반응형
윈도우 인증 구성요소에는 크게 3가지 항목이 있습니다.
윈도우 인증과정 구성요소
- LSA(Local Security Authority)
- SAM(Security Account Manager)
- SRM(Security Reference Monitor)
1. LSA
- 모든 계정의 로그인에 대한 검증 및 시스템 자원에 대한 접근 권한을 검사
- 계정명과 SID를 매칭하며 SRM이 생성한 감사 로그를 기록
2. SAM
- 사용자/그룹 계정 정보에 대한 데이터베이스를 관리
- 사용자, 그룹 계정 및 암호화된 패스워드 정보를 저장하고 있는 데이터베이스로 윈도우 설치 디렉터리에 위치하고 있다. (C:\Windows\System32\Config)
- 중요한 파일이므로 적절한 접근통제가 필요하다. (공격자로부터 SAM파일에 대한 패스워드 공격시도에 따른 정보 노출의 위험성이 있으므로, 불필요한 그룹 및 계정에 대해서는 권한을 제거한다)
3. SRM
- 인증된 사용자에게 SID(Security ID)를 부여
- SID를 기반으로 하여 파일이나 디렉터리에 대한 접근을 허용할지 여부를 결정하고 이에 대한 감사 메시지를 생성
로컬 인증
Winlogon > ID/PW > LSA > NTLM > SAM > 처리
원격(도메인) 인증
Winlogon > ID/PW > LSA > Kerberos > DC > Token
- 윈도우 부팅 후(Winlogon) 로그인화면에서 ID/PW 입력하면 LSA 서브시스템이 인증정보를 받아 로컬 인증용인지 도메인 인증용인지 확인 이후, 커버로스 프로토콜을 이용해 도메인컨트롤러(DC)에 인증을 요청한다.
- DC는 인증정보를 받아 확인하여 접속하고자하는 사용자에게 접근토큰을 부여하고 해당 권한으로 프로세스를 실행한다.
반응형
'정보보안기사 > 💻 Windows' 카테고리의 다른 글
| [정보보안] 패스워드 크래킹 (사전공격, 무차별공격, 혼합공격, 레인보우테이블) (0) | 2022.07.26 |
|---|---|
| [정보보안] 윈도우 인증 구조 (Challenge & Response, LM, NTLM, NTLMv2) (0) | 2022.07.26 |
| [정보보안] 윈도우 보안식별자(SID) 및 간단 SID 확인방법 (0) | 2022.07.26 |
댓글