본문 바로가기

System/windows

윈도우 보안 시스템 구성 요소

윈도우 보안의 주 구성요소 및 DB는 %SystemRoot%\System32 디렉터리에 위치한다.

 

  • 보안 참조 모니터(SRM,Security Reference Monitor)
    - Ntpslrm.exe에 포함된 구성요소. 보안 컨텍스트를 기술하기 위한 접근 토큰의 데이터 구조체를 정의.
    - 객체에 대한 보안 접근 검사 실시
    - 특권 조작 및 보안 감사 메시지의 결과 생성

 

  • 로컬 보안 권한 서브시스템 서비스(Lsass, Local Security Auythority SubSystem Service)
    - Lsass.exe를 실행하는 유저 모드 프로세스.
    - 로컬 시스템의 보안 정책과 사용자 인증, 이벤트 로그로의 보안 감사 메시지 전달을 담당함.
    - 로컬 보안 권한 서비스인 Lsasrv.dll은 Lsass가 로드하는 라이브러리.

 

  • 자격증명 가드(Credential Guard, LSAIso.exe)
    - Lsass에 의해 사용되어 Lsass 메모리 내에 사용자의 토큰을 보관하는 대신, 사용자의 토큰 해시를 저장.
    - Lsaiso.exe는 VTL 1에서 실행하는 트러스트릿(Trustlet)이므로 어떠한 일반 프로세스도 이 프로세스의 주소 공간 접근이 불가능하다.
    -Lsass는 Lsaiso와 ALPC를 통해 통신할 때 필요한 패스워드 해시에 대한 암호화된 블랍(blob)을 저장한다.

 

※ VTL 1이란? (Virtual Tape Library)

VTL은 가상화 테이프 라이브러리의 약자로 디스크 스토리지가 서버에서는 테이프로 인식되는 시스템이다.

※ 트러스트릿(Trustlet)
신뢰할 수 있는 프로세스, 보안 프로세스 또는 IUM 프로세스라고도 함.

※ ALPC란?
- 로컬 프로시저 호출(Local Procedure Call).
- 프로세스 간 통신(IPC) 기능. 이것은 프로세스들 간의 경량 프로세스 간 통신을 목적으로 윈도우 NT 커널에서 제공

 

 

Lsass 정책 데이터베이스
- 로컬 시스템의 보안 정책 설정이 저장된 데이터베이스.