・Windowsタスクスケジューラ at, schtasks の悪用のバックアップ(No.2)

IPA一般公開用? 設定対策?

†

↑

戦術 †

悪意あるプログラムの実行

↑

対象OS †

Windows

↑

概説 †

atコマンド(Windows 8.1まで）や、schtasksコマンド(windows10)は、予め定めた時刻にプログラムを実行させるOS標準のツールです。これらを使い悪意あるプログラム（マルウェア）を密かに実行することが可能です。
また、AdministratorsのメンバーのID/Passwordがあればネットワーク上の他の端末に対しても同様のことが可能です。これは「ファイルとプリンターの共有」が有効な場合ですので、必要に応じて、「ファイルとプリンターの共有」を無効にすることも検討してください。
ローカルのAdministratorのID/Passwordが全社共通の場合は、LAPS (Local Administrator Password Solution) の導入を検討してください。マイクロソフトセキュリティアドバイザリ 3062591

↑

緩和の方針 †

Windowsの既定の実行権限を変更します。

↑

運用やNetworkが変更された場合の影響の有無 †

変更した認証済みアカウントの認証情報が漏洩すると、リスクが非常に高くなります。

↑

優先すべき措置 †

↑

ユーザー運用管理責任 †

↑

リスクの受容 †

該当なし

↑

啓発・教育 †

該当なし

↑

利用規定 †

変更された特権について文書化する。

↑

情報システム設計開発部門・運用部門（ベンダー代行を含む) †

↑

NWデザイン †

該当なし

↑

アクセスコントロール †

タスクの実行権限の変更 SYSTEMとして実行するのではなく、認証済みアカウントのコンテキストでタスクを実行するようにスケジュールされたタスクの設定を構成します。
関連するレジストリキーはHKLM\SYSTEM\CurrentControlSet\Control\Lsa\SubmitControlです。この設定は、GPOで構成できます。
[コンピューターの構成]> [ポリシー]> [Windowsの設定]> [セキュリティの設定]> [ローカルポリシー]> [セキュリティオプション：ドメインコントローラー：サーバーオペレーターがタスクをスケジュールできるようにします。]
docs.microsoft ドメインコントローラー：サーバーオペレーターがタスクをスケジュールできるようにします。
特権アカウント管理管理者グループに優先プロセスをスケジュールする権限のみを許可するように、[スケジュールの優先度を上げる]オプションを構成します。これは、GPOで構成できます。[コンピューターの構成]> [ポリシー]> [Windowsの設定]> [セキュリティの設定]> [ローカルポリシー]> [ユーザー権利の割り当て]：スケジュールの優先度を上げます。

docs.microsoft スケジューリング優先順位の繰り上げ

↑