윈도우 보안 레지스트리

윈도우 보안 레지스트리

개요

윈도우 시스템이 운영되는데 필요한 정보를 담고 있음. 설치된 소프트웨어 정보부터 환경설정, 임시 저장값까지 시스템의 거의 모든 정보를 담고 있으므로 사고분석에 있어 공격자의 중요한 흔적을 찾을 수 있음

레지스트리 편집기

사용자가 직접 레지스트리를 조작하는 작업은 레지스트리 편집기라는 프로그램을 통해 이뤄짐. 레지스트리 편집기로 레지스트리 설정을 열람, 수정, 추가, 삭제할 수 있음

레지스트리 항목을 검색하는 기능과 이를 텍스트로 저장하는 기능, 파일에서 레지스트리 항목을 가져오는 기능도 존재

레지스트리 편집기를 실행하려면 [시작] 메뉴 검색란에 ‘regedit’ 또는 ‘regedt32’를 입력함

레지스트리는 윈도우 부팅 시 하이브 파일에서 값을 읽어 들여 구성됨. 하이브 파일에서 직접 읽어 들여 구성되는 키를 Master Key라 하고 Master Key로부터 값을 가져와서 재구성하는 키를 Derived Key라 함

• Master Key : HKEY_LOCAL_MACHINE(HKLM), HKEY_USERS(HKU)
• Derived Key : HKEY_CURRENT_USER(HKCU), HKEY_CURRENT_CONFIG(HKCC), HKEY_CLASSES_ROOT(HKCR)

레지스트리 루트키

HKEY_CLASSES_ROOT(HKCR)

• 시스템에 등록된 파일 확장자와 그것을 열 때 사용할 애플리케이션에 대한 맵핑 정보 그리고 컴포넌트 객체 모델(COM, Component Object Model) 등록 정보를 저장하고 있음

HKEY_CURRENT_USER(HKCU)

• 현재 시스템에 로그인하고 있는 사용자와 관련된 시스템 정보를 저장하고 있음
• HKEY_CURRENT_USER키에서 설정한 내용이 HKEY_USERS보다 우선권을 갖게 됨. 만약 HKEY_CURRENT_USER키값이 변경되면 HKEY_USERS키의 보안 식별자에 해당하는 키의 내용도 바뀌게 됨

HKEY_LOCAL_MACHINE(HKLM)

• 컴퓨터에 설치된 하드웨어와 하드웨어를 구동시키는 데 필요한 드라이버나 설정 사항에 관련된 정보를 갖고 있음. 루트키 중에서 가장 다양한 하이브로 구성되어 있음

HKEY_USERS(HKU)

• 시스템에 있는 모든 계정과 그룹에 관한 정보를 저장하고 있음. 모든 계정의 프로파일이 있다는 것을 제외하고는 서브키가 HKCU와 동일함
• 윈도우를 사용하는 사용자가 한 명일 경우, 모든 설정 사항이 HKEY_CURRENT_USER의 내용과 일치함
• HKEY_CURRENT_USER에 저장된 정보 전체와 데스크톱 설정, 네트워크 연결 등의 정보가 저장되어 있으며, user.dat에 그 내용을 저장함

HKEY_CURRENT_CONFIG(HKCC)

• 시스템이 시작할 때 사용하는 하드웨어 프로파일 정보를 저장하고 있음
• 레지스트리 부분에서 가장 단순한 곳이며, HKEY_LOCAL_MACHINE에 서브로 존재하는 config의 내용만을 담고 있음. 따라서 디스플레이와 프린터 설정에 관한 정보를 갖고 있음

레지스트리 서브키 하이브 위치

HKLM\HARDWARE

• 메모리
• 파일로 존재하는 것이 아니라 메모리에 휘발성 정보로만 존재. 부팅 시 감지된 모든 하드웨어와 그 하드웨어 장치의 드라이버 맵핑 정보들이 보관됨

HKLM\SAM

• %Windows%\System32\Config\Sam
• 사용자의 패스워드, 소속 그룹, 도메인 정보와 같은 로컬 계정 정보와 그룹 정보를 가지고 있음. 컴퓨터가 도메인 컨트롤러 역할을 하는 서버라면 액티브 디렉터리(Active Directory)에 도메인 계정과 그룹 정보를 저장함

HKLM\SECURITY

• %Windows%\System32\Config\Security
• 시스템 범위의 보안 정책과 사용자 권리 할당 정보를 가지고 있으며, SAM과 마찬가지로 시스템 계정 이외의 접근이 불가능함

HKLM\SOFTWARE

• %Windows%\System32\Config\Software
• 시스템 범위의 소프트웨어 목록과 그 환경 설정 정보가 저장되어 있음. 환경 설정 정보에는 애플리케이션의 이름, 경로, 라이선스 정보, 만료 날짜 등이 포함됨

HKLM\SYSTEM

• %Windows%\System32\Config\System
• 시스템이 부팅될 때 필요한 시스템 환경 설정 정보를 가지고 있으며, 로드할 디바이스 드라이버, 시작시킬 서비스의 목록 등이 포함됨
• 시스템을 시작(부팅)하는 데 있어 매우 중요하기 때문에 성공적으로 부팅됐을 때의 값을 복사본으로 만들어 두었다가 시스템이 비정상적으로 종료되었을 때 복사해 둔 정보를 바탕으로 부팅할 수 있는 옵션을 사용자에게 제공함

레지스트리 보호

레지스트리 백업 및 복구

• 백업 : regedit.exe를 실행하여 활성화된 레지스트리 편집기 메뉴에서 백업 실행
• 복원 : regedit.exe를 실행하여 활성화된 레지스트리 편집기 메뉴에서 복원하고 싶은 백업 파일 선택

레지스트리 보존 및 관리 기법

• 레지스트리 접근 제한
• 레지스트리에 적절한 ACL 적용
• 레지스트리 백업 보관