100-3174512425-4165118588-500
-             Guest : S-1- 5-21-4243233100-3174512425-4165118588-501
-    일반 사용자 : S-1- 5-21-4243233100-3174512425-4165118588-1001

S-1 : 윈도우 시스템
5-21 : 도메인 컨트롤러 또는 단독 시스템
4243233100-3174512425-4165118588 : 시스템만의 고유한 식별자. 윈도우 재설치해도 다른 값이 나온다
500, 501, 101 : 사용자 식별자 (ID)
500 : 관리자Administrator 식별자
501 : 게스트Guest 식별자
1000 이상 : 일반 사용자 식별자

(추후 취약점에서 Administrator는 보안을 위해 계정명을 변경하라는 권고가 있다고함)

 

2) SID 확인
- 윈도우 관리명령 콘솔(WMIC)를 통해 확인가능
- 실행 > wminc > useraccount list brief 명령 실행

 

3) 윈도우 인증 구조 (Challenge & Response 구조)
인증요청
-> Challenge 값 생성 (일회성 임의의 값) 후 전송
-> Response 값 생성 (Challenge + 패스워드) 후 전송
-> Response 값 확인
-> 인증 성공

(1) 개요
- 단순히 인증정보를 전달하는 방식은 정보 노출 및 패스워드 재사용 공격에 취약함
- 윈도우는 Challenge & Response 구조의 인증 구조를 사용한다

(2) 인증 암호 알고리즘
- LM(Lan Manager) 해시 : 윈도우 2000, XP의 기본 알고리즘. 구조적으로 취약함. 현재 사용X
- LTLM 해시 : LM 해시에 MD4 해시 추가
- NTLM v2 해시 : 윈도우 비스타 이후 기본 인증 프로토콜. 전혀 다른 알고리즘으로 해시값을 생성. 복잡도가 충분해 크래킹이 어렵다.

- Lan Manager 인증 수준(취약점 분석/평가 항목)
=> 네트워크를 통한 파일 및 프린터 공유 등과 같은 작업 시 인증을 담당
=> 보다 안전한 인증을 위해 NTML v2 사용을 권장

 

4) 패스워드 크래킹
1. 사전 공격/사전 대입 공격 Dictionary Attack 딕셔너리 어택
- 자주 사용되는 사전에 있는 단어, 자판 일련순(qwer), 주민등록번호 등을 사전 파일로 만든 후 패스워드 일치 여부를 확인하는 크래킹 방법
(Chain 툴로 크래킹 하는 과정을 볼 수 있음)

2. 무차별 공격/무작위 대입 공격 Brute Force Attack 브루트 포스 어택
- 사용될 수 있는 문자열의 범위를 정해서 가능한 모든 패스워드를 생성하여 하나씩 대입하는 무차별 크래킹 방법

3. 혼합공격 Hybrid Attack 하이브리드 어택
- Dictionarty Attack과 Brute Force Attack을 혼합한 방식. 사전파일에 있는 문자열에 문자, 숫자 등을 추가로 무작위 대입해 일치여부를 확인하는 크래킹 방법

- ex goodday1234 1234asdf

 

4. 레인보우 테이블 Rainbow Table

- 하나의 패스워드에서 시작해 특정한 변이 함수를 이용해 변이된 패스워드를 여러개 생성한다.
변이된 패스워드의 해시를 고리처럼 연결해 체인Chain을 무수히 만들어 테이블을 만든다.
- 해시 테이블과 R(Reduction)함수의 반복 수행을 통해 일치하는 해시값을 통해 패스워드를 찾아낸다