トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

・Windowsタスクスケジューラ at, schtasks の悪用 のバックアップ(No.13)


情報システム開発契約のセキュリティ仕様作成のためのガイドライン(案)?
MITRE に基づく詳細設定対策?

戦術:悪意あるプログラムの実行

概説

at コマンド(Windows 8.1まで)や、schtasks コマンド(windows10) は、予め定めた時刻にプログラムを実行させるOS標準のツールです。これらを使い悪意あるプログラム(マルウェア)を密かに起動することが可能です。
また、AdministratorsのメンバーのID/Passwordがあればネットワーク上の他の端末に対しても同様のことが可能です。これは「ファイルとプリンターの共有」が有効な場合ですので、必要に応じて、「ファイルとプリンターの共有」を無効にすることも検討してください。ローカルのAdministratorのID/Passwordが全社共通の場合は、大規模な水平展開が可能となります。

緩和の方針

  • タスクスケジューラーの既定の実行権限(管理者特権)をより低いものに変更することを検討します。
    ・タスクスケジューラのポリシー設定を参照してください。
  • ローカルのAdministratorのID/Passwordが全社共通の場合は、LAPS (Local Administrator Password Solution) の導入を検討します。 ロール運用を参照してください。

運用やNetworkが変更された場合の影響の有無

変更した認証済みアカウントの認証情報が漏洩すると、リスクが非常に高くなります。

優先すべき措置

認証済みアカウントのコンテキストでタスクを実行するようにスケジュールされたタスクの設定を構成します。
タスクスケジューラの登録を監査します。

ユーザー運用管理責任

リスクの受容

該当なし

啓発・教育

該当なし

利用規定

タスク登録を文書化する。 タスクスケジューラの監査規定。
イベントログ「Microsoft-Windows-TaskScheduler/Operational」で、イベントID 106 [タスクが登録されました] を調査し、文書化された登録タスク以外のタスクを検索します。

情報システム設計開発部門・運用部門(ベンダー代行を含む)

ポリシー

・タスクスケジューラのポリシー設定

NWデザイン

該当なし

アクセスコントロール

フィルタリング

該当なし

ロール運用

端末のローカルの管理者のID/パスワードが同一の場合、水平展開に悪用されるリスクが高まるので、この場合は、状況を文書化の上、LAPS (Local Administrator Password Solution) の導入を検討してください。

仮想端末運用

該当なし

エンドポイント対策

該当なし

受託開発ベンダー管理責任

セキュアコーディング

該当なし

開発環境管理

ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。

サプライチェーン正常性維持"

ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。