認証方法のダンプ
設定対策?
認証方法のダンプ †
戦術 †
水平展開
対象OS †
- Linux
- Windows
- macOS
必要なアクセス許可 †
- Administrator
- SYSTEM
- root
概説 †
認証情報のダンプは、OSに保存されているアカウントのIDとパスワードを取得するプロセスです。攻撃者は以下の手法を試みることが判明しています。
- オフラインで解読するための資格情報のHasデータの抽出
- 暗号化されていないプレーンテキストの抽出
- Kerberosチケットの抽出
攻撃評価 †
| 戦術分類 | 119 Value | Pen Value |
| 初期侵入 | 3 | 3 |
119 Value:Min:1 Max:3 数値が高いほど攻撃実績が多い
Pen Value:Min:1 Max:3 数値が高いほどペネトレーションテストで攻撃が成功しやすい
MITRE 緩和策 †
Active Directoryの構成 †
「ディレクトリの変更の複製」のアクセス制御リストと、ドメインコントローラーの複製に関連するその他のアクセス許可を監査します。
※ディレクトリ変更の複製の権限は以下に与えられているため、これ以外のユーザーが存在しないことを監査します。
また、Administrators, EnterpriseAdmin,DomainAdminに属する管理者を最小限にします。
| アカウント | ディレクトリの変更の レプリケート(Pull) | ディレクトリの変更を すべてにレプリケート(Push) |
| SYSTEM | 〇 | 〇 |
| Enteprise Read-Only Domain Controllers | 〇 | |
| Domain Admin | 〇 | 〇 |
| Domain Controllers | 〇 | |
| Enteprise Admin | 〇 | 〇 |
| Enterprise Key Admin | 〇 | 〇 |
| Administrators | 〇 | 〇 |
| Enteprise Domain Controllers | 〇 |
資格情報アクセス保護 †
Windows 10では、Microsoftは、Credential Guardと呼ばれる新しい保護を実装して、資格情報のダンプ形式で資格情報を取得するために使用できるLSAシークレットを保護します。デフォルトでは設定されておらず、ハードウェアおよびファームウェアのシステム要件があります。また、すべての形式の資格情報のダンプから保護するわけではありません。
オペレーティングシステムの構成 †
NTLMの無効化または制限を検討してください。
※NTLMを無効化すると、様々な影響が出ます。十分な検証をしてください。
NTLM使用ガイドの監査と制限
パスワードポリシー †
ローカル管理者アカウントには、ネットワーク上のすべてのシステムにわたって複雑で一意のパスワードを設定してください。
※ローカルの管理者アカウントのID、パスワードが共通であると、水平展開が容易になり、全社的な被害が発生します。また、アカウントロックアウト設定も併せて検討してください。
NIST Special Publication 800-63B Digital Identity Guidelines
特権アカウント管理 †
Windows
厳密に制御されない限り、システム全体のローカル管理者グループにユーザーまたは管理者ドメインアカウントを配置しないでください。これは、多くの場合、すべてのシステムで同じパスワードを持つローカル管理者アカウントを持つことに相当します。エンタープライズネットワークの設計と管理のベストプラクティスに従って、管理層全体で特権アカウントの使用を制限します。
※ローカルのAdministratorのパスワードを個別に設定するためには、Microsoft LAPSの使用を検討してく下さい。
Linux
メモリからパスワードをスクレイピングするには、ルート権限が必要です。特権アカウントへのアクセスを制限するベストプラクティスに従って、悪意のあるプログラムがこのような機密性の高いメモリ領域にアクセスするのを防ぎます。
特権プロセスの整合性 †
Windows 8.1およびWindows Server 2012 R2では、LSAのProtected Process Lightを有効にします。
追加の LSA の保護の構成 Microsoft
Windowsの新セキュリティ機能を検証する LSAの保護モードとCredential Guard JPCERT/CC
ユーザートレーニング †
ユーザーと管理者が複数のアカウントに同じパスワードを使用しないようにトレーニングすることにより、アカウントとシステム全体で資格情報の重複を制限します。
※ローカルのAdministratorsのパスワードと、ドメインユーザーのパスワードが重複すると、ドメイン全体への攻撃が容易になります。
Windows 10 STIG †
V-63797 システムは、パスワードのLAN Managerハッシュの保存を防ぐように構成する必要があります。
V-63429 可逆パスワード暗号化を無効にする必要があります。
V-63347 Windowsリモート管理(WinRM)サービスでは、基本認証を使用しないでください。
V-63335 Windowsリモート管理(WinRM)クライアントは、基本認証を使用しないでください。
V-63413 不正なログオンカウンタがリセットされるまでの時間は、15分に設定する必要があります。
V-63415 パスワード履歴は、24個のパスワードを記憶するように構成する必要があります。
V-63419 パスワードの最大有効期間は60日以下に設定する必要があります。
V-63711 暗号化されていないパスワードをサードパーティのSMBサーバーに送信しないでください。
V-63421 パスワードの最小有効期間は、少なくとも1日に設定する必要があります。
V-71769 セキュリティアカウントマネージャー(SAM)へのリモート呼び出しは、管理者に制限する必要があります。
V-71763 WDigest認証を無効にする必要があります。
V-63383 システムにシンプルTCP / IPサービスをインストールしないでください。
V-63381 システムに簡易ネットワーク管理プロトコル(SNMP)をインストールしないでください。
V-63385 Telnetクライアントをシステムにインストールしないでください。
V-63389 TFTPクライアントをシステムにインストールしないでください。
V-63669 マシンの非アクティブ制限を15分に設定して、スクリーンセーバーでシステムをロックする必要があります。
V-63423 パスワードは、少なくとも14文字でなければなりません。
V-63371 パスワードの有効期限を要求するようにアカウントを構成する必要があります。
V-63721 Windows 10は、6文字以上の最小ピン長を要求するように構成する必要があります。
V-63617 パスワードが空白のローカルアカウントは、ネットワークからのアクセスを防ぐために制限する必要があります。
V-63747 HTTP経由のRSSフィードの基本認証は使用しないでください。
V-63625 ビルトインゲストアカウントの名前を変更する必要があります。
V-63627 システムは、少なくとも証明書を使用してデバイス認証を試行する必要があります。
V-63729 パスワードをリモートデスクトップクライアントに保存しないでください。
V-63709 Edgeブラウザーのパスワードマネージャー機能を無効にする必要があります。
V-63733 リモートデスクトップサービスは、接続時に常にクライアントにパスワードを要求する必要があります。
V-63639 セキュリティで保護された発信トラフィックは、暗号化または署名する必要があります。
V-63405 Windows 10アカウントのロックアウト期間は、15分以上に構成する必要があります。
V-63409 許可される不正なログオン試行の回数は、3回以下に設定する必要があります。
V-63643 可能な場合は、安全な発信チャネルトラフィックを暗号化する必要があります。
V-63647 可能な場合は、安全な発信チャネルトラフィックに署名する必要があります。
V-63645 ユーザーは、スリープからの再開時に(バッテリーで)パスワードの入力を求められる必要があります。
V-63427 組み込みのMicrosoftパスワード複雑度フィルターを有効にする必要があります。
V-63653 コンピューターアカウントのパスワードがリセットされないようにする必要があります。
V-63661 マシンアカウントパスワードの最大有効期間は30日以下に設定する必要があります。
Windows Server 2016STIG †
V-73325 可逆パスワード暗号化を無効にする必要があります。
V-73621 パスワードが空白のローカルアカウントは、ネットワークからのアクセスを防ぐために制限する必要があります。
V-73599 Windowsリモート管理(WinRM)サービスでは、基本認証を使用しないでください。
V-73593 Windowsリモート管理(WinRM)クライアントは、基本認証を使用しないでください。
V-73687 Windows Server 2016は、パスワードのLAN Managerハッシュの保存を防ぐように構成する必要があります。
V-73497 WDigest認証を無効にする必要があります。
V-73223 ビルトインAdministratorアカウントのパスワードは、少なくとも60日ごとに変更する必要があります。
V-73309 Windows 2016アカウントのロックアウト期間は、15分以上に設定する必要があります。
V-73261 アカウントにはパスワードが必要です。
V-73263 パスワードは有効期限が切れるように設定する必要があります。
V-91779 ドメインのkrbtgtアカウントのパスワードは、少なくとも180日ごとにリセットする必要があります。
V-73311 許可される不正なログオン試行の回数は、3回以下に設定する必要があります。
V-73313 不正なログオンカウンタがリセットされるまでの時間は、15分以上に設定する必要があります。
V-73315 パスワード履歴は、24個のパスワードを記憶するように構成する必要があります。
V-73317 パスワードの最大有効期間は60日以下に設定する必要があります。
V-73319 最小パスワード有効期間は少なくとも1日に設定する必要があります。
V-73657 暗号化されていないパスワードは、サードパーティのサーバーメッセージブロック(SMB)サーバーに送信しないでください。
V-73637 [ドメインメンバー:セキュリティで保護されたチャネルデータにデジタル署名する(可能な場合)]設定を[有効]に構成する必要があります。
V-73635 [ドメインメンバー:セキュリティで保護されたチャネルデータをデジタルで暗号化する]設定(可能な場合)を有効に構成する必要があります。
V-73633 [ドメインメンバ:セキュリティで保護されたチャネルデータをデジタル的に暗号化または署名する(常に)]設定を[有効]に構成する必要があります。
V-73631 マシンアカウントのパスワードをリセットできるようにドメインコントローラーを構成する必要があります。
V-73639 コンピューターアカウントのパスワードがリセットされないようにする必要があります。
V-73321 最小パスワード長は14文字に設定する必要があります。
V-73323 組み込みのWindowsパスワード複雑度ポリシーを有効にする必要があります。
V-73641 マシンアカウントパスワードの最大有効期間は30日以下に設定する必要があります。
V-73645 マシンの非アクティブ制限を15分に設定し、スクリーンセーバーでシステムをロックする必要があります。
V-73625 ビルトインゲストアカウントの名前を変更する必要があります。
V-73231 手動で管理されるアプリケーションアカウントのパスワードは、少なくとも年1回、またはパスワードを知っているシステム管理者が退職するときに変更する必要があります。
V-73617 管理者を含むActive Directoryユーザーアカウントは、ユーザー認証にCommon Access Card(CAC)、Personal Identity Verification(PIV)準拠のハードウェアトークン、または代替ログオントークン(ALT)の使用を要求するように構成する必要があります。
V-73229 手動で管理されるアプリケーションアカウントのパスワードは、15文字以上である必要があります。
V-73567 パスワードをリモートデスクトップクライアントに保存しないでください。
V-73571 リモートデスクトップサービスは、接続時に常にクライアントにパスワードを要求する必要があります。
V-73677 セキュリティアカウントマネージャー(SAM)へのリモート呼び出しは、管理者に制限する必要があります。
V-73579 HTTP経由のRSSフィードの基本認証は使用しないでください。