[정보보안 정리] 시스템

여러가지/정보보안 정리

당당💻 2023. 3. 2. 12:35

728x90

위의 사진은 윈도우의 인증 과정을 나타낸 그림이다.

윈도우 인증과정에서 사용되는 주요 서비스는 LSA, SAM, SRM 등이다.

*NTLM (NT Lan Manager)

: 윈도우 시스템에서 사용자 계정과 패스워드 인증을 위해 서버나 도메인 컨트롤러에 증명하는

challenge & Response 기반 인증 프로토콜

*LSA(Local Security Authority)

: LSA(로컬 보안 기관)는 사용자를 인증하고 로컬 컴퓨터에 로그온하는 보호된 시스템 프로세스

-로컬 보안의 모든 측면에 대한 정보를 컴퓨터에 유지 관리하고 이름과 SID 간의 변환을 위한 다양한 서비스 제공

-동일한 컴퓨터에 있는 보안 계정 관리자(SAM) 데이터베이스를 확인하여 사용자 정보의 유효성 검사 가능

-계정을 발급한 엔터티에 연락하여 계정이 유효하고 요청이 계정 소유자로부터 시작되었는지 확인 요청

*LSASS.exe : winlogon 서비스에 필요한 인증 프로세스 담당

*SAM(Security Account Manager) : SAM(보안 계정 관리자)는 로컬 사용자 계정 및 그룹을 저장하는 데이터베이스

*SRM(Security Reference Monitor) : 인증된 사용자에게 SID를 부여

SAM 파일은 사용자와 그룹 계정의 패스워드를 관리하고, LSA를 통한 인증을 제공하므로 적절한 접근 통제가 필요하다.

그러므로 Administrators 및 System 그룹 외에는 SAM 파일에 대한 접근을 제한하고,

불필요한 그룹 및 계정에 대해서는 권한을 제거한다.

*SID

: 윈도우 각 사용자나 그룹에 부여되는 고유한 식별번호

S-1-5-21-1111111111-111111111-1111111111-500

- S-1 : 윈도우 시스템

- 5-21 : 시스템이 도메인 컨트롤러 or 단독 시스템

- 111111111-111111111-1111111111 : 해당 시스템만의 고유한 식별자.

-500 , 501, 1001 : 사용자 식별자 ID. 순서대로 관리자, 게스트, 일반 사용자(1000 이상)

Security options

Introduction to the Security Options settings of the local security policies plus links to more information.

learn.microsoft.com

윈도우의 로컬 보안 정책->보안 옵션으로 가면 네트워크 보안 설정을 할 수 있다.

Lan Manager는 네트워크를 통한 파일 및 프린터 공유 등과 같은 작업 시 인증을 담당하는 서비스인데,

구조적으로 취약한 알고리즘이다.

그러므로 Lan Manager 인증 수준 속성에서 NTLM v2 사용을 권장한다.

*사전 공격(Dictionary Attack)

: 패스워드로 자주 사용되는 사전에 있는 단어, 키보드 자판의 일련순, 주민등록번호, 이름 등을

미리 사전 파일로 만든 후 이를 하나씩 대입하여 패스워드 일치 여부를 확인하는 패스워드 크래킹

*무차별 공격/무작위 대입 공격(Brute Force Attack)

: 패스워드에 사용될 수 있는 문자열의 범위를 정하고, 그 범위 내에서 생성 가능한 모든 패스워드 생성 후,

이를 하나씩 대입하여 패스워드 일치 여부를 확인하는 패스워드 크래킹

*혼합 공격(Hybrid Attack)

: 사전 공격 + 무작위 대입 공격. 사전 파일에 있는 문자열에 문자, 숫자 등을 추가로

무작위 대입하여 패스워드 일치 여부를 확인하는 패스워드 크래킹

*레인보우 테이블(Rainbow Table) 공격

: 레인보우 테이블은 하나의 패스워드에서 시작해 특정한 변이 함수를 이용해 여러 변이된 형태의 패스워드를

생성하고, 각 변이된 패스워드의 해시를 고리처럼 연결해둔 테이블이다.

해시 테이블과 R함수의 반복 수행을 통해 일치하는 해시값을 통해서 패스워드를 찾아낸다.