Windows Access Control, 보안 접근 제어 개념 설명

1. Windows 보안
- 접근제어 개념
2016.06.09
황인균

2. 2
황인균
목차
 SADNBOX
 SADNBOX 구현 I – UAC
 SANDBOX 구현 II – MIC
 SANDBOX 구현 III- 접근권한 결정

3. 3
황인균
SANDBOX
 Windows 접근 제어 기본 개념
 SandBox 내부에 있는 자원의 접근은 자유롭게! SandBox 너머에 있는 파일시스템이나, 레지스트리
자원에 접근하는 것은 제어( 주로 금지)를 받는다.
이 box안에서만 자유롭게!

4. 4
황인균
SANDBOX 구현 I - UAC
주체 객체(자원)
권한정보 허용정보
프로세스
 User Account Control
 “주체”의 권한과 “객체”의 허용 정보를 기반으로 “Sandbox 너머에 있는 자원”에 접근을 제어
 Sandbox 너머에 있는 자원을 접근할때는 사용자의 승인이 있어야 한다.
사용자 승인
권한정보
SandBox

5. 5
황인균
SANDBOX 구현 II - MIC
주체 객체(자원)
권한정보
보안 레벨
허용정보
보안 레벨
프로세스
 Mandatory Integrity Control
 “주체”의 권한이 충분해도, 프로세스의 실행 파일이 악성 코드처럼 안전하지 않다면?
 모두 구성요소(주체, 프로세스, 객체)에 보안 레벨을 부여하자.
프로세스도 “실행 파일이 어디에서 왔느냐에 따라서 보안 레벨(Integrity Level)을 지정하자.“
 보안 등급이 낮은 프로세스는 보안 등급이 높은 객체에 접근할 수 없다.
실행파일(exe)
사용자 승인
권한정보
보안 레벨
등급은 충분해?
사용자는 승인했어?

6. 6
황인균
SANDBOX 구현 III – 접근 권한 결정
보안 레벨 체크
권한 체크
보안 레벨 체크 작업 속도 > 접근 권한 체크 작업 속도
해서, “보안 레벨 체크” 먼저.
두 체크 작업을 모두 통과해야 접근 권한을 획득한다.
MAC, DAC부터 좀 더 자세한 내용은…
” 01.Windows 보안(접근제어모델 리뷰) - yyyyMMdd.pptx”
(DAC, Discretionary Access Control)
(MAC, Mandatory Access Control)

7. 7
황인균
Windows 접근 제어 보안 요약
주요 보안 기능 설명 사용자 경험
UAC 최소 권한 원칙
이중 토큰
권한 승인 창
MIC 보안 레벨(Integrity Level) 기반 권한 제어 권한 승인 창
Windows Defender Windows 제공 백신 프로그램 바이러스라고 판정되면, 실행되지 않음.
Smart Screen Filters 평판 기반 보안 기술 평판 기반인 관계로 사용자에게 “경고” 또는
“알림”창을 띄우게 된다.
IE-PM(Protected Mode )
IE-EPM(Enhanced PM)
PM - 권한 제어 보안 기술
EPM – sandbox 개념의 접근 제어 기술
UAC, MIC 기반
샌드박스 외부 접근시, 경고, 알림 창
Windows Firewall PC 방화벽 IP, Port 기준의 네트워크 패킷 필터링으로
웹 요청 오류 발생