시스템 보안 - 1장. 윈도우 시스템

1. 윈도우 보안 개요

 윈도우 운영체제는 전 세계에서 가장 많이 사용되는 운영체제 중 하나이며, 이는 해커들의 공격 대상이 될 가능성이 높음을 의미합니다. 따라서 윈도우 시스템 보안은 매우 중요하며, 취약점이나 악성 코드를 방지하고 감지하는 기능들이 포함되어 있습니다. 윈도우 운영체제는 다양한 보안 기술을 포함하고 있으며, 이들 중 일부는 다음과 같습니다.

- 사용자 계정 제어 (UAC) : 사용자 계정 제어는 시스템 보안을 강화하기 위한 기능 중 하나입니다.     UAC는 사용자가 시스템 변경을 수행하기 전에 관리자 권한 인증을 요구하여 보안을 강화합니다.   - 방화벽 : 윈도우 운영체제에는 내장형 방화벽이 포함되어 있습니다.     이 방화벽은 시스템에서 들어오고 나가는 모든 트래픽을 모니터링하고 차단합니다.   - 자동 업데이트 : 윈도우 운영체제는 자동 업데이트 기능을 포함하고 있습니다.     이 기능은 최신 보안 패치 및 업데이트를 자동으로 다운로드하고 설치하여 시스템의 보안을 강화합니다.   - 안티바이러스 및 악성 코드 검사 : 윈도우 운영체제에는 내장형 안티바이러스 및 악성 코드 검사     기능이 포함되어 있습니다. 이러한 기능은 시스템에서 실행되는 모든 프로그램을 검사하여 악성     코드를 탐지하고 차단합니다.   - 비트록커 : 윈도우 운영체제는 비트록커라는 보안 기능을 포함하고 있습니다.     비트록커는 시스템에서 실행되는 모든 프로세스를 모니터링하고 악성 코드가 발견되면 차단합니다.

  이러한 보안 기술과 기능들은 윈도우 시스템 보안을 강화하고 시스템이 해커나 악성 코드 등에 대한 공격에 더 잘 대처할 수 있도록 도와줍니다

  1-1. 윈도우 시스템의 구조

 - 윈도우 운영체제는 5개의 링구조로 되어 있다.

하드웨어 < HAL(Hardware Abstraction Layer) < 마이크로 커널 < 각종 관리자(입출력, 객체, 보안참조, 프로세스, 로컬프로시저호출, 가상메모리, 그래픽장치, 기타) < 응용 프로그램

  1-2. 윈도우 특성

    - GUI 환경 : 아이콘 같은 그림을 사용하여 쉽게 프로그램을 실행
    - Plug & Play : 새로운 하드웨어 추가 시 자동으로 인식
    - 단축 아이콘 : 단축 아이콘을 활용하여 프로그램이나 데이터를 빠르게 편리하게 실행
    - 멀티태스킹 : 한번에 여러가지 작업을 동시에 수행
    - OLE(Object Linking Embedding) : 서로 다른 프로그램 간에 그림, 표 등을 교환
    - 네트워크 기능 향상 : 다향한 프로토콜을 사용하여 네트워크 설치나 인터넷 연결등을 편리하게 사용
    - 다중 모니터 지원 : 한 대의 컴퓨터에는 최대 8대의 모니터를 연결 가능
    - 정보의 전송 통합 : 클립보드를 사용하여 프로그램 간에 정보 전송

  1-3. 윈도우 파일시스템

    - FAT16 : 기본적으로 2GB까지 한 파티션으로 설정한다.
    - FAT32 : 총 32비트개의 클러스터를 가지고 접근제어 설정이 안된다.
    - NTFS : 접근제어 설정 및 결합 관리(HotFixing)가 가능하다

 

2. 윈도우 인증

  2-1. 윈도우 인증 종류

    - 윈도우 로컬 인증 : 윈도우 부팅 후 로그인 창(Winlogon 화면)에서 아이디와 패스워드를 입력하면
       LSA 서브시스템이 인증 정보를 받아 NTLM 모듈에 넘기고 이를 다시 SAM이 받아 로그인 처리함
    - 원격(도메인) 인증 : 윈도우 로그인(아이디/패스워드)후 LSA 서브시스템이 인증 정보를 받아 로컬 
      인증용인지 도메인 인증용인지 확인하고 커버로스(Kerberos) 프로토콜을 이용해 “도메인 
      컨트롤러”에 인증을 요청
    - SAM 파일 접근 통제 설정(시스템 취약점 분석, 평가 항목) : SAM 파일은 사용자와 그룹 계정의 
      패스워드를 관리하고 LSA를 통한 인증을 제공하는 중요한 파일이므로 적절한 접근 통제가 필요

  2-2. 윈도우 인증 구성요소

    가. LSA(Local Security Authority) 서비스 기능
      - 모든 계정의 로그인에 대한 검증 및 시스템 자원에 대한 접근 권한을 검사
      - 계정명과 SID(Security ID)를 매칭하여 SRM이 생성한 감사 로그를 기록
      - NT 보안의 중심 서비스이며 보안 서브시스템(Security Subsystem)이라 불림
    나. SAM(Security Account Manager) 서비스 기능
      - 사용자/그룹 계정 정보에 대한 데이터베이스를 관리
      - 사용자 로그인 정보와 SAM 파일에 저장된 사용자 패스워드 정보를 비교해 인증 여부 결정
    다. SRM(Service Reference Monitor) 서비스 기능
      - 인증된 사용자에게 SID(Security ID)를 부여
      - SID를 기반으로 하여 파일이나 디렉터리에 대한 접근을 허용 여부를 결정

  2-3. 윈도우 인증 암호 알고리즘

    - LM(Lan Manager) 해시 : 윈도우 2000, XP의 기본 알고리즘으로 구조적으로 취약한 알고리즘
    - NTLM 해시 : LM 해시에 MD4 해시가 추가된 형태
    - NTLMv2 해시 : 윈도우 비스타 이후 윈도우 시스템의 기본 인증 프로토콜로 기존 인증 알고리즘과는
      전혀 다른 알고리즘으로 해시값을 생성하며 현재까지 복잡도가 충분해 크래킹이 어려움

 

3. 윈도우 보안 식별자(SID:Security Identifier)

   - SID(Security Identifier) : 윈도우의 각 사용자나 그룹에 부여되는 고유한 식별번호
     * SID(Well-Known SID) 목록
       S-1-0-0 SID를 모를 때 사용하는 SID
       S-1-1-0 Everyone
       S-1-5-7 Anonymous
       S-1-5-18 System Profiles(시스템의 서비스용 계정)
       S-1-5-19 Local Service
       S-1-5-20 Network Service
       S-1-5-domain-500 Administrator
       S-1-5-domain-501 Guest

 

4. 윈도우 패스워드 크래킹 종류

  - 사전 공격/사전 대입 공격(Dictionary Attack)
  - 무차별 공격/무작위 대입 공격(Brute Force Attack)
  - 혼합 공격(Hybrid Attack)
  - 레인보우 테이블(Rainbow Table)을 이용한 공격