윈도우 인증과 패스워드

윈도우의 인증 과정에서 중요하 구성 요소는 LSA, SAM, SRM다. SAM은 윈도우에서 패스워드를 암호화하여 보관하는 파일의 이름과 동일하다.

LSA : 모든 계정의 로그인에 대한 검증, 시스템 자원 및 파일 등에 대한 접근 권한을 검사, 이름과 SID를 매칭하며, SRM이 생성한 감사 로그를 기록하는 역할, 보안 서브 시스템

SAM : 사용자/그룹 계정 정보에 대한 데이터베이스를 관리

SRM : 사용자에게 SID를 부여, SID에 기반하여 파일이나 디렉터리에 대한 접근 허용 결정, 이에 대한 감사 메시지 생성

- 로컬 인증

윈도우를 부팅하면 운영체제 종류에 따라 로그인 창이 Ctrl + Alt + Del 을 눌러야 나타나거나 자동으로 나타나는 경우가 있다. 이 창이 Winlogon 화면이다. 이 화면에서 아이디와 패스워드를 입력하면 LSA 서브 시스템이 인증 정보를 받아 NTLM 모듈에 아이디와 패스워드를 넘겨준다. 그리고 이를 다시 SAM이 받아 확인하고 로그인을 허용한다.

- 도메인 인증

윈도우 도메인 인증에서는 로컬 인증처럼 Ctrl + Alt + Del 을 눌러 로그인을 시도한다. Winlogon 화면에 인증 정보를 넣으면 로컬 인증과 마찬가지로 해당 정보를 LSA 서브 시스템에 넘긴다. LSA 서브 시스템에서는 해당 인증 정보가 로컬 인증용인지 도메인 인증용인지 확인하고 커버로스 프로토콜을 이용해, 도메인 컨트롤러에 인증을 요청한다. 도메인 인증에서는 기본적으로 FQDN과 커버로스 프로토콜을 이용하게 되어 있지만, IP를 이용해 접근을 시도할 경우 NTLM을 사용한다.

도메인 컨트롤러는 인증 정보를 확인하여 접속하고자 하는 사용자에게 접근 토큰을 부여하고 해당 권한으로 프로세스를 실행한다.

Challenge & Response 인증

1. 인증요청

2. Challenge 값 생성 / 3. Challenge 값 전송

4. Response 값 생성

5. Response 값 전송 / 6. Response 값 확인 / 7. 인증 성공