Windows 로그인을 위한 FIDO2 인증 감사

이 텍스트는 Windows 클라이언트 장치에서 FIDO2 보안 키 인증을 감사하는 방법을 설명합니다. 주로 WebAuthN 및 CTAP 프로토콜과 관련된 Windows 이벤트 로그를 분석하는 데 중점을 둡니다. 인증 이벤트는 챌린지 생성 및 응답 처리와 같은 단계를 특정 이벤트 ID에 매핑하여 추적할 수 있습니다. 이 과정에는 WebAuthN Ctap GetAssertion (ID 1003-1005) 및 Cbor encode GetAssertion 요청 (ID 1103)과 같은 이벤트를 검사하는 것이 포함되며, 여기서 Entra ID의 키 식별자를 찾을 수 있습니다. 보안 평가에 필수적인 성공 및 실패한 PIN 확인 시도는 Ctap Usb Send Receive 이벤트를 통해 추적할 수 있습니다. 마지막으로, 이 텍스트는 이러한 이벤트 내에서 CBOR 인코딩된 데이터를 파싱하여 자격 증명 ID 및 사용자 존재 정보와 같은 중요한 세부 정보를 추출하는 방법도 안내합니다.