윈도우 보안
- 윈도우 계정/그룹/SID
1. 윈도우 계정, 권한, 인증
1) 기본적으로 생성되는 계정
Administrator: 관리자 권한의 계정
SYSTEM: 시스템에서 최고 권한을 가진 계정
Guest: 제한적인 권한을 가진 계정
2) 기본적으로 생성되는 그룹
Administrators: 도메인이나 로컬 컴퓨터에 모든 권한이 있다.
Accout Operators: 계정을 관리하는 그룹
Backup Operators: 시스템 백업을 위해 모든 시스템 파일과 디렉터리에 접근이 가능한 그룹
Guests: 시스템 설정 권한이 없는 그룹
Print Operators: 도메인 프린터에 접근할 수있는 그룹
Users:도메인과 로컬 컴퓨터를 일반적으로 사용하는 그룹, 개개인의 사용 환경은 만들 수 있지만 한계가 존재
Power Users: Users 그룹에서 디렉터리·네트워크 공유, 공용 프로그램 그룹 생성, 시계 설정 권한을 추가로 가짐
Server Operation: 도메인의 서버를 관리할 수 있는 권한을 가진 그룹
3) 윈도우 고유 번호 : SID (Security Identifier)
- 윈도우가 사용자나 그룹에 부여되는 고유한 식별번호이다.
- 사용자가 로그인을 수행하면 접근 토큰(엑세스 토큰)이 생성되며, 해당 토큰에는 로그인한 사용자와 그 사용자가 속한 모든 작업 그룹들에 관한 보안 식별자(SID) 정보가 담겨있다.
- 접근 토큰의 사본은 그 사용자에 의해 시작된 모든 프로세스에게 할당된다.
- 사용자 계정 및 패스워드 정보를 담고 있는 SAM 파일(C:\Windows\system32\config\SAM)에 SID 정보가 저장되어있다.
- cmd에서 whoami /USER 명령어를 통해 확인이 가능하다.
[ SID 구조 ]
(1) S: SID를 의미
(2) 1: Revision number : 버전 번호
(3) 5: ID authority value
- 0 : NULL Authority (권한 없음)
- 1 : World Authority (워드 권한)
- 2 : Local Authoirty (로컬 권한)
- 3 : Creator Authority (작성자 권한)
- 4 : Non-unique Authority (빅고유 권한)
- 5 : NT Authority (NT 권한)
- 9 : Resource Manager Authority (리소스 관리자 권한)
(4) 21: Sub-authority value
> 랜덤하게 값이 정해진다.
(5) 140982233-436374069-839522115: 도메인 식별자, 시스템의 고유한 숫자
(6) 500: RID(RelativeID, 상대 식별자), 관리자는 500번, Guest는 501번, 일반 사용자는 1000번 이상의 숫자를 갖는다.
[잘알려진 SID]
| SID | 의미 |
| S-1-1-0 | 모든 사용자 |
| S-1-5-14 | 원격 상호 로그온 접속 (Remote Interactive Logon) |
| S-1-5-18 | 로컬 시스템 (Local System) - 운영 체제가 사용하는 서비스 계정 |
| S-1-5-19 | NT 권한, 로컬 서비스 |
| S-1-5-20 | NT 권한, 네트워크 서비스 |
| S-1-5-29 | 네트워크 서비스 |
| S-1-5-domain-500 | 시스템 관리자를 위한 사용자 계정. 기본적으로 시스템 전반을 제어할 수 있는 유일한 사용자 계정이다. |
| S-1-5-domain-501 | 개인 계정이 없는 게스트 사용자 계정. 이 사용자 계정은 암호를 요구하지 않는다. 기본적으로 게스트 계정은 활성화되지 않는다. |
| S-1-5-domain-512 | 도메인 관리자(Domain Admins) - 소속된 사용자들이 도메인을 관리할 수 있는 전역 그룹. 기본적으로 도메인 관리자 그룹은 도메인 컨트롤러를 포함하여 도메인에 참가하는 모든 컴퓨터의 관리자 그룹 멤버이다. 도메인 관리자는 임의의 그룹 멤버가 만든 객체의 기본 소유자이다. |
| S-1-5-domain-513 | 도메인 사용자(Domain Users) |
| S-1-5-domain-514 | 도메인 게스트(Domain Guests) - 기본적으로 도메인 내장 게스트 계정, 곧 한 명의 멤버만을 가지는 전역 그룹이다. |
| S-1-6 | 사이트 서버 권한(Site Server Authority). |
| S-1-7 | 인터넷 사이트 권한(Internet Site Authority). |
| S-1-8 | 교환 권한(Exchange Authority). |
| S-1-9 | 리소스 관리자 권한(Resource Manager Authority). |
