SID(Security ID) / 윈도우 인증 알고리즘(LM/NTLM hash/NTLMv2 hash)

SID

윈도우에서는 사용자나 그룹에 고유하게 할당되는 SID가 존재한다.

로그인이 성공하면 토큰이 발급 되고 발급된 토큰 안에 사용자나 그룹의 SID 정보가 있고 , 프로세스 접근에 사용된다.

SID 정보는 SAM 파일에 저장 되어 있다. 

 

내 컴퓨터에서 설정을 변경해 놓고 확인해 봤다.

가장 마지막 탭에 SID라고 있는데 SID에서도 가장 마지막에 보이는 번호가 중요하다.

 

500 > administrator(관리자)

501 > guest(게스트)

1000(또는 그 이상) > user(일반 사용자)

윈도우 SID 확인

윈도우 인증 알고리즘

 

윈도우에 접근하려 할 때, 인증(ID, PW 등)을 해야 사용할 수 있다. 

마이크로 소프토 홈페이지에는 이것을 Lan Manager로 설명하고 있고,  LM / NTLM / NTLMv2 중에 인증 프로토콜을 선택할 수 있으며 응답 보내기, 응답만 보내기 등의 옵션까지 존재 한다. 옵션 표는 아래와 같다.

 

출처 : Microsoft

 

LM Hash : WinXP , Win2000의 기본 알고리즘, Vista 이후로는 사용 불가(매우 취약)

NTLM Hash : LM Hash + MD4 Hash (취약)

NTLMv2 Hash : 현재 Windows OS의 기본 인증 프로토콜 , 서버 2008 R2 이상에서는 NTLMv2 응답만 보내기가 기본 설정

 

마이크로 소프트의 글에서는 LM / NTLM은 취약성이 있으며 사용 자제를 권고하고 있다.

그리고 취약점을 해결하기 위해 Lan Manager 설정을 "NTLMv2 응답만 보냅니다"로 설정하라고 되어 있다.

결론은 LM /NTLM은 취약, 취약점 해결로 "NTLMv2 응답만 보냅니다"로 Lan Manager를 설정한다.

 

자세한 내용을 알고 싶은 분들을 위해 링크를 공유 합니다.

docs.microsoft.com/ko-kr/windows/security/threat-protection/security-policy-settings/network-security-lan-manager-authentication-level

 

그리고 Lan Manager 설정 화면을 첨부합니다. 참고하시길..

Lan Manager 레벨 설정