トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

・Windowsタスクスケジューラ at, schtasks の悪用 のバックアップ(No.1)


IPA一般公開用? 設定対策?

戦術

悪意あるプログラムの実行

対象OS

  • Windows

概説

atコマンド(Windows 8.1まで)や、schtasksコマンド(windows10)は、予め定めた時刻にプログラムを実行させるOS標準のツールです。これらを使い悪意あるプログラム(マルウェア)を密かに実行することが可能です。
また、AdministratorsのメンバーのID/Passwordがあればネットワーク上の他の端末に対しても同様のことが可能です。これは「ファイルとプリンターの共有」が有効な場合ですので、必要に応じて、「ファイルとプリンターの共有」を無効にすることも検討してください。
ローカルのAdministratorのID/Passwordが全社共通の場合は、LAPS (Local Administrator Password Solution) の導入を検討してください。 マイクロソフト セキュリティ アドバイザリ 3062591

緩和の方針

schtasksの実行権限を変更するようにWindowsを構成します。 特権アカウント管理の設定を変更します。

運用やNetworkが変更された場合の影響の有無

変更した認証済みアカウントの認証情報が漏洩すると、リスクが非常に高くなります。

優先すべき措置

ユーザー運用管理責任

リスクの受容

啓発・教育

利用規定

情報システム設計開発部門・運用部門(ベンダー代行を含む)

NWデザイン

アクセスコントロール

SYSTEMとして実行するのではなく、認証済みアカウントのコンテキストでタスクを実行するようにスケジュールされたタスクの設定を構成します。
関連するレジストリキーはHKLM\SYSTEM\CurrentControlSet\Control\Lsa\SubmitControlです。 この設定は、GPOで構成できます。
[コンピューターの構成]> [ポリシー]> [Windowsの設定]> [セキュリティの設定]> [ローカルポリシー]> [セキュリティオプション:ドメインコントローラー:サーバーオペレーターがタスクをスケジュールできるようにします。]
docs.microsoft ドメインコントローラー:サーバーオペレーターがタスクをスケジュールできるようにします。

フィルタリング

ロール運用

仮想端末運用

エンドポイント対策

受託開発ベンダー管理責任

セキュアコーディング

開発環境管理

サプライチェーン正常性維持"