윈도우 LSA Security Policy Database

이번에는 LSA Security Policy DB에 대해 알아본다.

앞전에 보여줬던 NT 보안 요소들 간의 관계도이다. 동그라미친 Security Policy DB를 보자.

 

이름 그대로 "보안 정책을 저장하는 저장소"이다.

로컬 시스템의 보안 정책, 계정 정보를 HKEY_LOCAL_MACHINE 의 SAM과 SECURITY에 저장한다.

 

요 안에 저장된 목록들은 아래와 같음.

 

1. 로그인 방식

2. 도메인 리스트

3. 시스템 접근 권한

4. 보안 감사 수행

5, 캐시된 도메인 로그온과 윈도우 계정 로그온 정보 저장 ( 중요한 기밀이므로 시스템 계정으로만 접근 가능.)

 

5번을 보면 접근이 불가능하다. 당연한거 겠지?? 중요한 기밀 정보이기때문에.

하지만 또 확인 하는 방법이 있지..

Psexec 를 사용하면 됨. (첨부 파일에 Psexec를 첨부해두었다.)

 

 

psexec -s -I -d c:\windows\regedit.exe 를 입력하면 시스템 계정 권한으로 Regedit 를 실행하여 

SAM과 SECURITY 폴더의 내용을 확인할 수 있다.

 

 

그리고 캐시된 도메인 로그온 정보가 무슨 말인지 좀 애매한데..

도메인 로그온 환경에서, 사용자가 도메인 서비스에 연결 되지 않을 때 특정 횟수 동안 도메인 연결 없이

기존에 하던 로그인 정보를 토대로 시스템 로그인을 허용하는 것이다.

 

즉, 네트워크가 끊기는 상황을 대비하여 이전에 성공한 로그인 정보를 캐시해 두고

일정 횟수 이상 패스워드가 맞으면 로그인 시켜주는 것.

 

보안적인 측면에서 좋지 않지만.. 네트워크 못쓸때는 아주 유용한 기능.

 

위 경로로 들어가면 로그온 캐쉬에 대한 설정을 변경할 수 있다.

0 ~ 50 사이의 횟수로 허용한다. 뭐 0으로 값을 변경시키면 허용 안하는 거죠.

 

 

출처 : 리버싱 윈도우 - 로드북