[Windows 보안] 로컬 인증 시스템

1. 윈도우 인증 3대 구성요소

🔵 LSA (Local Security Authority) - 모든 계정 로그인에 대한 검증 총괄 (로컬 + 원격 포함) - 계정명과 SID를 매핑하고, SRM이 생성한 감사 로그를 기록 - 보안 서브시스템의 핵심

🟣 SAM (Security Account Manager) - 사용자/그룹 계정 정보에 대한 DB 관리 - 로그인 정보와 SAM 파일에 저장된 패스워드 해시를 비교하여 인증 여부 결정 - SAM 파일 위치: C:\Windows\system32\config\SAM - 레지스트리: HKEY_LOCAL_MACHINE\SAM

🟠 SRM (Security Reference Monitor) - 인증된 사용자에게 SID 부여 - 파일/디렉터리에 대한 접근 여부 결정 - 감사 메시지(Audit Log) 생성

 

 

2. 인증 흐름: 로컬 vs 도메인

 

📍 로컬 인증 흐름

사용자 입력 → Winlogon → LSA 서브시스템 → NTLM 모듈 → SAM DB 비교 → SRM(SID 부여) → 접근 허용

 

📍 도메인(원격) 인증 흐름

사용자 입력 → Winlogon → LSA 서브시스템 → 로컬/원격 판단 → Kerberos 프로토콜 → Domain Controller → SRM(접근 토큰 부여) → 프로세스 실행

 

 

 

3. SAM 파일 심층 분석

▶ SAM의 구조

항목	내용
저장 위치	C:\Windows\system32\config\SAM
레지스트리 경로	HKEY_LOCAL_MACHINE\SAM
저장 정보	사용자명, 패스워드 해시(NTLM), SID, 그룹 정보
암호화	Boot Key(DPAPI)로 추가 암호화
접근 제한	SYSTEM 계정만 접근 가능 (운영 중 잠금)

 

▶ SAM의 보안 메커니즘

• 패스워드는 평문이 아닌 해시(NTLM Hash) 형태로 저장
• 시스템 실행 중에는 SAM 파일이 잠겨 있어 직접 복사 불가
• LSASS(Local Security Authority Subsystem Service)를 통해서만 접근 가능