Windows 시스템 보안

윈도우 인증 구성요소

- 윈도우 인증과정에서 사용되는 주요 서비스에는 LSA, SAM, SRM 등이 있다.

 

1. LSA (Local Security Authority)

    - 모든 계정의 로그인에 대한 검증 및 시스템의 자원에 대한 접근 권한을 검사

    - 계정명과 SID를 매칭하여 SRM이 생성한 감사 로그를 기록

 

2. SAM (Security Account Manager)

    - 사용자, 그룹 계정 정보에 대한 데이터베이스를 관리

    - 사용자 로그인 정보와 SAM 파일에 저장된 사용자 패스워드 정보를 비교해 인증 여부를 결정

    - C:\Windows\System32\config 에 위치

 

3. SRM (Service Reference Monitor)

    - 인증된 사용자에게 SID를 부여

    - SID를 기반으로 하여 파일이나 디렉터리에 대한 접근을 허용할지 여부를 결정하고 이에 대한 감사 메시지를 생성

 

 

윈도우 보안 식별자 (SID: Security Identifier)

 

    - 윈도우의 각 사용자나 그룹에 부여되는 고유한 식별번호

    - 사용자가 로그인을 수행하면 접근 토큰이 생성되며, 해당 토큰에는 로그인한 사용자와 그 사용자가 속한 모든 작업 그룹들에 관한 보안 식별자 정보가 담겨있다.

    - 사용자 계정 및 패스워드 정보를 담고 있는 SAM 파일에 SID 정보가 저장되어 있다.

 

SID 구조

계정	SID
Administrator	S - 1 - 5 - 21 - 4243233100 - 3174512425 - 4165118588 - 500
Guest	S - 1 - 5 - 21 - 4243233100 - 3174512425 - 4165118588 - 501
일반 사용자	S - 1 - 5 - 21 - 4243233100 - 3174512425 - 4165118588 - (1001)이상

 

SID 실습

    실행 > wmic > useraccount list brtief 명령  실행

 

인증 암호 알고리즘

    LM (Lan Manager) 해시: 윈도우 2000, XP의 기본 알고리즘으로 구조적으로 취약한 알고리즘이다.

   

    NTLM 해시:  LM 해시에 MD4 해시가 추가된 형태

   

    NTLMv2 해시: 윈도우 시스템의 기본 인증 프로토콜로 기존 인증 암호 알고리즘과는 전혀 다른 알고리즘으로 해시값을 생성하며 현재까지 복잡도가 충분해 크래킹이 어렵다.

 

 

패스워드 크래킹

 

1). 사전 공격/사전 대입 공격 (Dictionary Attack)

패스워드로 자주 사용되는 사전에 있는 당어 등을 미리 사전 파일로 만든 후 이를 하나씩 대입하여 패스워드 일치 여부를 확인하는 패스워드 크래킹 방법

 

2). 무차별 공격/무작위 대입 공격 (Brute Force Attack)

패스워드에 사용될 수 있는 문자열의 범위를 정하고, 그 범위 내에서 생성 가능한 모든 패스워드를 생성하여 이를 하나씩 대입하여 패스워드 일치 여부를 확인하는 크래킹 방법

 

3). 혼합 공격 (Hybrid Attack)   

사전 대입 공격과 무작위 대입 공격을 혼합한 방식

 

4). 레인보우 테이블을 이용한 공격

해시 테이블과 R(Reduction)함수의 반복 수행을 통해 일치하는 해시값을 통해서 패스워드를 찾아내는 방식이다.