윈도우 보안의 주 구성요소 및 DB는 %SystemRoot%\System32 디렉터리에 위치한다.
- 보안 참조 모니터(SRM,Security Reference Monitor)
- Ntpslrm.exe에 포함된 구성요소. 보안 컨텍스트를 기술하기 위한 접근 토큰의 데이터 구조체를 정의.
- 객체에 대한 보안 접근 검사 실시
- 특권 조작 및 보안 감사 메시지의 결과 생성
- 로컬 보안 권한 서브시스템 서비스(Lsass, Local Security Auythority SubSystem Service)
- Lsass.exe를 실행하는 유저 모드 프로세스.
- 로컬 시스템의 보안 정책과 사용자 인증, 이벤트 로그로의 보안 감사 메시지 전달을 담당함.
- 로컬 보안 권한 서비스인 Lsasrv.dll은 Lsass가 로드하는 라이브러리.
- 자격증명 가드(Credential Guard, LSAIso.exe)
- Lsass에 의해 사용되어 Lsass 메모리 내에 사용자의 토큰을 보관하는 대신, 사용자의 토큰 해시를 저장.
- Lsaiso.exe는 VTL 1에서 실행하는 트러스트릿(Trustlet)이므로 어떠한 일반 프로세스도 이 프로세스의 주소 공간 접근이 불가능하다.
-Lsass는 Lsaiso와 ALPC를 통해 통신할 때 필요한 패스워드 해시에 대한 암호화된 블랍(blob)을 저장한다.
※ VTL 1이란? (Virtual Tape Library)
VTL은 가상화 테이프 라이브러리의 약자로 디스크 스토리지가 서버에서는 테이프로 인식되는 시스템이다.
※ 트러스트릿(Trustlet)
신뢰할 수 있는 프로세스, 보안 프로세스 또는 IUM 프로세스라고도 함.
※ ALPC란?
- 로컬 프로시저 호출(Local Procedure Call).
- 프로세스 간 통신(IPC) 기능. 이것은 프로세스들 간의 경량 프로세스 간 통신을 목적으로 윈도우 NT 커널에서 제공
Lsass 정책 데이터베이스
- 로컬 시스템의 보안 정책 설정이 저장된 데이터베이스.
'System > windows' 카테고리의 다른 글
ch3. #2 CreateProcess (0) | 2022.07.01 |
---|---|
ch3. #1 프로세스 핵심 구조체 (0) | 2022.07.01 |
Windows 이벤트 뷰어 (0) | 2022.06.17 |
윈도우 인증 과정과 LSA Protection 레지스트리 (0) | 2022.06.17 |
Windows 프로세스 내부 구조:: 핵심 데이터 구조체 알아보기 (0) | 2022.05.12 |