반응형
● 윈도우 기본 계정
| 계정 이름 | 설명 |
| Administrator | 관리자 권한 계정 |
| SYSTEM | 시스템에서 최고 권한을 가진 계정으로 로컬에서 관리자보다 상위 권한을 가진다. 원격접속이 불가능하며, 사용자가 이 계정을 사용하여 시스템에 로그인 할 수 없다. |
| Guest | 매우 제한적인 권한을 가진 계정으로, 기본 설정은 사용 불능이다. |
● 윈도우 SID 구조
① S-1
- Windows System을 의미
② 5-21
- 도메인 컨트롤러 시스템 (Domain Controller System) 또는 단독 시스템 (stand-alone)을 의미
- 동일한 도메인 내에 있는 계정들은 모두 동일한 값을 가짐
③ 0123456789-9876543210-1234567890
- 고유한 식별자
- 동일한 컴퓨터에 다시 윈도우를 설치하면 값이 변함
- 동일한 시스템 내에 있는 계정들은 모두 동일한 식별자를 가짐
④ 500
- 사용자 식별자
관리자(Administrator)는 500, Geust는 501, 일반사용자는 1000번 이상
● 윈도우 인증의 구성요소
| 구분 | 설명 |
| LSA (Local Security Authority) |
총괄 : 모든 계정 로그인 검증 / 시스템 자원과 파일에 대한 접근 권한 검사 / 이름과 SID 매칭하여 SRM이 생성한 감사로그 기록 (로컬과 원격인증 모두 포함) |
| SAM (Security Account Manager) |
저장, DB : 윈도우 계정 및 패스워드를 관리 / 사용자 계정과 패스워드 일치 여부를 확인하여 SRM에게 알려줌 ( != 윈도우 패스워드 암호화 후 보관하는 파일 SAM / SAM 파일 위치 : %SystemRoot%/system32/config/SAM) |
| SRM (Security Reference Monitor) |
SID부여, 메세지 생성: SAM이 사용자 계정과 패스워드 일치 여부 확인하여 알리면 해당 사용자 에게 SID(Security Identifier) 부여, SID에 기반하여 파일과 디렉터리에 대한 접근 허용 여부 결정, 감사 메세지 생성 |
● 윈도우 감사 정책
로컬 보안 정책 -> 감사 정책
| 정책명 | 설명 |
| 개체 액세스 감사 | 파일이나 디렉터리, 레지스트리, 프린터 등의 객체에 대하여 접근을 시도하거나 속성 변경을 감시 |
| 계정 관리 감사 | - 사용자 계정 또는 그룹의 생성, 변경, 삭제 - 사용자 계정의 비밀번호 설정 또는 변경 기록 |
| 계정 로그인 이벤트 감사 | 로그인 이벤트 감사와 마찬가지로 계정의 로그인에 대한 사항을 로그로 남기는데 이 둘의 차이점은 전자는 도메인 계정의 사용으로 생성되는 것이며, 후자는 로컬 계정의 사용으로 생성되는 것이다. |
| 권한 사용 감사 | 권한 설정 변경이나 관리자 권한이 필요한 작업을 수행할 때 로깅한다. |
| 로그인 이벤트 감사 | 로컬 계정의 접근 시 생성되는 이벤트를 감사한다. 계정 로그인 이벤트 감사에 비해 다양한 종류의 이벤트를 확인할 수 있다. |
| 디렉터리 서비스 액세스 감사 | 시스템 액세스 제어 목록(SACL)이 지정되어있는 액티브 디렉터리 개체에 접근하는 사용자에 대한 감사 로그를 제공한다. |
| 정책 변경 감사 | 사용자 권한 할당 정책, 감사 정책 또는 신뢰 정책의 변경과 관련된 사항을 로깅한다. |
| 프로세스 추적 감사 | 사용자 또는 응용 프로그램이 프로세스를 시작하거나 중지할 때 해당 이벤트가 발생한다. |
| 시스템 이벤트 감사 | 시스템의 시동과 종료, 보안 로그 삭제 등 시스템의 주요한 사항에 대한 이벤트를 남긴다. |
● 윈도우 레지스트리 루트 키
| 구분 | 설명 |
| HKEY_CLASSES_ROOT (HKCR) |
- 파일 확장명과 응용프로그램의 연결정보가 들어있고, 윈도우 시스템에 들어있는 개체들 및 응용프로그램과 그 자동화에 대한 정보 |
| HKEY_CURRENT_USER (HKCU) |
- 현재 시스템에 로그인 되어있는 사용자에 따라 달리 적용되는 제어판 설정, 네트워크 연결, 응용프로그램 등을 저장 |
| HKEY_LOCAL_MACHINE (HKLM) |
- 컴퓨터에 설치된 하드웨어와 하드웨어를 구동시키는 데 필요한 드라이버나 설정 사항에 관련된 정보 - 개별 사용자 단위가 아닌 시스템 전체에 적용되는 하드웨어와 응용 프로그램의 설정 데이터를 저장 |
| HKEY_USERS (HKU) |
- 시스템에 있는 모든 계정과 그룹에 관한 정보를 저장 - 사용자 프로필을 만들 때 적용한 기본 설정(Default키)과 사용자별로 정의한 그룹 정책 등 |
| HKEY_CURRENT_CONFIG (HKCC) |
- 시스템이 시작할 때 사용하는 하드웨어 프로파일 정보 |
● 윈도우 프로세스
| 구분 | 설명 |
| mstask.exe | 시스템에 대한 백업이나 업데이트에 관련된 작업의 스케줄러 프로세스 |
| svchost.exe | DLL에 의해 실행되는 프로세스의 기본 프로세스 |
| csrss.exe | 윈도우 콘솔을 관장하고, 스레드를 생성∙삭제하며, 32비트 가상 MS-DOS 모드를 지원하는 프로세스 |
반응형
'자격증 > 정보보안기사' 카테고리의 다른 글
| 전자서명 (0) | 2024.06.28 |
|---|---|
| PKI(공개키 기반 구조) (0) | 2024.06.07 |
| 해시함수 (0) | 2024.05.29 |
| [암호학] 블록 암호 운용 방식 (0) | 2024.03.18 |
| HTTP 메서드 (0) | 2024.03.08 |