2일차 : 윈도우 서버 보안

2일차 학습 범위인 **윈도우 서버 보안(PART 01 SEC 03)**은 리눅스와는 다른 윈도우만의 독특한 인증 체계와 로그 시스템을 이해하는 것이 핵심입니다. 실기 시험에서는 단답형뿐만 아니라 로그 분석형 문제로도 자주 출제됩니다.

---

1. 윈도우 인증 프로세스 (N-L-S-A)

윈도우가 사용자를 확인하는 과정을 순서대로 이해해야 합니다.

• Winlogon: 로그온 창을 띄우고 사용자 정보를 입력받음.
• GINA (또는 Credential Provider): 입력받은 정보를 전달.
• LSA (Local Security Authority): 인증의 중추. 계정의 유효성을 검사하고 접근 토큰을 생성.
• SAM (Security Accounts Manager): 사용자 계정과 비밀번호 해시값이 저장된 데이터베이스(파일 위치: %SystemRoot%\system32\config\sam).
• SRM (Security Reference Monitor): 사용자가 자원에 접근할 때 접근 권한을 최종적으로 확인.

2. 윈도우 이벤트 로그 (5대 로그)

eventvwr.msc 명령어로 확인할 수 있는 주요 로그들의 역할을 구분해야 합니다. 실기에서는 특정 상황(예: 해킹 사고)에서 어떤 로그를 확인해야 하는지 묻습니다.

• 보안(Security) 로그: 로그인 성공/실패, 권한 사용 등 보안 관련 이벤트 (가장 중요!).
• 시스템(System) 로그: 드라이버 로드 실패, 서비스 시작/중단 등 윈도우 구성 요소 이벤트.
• 응용 프로그램(Application) 로그: 설치된 소프트웨어(MS Office, 백신 등)에서 발생하는 에러나 정보.
• 디렉터리 서비스 로그: Active Directory와 관련된 이벤트.
• 파일 복제 서비스 로그: 도메인 컨트롤러 간의 파일 복제 기록.

3. 주요 보안 정책 설정

• 계정 잠금 정책: 비밀번호를 여러 번 틀렸을 때 계정을 잠그는 설정 (임계값, 잠금 기간 등).
• 감사 정책(Audit Policy): 어떤 행위(파일 접근, 로그온 등)를 로그로 남길지 결정하는 설정.
• 공유 폴더 보안: C$, ADMIN$ 같은 기본 공유 폴더의 위험성과 관리 목적의 공유 해제 방법.

---

🔍 실기형 로그 분석 포인트 (이벤트 ID)

윈도우 실기 문제에서 단골로 등장하는 **이벤트 ID(Event ID)**를 몇 개 외워두면 로그 분석 속도가 비약적으로 빨라집니다.

이벤트 ID	의미 (중요!)
4624	계정 로그인 성공 (Success)
4625	계정 로그인 실패 (Failure) - 무차별 대입 공격(Brute Force) 확인용
4634	로그오프 (Logoff)
4720	새 사용자 계정 생성 (해커의 권한 유지 수단 확인)

---

✍️ 오늘의 실전 연습:

1. 윈도우 비밀번호 정보가 담긴 파일의 이름(SAM)과 그 경로를 직접 써보세요.
2. 무차별 대입 공격을 당했을 때, 이벤트 뷰어에서 확인해야 할 이벤트 ID 번호는 무엇인가요?
3. LSA와 SAM의 역할을 한 문장으로 구분해 보세요.

알기사 교재 PART 01 SECTION 03의 "윈도우 서버 보안" 부분을 정독하시면서, 특히 이벤트 로그 분석 예시 그림들을 눈에 익혀두시는 것이 좋습니다! 공부하시다 막히는 용어 있으면 말씀해 주세요.