정보보안기사 _ 1일차 _ 시스템 기본 학습 _ 윈도우 기본 학습

SECTION 01 시스템 기본 학습

01. 윈도우 기본 학습

02. UNIX / Linux 기본 학습

03. UNIX / Linux 시스템 관리

04. UNIX / Linux 서버보안

05. 시스템 해킹

 

1. 윈도우 인증 과정을 그림으로 그릴 수 있어야 한다

2. 윈도우 인증 구성요소를 설명할 수 있어야 한다

 

1. 윈도우 인증 구성요소

 

 1) 윈도우 인증 과정 주요 서비스 : 

    - LSA(Local Security Authority)

    - SAM(Security Account Manager)

    - SRM(Security Reference Monitor)

    - NTLM(NT Lan Manager)

    - Kerberos

 

 2) LSA (Local Security Authority) 서버 서비스

   - 모든 계정의 로그인에 대한 검증 및 시스템 자원에 대한 접근 권한을 검사

   - 계정명과 SID를 매칭하며 SRM 이 생성한 감사 로그를 기록

   - NT 보안의 중심 서비스이며 보안 서브시스템 이라 불림

   - NTLM과 커버로스와는 무슨 관계가 있을까?

 

 3) SAM(Security Account Manager) 서비스 기능

  - 사용자/그룹 계정 정보에 대한 데이터베이스 관리

  - 사용자 로그인 정보와 SAM 파일에 저장된 사용자 패스워드 정보를 비교해 인증 여부를 결정

  - SAM 파일은 사용자, 그룹 계정 및 암호화된 패스워드 정보를 저장하고 있는 DB로 윈도우 설치 디렉터리에 위치

 

 4) SRM(Service Reference Monitor) 서비스 기능

  - 인증된 사용자에게 SID(Security ID)를 부여

  - SID를 기반으로 하여 파일이나 디렉터리에 대한 접근을 허용할지 여부를 결정하고 이에 대한 감사 메세지를 생성

 

 5) NTLM(NT Lan Manager)

  - Challenge-Reseponse Mechanism 인증방식

  - 요청, 응답의 과정을 위해 사용자 암호를 요구

  - 이후 서버는 크라이언트로부터 암호를 요구하지 않고 클라이언트 식별가능

  - 만약 클라이언트가 시스템 계정으로 실행중이라면 인증 정보를 보낼 수 없기 때문에 인증은 실패

 

 6) Kerberos

  - Trust-Third-Party Scheme 인증방식

  - 표준 프로토콜로 네트워크에서 클라이언트와 서버를 상호 인증하는 방식

  - 세가지 주요 요소 : KDC(Key Distribution Center), 클라이언트, 접근할 서비스를 가지는 서버

     KDC는 도메인 컨트롤러의 일부로서 설치되며, AS(Authentication Service), TGS(Ticket Granting Service) 기능 수행 

 

 

 

책 내의 그림도 내용 설명도 이해가 안 되는 이유는 무엇일까? 

이해가 되는 부분은 SID 부여하는 부분, 즉 SRM 정도이다.

근데 여기 나온 점선이나 화살표가 무슨 관계를 뜻하고 실선과 무슨 차이를 가지는지가 이해가 안되는 것 같다.

구성요소를 보면 모르겠는데 우선 로컬인증이랑 원격(도메인) 인증을 보려니까 다시 구조가 눈에 들어오니깐... 패스

 

 

 

2. 로컬인증

 윈도우 부팅 후 로그인창(Winlogon 화면)에서 아이디와 패스워드를 입력하면

 LSA(Local Security Authority) 서브시스템이 인증 정보를 받아

 로컬 인증용인지 도메인 인증용인지 확인하고 / 여기까지 로컬, 도메인 인증방식 동일

 로컬 인증인 경우 NTLM(NT Lan Manager) 모듈에 넘기고

 이를 다시 SAM(Security Account Manager)이 받아 로그인 처리를 한다. 

 로그인 처리가 되고나면 접근 토큰을 받아 로그인 프로세스가 완료되어 새로운 프로세스가 시작된다.

 

3. 원격(도메인) 인증

 윈도우 부팅 후 로그인 창(Winlogon 화면)에서 아이디와 패스워드를 입력하면

 LSA(Local Security Authority) 서브시스템이 인증 정보를 받아

 로컬 인증용인지 도메인 인증용인지 확인하고 / 여기까지 로컬, 도메인 인증방식 동일

 도메인 인증인 경우 커버로스(Kerveros) 프로토콜을 이용해 "도메인 컨트롤러"에 인증을 요청

 도메인 컨트롤러는 인증 정보를 확인 후 사용자에게 접근 토큰을 부여하고 해당 권한으로 프로세스 실행

 

 

나의 단어로 정리해보기

1. 윈도우 인증에는 로컬 방식과 원격(도메인) 방식이 있다.

2. 로컬/도메인 두 방식 모두 Winlogon에서 아이디패스워드 입력 절차를 거치며,

    LSA 서브시스템이 인증정보를 받는 것으로 시작한다.

3. 로컬 인증일 경우 NTLM 모듈과 SAM(Security Account Manager)가 로그인 처리를 하고

4. 도메인 인증인 경우 커버로스(Kerveros) 프로토콜을 이용해 도메인 컨트롤러가 로그인 처리를 한다.