[Windows] - Access Token(2)

Windows

Windows에서 주체가 객체에 접근하기 위해 사용되는 접근 권한 정보
EX) System 권한(= Linux의 root)과 유저 계정을 구별하기위해 생성되는 계정별로 SID를 준다.
Windows에 Local이나 Network를 통해 Logon하게 되면, 사용자에 대한 password를 물어보게되고
이게 대한 정보가 *SAM(In Registry)에 저장된 정보와 일치하게 되면 System에서 Logon을 허용하고
Access Token이 관리되고, 이 사용자의 접근에 Access Token이 사용되는 형식이다. 

한 가지를 예로 들면, 네이버 로그인 창에 Id 와 PW를 입력하면 쿼리를 보내 DB에 있는 정보와 사용자가
입력한 ID,PW가 맞는지 확인하고 로그인이 된 후, 그에 대한 권한을 주는것으로 생각하면 쉽게 이해 할 수 있다.

추가로 SID를 확인해보고싶다면 레지스트리에서 HKEY_USERS의 하위를 보면 확인 할 수 있다.

여기서 알 수 있는 사실은 Mitre&CK 에서 말하는 Privilefe Escalation(권한상승)이
레지스트리 value를 변경하는 것이 토큰을 활용하는 기법으로 볼 수 있다. 

 

Browser
Access Token은 Application이 API에 액세스할 수 있도록 Token기반 인증에 사용된다.
Application은 사용자가 액세스를 성공적으로 인증하고 승인한 후 access token을 받은 다음 대상 API를 
호출할때 access token을 자격 증명으로 전달한다. 

전달된 token은 token 보유자가 API에 액세스하고 권한 부여 중에 부여된 범위에 지정된 특정 작업을 수행할 권한이 있음을 API에 알린다.

---

*SAM : 암호를 비롯한 로컬 사용자 계정 및 로컬 그룹 구성원 정보가 포함되어 있다.
  Registry : HKEY_LOCAL_MACHINE\SAM 에서 확인할 수 있다.