윈도우 보안 계정과 권한

윈도우 보안 계정과 권한

계정 정책

• [시작] - [Windows 관리 도구] - [컴퓨터 관리]에서 사용자 추가
• Windows 계정 정책 적용 방법 : [시작] - [Windows 관리 도구] - [로컬 보안 정책] - [계정 정책]

암호 정책

• 운영체제에서 사용할 수 있는 최소한의 보안 강화 설정

암호는 복잡성을 만족해야 함(사용)

• 사용자의 계정 이름이나 연속되는 문자 2개를 초과하는 사용자 전체 이름의 일부를 포함하지 않음
• 최소 길이 6자 이상
• 영어 대문자, 소문자, 숫자, 특수문자 중 3가지 이상 조합

최근 암호 기억

• 동일한 암호를 다시 사용하지 않도록 최근 24개를 기억함
• ‘0’이면 기억 안 함

최근 암호 사용 기간(42일)

• 암호 사용기간이 만료되면 바꾸라는 메시지가 나옴
• 만료되면 연동 솔루션의 경우 로그인이 되지 않음
• ‘0’이면 만료되지 않음

최소 암호 길이 감사

• 암호 길이 감사 경고 이벤트가 발급되는 최소 암호 길이 결정
• 정의하지 않으면 감사 이벤트가 발급되지 않음

최소 암호 길이 제한 완화

• 최소 암호 길이 설정을 레거시 제한인 14를 초과하여 늘릴 수 있는지 제어
• 정의하지 않으면 최소 암호 길이를 최대 14로 구성할 수 있음

최소 암호 길이(0)

• 지정된 길이 이상의 암호를 입력해야 암호 설정 가능
• ‘0’이면 제한 없음(암호를 사용하지 않을 수도 있음)

최소 암호 사용 기간(0)

• 한 번 변경한 암호는 최소 암호 사용 기간 동안 다시 변경할 수 없음
• ‘0’이면 제한 없음(즉시 변경 가능함)

해독 가능한 암호화를 사용하여 암호 저장(사용 안 함)

• 암호화되어 저장된 패스워드를 복호화할 수 있는 암호화 기법 사용
• 사용 시 복호화 할 수 있는 키가 유출되면 보안 위험 발생

계정 잠금 정책

로그인에 대한 무차별 대입 공격, 사전 공격 등에 대한 방어 가능

• 계정 잠금 기간 : 설정된 숫자만큼 계정 잠김(단위 : 분)
• 계정 잠금 임계값 : 설정된 숫자 이상 로그인 실패 시 계정 잠김(단위 : 횟수)
• 관리자 계정 잠금 허용 : 기본 제공 관리자 계정에 계정 잠금 정책이 적용되는지를 결정함
• 다음 시간 후 계정 잠금 수를 원래대로 설정 : 설정된 숫자만큼 시간이 지난 후 원래대로 설정을 되돌림(단위 : 분)

기본 사용자와 그룹

윈도우에 생성된 사용자는 [제어판] - [컴퓨터 관리] - [로컬 사용자 및 그룹]에서 확인 가능

윈도우 기본 사용자

Administrator : 관리자 권한의 계정으로 사용자가 사용할 수 있는 계정 중 가장 강력한 권한을 가짐

SYSTEM : 시스템에서 최고 권한을 가진 계정으로 로컬에서 관리자보다 상위 권한을 가짐. 원격 접속이 불가능하며, 사용자가 이 계정을 사용하여 시스템에 로그인 할 수 없음

Guest : 매우 제한적인 권한을 가진 계정으로, 기본 설정은 사용 불능임

윈도우 기본 그룹

Administrators : 도메인 지원이나 로컬 컴퓨터에 대한 모든 권한이 있음

Account Operators : 사용자나 그룹 계정을 관리하는 그룹

Backup Operators : 시스템 백업을 위해서 모든 시스템의 파일과 디렉터리에 접근 가능

Guests : 도메인 사용 권한이 제한된 그룹으로 시스템의 설정 변경 권한이 없음

Print Operators : 도메인 프린터에 접근 가능

Power Users : 디렉터리나 네트워크 공유, 공용 프로그램 그룹 생성, 컴퓨터의 시계 설정 권한이 있음

Replicator : 도메인에 있는 파일을 복제할 수 있는 권한을 가지고 있는 그룹이며, 디렉터리 복사 서비스에 이용됨

Server Operators : 도메인의 서버를 관리할 수 있는 권한을 가진 그룹으로 로컬 로그인과 시스템 재시작 및 종료 권한이 있음

Users : 도메인과 로컬 컴퓨터를 일반적으로 사용하는 그룹. 개개인에 할당된 사용자 환경을 직접 만들 수 있지만, 설정할 수 있는 항목에는 한계가 있음. 시스템 서비스의 시작 및 종료 권한이 없으며, 디렉터리 공유 설정을 할 수 없음

SID

• 윈도우의 각 사용자나 그룹에 부여되는 고유한 식별 번호
• 유닉스/리눅스 시스템의 UID, RUID(Real UID), EUID(Effective UID)와 유사하게 윈도우에도 계정을 하나의 코드 값으로 표시한 것이 SID(Security Identifier). 윈도우에서는 whoami /user 명령으로 로그인 한 사용자의 SID를 알아볼 수 있음
• Access Token이 적용되며 각 소속 그룹에 대한 SID나 계정에 대한 SID 등 사용자와 관련된 모든 것을 포함하고 있음

잘 알려진 SID(Well-Known SID) 목록

• S-1-0-0 : SID를 모를 때 사용하는 SID
• S-1-1-0 : Everyone
• S-1-5-7 : Anonymous
• S-1-5-18 : System Profiles(시스템 서비스용 계정)
• S-1-5-19 : Local Service
• S-1-5-20 : Network Service
• S-1-5-domain-500 : Administrator
• S-1-5-domain-501 : Guest

권한 상승

• Window 작업 관리자 - [프로세스] 탭에서 여러 가지 프로그램이 윈도우에서 실행되고 있음을 알 수 있음
• 사용자 이름에는 Administrator와 SYSTEM이 있음. 권한 상승이란 일반 권한 사용자가 Administrator와 SYSTEM으로 실행되고 있는 프로세스의 권한을 빼앗는 것
• 수행되고 있는 프로세스의 권한을 빼앗는 방법은 기본적으로 ‘상위 권한으로 수행되고 있는 프로그램의 프로세스에 다른 작업 끼워넣기’