[정보보안기사/윈도우] 윈도우 시스템

4 분 소요

<h2 id="윈도우-시스템">윈도우 시스템</h2>
윈도우 운영체제는 과거 단일 사용자 운영체제인 DOS로부터 시작되어 GUI(Graph User Interface) 환경 및 다중 사용자, 다중 프로세스 구조를 지원하는 운영체제이다. 윈도우는 손쉬운 사용자 인터페이스로 개인용 PC에서 많이 사용된다.

윈도우 운영체제는 다양한 하드웨어를 자동으로 인식하여 사용할 수 있는 <code class="language-plaintext highlighter-rouge">Plug & Play</code> 기능을 지원한다. Plug & Plag 란 하드웨어를 표준화된 인터페이스를 통해서 개발하면 윈도우의 HAL(Hardware Abstraction Layer) 계층이 하드웨어를 인식하는 기능이다. 이러한 하드웨어는 윈도우의 운영체제에 해당되는 Micro Kernel이 관리하게 된다

<table>
 <thead>
 <tr>
 <th>구성 내용</th>
 <th>세부 내용</th>
 </tr>
 </thead>
 <tbody>
 <tr>
 <td>HAL (Hardware Abstraction Layer)</td>
 <td>새로운 하드웨어가 개발되어 시스템에 장착되어도 드라이버 개발자가 HAL 표준을 준수하면, 파드웨어와 시스템 간 원할한 통신이 가능</td>
 </tr>
 <tr>
 <td>Micro Kernel</td>
 <td>Manager에게 작업을 분담시키고 하드웨어를 제어</td>
 </tr>
 <tr>
 <td>IO Manager</td>
 <td>시스템 입출력을 제어, 장치 드라이버 사이에서 메시지 전달, 응용 프로그램이 하드웨어와 통신할 수 있는 통로를 제공</td>
 </tr>
 <tr>
 <td>Object Manager</td>
 <td>파일, 포트, 프로세스, 스레드와 같은 각 객체에 대한 정보를 제공</td>
 </tr>
 <tr>
 <td>Security Reference Manager</td>
 <td>데이터 및 시스템 자원의 제어를 허가 및 거부함으로써 강제적으로 시스템의 보안설정을 책임</td>
 </tr>
 <tr>
 <td>Process Manager</td>
 <td>프로세스 및 스레드를 생성하고 요청에 따른 작업을 처리</td>
 </tr>
 <tr>
 <td>Local Procedure Cell</td>
 <td>프로세스는 서로의 메모리 공간을 침범하지 못하기 때문에 프로세스 간에 통신이 필요한 경우 이를 처리하는 장치</td>
 </tr>
 <tr>
 <td>Virtual Memory Manager</td>
 <td>응용 프로그램의 요청에 따라 RAM 메모리를 할당, 가상 메모리의 Paging을 제어</td>
 </tr>
 <tr>
 <td>Win 32/64 Sub System</td>
 <td>윈도우의 기본 서버 시스템, 32비트 및 64비트 응용 프로그램이 동작할 수 있도록 지원</td>
 </tr>
 <tr>
 <td>POSIX</td>
 <td>유닉스 운영체계에 기반을 두고 있는 일련의 표준 운영체제 인터페이스</td>
 </tr>
 <tr>
 <td>Security Sub System</td>
 <td>사용자가 로그인할 때 데이터를 보호하고 운영체제가 이를 제어할 수 있도록 만든 서브 시스템</td>
 </tr>
 </tbody>
</table>

윈도우 파일 시스템의 경우 FAT(File Allocation Table)와 NTFS(NT File System)를 지원한다. FAT은 과거 DOS를 기반으로 하는 파일 시스템으로 작은 파일 시스템에 사용되고 NTFS는 대용량 파일과 긴 파일명, 압축, 저널링 정보를 통한 오류 처리 등을 지원

<ul>
 <li>FAT(File Allocation Table)
 <ul>
 <li>FAT16
 <ul>
 <li>DOS와 윈도우 95의 첫 버전으로 최대 디스크 지원 용량이 2GB</li>
 <li>NTFS, FAT로 변경 및 변환 가능</li>
 </ul>
 </li>
 <li>FAT32
 <ul>
 <li>2G 이상의 파티션 지원 및 대용량 디스크 지원 기능</li>
 <li>NTFS로 변환 가능, FAT로 변경 변환은 불가</li>
 <li>사용되는 운영체제 - 윈도우 95 OSR2, 윈도우 98, 윈도우 2000, 윈도우 XP</li>
 </ul>
 </li>
 </ul>
 </li>
 <li>NTFS(NT File System)
 <ul>
 <li>기존 FAT 파일 시스템을 개선하고 윈도우 서버용으로 사용하기 위해서 개발된 파일 시스템</li>
 <li>파일 암호화 및 파일 레벨 보안 지원</li>
 <li>디스크 압축 및 파티션 단위로 쿼터</li>
 <li>FAT16이나 FAT32로 변환 불가</li>
 <li>사용되는 운영체제 - 윈도우 NT, 윈도우 2000, 윈도우 XP</li>
 <li>USN 저널
 <ul>
 <li>Update Sequence Number Journal</li>
 <li>저널링 기능을 제공하는 것으로 파일 시스템이 변경될 때 그 내용을 기록하여 복구할 수 있다</li>
 </ul>
 </li>
 <li>ADS
 <ul>
 <li>Alternate Data Stream</li>
 <li>MAC 파일 시스템과 호환성을 위해서 만든 공간으로 다중 데이터 스트림을 지원</li>
 </ul>
 </li>
 <li>Sparse 파일
 <ul>
 <li>파일 데이터가 대부분 0일 경우에 실제 데이터 기록 없이 정보를 기록하는 기능</li>
 </ul>
 </li>
 <li>파일 압축
 <ul>
 <li>LZ77의 변형된 데이터 압축 알고리즘 지원</li>
 </ul>
 </li>
 <li>VSS
 <ul>
 <li>Volume Shadow Copy Service</li>
 <li>덮어써진 파일과 디렉터리 백업을 유지하여 복구 기능을 지원</li>
 </ul>
 </li>
 <li>EFS
 <ul>
 <li>Encryting File System</li>
 <li>대칭키 기법으로 파일 데이터를 암호화</li>
 </ul>
 </li>
 <li>Quotas
 <ul>
 <li>사용자별 디스크 사용 용량을 제한 가능</li>
 </ul>
 </li>
 <li>Unicode
 <ul>
 <li>다국어 지원</li>
 </ul>
 </li>
 <li>동적 Bad 클러스터 할당
 <ul>
 <li>Bad Sector가 발생한 클러스터를 자동으로 재할당</li>
 </ul>
 </li>
 <li>대용량 지원
 <ul>
 <li>2TB가 넘는 대용량 볼륨 지원</li>
 </ul>
 </li>
 </ul>
 </li>
</ul>

<h3 id="ntfs-파일-시스템-구성">NTFS 파일 시스템 구성</h3>
<ul>
 <li>VBR(Volume Boot Record) 
NTFS 파일 시스템의 제일 처음에 있는 것으로 부트섹터, 부트코드, NTLDR 위치 등의 정보를 가지고 있다. VBR의 부트섹터는 섹터 0번에 존재한다.</li>
 <li>MFT(Master File Table) 
NTFS의 메타정보, 파일 및 디렉터리 등의 정보를 관리하는 파일로 파일 위치, 속성, 시간정보, 파일명, 크기 등의 정보를 가지고 있다.</li>
 <li>Data Area</li>
</ul>

<h3 id="윈도우-인증-시스템">윈도우 인증 시스템</h3>
winlogon은 내부적으로 <code class="language-plaintext highlighter-rouge">megina.dll</code>이라는 GINA 프로그램을 구동시키며 검증을 위해서 아이디를 LSA에 전달한다. NTLM 값과 SAM에 저장된 NTLM 값을 비교하여 같으면 SRM에게 권한을 부여한다.

인증 프로세스 구성요소
<ul>
 <li>Winlogon 
윈도우 로그인 프로세스. 윈도우 시작 시 자동으로 초기화되어 실행</li>
 <li>GINA(msgina.dll) 
Winlogon은 <code class="language-plaintext highlighter-rouge">msgina.dll</code>을 로딩하여 사용자가 입력한 계정과 암호를 LSA에게 전달</li>
 <li>LSA(Local Security Authority, lsass.exe에서 관리) 
모든 계정의 로그인에 대한 검증 
시스템 자원 및 파일 등에 대한 접근 권한을 검사 
계정과 암호를 검증하기 위해서 NTLM(암호화) 모듈을 로딩하고 계정을 검증 
SRM이 작성한 감사로그를 기록</li>
 <li>
 SAM(Security Account Manager) 
사용자 계정 정보(해시 값)에 저장 
사용자의 로그인 입력 정보와 SAM 데이터베이스 정보를 비교하여 인증 여부를 결정하도록 해준다.

리눅스의 <code class="language-plaintext highlighter-rouge">/etc/shadow</code> 파일과 같은 역할을 수행
 </li>
 <li>SRM(Security Reference Monitor) 
SAM이 사용자의 계정과 패스워드가 일치하는 지를 확인하여 SRM에게 알려주면 SRM은 사용자에게 고유의 SID를 부여하고 SID에 권한 부여</li>
</ul>

<h3 id="윈도우-실행-프로세스">윈도우 실행 프로세스</h3>
윈도우 운영체제 관련 프로세스는 wininit.exe, services.exe, lsm.exe, winlogon.exe 등이 있으며 C:\windows\system32 폴더에 위치한다.

<table>
 <thead>
 <tr>
 <th>프로세스</th>
 <th>설명</th>
 </tr>
 </thead>
 <tbody>
 <tr>
 <td>wininit.exe</td>
 <td>윈도우 시작 프로그램</td>
 </tr>
 <tr>
 <td>services.exe</td>
 <td>윈도우 서비스 관리</td>
 </tr>
 <tr>
 <td>lsm.exe</td>
 <td>Local Session Manager 시스템 관리 작업, 주요 함수 실행, 호스트 컴퓨터와 서버의 연결을 관리</td>
 </tr>
 <tr>
 <td>lsass.exe</td>
 <td>Local Security Authority Subsystem Service 사용자 로그인 검사, 비밀번호 변경 관리, 액세스 토큰 생성 Windows Security Log를 작성</td>
 </tr>
 <tr>
 <td>svchost.exe</td>
 <td>서비스를 관리하기 위한 프로세스</td>
 </tr>
 <tr>
 <td>conhost.exe</td>
 <td>키보드, 마우스 입력 허용, 문자 출력, 콘솔 API 등 셀의 기본 기능 수행</td>
 </tr>
 </tbody>
</table>

<ul>
 <li>Users : 기본적인 권한은 가지고 있지 않지만 Domain Users 글로벌 그룹이 구성원으로 포함되어 있음</li>
 <li>Account Operators : 서버 관리자를 사용하여 컴퓨터를 도메인 추가 가능하며, 사용자 계정, 그룹의 생성 및 삭제, 수정할 수 있는 권한을 가지고 있다</li>
 <li>Printer Operators : 도메인 컨트롤러에 있는 프린터를 생성 및 관리</li>
 <li>Server Operators : 도메인 컨트롤러에 있는 자원을 공유하거나 폴더를 백업하고 복구</li>
</ul>

유니버설 그룹은 복수의 도메인 환경에서 상호 관련되어 있는 자원에 대한 허가를 부여할 때 주로 사용한다. 도메인 내의 로컬 그룹과 유니버설 그룹의 구성원이 될 수 있다. 성능 저하를 초래할 수 있으므로 꼭 필요할 때에만 사용해야 한다.

유니버설 그룹 계정

<ul>
 <li>Administrators
 <ul>
 <li>해당 컴퓨터의 모든 관리 권한과 사용 권한을 보유</li>
 <li>기본적으로 Administrator가 사용자 계정과 Domain Admins를 포함</li>
 </ul>
 </li>
 <li>Users
 <ul>
 <li>기본적인 권한은 갖지 않음</li>
 <li>컴퓨터에서 생성되는 로컬 사용자 계정 포함</li>
 <li>Domain Users 글로벌 그룹이 구성원으로 포함</li>
 </ul>
 </li>
 <li>Guest
 <ul>
 <li>관리자에 의해 허락된 자원과 권한만을 사용하여 네트워크 자원에 접근 가능</li>
 </ul>
 </li>
 <li>Backup Operators
 <ul>
 <li>Windows 백업을 이용하여 모든 도메인의 컨트롤러에 있는 파일과 폴더를 백업하고 복구할 수 있는 권한이 있다</li>
 </ul>
 </li>
 <li>Power Users
 <ul>
 <li>컴퓨터에서 로컬 사용자 계정을 생성하고 수정할 수 있는 권한을 갖고 있으며 자원을 공유하거나 멈출 수 있다</li>
 <li>시스템에 대한 전체 권한은 없지만 시스템을 관리할 수 있는 권한이 부여된 그룹</li>
 </ul>
 </li>
</ul>

<h3 id="공유-파일">공유 파일</h3>
윈도우의 공유 폴더 기능은 자신의 컴퓨터에 잇는 폴더를 다른 컴퓨터와 공유할 수 있는 기능으로 자료를 같이 공유하면서 업무를 처리할 때 아주 유용한 기능이다. 하지만, 정보보안에서는 공유 폴더를 통해서 악성코드를 유포하거나 시스템 정보를 획득할 수 있기 때문에 삭제를 권고한다.

<ul>
 <li>공유 폴더 목록 확인 : net share
 <ul>
 <li>IPC$ : 네트워크 프로그램 간에 통신을 위해서 파이프를 사용하고 네트워크 서버 원격관리를 위해서 사용</li>
 </ul>
 </li>
 <li>공유 폴더 삭제 : /delete</li>
</ul>

윈도우 시스템

윈도우 운영체제는 과거 단일 사용자 운영체제인 DOS로부터 시작되어 GUI(Graph User Interface) 환경 및 다중 사용자, 다중 프로세스 구조를 지원하는 운영체제이다. 윈도우는 손쉬운 사용자 인터페이스로 개인용 PC에서 많이 사용된다.

윈도우 운영체제는 다양한 하드웨어를 자동으로 인식하여 사용할 수 있는 Plug & Play 기능을 지원한다. Plug & Plag 란 하드웨어를 표준화된 인터페이스를 통해서 개발하면 윈도우의 HAL(Hardware Abstraction Layer) 계층이 하드웨어를 인식하는 기능이다. 이러한 하드웨어는 윈도우의 운영체제에 해당되는 Micro Kernel이 관리하게 된다

구성 내용	세부 내용
HAL (Hardware Abstraction Layer)	새로운 하드웨어가 개발되어 시스템에 장착되어도 드라이버 개발자가 HAL 표준을 준수하면, 파드웨어와 시스템 간 원할한 통신이 가능
Micro Kernel	Manager에게 작업을 분담시키고 하드웨어를 제어
IO Manager	시스템 입출력을 제어, 장치 드라이버 사이에서 메시지 전달, 응용 프로그램이 하드웨어와 통신할 수 있는 통로를 제공
Object Manager	파일, 포트, 프로세스, 스레드와 같은 각 객체에 대한 정보를 제공
Security Reference Manager	데이터 및 시스템 자원의 제어를 허가 및 거부함으로써 강제적으로 시스템의 보안설정을 책임
Process Manager	프로세스 및 스레드를 생성하고 요청에 따른 작업을 처리
Local Procedure Cell	프로세스는 서로의 메모리 공간을 침범하지 못하기 때문에 프로세스 간에 통신이 필요한 경우 이를 처리하는 장치
Virtual Memory Manager	응용 프로그램의 요청에 따라 RAM 메모리를 할당, 가상 메모리의 Paging을 제어
Win 32/64 Sub System	윈도우의 기본 서버 시스템, 32비트 및 64비트 응용 프로그램이 동작할 수 있도록 지원
POSIX	유닉스 운영체계에 기반을 두고 있는 일련의 표준 운영체제 인터페이스
Security Sub System	사용자가 로그인할 때 데이터를 보호하고 운영체제가 이를 제어할 수 있도록 만든 서브 시스템

윈도우 파일 시스템의 경우 FAT(File Allocation Table)와 NTFS(NT File System)를 지원한다. FAT은 과거 DOS를 기반으로 하는 파일 시스템으로 작은 파일 시스템에 사용되고 NTFS는 대용량 파일과 긴 파일명, 압축, 저널링 정보를 통한 오류 처리 등을 지원

FAT(File Allocation Table)
- FAT16
  - DOS와 윈도우 95의 첫 버전으로 최대 디스크 지원 용량이 2GB
  - NTFS, FAT로 변경 및 변환 가능
- FAT32
  - 2G 이상의 파티션 지원 및 대용량 디스크 지원 기능
  - NTFS로 변환 가능, FAT로 변경 변환은 불가
  - 사용되는 운영체제 - 윈도우 95 OSR2, 윈도우 98, 윈도우 2000, 윈도우 XP
NTFS(NT File System)
- 기존 FAT 파일 시스템을 개선하고 윈도우 서버용으로 사용하기 위해서 개발된 파일 시스템
- 파일 암호화 및 파일 레벨 보안 지원
- 디스크 압축 및 파티션 단위로 쿼터
- FAT16이나 FAT32로 변환 불가
- 사용되는 운영체제 - 윈도우 NT, 윈도우 2000, 윈도우 XP
- USN 저널
  - Update Sequence Number Journal
  - 저널링 기능을 제공하는 것으로 파일 시스템이 변경될 때 그 내용을 기록하여 복구할 수 있다
- ADS
  - Alternate Data Stream
  - MAC 파일 시스템과 호환성을 위해서 만든 공간으로 다중 데이터 스트림을 지원
- Sparse 파일
  - 파일 데이터가 대부분 0일 경우에 실제 데이터 기록 없이 정보를 기록하는 기능
- 파일 압축
  - LZ77의 변형된 데이터 압축 알고리즘 지원
- VSS
  - Volume Shadow Copy Service
  - 덮어써진 파일과 디렉터리 백업을 유지하여 복구 기능을 지원
- EFS
  - Encryting File System
  - 대칭키 기법으로 파일 데이터를 암호화
- Quotas
  - 사용자별 디스크 사용 용량을 제한 가능
- Unicode
  - 다국어 지원
- 동적 Bad 클러스터 할당
  - Bad Sector가 발생한 클러스터를 자동으로 재할당
- 대용량 지원
  - 2TB가 넘는 대용량 볼륨 지원

NTFS 파일 시스템 구성

VBR(Volume Boot Record)
NTFS 파일 시스템의 제일 처음에 있는 것으로 부트섹터, 부트코드, NTLDR 위치 등의 정보를 가지고 있다. VBR의 부트섹터는 섹터 0번에 존재한다.
MFT(Master File Table)
NTFS의 메타정보, 파일 및 디렉터리 등의 정보를 관리하는 파일로 파일 위치, 속성, 시간정보, 파일명, 크기 등의 정보를 가지고 있다.
Data Area

윈도우 인증 시스템

winlogon은 내부적으로 megina.dll이라는 GINA 프로그램을 구동시키며 검증을 위해서 아이디를 LSA에 전달한다. NTLM 값과 SAM에 저장된 NTLM 값을 비교하여 같으면 SRM에게 권한을 부여한다.

인증 프로세스 구성요소

Winlogon
윈도우 로그인 프로세스. 윈도우 시작 시 자동으로 초기화되어 실행
GINA(msgina.dll)
Winlogon은 msgina.dll을 로딩하여 사용자가 입력한 계정과 암호를 LSA에게 전달
LSA(Local Security Authority, lsass.exe에서 관리)
모든 계정의 로그인에 대한 검증
시스템 자원 및 파일 등에 대한 접근 권한을 검사
계정과 암호를 검증하기 위해서 NTLM(암호화) 모듈을 로딩하고 계정을 검증
SRM이 작성한 감사로그를 기록
SAM(Security Account Manager)
사용자 계정 정보(해시 값)에 저장
사용자의 로그인 입력 정보와 SAM 데이터베이스 정보를 비교하여 인증 여부를 결정하도록 해준다.

리눅스의 /etc/shadow 파일과 같은 역할을 수행
SRM(Security Reference Monitor)
SAM이 사용자의 계정과 패스워드가 일치하는 지를 확인하여 SRM에게 알려주면 SRM은 사용자에게 고유의 SID를 부여하고 SID에 권한 부여

윈도우 실행 프로세스

윈도우 운영체제 관련 프로세스는 wininit.exe, services.exe, lsm.exe, winlogon.exe 등이 있으며 C:\windows\system32 폴더에 위치한다.

프로세스	설명
wininit.exe	윈도우 시작 프로그램
services.exe	윈도우 서비스 관리
lsm.exe	Local Session Manager 시스템 관리 작업, 주요 함수 실행, 호스트 컴퓨터와 서버의 연결을 관리
lsass.exe	Local Security Authority Subsystem Service 사용자 로그인 검사, 비밀번호 변경 관리, 액세스 토큰 생성 Windows Security Log를 작성
svchost.exe	서비스를 관리하기 위한 프로세스
conhost.exe	키보드, 마우스 입력 허용, 문자 출력, 콘솔 API 등 셀의 기본 기능 수행

윈도우 계정

Users : 기본적인 권한은 가지고 있지 않지만 Domain Users 글로벌 그룹이 구성원으로 포함되어 있음
Account Operators : 서버 관리자를 사용하여 컴퓨터를 도메인 추가 가능하며, 사용자 계정, 그룹의 생성 및 삭제, 수정할 수 있는 권한을 가지고 있다
Printer Operators : 도메인 컨트롤러에 있는 프린터를 생성 및 관리
Server Operators : 도메인 컨트롤러에 있는 자원을 공유하거나 폴더를 백업하고 복구

유니버설 그룹은 복수의 도메인 환경에서 상호 관련되어 있는 자원에 대한 허가를 부여할 때 주로 사용한다. 도메인 내의 로컬 그룹과 유니버설 그룹의 구성원이 될 수 있다. 성능 저하를 초래할 수 있으므로 꼭 필요할 때에만 사용해야 한다.

유니버설 그룹 계정

Administrators
- 해당 컴퓨터의 모든 관리 권한과 사용 권한을 보유
- 기본적으로 Administrator가 사용자 계정과 Domain Admins를 포함
Users
- 기본적인 권한은 갖지 않음
- 컴퓨터에서 생성되는 로컬 사용자 계정 포함
- Domain Users 글로벌 그룹이 구성원으로 포함
Guest
- 관리자에 의해 허락된 자원과 권한만을 사용하여 네트워크 자원에 접근 가능
Backup Operators
- Windows 백업을 이용하여 모든 도메인의 컨트롤러에 있는 파일과 폴더를 백업하고 복구할 수 있는 권한이 있다
Power Users
- 컴퓨터에서 로컬 사용자 계정을 생성하고 수정할 수 있는 권한을 갖고 있으며 자원을 공유하거나 멈출 수 있다
- 시스템에 대한 전체 권한은 없지만 시스템을 관리할 수 있는 권한이 부여된 그룹

공유 파일

윈도우의 공유 폴더 기능은 자신의 컴퓨터에 잇는 폴더를 다른 컴퓨터와 공유할 수 있는 기능으로 자료를 같이 공유하면서 업무를 처리할 때 아주 유용한 기능이다. 하지만, 정보보안에서는 공유 폴더를 통해서 악성코드를 유포하거나 시스템 정보를 획득할 수 있기 때문에 삭제를 권고한다.

공유 폴더 목록 확인 : net share
- IPC$ : 네트워크 프로그램 간에 통신을 위해서 파이프를 사용하고 네트워크 서버 원격관리를 위해서 사용
공유 폴더 삭제 : /delete

Twitter Facebook LinkedIn

SG Yoo.

[정보보안기사/윈도우] 윈도우 시스템

윈도우 시스템

NTFS 파일 시스템 구성

윈도우 인증 시스템

윈도우 실행 프로세스

윈도우 계정

공유 파일

공유하기

댓글남기기

참고

[에픽게임즈/Epic Games] 시작되는 2021 에픽스토어 메가세일과 무료 배포 게임(6/11)

[에픽게임즈/Epic Games] 시작되는 2021 에픽스토어 메가세일과 무료 배포 게임(6/4)

[에픽게임즈/Epic Games] 시작되는 2021 에픽스토어 메가세일과 무료 배포 게임(5/28)

[정보보안기사/네트워크] 스푸핑(Spoofing) / 원격접속 공격