トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

・Windows の 管理者の設定 のバックアップ(No.13)


IPAセキュリティPT評価版?

Windows の 管理者の特徴

攻撃者や悪意あるプログラムに特権昇格を許すと、被害の拡大や他の端末、サーバーへの拡散が発生します。従って、管理者権限は限定的に使用される必要があります。ここでは、Active Directory ドメイン環境における管理者の特性を述べます。

ビルトイン Administrator とビルトイン Administrators

  • ビルトイン Administrator
    • ローカル管理者、ローカルAdministrator などと表現されることがありますが、ここでは、ビルトイン Administrator といいます。
    • 既定では、 ユーザーアカウント制御(UAC) なしで完全な管理者権限が実行でき、リモート接続の際も UAC が適用されません。
      UAC.jpg

    • アカウントロックアウト、アカウントの有効期限、パスワードの有効期限、ログオン時間が適用されません。
    • ビルトイン Administrators から削除できません。
    • Windows 10 はビルトイン Administrator は Default で無効となっており、Install の際の最初のユーザーがビルトイン Administrators に所属します。
    • Administrator の ID はグループポリシーで変更が可能です。
    • Windows Server では Default で有効となっています。
    • ドメインコントローラーの場合は、ビルトイン Administrator は存在せず、代わりにドメイン Administrator がビルトイン Administrator として機能します。
  • ビルトイン Administrators
    • ローカルグループ Administrators 、もしくは Administrators に所属するユーザーを指します。
    • UAC が適用されます。
    • アカウントロックアウト、アカウントの有効期限、パスワードの有効期限、ログオン時間が適用されます。

Windows管理者への攻撃

ビルトイン Administrator へのブルートフォース攻撃(総当たり攻撃)

ビルトイン Administrator はロックアウト設定ができないため、パスワードのブルートフォース攻撃が可能です。リモートデスクトップ接続 (RDP)、PowerShell (PsSession)、PSEXECなどで実行されます。また、クラウド上の Public IPを持つコンピューターに対する RDP でのブルートフォース攻撃は頻繁に実施されることが知られています。ビルトイン Administrator 以外のコマンドラインによるリモート接続は、通常、UACが適用されるため、マルウェアによる接続を緩和することができますが、ビルトイン Administrator は適用されないため危険です。
また、NTLMハッシュが窃取された場合、オフラインで解析するという手法が知られています。この場合、8桁複雑なパスワードでも、2.5時間で解析可能だとの報告 があります。:https://www.theregister.co.uk/2019/02/14/password_length/

緩和策

以下の緩和策を設定する前に、ID として Administrator を使用したタスクスケジューラやバッチジョブへの影響を事前に調査してください。
① グループポリシーでビルトイン Administrator の ID を変更し、攻撃者から推測困難な ID に変更します。

[コンピューターの構成]>[Windows の設定]>[セキュリティの設定]>[ローカル ポリシー]>[セキュリティ オプション]>[アカウント:Administrator アカウント名の変更] で 新たなIDを設定します。

新たな ID に組織名や組織の略称を含めることは避けるべきです。また、xxxAdmin、xxxSu などの推測容易な文字列も含めることは避けるべきです。
② IDを変更したビルトイン Administrator のパスワードを少なくとも14桁以上にして、セキュリティログを定期点検しブルートフォース攻撃を検出するようにしてください。また、オフライン攻撃に備えて30桁を超える長いパスフレーズへの移行を検討します。
パスフレーズの例:「Hayabusa2 ha Chikyuu ni Kikanchuu Desu」(スペースを含み38桁)
③ ポリシーでビルトイン Administrator に対しても UAC の適用を行うよう設定します。

ビルトイン Administrator を使った水平展開

組織で端末やサーバーを初期設定する際に、ローカル Administrator の ID、パスワードを共通にすることがあります。これは、セッティングやサポートの管理負担を軽減するためですが、この慣習を狙い、水平展開を図る攻撃が知られています。共通 ID と共通パスワードが摂取できれば、他の端末、サーバーへのリモートアクセスが可能となります。

緩和策

① ローカル Administrator のパスワードを一台ずつ、ユニークにします。Microsoft から提供されているツール LAPS (Local Administrator Password Solution) が無償で利用可能です。その上で、ポリシーで [Apply UAC restrictions to local accounts on network logons] を有効にします。これによって、ローカルアカウントにネットワーク経由でログオンする際にUACが適用されます。

[コンピューターの構成]>[ポリシー]>[管理用テンプレート]>[MS Security Guide]> [Apply UAC restrictions to local accounts on network logons]

参考 ユーザー アカウント制御、Windows Vista でリモートの制限の説明:

https://support.microsoft.com/ja-jp/help/951016.
② ポリシーでビルトイン Administrator に対しても UAC の適用を行うよう設定します。

[コンピューターの構成]>[Windows の設定]>[セキュリティの設定]>[ローカル ポリシー]>[セキュリティ オプション]>[ユーザー アカウント制御: ビルトイン Administrator アカウントのための管理者承認モード] でポリシーを [有効] にします。

ドメインユーザーがビルトイン Administrators に所属している場合の攻撃

ドメインユーザーがビルトイン Administrators に所属している場合、マルウェアが侵入すると、マルウェアはビルトイン Administrators で許可される行動が可能になります。例えば、永続化のためのレジストリの改ざんや、ビルトイン Administrators の資格情報の窃取が容易になります。資格情報の窃取に成功すると、ネットワーク情報を参照し、他の端末への接続を試みます。また、管理者権限で悪意あるプログラムのインストールが可能となり、永続性の確保や、アンチウイルスの無効化やファイルやフォルダのアクセス、改ざんが可能となります。

実行可能な戦術:~

悪意あるプログラムの実行、永続化、防御回避、資格情報へのアクセス、情報の窃取、外部送信

緩和策

ドメインユーザーは標準ユーザーとし、ビルトイン Administrators にドメインユーザーを登録をしないようにします。この措置で、アプリケーションのインストールやWindowsの設定変更のたびに UAC が起動し、管理者のID、パスワードが求められるようになり、マルウェアが外部からダウンロードした新たなマルウェアのインストールを防ぎます。業務上、アプリケーションのインストールや設定変更が必要なバイ委は、ビルトイン Administrators にドメインユーザー以外のユーザーを登録し、個別にユニークなパスフレーズを設定し、必要に応じて入力することで回避します。

緩和策を実施せずリスク受容する場合の注意点

開発環境では Debug コマンドの実行のために管理者権限が必要ですし、ヘルプデスク業務でも同様に管理者権限が必要となる場合があるため、緩和策の設定が困難な場合があります。このような場合は、まず、Administrators にドメインユーザーが含まれる環境のリスクについて利用者とともに認識するとともに、対象の端末やシステムを文書化した上で、マルウェアの初期侵入経路である、リムーバブルメディアの運用制限、電子メール、Webブラウザの閲覧等の運用制限、インターネットへの接続制限、侵入検知システム、Endpoint Detection and Response等の導入の検討を行います。運用制限は必ず規程にし、実効性を担保します。
もっとも避けるべきことは、ユーザーの利便性や業務の遂行を優先し無条件にリスク受容することです。正しくリスクを利用者とともに認識し、万一、インシデントが発生した場合の事業への影響を検討したうえで、リスク受容してください。