LSA(Local Security Authority)
- 모든 계정의 로그인에 대한 검증 및 시스템 자원(파일)등에 대한 접근 권한검사
계정명과 SID를 매칭하여 SRM 이 생성한 감사로그를 기록
NT보안의 중심서비스 ,보안 서브시스템
NTLM
- 윈도우의 Challenge/Response 방식의 인증 프로토콜중 하나이다. NTLM의 HASH
이미 취약하여 MS에서 사용을 권장하지 않고 있다.
NTLMV2
- 윈도우 비스타이후 윈도우 시스템의 기본 인증 프로토콜로 기존 인증 알고리즘과는 다른 알고리즘으로
헤시값을 생성한다.
SAM
- 사용자 / 그룹 계정 정보에 대한 데이터베이스를 관리 C:\Windows\System32\config(위치)
* 중요 파일이므로 사용자 접근권한에 어드민 계정 또는 시스템 그룹만이 접근할수 있게 설정한다.
SRM
- SID 부여 및 감사메시지 작성
Lanmanager
-파일 및 프린터 공유등과 같은 작업시 인증을 담당 (로컬보안정책)
* 취약한 프로토콜을 사용하는지 확인한다.
SID
-윈도우 사용자 및 그룹에게 부여되는 식별번호 접근토큰에는 SID가 담여있다.
SAM파일 저장
S-1 -5-21 2342234-232423-23424-23424 -500
윈도우시스템 도메인OR단독 시스템식별자 사용자식별자 (500 ADMIN 501 GUEST 1000이상 일반사용자)
1) 윈도우 로컬인증
윈도우는 Winlogon 프로세스가 사용자에게 ID 비밀번호를 입력받아
LSA 서브시스템에게 넘기고 LSA 서브시스템은 NTLM 모듈에게 인증정보를 넘기고
SAM 이 받아 로그인 처리를 한다. 로그인 성공 시 접근 토큰을 부여하여 프로세스 실행
2)원격 도메인인증
LSA 서브시스템이 인증 정보를 받아 로컬인지 도메인인지 확인하여 커버로스(Kerberos) 프로토콜을 이용해 도메인 컨트롤러(DC)에 인증 요청 도메인 컨트롤러(DC)는 인증 정보를 확인하여 접속하고자 하는 사용자에게 접근 토큰을 부여하고 해당 권한으로 프로세스 실행
'사이버보안 > 시스템보안' 카테고리의 다른 글
| Protostar Stack3 (0) | 2020.03.22 |
|---|---|
| Protostar Stack2 (0) | 2020.03.19 |
| Protostar Stack1 (0) | 2020.03.15 |
| Protostar Stack0 (0) | 2019.11.10 |
