내보내기(0) 인쇄
모두 확장
확장 최소화

SAM(보안 계정 관리자)

적용 대상: Windows Server 2003 with SP1

SAM(보안 계정 관리자)의 기능은 무엇입니까?

SAM(보안 계정 관리자)은 Windows Server 2003을 실행 중인 서버에 들어 있는 데이터베이스입니다. 이 데이터베이스에 로컬 컴퓨터의 사용자 계정과 보안 설명자를 저장합니다.

이 기능의 적용 대상은 누구입니까?

이 기능은 배포 환경에서 SAM 구성 요소의 작동과 관련된 문제를 해결하려는 IT 전문가에게 적용됩니다. 문제 해결을 위해 추가 도구를 다운로드해야 할 수도 있습니다. 또한 이 항목은 SAMR과 LSAR 프로토콜에 대한 사용권이 있는 개발자나 MSDN의 LSA 신뢰 응용 프로그램 인터페이스(API)를 사용하는 개발자에게 적용됩니다.

Windows Server 2003 서비스 팩 1에서 이 기능에 추가된 새로운 기능은 무엇입니까?

SAM WPP 로깅

자세한 설명

배포하는 동안 WPP(Windows 소프트웨어 추적 전처리기)를 사용하여 SAM(보안 계정 관리자) 디버그 로그를 수집할 수 있습니다. Windows 시스템이 제대로 작동하지 않는 동안 SAM 구성 요소가 수행하는 작업에 대한 정보를 수집하는 데 WPP를 사용할 수 있습니다. Microsoft 제품 지원 서비스는 사용자의 배포 환경에서 문제를 해결하기 위해 이 정보를 사용할 수 있습니다.

이 변경 사항이 중요한 이유는 무엇이며 이로 인해 줄어드는 위협은 무엇입니까?

문제가 무엇인지 판단하는 데 필요한 로그 정보가 충분할 경우 라이브 디버그 세션의 개수를 줄일 수 있습니다.

작동 방식의 차이는 무엇입니까?

다르게 작동하는 것은 아무것도 없습니다. 새 기능은 로깅을 생성하는 데 사용됩니다. 다음은 로깅을 사용하도록 하는 데 사용할 수 있는 logman 명령입니다.

logman create trace samlog -p "{f2969c49-b484-4485-b3b0-b908da73cebb}" 3
logman start samlog
rem repeat action that is interesting and that should be captured in log
logman stop samlog

ETL(확장 트랜잭션 로그)을 생성합니다. 제품 지원 엔지니어가 디버그 기호 세트를 사용하여 이 ETL을 구문 분석할 수 있습니다.

Windows Server 2003 서비스 팩 1에서 변경되거나 추가된 설정은 무엇입니까?

새 ETW(Windows용 이벤트 추적) 항목 f2969c49-b484-4485-b3b0-b908da73cebb가 존재합니다. 이 항목은 SAM 구성 요소에 대해 로깅의 사용 여부를 반영합니다. tracelog –enumguid 명령으로 작성된 아래의 출력 예제에는 새 항목이 포함되어 있습니다.

    Guid                     Enabled  LoggerId Level Flags
-----------------------------------------------------------
1046d4b1-fce5-48bc-8def-fd33196af19a     FALSE  0    0    0
5007c7b1-1444-4303-bdbe-359c79fc032a     FALSE  0    0    0
7e4b70ee-8296-4f0f-a3ba-f58ef7bb4e96     FALSE  0    0    0
77db410c-561e-4358-8b0e-af866e91bb89     FALSE  0    0    0
dd5ef90a-6398-47a4-ad34-4dcecdef795f     FALSE  0    0    0
196e57d9-49c0-4b3b-ac3a-a8a93ada1938     FALSE  0    0    0
1540ff4c-3fd7-4bba-9938-1d1bf31573a7     FALSE  0    0    0
94a984ef-f525-4bf1-be3c-ef374056a592     FALSE  0    0    0
3121cf5d-c5e6-4f37-be86-57083590c333     FALSE  0    0    0
94335eb3-79ea-44d5-8ea9-306f49b3a04e     FALSE  0    0    0
4a8aaa94-cfc4-46a7-8e4e-17bc45608f0a     FALSE  0    0    0
f33959b4-dbec-11d2-895b-00c04f79ab69     FALSE  0    0    0
8e598056-8993-11d2-819e-0000f875a064     FALSE  0    0    0
f2969c49-b484-4485-b3b0-b908da73cebb     FALSE  0    0    0
cc85922f-db41-11d2-9244-006008269001     FALSE  0    0    0
c92cf544-91b3-4dc0-8e11-c580339a0bf8     FALSE  0    0    0
bba3add2-c229-4cdb-ae2b-57eb6966b0c4     FALSE  0    0    0
8fc7e81a-f733-42e0-9708-cfdae07ed969     FALSE  0    0    0
cddc01e2-fdce-479a-b8ee-3c87053fb55e     FALSE  0    0    0
6acd39eb-4cb0-486b-83fa-307aa23767b1     FALSE  0    0    0
65f67abd-ecd2-4501-9b10-d48db2300e6c     FALSE  0    0    0
28cf047a-2437-4b24-b653-b9446a419a69     FALSE  0    0    0
fc4b0d39-e8be-4a83-a32f-c0c7c4f61ee4     FALSE  0    0    0
fc570986-5967-4641-a6f9-05291bce66c5     FALSE  0    0    0
39a7b5e0-be85-47fc-b9f5-593a659abac1     FALSE  0    0    0
dab01d4d-2d48-477d-b1c3-daad0ce6f06b     FALSE  0    0    0
58db8e03-0537-45cb-b29b-597f6cbebbfe     FALSE  0    0    0
58db8e03-0537-45cb-b29b-597f6cbebbfd     FALSE  0    0    0

SAM 및 LSA 핸들을 가로채지 못하게 방지

자세한 설명

이제 SAMR과 LSAR 프로토콜의 서버측 구현은 현재 호출자가 SamConnectLsaOpenPolicy 각각에 의해 반환된 첫 번째 핸들을 연 호출자와 동일한지 확인하는 보안 검사를 구현합니다.

SAMR(보안 계정 관리자 원격 프로시저 호출) 프로토콜은 사용자 계정 관리 및 조작 같은 원격 서비스 계정 관리 작업을 수행하는 필수 하위 시스템입니다. SAMR 인터페이스는 클라이언트에 의해 호출되는 원격 SAM(보안 계정 관리자) 메서드를 정의합니다. SamConnect는 SAM 데이터베이스에 연결하는 데 사용하는 함수입니다.

이 변경 사항이 중요한 이유는 무엇입니까?

이 변경 내용은 시스템에 권한 승격 공격을 방지하는 데 도움되는 RPC 변경 내용과 관계가 있습니다. Active Directory 인터페이스에 이 변경 사항을 구현하면 시스템을 기본적으로 더욱 안전하게 만드는 데 도움이 됩니다.

작동 방식의 차이는 무엇입니까?

응용 프로그램이 SAMR 또는 LSAR 프로토콜을 사용할 경우 수신한 각 호출에 대해 액세스 검사를 수행하여 컨텍스트 핸들을 연 클라이언트 ID가 호출한 클라이언트 ID와 동일한지 확인합니다. 응용 프로그램이 이 규칙을 사용하지 않을 경우 Windows Server 2003 SP1(SP1)을 설치한 후에 응용 프로그램은 더 이상 작동하지 않습니다.

이러한 문제를 해결하는 방법은 무엇입니까?

SAMR과 LSAR 메서드에 대한 모든 호출은 호출에 사용된 컨텍스트 핸들을 생성한 호출과 동일한 보안 컨텍스트에 들어 있어야 합니다. 그렇지 않은 경우 응용 프로그램을 수정하여 이런 요구 사항을 충족하도록 해야 합니다.

Windows Server 2003 서비스 팩 1을 사용하려면 코드를 변경해야 합니까?

대부분의 응용 프로그램은 변경할 필요가 없습니다. 그러나 응용 프로그램의 코드에서 SAMR과 LSAR 인터페이스에서 얻은 컨텍스트 핸들을 사용하는 동안 보안 컨텍스트를 전환할 경우 응용 프로그램을 수정해야 합니다. 응용 프로그램이 다음 API 중에서 일부를 사용할 경우 LsaOpenPolicy 호출과 LsaOpenPolicy에서 반환된 핸들을 사용하는 이후의 모든 Lsa API 호출 사이에 호출 보안 컨텍스트가 변경되지 않는지 응용 프로그램 개발자에게 문의하십시오.

  • LsaOpenPolicy

  • LsaQueryInformationPolicy

  • LsaSetInformationPolicy

  • LsaQueryDomainInformationPolicy

  • LsaSetDomainInformationPolicy

  • LsaEnumerateTrustedDomains

  • LsaLookupNames

  • LsaLookupNames2

  • LsaLookupSids

  • LsaEnumerateAccountsWithUserRight

  • LsaEnumerateAccountRights

  • LsaAddAccountRights

  • LsaRemoveAccountRights

  • LsaOpenTrustedDomainByName

  • LsaQueryTrustedDomainInfo

  • LsaSetTrustedDomainInformation

  • LsaDeleteTrustedDomain

  • LsaQueryTrustedDomainInfoByName

  • LsaSetTrustedDomainInfoByName

  • LsaEnumerateTrustedDomainsEx

  • LsaCreateTrustedDomainEx

  • LsaQueryForestTrustInformation

  • LsaSetForestTrustInformation

  • LsaForestTrustFindMatch

  • LsaStorePrivateData

  • LsaRetrievePrivateData

이 정보가 도움이 되었습니까?
(1500자 남음)
의견을 주셔서 감사합니다.

커뮤니티 추가 항목

추가
표시:
© 2014 Microsoft