・認証情報のダンプ のバックアップ(No.2)
- バックアップ一覧
- 差分 を表示
- 現在との差分 を表示
- ソース を表示
- ・認証情報のダンプ へ行く。
- 1 (2019-11-12 (火) 16:29:27)
- 2 (2019-11-12 (火) 16:34:45)
- 3 (2019-11-13 (水) 07:23:33)
- 4 (2019-11-13 (水) 08:37:07)
- 5 (2019-11-13 (水) 10:00:02)
- 6 (2019-11-13 (水) 14:18:00)
- 7 (2019-11-15 (金) 09:56:16)
- 8 (2020-02-09 (日) 14:43:42)
- 9 (2020-02-09 (日) 15:29:24)
- 10 (2020-03-19 (木) 14:53:09)
- 11 (2020-03-24 (火) 13:51:00)
- 12 (2020-03-26 (木) 14:26:31)
- 13 (2020-07-25 (土) 16:29:18)
- 14 (2020-08-12 (水) 11:24:41)
- 15 (2020-08-30 (日) 08:28:05)
- 16 (2020-10-24 (土) 17:38:48)
- 17 (2020-10-25 (日) 11:19:06)
- 18 (2020-10-27 (火) 11:30:28)
- 19 (2020-11-06 (金) 15:32:22)
認証方法のダンプ †
戦術 †
水平展開
対象OS †
- Linux
- Windows
- macOS
必要なアクセス許可 †
- Administrator
- SYSTEM
- root
概説 †
認証情報のダンプは、OSに保存されているアカウントのIDとパスワードを取得するプロセスです。その後、資格情報を利用して、水平展開を図ります。このため、認証情報のダンプを阻止することは、被害の拡大を防ぐ重要なポイントとなります。Windowsの場合、攻撃者は以下の手法を試みることが判明しています。
- オフラインで解読するための資格情報のHashデータの抽出
- 暗号化されていないプレーンテキストの抽出
- Kerberosチケットの抽出
緩和の方針 †
認証情報のダンプにはローカルの管理者権限が必要です。また、水平展開を阻止するためには、管理者の認証情報の使いまわしの防止も有効です。 このため端末の初期導入のキッティングの際のローカル管理者の認証情報をユニークにすることを原則として、他の緩和策を付加します。
運用やNetworkが変更された場合の影響の有無 †
ローカル管理者の認証情報がユニークであることが担保されない場合、水平展開のリスクが高まります。
優先すべき措置 †
Windowsの場合、LAPSの導入でローカル管理者のパスワードをユニークにします。
ユーザー運用管理責任 †
リスクの受容 †
W優先すべき措置を講じることができない場合、このリスクは回避が困難になります。
啓発・教育 †
システム管理者に対して、認証情報のダンプ
利用規定 †
情報システム設計開発部門・運用部門(ベンダー代行を含む) †
NWデザイン †
アクセスコントロール †
フィルタリング †
ロール運用 †
仮想端末運用 †
エンドポイント対策 †
受託開発ベンダー管理責任 †
セキュアコーディング †
開発環境管理 †
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。
サプライチェーン正常性維持" †
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。