・管理インターフェースの保護 のバックアップ(No.10)
- バックアップ一覧
- 差分 を表示
- 現在との差分 を表示
- ソース を表示
- ・管理インターフェースの保護 へ行く。
- 1 (2019-11-26 (火) 10:19:11)
- 2 (2019-11-26 (火) 10:24:04)
- 3 (2019-11-26 (火) 10:24:22)
- 4 (2019-11-26 (火) 10:25:08)
- 5 (2019-12-11 (水) 13:00:07)
- 6 (2019-12-11 (水) 15:01:50)
- 7 (2019-12-11 (水) 17:29:48)
- 8 (2019-12-11 (水) 17:43:29)
- 9 (2019-12-12 (木) 10:07:29)
- 10 (2019-12-12 (木) 12:02:46)
- 11 (2019-12-18 (水) 10:34:30)
- 12 (2020-02-16 (日) 10:17:06)
- 13 (2020-03-16 (月) 10:54:58)
- 14 (2020-03-19 (木) 14:38:00)
- 15 (2020-07-17 (金) 15:52:07)
- 16 (2020-07-25 (土) 14:48:06)
- 17 (2020-09-17 (木) 09:44:07)
- 18 (2020-11-08 (日) 11:16:30)
IPAセキュリティPT評価版?
基本的な考え方 †
Microsoft は、Pass The Hash に対抗するための封じ込めモデルを提唱しています。これは攻撃者に対する管理者の露出を制限することで、重要資産にアクセスできる特権の窃取を防ぐ狙いがあります。
そのため、重要資産やアカウントの洗い出しを行い、緩和策を設定します。緩和策が設定できない場合は、監査によって被害が発生していないかを検知します。
ネットワークレイヤーの分離 †
情報資産をレイヤーで分け、各層のネットワークと管理端末、アカウントの分離を行います。
Tier | 管理者グループ | 管理対象 | 禁止されている接続先 |
0 | Domain Admin | ドメインコントローラー Radius等の認証を行うサーバー | Tier 1, Tier 2 |
1 | Member Server Admin | 業務サーバー | Tier 0, Tier 2 |
2 | Workstation Admin | 業務端末 | Tier 1, Tier 2 |
各レイヤーの設定 †
- 各層のネットワーク
- セグメント化する
- 管理端末は同じ居室に設置するか、VLANで接続する
- 各層の管理者
- IDはすべてユニークにする(層をまたいで同じIDを使用しない)
- 物理的な多要素認証を採用する
- ロール権限を最小にする
- 各層の管理端末
- 端末緩和設定 を参照?
管理すべき対象と緩和策 †
管理者、重要資産にアクセスできる関係者 †
通常の動作を特定し、誰がどのようなリソースにアクセスできるかを特定します。次に、各アカウントで、資格情報の窃取やランサムウェアの被害を受けた場合を想定し、適切な緩和策を検討します。
- 厳重に管理すべきセキュリティグループ、管理者、従業員アカウント
- Domain Admin
- Enterprise Admin
- Schema Admin
- Account Operators
- Backup Operators
- BUILTIN\Administrator
- ハイパーバイザー管理者
- アプリケーション管理システム、アンチウイルス管理システムなどの管理者
- ソフトウェアのインストール、アップデート、バックアップのためのサービスアカウント
- セキュリティスキャンに使用するサービスアカウント
- 共有ローカル管理者アカウント
- 付加価値の高いビジネス資産へのアクセス権を持っているアカウント
- メールシステム
- ファイル共有
- SharePoint、DropBox、VOXなどのコンテンツ管理システム
- File Server、オンラインバンキング端末などの重要なインフラ
- 経営幹部
- 研究者
- 経理・財務担当者
- 秘書
特権アカウントを使用することが想定される端末 †
- ヘルプデスクなどのサポートに使用されるコンピュータ
- バッチ処理管理サーバー
- セキュリティスキャナ
- RDP を使用する端末
- PS Remotting を使用する端末
- Debugツール、開発環境を使用する端末
端末緩和設定 †
- クリーンセットアップされたものに限定する
- BitLockerによる暗号化
- リムーバブルメディア、スマートフォン等の接続の禁止
- 明示的に必要なポート以外はすべて着信接続を拒否する
- すべてのインターネットアクセスをブロックする、もしくはポートを最小限にし、可能な場合、IPアドレスを制限する
- 管理に不要なアプリケーションのアンインストール
- Wi-Fiでの802.1x PEAP-TLS による端末認証
- Web、電子メールの閲覧の禁止、Office、PDFの閲覧の禁止
- グループポリシー
- ネットワーク経由でのコンピュータへのアクセス拒否
- バッチジョブとしてログオンを拒否
- サービスとしてログオンを拒否
- リモートデスクトップ経由のログオンを拒否
監査 †
着目点 †
- アカウントが使用された場所(発信元または宛先)。
- 認証実行時(ユーザーが休暇中、休暇中、勤務時間外など)。
- 異常なアカウントの作成(たとえば、プロビジョニング・システムの外部で作成されたドメイン・アカウント、またはサーバー上で作成されたローカル・アカウント)。
- アカウントを使用した異例のアクティビティ(たとえば、設定の変更や認証ポリシーの失敗)。
- 既知または未知の悪意のある実行可能ファイルの検出。
- 同じホストから使用される、無関係な複数の重要なアカウント(たとえば、同じホストから使用されるドメイン管理者認証情報とサービス・アカウント)。
- 異なる所有者の複数のアカウントが、同じセッション内の同じコンピュータから短時間で認証を行う。
- 重要なオブジェクトの修正(たとえば、Domain Admins のメンバーシップの変更)。
- VPN などの境界アクセスに使用されるアカウントと、リソースへのアクセスに使用されるアカウントの不一致。
イベントログ †
監視対象のコンピュータ †
- [Windowsログ]>[Security]
- Event ID 4688 新しいプロセスが作成されました。
- Event ID 4648 明示的な資格情報を使用してログオンが試行されました。
- Event ID 4624 アカウントが正常にログオンしました。
ドメインコントローラー †
- [Windowsログ]>[Security]
- Event ID 4769 Kerberos サービス チケットが要求されました。
- Event ID 4768 Kerberos 認証チケット (TGT) が要求されました。
- Event ID 4766 SIDの履歴をアカウントに追加できませんでした。
- [アプリケーションとサービスログ]>[Microsoft]>[Windows]>[Authentication]>[ProtectedUserFailures-DomainController]
- Event ID 100 NLTM usage attempted.
- Event ID 104 DES or RC4 attempted for Kerberos Authentication.
- [アプリケーションとサービスログ]>[Microsoft]>[Windows]>[Authentication]>[AuthenticationPolicyFailures-DomainController]
- Event ID 101 – NTLM usage attempted.
- Event ID 105 – Kerberos authentication from a particular device was not permitted.
- Event ID 106 – The user or device was not allowed to authenticate to the server.
- Event ID 305 – Kerberos TGT request did not meet access control restrictions.
- Event ID 306 – User, device or both do not meet the access control restrictions.
- [アプリケーションとサービスログ]>[Microsoft]>[CodeIntegrity]
- Event ID 3065 プロセス (通常は lsass.exe) が共有セクションのセキュリティ要件を満たしていない特定のドライバーの読み込みを試行したことを、コードの整合性チェックによって特定したことを記録します。 ただし、設定されたシステム ポリシーのために、イメージの読み込みは許可されました。
- Event ID 3066 プロセス (通常は lsass.exe) が Microsoft 署名のレベル要件を満たしていない特定のドライバーの読み込みを試行したことを、コードの整合性チェックによって特定したことを記録します。 ただし、設定されたシステム ポリシーのために、イメージの読み込みは許可されました。
異常が発見された場合の対処 †
コマンドラインインターフェースの監査 †
グループポリシーの[コンピュータの構成]>[ポリシー]>[管理用テンプレート]>[システム]>[プロセス作成の監査]>[プロセス作成イベントにコマンドラインを含める] を [有効] に設定します。
その後、Security ログの Event ID 4688 を調査し、コマンドラインで実行されたコマンドと引数を調査します。
注意:コマンドライン引数には、パスワードや個人情報が含まれます。Security ログを読み取れるユーザーによる個人情報の漏洩に留意し、一時的な設定としてください。
侵害が発見された場合 †
- パスワードの変更
- Active Directoryドメインサービスでパスワードを変更します。
- コンピュータアカウントの資格情報をリセットします。
- この設定を施しても共有や名前付きパイプはログオンセッションが終了するまでは有効です。
- 攻撃者に検出を通知します。キーロガー等が仕掛けられている場合、再度、パスワードを窃取される可能性があります。
- コンピュータにインストールされているマルウェアが再度、攻撃を実施する可能性があります。
- アカウントの削除
- Active Directoryドメインサービスでアカウントを無効にします。
- グループのメンバーシップはハードコーディングされたセキュリティトークンです。そのトークンですでに実行されているプロセスは、セキュリティグループから削除された後も、アカウントの元の権限で実行されます。
- 攻撃者に検出を通知します。
- Active Directoryドメインサービスでアカウントを無効にします。
- ドメインコントローラーが侵害された場合 KRNTGTパスワードハッシュが摂取されている可能性があるため、KRBTGTアカウントのリセットが必要です。
管理インターフェイスを保護する: https://www.ncsc.gov.uk/blog-post/protect-your-management-interfaces