[시스템보안] 윈도우 보안 정리

안녕하세요 시큐개발이입니다.

구조, 부팅, 계정, 권한

 

1. 윈도우 시스템 구조 (Ring)

• ​커널 모드 (Ring 0): 하드웨어, HAL, 커널. 여기서 에러 나면 시스템 전체 다운 (블루스크린)
• ​사용자 모드 (Ring 3): 응용 프로그램(User Apps). 에러 나면 해당 프로그램만 종료됨
• ​HAL: 하드웨어와 SW 사이의 통역사. 하드웨어 독립성 보장

​2. 파일 시스템 (FAT vs NTFS)

• FAT : 총 32비트 클러스트를 가짐, 호환성이 좋아 리눅스나 다른 운영체제에 정보를 옮길때 유용, 접근제어 설정이 힘들며 보안과는 거리가 먼 파일시스템
• NTFS : 개별 폴더와 파일에 사용 권한 설정이 가능하며 암호화도 가능,감사 기능 제공, 강력한 보안 기능 제공 / 모든파일폴더 정보를 담고있는 MFT 영역이 있음

​3. 윈도우 인증에 구성요소  (윈도우는 LSA,SAM,SRM 3가지에 구성요소를 거치면서 사용자는 시스템에 접근)

• LSA : 모든 계정의 로그인에 대한 검증, 시스템 자원 및 파일 접근권환 검사, 감사로그 기록, NT보안의 중심요소, 보안서브시스템이라 불림
• SAM : 사용자/그룹 계정 정보에 대한 데이터베이스 관리, 로그인 입력 정보와 SAM 데이터베이스에 정보를 비교해 인증여부 결정함
• SRM : SID 부여, SID에 기반하여 파일 디렉터리 접근을 허용할지 결정하고 감사 메시지 생성

 

4. 디렉터리 및 파일에 대한 접근 권한 설정

• NTFS 접근 권환은 누적된다.
• 허용 보다 거부가 우선이다.
• 디렉터리 권한보다 파일에 대한 권한설정이 우선이다.

5. 윈도우 공유 폴더

• C$, D$, E$ 는 드라이브에 대한 관리목적 공유 폴더 이다
• ADMIN$: 윈도우 설치 폴더에 접근하는 관리 목적 공유 폴더 경로는 c:\windows 이다.
• IPC$: 네트워크 등에서 프로세스 간의 통신을 위한 인터페이스(통로), 널세션(로그인없이 연결)의 취약점이 있다
• 레지스트리 편집기 실행: regedit 또는 regedt32 입력

6. 윈도우 암호 기능

• EFS: 개별 폴더 및 파일 암호화, 파일단위
• BitLocker(볼륨암호화): 볼륨(파티션 드라이브) 단위에 암호화 볼륨에 저장된 모든 파일 자동 암호화 단, 재부팅시 필요한 시스템 파티션은 암호화x

7. 레지스트리 루트 키 (H키)

• HKCR : 파일 확장명과 응용프로그램의 연결정보가 들어있고, 윈도우 시스템에 들어 있는 개체들 및 응용프로그램과 그 자동화에 대한 정보
• HKCU : 현재 로그인 되어 있는 사용자에 따라 달리 적용되는 제어판 설정, 네트워크 연결, 응용프로그램 등 을 저장
• HKLM : 시스템 전체에 적용되는 하드웨어와 응용 프로그램 설정 저장
• HKU : 사용자 프로필 만들때 적용한 기본설정과 사용자별로 정의한 그룹 정책 등
• HKCC : 시스템이 시작할때 하드웨어 프로파일 정보 저장

HKLM, HKU 는 Master Key 이고 , Derived Key:나머지