[정보보안기사-시스템] 윈도우 인증 과정 (인증 구성 요소, 로컬 인증, 도메인 인증, SAM 파일 접근 통제 설정)

 

---

 

[정보보안기사-시스템] 윈도우 인증 과정 (인증 구성 요소, 로컬 인증, 도메인 인증, SAM 파일 접근 통제 설정)

---

 

A. 윈도우 인증 과정

1. Winlogon
   
   • 컴퓨터 부팅 후 사용자가 로그인을 시도할 때 가장 먼저 호출되는 컴포넌트
   • 로그온 요청을 받은 후 LSA로 전달
2. LSA (Local Security Authority)
   •  로그인 검증 및 시스템 자원에 대한 접근 권한을 검사
   • 계정명과 SID(Security ID)를 매칭하여 SRM이 생성한 감사 로그 기록
   • 보안 서브 시스템(Security Subsystem) 이라고도 불림
3. Netlogon
   • 도메인 환경에서 인증 과정을 지원하는 서비스로써 도메인 컨트롤러(DC)와 통신하여 인증을 수행
4. SAM (Security Account Manager)
   • 사용자의 비밀번호를 저장하는 데이터베이스 파일(c:\\winnt 또는 c:\\windows)
   • LSA가 사용자 인증 요청을 전달하면 SAM에서 해당 사용자의 인증 정보를 확인 (사용자가 입력한 로그인 정보와 SAM에 저장된 정보를 비교하여 인증 여부 결정)
5. SRM (Security Reference Monitor)
   • 인증이 성공하면 사용자에게 SID 부여
   • SID를 기반으로 접근 제어 결정 및 감사 메세지 생성
6. 이벤트 로거
   • 인증 과정에서 발행하는 이벤트를 이벤트 로그에 기록

※ NTLM (NT LAN Manager)
- 이전 버전에서 사용되던 인증 프로토콜로써 현재는 하위 버전의 호환성을 위해 사용됨
  → 윈도우 11에서 서서히 NTLM을 제거할 예정이라고 함
- 비밀번호를 해싱하고 사용자 토큰을 생성하여 권한 부여 및 인증을 제공

※커버로스(Kerberos)
- NTML을 대체하여 사용됨

 

 

 

B. 로컬 인증

1. 사용자가 입력한 아이디와 패스워드를  LSA가 인증 정보를 받음
2. LSA가 인증 정보를 NTLM 모듈에 넘기고 이를 다시 SAM이 받아 로그인 처리

 

 

C. 원격(도메인) 인증

1. 사용자가 입력한 아이디와 패스워드를  LSA가 인증 정보를 받음
2. LSA가 로컬 인증인지, 도메인 인증인지 확인 후 도메인 인증일 경우 커버로스를 이용하여 도메인 컨트롤러에 인증 요청
3. 도메인 컨트롤러는 인증 정보 확인 후 사용자에게 접근 토큰 부여 후 해당 권한으로 프로세스 실행

 

D. SAM 파일 접근 통제 설정(시스템 취약점 분석·평가 항목)

SAM 파일은 사용자, 그룹 계정의 패스워드를 관리하고 LSA를 통한 인증 정보를 제공하는 중요 파일이므로 공격 시도에 따른 정보 노출의 위험이 있기 때문에 적절한 접근 제어가 필요함

※ 보안 설정
C:\Windows\System32\config\SAM → 속성 → 보안 → Everyone 제거