・L1 コントロール
Last-modified: 2020-08-28 (金) 09:45:06
Top/・L1 コントロール
コントロールの方針 †
| ポリシー設定 | 構成方針 | 説明 |
| ローカル管理者パスワードソリューション(LAPS) | すべてのデバイスに展開 | デバイスに対する一意のローカル管理者パスワードを生成し、多くの横方向のトラバーサル攻撃を軽減します。 |
| Windows Defender ATP EDR | すべてのデバイスに展開 | Windows Defender ATP エンドポイント検出および応答(EDR)は、高度な攻撃の実用的でほぼリアルタイムの検出を提供します。EDR はセキュリティアナリストを支援し、同じ攻撃手法でアラートを集約するか、同じ攻撃者に起因するアラートをインシデントと呼ばれるエンティティに集約します。インシデントは、アナリストがアラートに優先順位を付け、違反の範囲全体をまとめて調査し、脅威に対応するのに役立ちます。Windows Defender ATP EDR は、ユーザーやアプリケーションに影響を与えることは想定されておらず、1つの手順ですべてのデバイスに展開できます。 |
| Windows Defender Credential Guard | 互換性のあるすべてのハードウェアで有効化 | Windows Defender Credential Guard は、仮想化ベースのセキュリティを使用してシークレットを分離し、特権システムソフトウェアのみがシークレットにアクセスできるようにします。これらの秘密への不正アクセスは、Pass-the-Hash や Pass-The-Ticket などの資格情報の盗難攻撃につながる可能性があります。Windows Defender Credential Guard は、NTLM パスワードハッシュ、Kerberos チケット許可チケット(TGT)、およびドメイン資格情報としてアプリケーションによって保存された資格情報を保護することにより、これらの攻撃を防ぎます。アプリケーションが NTLMv1、Kerberos DES 暗号化、Kerberos の制約のない委任、または Keberos TGT の抽出を必要とするとアプリケーションが破損するため、アプリケーションの互換性にわずかなリスクがあります。そのため、マイクロソフトでは、リングの方法論を使用して Credential Guard を展開することをお勧めします。 |
| Microsoft Edge | デフォルトブラウザ | Windows 10 の Microsoft Edgeは、Internet Explorer 11(IE11)よりも優れたセキュリティを提供します。一部のサイトとの互換性のために IE11 を活用する必要がある場合もありますが、Microsoft Edge をデフォルトのブラウザーとして構成し、それを必要とするサイトのみに IE11 にリダイレクトするエンタープライズモードサイトリストを作成することをお勧めします。マイクロソフトは、Windows Analytics またはEnterprise Site Discovery のいずれかを活用して初期のエンタープライズモードサイトリストを作成し、その後リング方式を使用してこの構成を徐々に展開することをお勧めします。 |
| Windows Defender Application Guard | 互換性のあるハードウェアで有効化 | Windows Defender Application Guard は、ハードウェア分離アプローチを使用します。従業員が Microsoft Edge または Internet Explorer のいずれかを介して信頼できないサイトにアクセスすると、Microsoft Edge は、ホストオペレーティングシステムとは別の Hyper-V によって有効化された隔離されたコンテナーでサイトを開きます。信頼されていないサイトが悪意のあるサイトであることが判明した場合、隔離されたコンテナがホスト PC を保護し、攻撃者は企業データにアクセスできません。一部のアプリケーションはホスト PC との対話を必要とする場合がありますが、Application Guard の信頼できるWebサイトのリストにはまだ含まれていない可能性があるため、アプリケーションの互換性にはわずかなリスクがあります。マイクロソフトでは、Windows Analytics または Enterprise Site Discovery を活用して初期ネットワーク分離設定を構築し、リング方法論を使用してこの構成を徐々に展開することをお勧めします。 |
| ネットワーク保護 | ネットワーク保護の構成と実施 | ネットワーク保護は、従業員がアプリケーションを使用して、フィッシング詐欺、エクスプロイト、およびインターネット上のその他の悪意のあるコンテンツをホストする可能性のある危険なドメインにアクセスするのを防ぐのに役立ちます。これは、Windows Defender SmartScreen の範囲を拡張して、低レピュテーションソース(ドメインまたはホスト名に基づく)への接続を試みるすべてのアウトバウンド HTTP トラフィックをブロックします。フラグ付きサイトでの誤検知の結果として、アプリケーションの互換性にリスクがあります。Microsoftは、Audit / Enforce Methodologyを使用して展開することをお勧めします。 |
アクション †
| 特徴 | 構成方針 | 説明 |
| OSセキュリティアップデート | リリースから7日以内にWindows品質更新プログラムを展開する | パッチのリリースから、そのパッチのリバースエンジニアリングに基づくエクスプロイトまでの期間が短縮されるにつれて、セキュリティ維持の重要な側面は、セキュリティの脆弱性に対処する品質アップデートを迅速に検証して展開するエンジニアリングプロセスを持つことです。 |
Microsoft®、Windows®、Windows® Server 2016、Windows® 10は、米国Microsoft Corporation.の米国およびその他の国における登録商標です。 その他、すべてのページに記載の会社名、製品名は、それぞれの会社の商標もしくは登録商標です。