윈도우 인증 과정

윈도 인증을 구성하는 요소들은 아래와 같다. 정보 보안 기사에서 나오는 구성 요소만 붉은색 박스로 표기해 두었다.

이 과정이 모두 끝난 뒤에는 SRM(Service Reference Monitor) 서비스가 동작하는데 , 이것은 그림에 없으므로 글로 기록한다.

출처 : Microsoft

Winlogon

사용자가 로그인 하는 화면

 

LSA(Local Security Authority)

- 모든 계정 로그인을 검증한다.

- 이름과 SID(Security ID)의 변환 서비스를 지원한다.

- 보안 서브 시스템(protected subsystem of Windows)이라고 불리기도 한다.

 

SAM(Security Account Manager)

- 사용자 및 그룹의 계정 및 암호화 패스워드 값을 저장한 데이터 베이스

- C:\Windows\System32\config 에 위치

SAM 파일 위치

 

SRM(Service Reference Monitor)

- 사용자에게 SID(Security ID) 부여

- SID 기반 감사 메시지 생성

 

 

NTLM(Windows Challenge / Response 방식)

- 사용자가 로그인을 시도할 때, LSA 에서 인증 정보(ID/PW 등)를 받아 NTLM 모듈에서 SAM으로 전달. SAM에서 

  인증 정보에 대한 결과 값을 NTLM으로 다시 전달하여 인증. 

 

Challenge / Response 방식

1. 사용자(클라이언트)가 인증 정보(ID / PW)를 입력하여 로그인을 시도

2. PC 또는 서버는 16비트의 Challenge값(또는 nance값이라고 한다) 생성 , 사용자(클라이언트)에게 전송

3, 사용자(클라이언트)는 비밀번호 + Challenge값(Response값)을 해시 암호하여 서버에  전송

4. 서버의 도메인컨트롤러(DC)는 SAM에서 사용자 암호의 해시 값을 확인 

5. 서버는 Response 값을 확인 후 인증 성공 여부를 사용자(클라이언트)에게 전송

Challenge & Response

 

Kerberos(도메인 가입 PC)

- 네트워크 인증 서비스와 상호작용

- 사용자가 인증 시도시 도메인 컨트롤러(DC)에 인증을 요청

- 도메인 컨트롤러는 인증이 확인되면 사용자에게 토큰을 부여한다.

 

 

더 궁금한 것은 마이크로 소프트에서 확인할 수 있다.

WINlogon https://docs.microsoft.com/ko-kr/windows/win32/secauthn/winlogon-and-credential-providers

LSA https://docs.microsoft.com/ko-kr/windows/win32/secmgmt/lsa-policy

NTLM  https://docs.microsoft.com/ko-kr/windows/win32/secauthn/microsoft-ntlm