・Windows の 管理者の設定 のバックアップ(No.11)

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• ・Windows の 管理者の設定 へ行く。
  • 1 (2019-11-27 (水) 13:30:54)
  • 2 (2019-11-27 (水) 13:35:11)
  • 3 (2019-11-27 (水) 13:35:54)
  • 4 (2019-12-01 (日) 10:49:12)
  • 5 (2019-12-02 (月) 10:57:39)
  • 6 (2019-12-02 (月) 13:09:54)
  • 7 (2019-12-13 (金) 09:43:15)
  • 8 (2020-02-11 (火) 16:51:06)
  • 9 (2020-02-11 (火) 17:22:33)
  • 10 (2020-02-14 (金) 13:02:05)
  • 11 (2020-02-14 (金) 14:14:39)
  • 12 (2020-03-08 (日) 15:34:34)
  • 13 (2020-03-16 (月) 10:29:45)
  • 14 (2020-03-18 (水) 16:51:19)
  • 15 (2020-03-19 (木) 14:36:00)
  • 16 (2020-03-26 (木) 14:19:24)
  • 17 (2020-07-11 (土) 14:01:03)
  • 18 (2020-07-17 (金) 15:24:05)
  • 19 (2020-07-25 (土) 14:08:36)
  • 20 (2020-07-26 (日) 09:48:19)
  • 21 (2020-08-28 (金) 09:52:11)
  • 22 (2020-08-30 (日) 14:57:52)
  • 23 (2020-10-28 (水) 16:44:20)
  • 24 (2020-11-08 (日) 11:15:45)

---

IPAセキュリティPT評価版?

Windows の 管理者の設定 †

攻撃者や悪意あるプログラムに特権昇格を許すと、被害の拡大や他の端末、サーバーへの拡散が発生します。従って、管理者権限は限定的に使用される必要があります。ここでは、Active Directory ドメイン環境における管理者の特性と対策を述べます。

ビルトイン Administrator とビルトイン Administrators †

• ビルトイン Administrator
  • ローカル管理者、ローカルAdministrator などと表現されることがあります。
  • 既定では、 UAC なしで完全な管理者権限が実行でき、リモート接続の際も UAC が適用されません。
  • アカウントロックアウト、アカウントの有効期限、パスワードの有効期限、ログオン時間が適用されません。
  • ビルトイン Administrators から削除できません。
  • Windows 10 はビルトイン Administrator は Default で無効となっており、Install の際の最初のユーザーがビルトイン Administrators に所属します。
  • Administrator の ID はグループポリシーで変更が可能です。
  • Windows Server では Default で有効となっています。
  • ドメインコントローラーの場合は、ビルトイン Administrator は存在せず、代わりにドメイン Administrator がビルトイン Administrator として機能します。

• ビルトイン Administrators
  • ローカルグループ Administrators 、もしくは Administrators に所属するユーザーを指します。
  • UAC が適用されます。
  • アカウントロックアウト、アカウントの有効期限、パスワードの有効期限、ログオン時間が適用されます。

• ビルトイン Administrator の課題
  • アカウント名が公知かつロックアウトされない
    ブルートフォース（総当たり）攻撃を受けてもアカウントがロックアウトされないため、強度の低いパスワードが設定されていると破られる可能性があります。グループポリシーでビルトイン Administrator の ID を変更する必要があります。
  • UACが規定で適用されない
    悪意あるプグラムが設定変更やリモート接続が容易となります。グループポリシーでUACの適用を行う必要があります。

ビルトイン Administrator への攻撃（水平展開） †

ローカル Administrator の ID、パスワードが全社共通 †

組織で端末やサーバーを初期設定する際に、ローカル Administrator の ID、パスワードを共通にすることがあります。これは、セッティングやサポートの管理負担を軽減するためですが、この慣習を狙い、水平展開を図る攻撃が知られています。

• 実行可能な戦術 [#h735c132] 水平展開
  共通 ID と共通パスワードが摂取できれば、他の端末、サーバーへのリモートアクセスが可能となります。
  ローカル Administrator は Default で UAC なしで接続が可能なため、こうした攻撃ベクトルを遮断する緩和策が必要です。
• 緩和策
  • ローカル Administrator のパスワードを一台ずつ、ユニークにします。Microsoft から提供されているツール LAPS (Local Administrator Password Solution) が無償で利用可能です。
  • グループポリシーで [Apply UAC restrictions to local accounts on network logons] を有効にします。これによって、ローカルアカウントにネットワーク経由でログオンする際にUACが適用されます。
    • [コンピュータの構成]>[ポリシー]>[管理用テンプレート]>[MS Security Guide]
    • ユーザー アカウント制御、Windows Vista でリモートの制限の説明: https://support.microsoft.com/ja-jp/help/951016.

ドメインユーザーがビルトイン Administrators に所属している †

ドメインユーザーがビルトイン Administrators に所属している場合、マルウェアが侵入すると、マルウェアはビルトイン Administrators で許可される行動が可能になります。例えば、レジストリの改ざんや、ビルトイン Administrators の資格情報の窃取が容易になります。資格情報の窃取に成功すると、ネットワーク情報を参照し、他の端末への接続を試みます。また、管理者権限で悪意あるプログラムのインストールが可能となり、永続性の確保や、アンチウイルスの無効化やファイルやフォルダのアクセス、改ざんが可能となります。

• 実行可能な戦術 [#h735c132] 悪意あるプログラムの実行、永続化、防御回避、資格情報へのアクセス、情報の窃取、外部送信
• 緩和策
  • ドメインユーザーは標準ユーザーとし、ビルトイン Administrators に登録をしないようにします。