윈도우 인증 과정과 LSA Protection 레지스트리

윈도우 인증 서비스

윈도우 부팅 후 로그인 창(Winlogon)에서 아이디와 패스워드를 입력하면, LSA 서브시스템이 인증 정보를 받아, NTLM 모듈에 넘기고, 이를 다시 SAM이 받아 로그인 처리를 한다.

LSA(Local Security Authority) 란?

• 윈도우 인증과정에서 사용되는 주요 서비스 중 하나. 윈도우 인증의 핵심 서비스.
• 모든 계정의 로그인에 대한 검증 및 시스템 자원에 대한 접근 권한을 검사. (로컬 및 원격 로그인 포함)
• 계쩡명과 SID(Security ID)를 매칭하며 SRM이 생성한 감사 로그를 기록
• NT 보안의 중심 서비스이며, 보안 서브시스템이라고 불린다.

 

SAM(Security Account Manager)란?

• 사용자/그룹 계쩡 정보에 대한 데이터베이스를 관리
• 사용자 로그인 정보와 SAM 파일에 저장된 사용자 패스워드 정보를 비교하여 인증 여부를 결정함.
• SAM 파일은 사용자, 그룹 계정 및 암호화된 패스워드 정보를 저장하고 있느 데이터베이스. 
• SAM 파일은 윈도우 설치 디렉터리에 위치.

 

SRM(Service Reference Monitor)란?

• 인증된 사용자에게 SID를 부여
• SID를 기반으로 하여 파일이나 디렉터리에 대한 접근을 허용할지 여부를 결정하고 이에 대한 감사 메시지를 생성

 

LSA로 식별 ▶ SAM로 인증 ▶ SRM으로 인가

 

---

 

로컬 보안 정책

LSA 정책 개체
LSA는 개체 집합에 로컬 보안 정책 정보를 저장함. 응용은 해당 개체에 액세스하여 로컬 보안 정책을 쿼리하거나 편집할 수 있다.

로컬 보안 정책
로컬 컴퓨터의 보안에 대한 정보 집합.

※ 그룹 정책 개체(GPO) - 로컬 그룹 정책(그룹 정책 편집기) 짝꿍

 

LSA Protection 관련 레지스트리 

수업 중 강사님 왈) 로컬 보안 정책을 수정할 수 있는 레지스트리 키를 찾아라.

이 친구를 수정할 수 있는 레지스트리 키는?

계정: 콘솔 로그온 시 로컬 계정에서 빈 암호 사용 제한

• 이 보안 설정은 암호로 보호되지 않은 로컬 계정을 사용하여 실제 컴퓨터 콘솔이 아닌 다른 위치에서 로그온할 수 있는지 여부를 결정.
• 해당 설정을 사용하면 암호로 보호되지 않은 로컬 계정은 컴퓨터의 키보드로만 로그온할 수 있다.
  < 원격 접속은 당연히 안 됨.
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LimitBlankPasswordUse
• 해당 키가 디폴트는 1(사용)

 

하는 김에 여러가지 알아보자.

알아보는 기준으로는.. 

"Windows 취약점진단 보안가이드라인",서울대학교 정보화지원과, 2019-04-16 개정  참고해서 중요한 몇 개만 알아봄.

 

 

 

네트워크 액세스: 원격으로 액세스할 수 있는 레지스트리 경로

• 이 보안 설정은 winreg 레지스트리 키의 ACL에 나열된 사용자나 그룹에 관계없이 네트워크를 통해 액세스할 수 있는 레지스트리 키를 결정한다.
• [기본값]
  System\CurrentControlSet\Control\ProductOptions
  System\CurrentControlSet\Control\Server Applications
  Software\Microsoft\Windows NT\CurrentVersion
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg\AllowedExactPaths\Machine

 

 

시스템 종료: 로그온 하지 않고 시스템 종료 허용

• 이 보안 설정은 Windows에 로그온하지 않고도 컴퓨터를 종료할 수 있는지 여부를 결정
• 이 정책을 사용하면 Windows 로그온 화면에서 [종료] 명령을 사용할 수 있음
• 이 정책을 사용하지 않으면 컴퓨터를 종료하는 옵션이 Windows 로그온 화면에 나타나지 않는다.
  이 경우 사용자가 시스템 종료를 수행하려면 컴퓨터에 로그온할 수 있어야 하고 시스템 종료 사용자 권한이 사용자에게 있어야 함.
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ShutdownWithoutLogon
• "사용 안함" 권장

 

 

감사: 보안 감사를 로그할 수 없는 경우 즉시 시스템 종료

• 이 보안 설정은 보안 이벤트를 로그할 수 없는 경우 시스템을 종료할지 여부를 결정함.
• 보안 설정을 사용하면 어떤 이유로든 보안 감사를 로그할 수 없을 경우 시스템이 중지됨.
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail
• "사용 안함" 권장

 

네트워크 액세스: SAM 계정과 공유의 익명 열거 허용 안 함

• 이 보안 설정은 SAM 계정 및 공유에 대한 익명 열거를 허용할 것인지 여부를 결정
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous
• "사용 안함" 권장

 

참고 출처: https://ikcoo.tistory.com/222

 

저것들 외에도... LSA 레지스트리 키 항목에는 여러가지 존재함.