160201 두번째강의

post by WHITEHATS

웹기반 정보보안 엔지니어 과정 160201 두번째강의

3. 계정

     • 로컬과 도메인

     • sam파일에는 우리가 입력한 문자와 SID가 저장

     • 계정생성시 홈폴더 자동 생성 (C:users)

     • 계정 표현 방법

     - User Logon name : 계정명(administrator)

     - Pre windows 2000 logon name : 호스트명\계정명(kvm200\administrator)

     •계정 확인 -> 윈도우 버전마다 제공하는 목록 다름 (홈에디션에는 로컬 사용자 및 그룹 이딴거엄씀)

     - GUI : 컴퓨터 관리(compmgmt.msc)-> 컴퓨터매니지먼트 약자(msc는 관리도구 확장자)

     - 로컬사용자 및 그룹(lusrmgr.msc)

     - CLI : net user (cls : 싹 지우기, net /? : net명령어의 도움말)

             : net user administrator 치면 어드민의 상세정보 제공

     •접속중인 사용자 및 SID 확인- whoami /user

     •모든 사용자 계정의 SID 확인- wmic useraccount get name,sid

     •SID 구성 (SID는 컴퓨터가 사용하는 계정이다.)

     - S: 다음 문자열이 SID 임을 명시

     - R(Revision) : 보정값(예약)

     - I-A(Identifier Authority) : 권한 및 하위 권한 식별

      (모든 윈도우 운영체제는 SRIA값이 같다)

     - S(Sub Authorities) : Machine ID, RID 등 중요 식별 정보 포함

          - Machine ID(Domain ID) : 로컬 컴퓨터나 도메인의 식별 값

          - RID(Relative ID) : 개체 식별 값

               - Administrator : 500

               - Guest : 501

               - 일반 사용자 계정 : 1000이상

               - RID는 재사용 되지 않음

     •Windows 로그인

     - 계정 및 암호 입력- 입력된 정보와 저장된 정보 비교

     - 정보가 동일하면 access token 발급 후 로그온

     •Access Token

     - 로그온 사용자에 대한 정보를 담고 있는 임시 식별 값

     - SID, 소속 그룹, 권한 등

     •관리 도구

     - GUI : 컴퓨터 관리(compmgmt.msc) → 로컬 사용자 및 그룹(lusrmgr.msc)

     - Home edition에서는 지원하지 않음

     - CLI : 실행 → cmd(관리자 권한 실행) → net user

     •계정 생성

     - GUI : 로컬 사용자 및 그룹 → 사용자 우 클릭 → 새 사용자

     - CLI : net user 계정이름 * /add]

     •옵션

     - 다음 로그온 할 때 반드시 암호 변경 : 체크 시 다음 로그온 할때 암호 변경해야 로그온 가능, 로그온 후 자동으로 체크 해제

     - 암호 변경할 수 없음 : 공개된 계정, 서비스 계정에 설정

     - 암호 사용 기간 제한 없음 : 공개된 계정, 서비스 계정에 설정

     - 계정 사용 안 함 : 장기간 접속하지 않는 사용자 계정에 설정

     - CLI 환경에서는 ‘net user /help’ 명령어를 이용하여 확인

     (일반적으로 2번째 3번째만 체크해서 사용)

     (CLI환경에서 중관호는 필수로 입력하라는 것이다)

     •계정 수정

     - 사용자 계정 우 클릭 → 속성- 각 탭마다 설정된 것을 확인하고 수정

     - ‘net user 계정명’ 명령어를 이용하여 계정 정보 확인

     - ‘net user 계정명 [수정 옵션]’ 명령어를 이용하여 계정 정보 수정

     - 권한 있는 사용자면 암호를 몰라도 옵션 및 암호 수정 가능

     •계정 실습 정답

     C:\>net user idtest * /add /active:no /expires:16/02/21 /workstations: 200.200.200.82 (계정활성화 해줘야댕)

     •그룹

     - 비슷한 객체의 논리적인 집합

     - 권한을 편리하게 할당하기 위하여 사용

     - 하나의 그룹에 소속된 계정은 그룹의 권한을 그대로 상속 받음

     - 윈도우 설치 시 기본 그룹이 생성되며 기본 그룹에는 시스템에 대한 권한이 할당되어 있음

     •관리 도구

     - GUI : 컴퓨터 관리(compmgmt.msc) → 로컬 사용자 및 그룹(lusrmgr.msc)- Home edition에서는 존재하지 않는다.

     - CLI : net localgroup

4. Permission

 •Permission

     - 사용자, 그룹 또는 컴퓨터가 개체에 접근하는 것을 허용 또는 거부하는 규칙

     - 개채 : 파일, 폴더, 프린터 등- ACL(접근 제어 목록)을 이용하여 규칙 설정

     •NTFS Permission

     - NTFS 파일 시스템에서 지원하는 Permission

     - FAT32 파일 시스템에서는 지원하지 않음

     •ACL(Access List)

     - 적용 대상 설정(사용자, 그룹, 컴퓨터)

     - 권한 목록 확인 후 대상 별로 허용 또는 거부 설정

     (직접설정가능한것은 일반권한),(특수권한도 줄수 있어~!@, 아래 고급탭),(허용, 거부 둘다 체크안되있으면 기본적으로 거부),(읽기는 파일의 속성을 확인,특수권한은 특성읽기, 확장특성 읽기, 사용 권한읽기),(읽기 및 실행은 파일 내용 확인)

        •Permission 실습

         - 새로운 사용자 추가 : testxxx(자신의 IP)

         - 읽기 및 실행 체크 후 특정 권한을 확인해 보고 어떤 권한이 체크되는지 확인

          (폴더 트래버스/파일실행, 폴더목록/데이터읽기, 특성읽기, 확장특성읽기, 사용권한읽기)

         - 읽기 체크 후 특정 권한을 확인해 보고 어떤 권한이 체크되는지 확인

          (폴더목록/데이터읽기, 특성읽기, 확장특성읽기, 사용권한읽기)

         - 폴더 내용 보기 체크 후 특정 권한을 확인해 보고 어떤 권한이 체크되는지 확인

          (폴더 트래버스/파일실행, 폴더목록/데이터읽기, 특성읽기, 확장특성읽기, 사용권한읽기)

         - 쓰기 체크 후 특정 권한을 확인해 보고 어떤 권한이 체크되는지 확인

          (파일만들기/데이터쓰기, 폴더만들기/데이터추가, 특성쓰기, 확장특성쓰기)

         - 수정 체크 후 특정 권한을 확인해 보고 어떤 권한이 체크되는지 확인

           (폴더 트래버스/파일실행, 폴더목록/데이터읽기, 특성읽기, 확장특성읽기, 파일만들기/데이터쓰기, 폴더만들기/데이터추가, 특성쓰기, 확장특성쓰기, 삭제, 사용권한읽기) 

하얀모자의 whitehat