윈도우 사용자 인증

윈도우 액티브 디렉토리에서는 다양한 방법의 사용자 인증들이 사용된다.

1. - 1980년대 후반에 발표된 Challenge/Response 기반 인증 프로토콜로, 여러가지 문제점과 취약점들이 많다. 그럼에도 하위호환성을 위해 40년이 지난 지금도 쓰이고 있다.

2. - 1980년대 MIT에서 만들어진 프로토콜이지만 윈도우와 액티브 디렉토리에는 2000년도에 적용되었다. 티켓 (Ticket) 기반의 사용자 인증을 이용한다.

3. - 2008년에 마이크로소프트사가 구현한 액티브 디렉토리를 위한 공개 키 기반 구조 (PKI - Public Key Infrastructure)다. 디지털 인증서를 기반으로 사용자 인증을 한다.

액티브 디렉토리 내에서 일반 사용자들이나 공격자들이나 NTLM과 Kerberos는 기본적으로 이용할 수 있다. ADCS는 2022년 기준 액티브 디렉토리를 구축하고 사용하고 있는 회사라면 매우 높은 확률로 구현되어 있다.

각각의 유저 인증 프로토콜들은 관련된 취약점, 잘못된 설정, 그리고 잘못된 설계 등이 존재한다. 예를 들어 NTLM은 Pass-the-Hash가 설계적으로 가능하고, NTLM 릴레이 등의 공격을 실행할 수 있다. 커버로스의 경우 Kerberoasting, AS-REP Roasting, (Un)Constrained Delegation 등의 공격이 가능하다. ADCS의 경우 ESC1~10 등의 공격이 가능하다.

액티브 디렉토리에서 일어나는 대다수의 공격은 사용자 인증 프로토콜들을 기반으로 일어나기 때문에 관련 프로토콜들에 대해 자세히 알고 있는 것이 중요하다.