トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

Pass the Hash のバックアップ(No.3)

設定対策?

Pass The Hash

戦術

水平展開(横移動)

対象OS

  • Windows

必要なアクセス許可

  • User

概説

ドメインコントローラーに接続できる環境では、通常、Kerberos認証によって認証が行われますが、社外でドメインコントローラーと通信できない環境では、Windows内のSAM(Security Account Manager)データベースのハッシュ化されたパスワード情報を使い、LSA (Local Security Authority) がドメインコントローラーに代わってログオンを許可します。
攻撃者は、このパスワードのハッシュ情報をツールを使って窃取し、他のPCへのリモートログオンを試行します。万一、すべての端末のローカルの管理者のパスワードが共通である場合、たった一つのパスワードハッシュでログオンが可能となり、感染の拡大を許してしまします。
Micrsoftが提供しているLAPSなどの無償ツールを使い、ローカルの管理者のパスワードをユニークにしておけば、水平展開が困難になり一時的に封じ込めることが可能となります。

攻撃評価

戦術分類119 ValuePen Value
初期侵入33

119 Value:Min:1 Max:3 数値が高いほど攻撃実績が多い
Pen Value:Min:1 Max:3 数値が高いほどペネトレーションテストで攻撃が成功しやすい

MITRE 緩和策

パスワードポリシー

ビルトインおよび作成されたローカル管理者アカウントには、複雑で一意のパスワードを設定してください。

特権アカウント管理

システム間での資格情報の重複を制限して、資格情報の侵害による被害を防ぎ、システム間で横方向の移動を実行する敵の能力を低下させます。

ソフトウェアを更新する

Windows 7以降のシステムにパッチKB2871997を適用して、ローカル管理者グループのアカウントのデフォルトアクセスを制限します。

ユーザーアカウント制御

ネットワークログオンでローカルアカウントにUAC制限を適用するには、ハッシュ緩和策を有効にします。関連付けられたレジストリキーはHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LocalAccountTokenFilterPolicy、GPOを介して配置されます。[コンピューターの構成]> [ポリシー]> [管理用テンプレート]> [SCM]:ハッシュ緩和策を渡す:ネットワークログオンでローカルアカウントにUAC制限を適用します。

ユーザーアカウント管理

ドメインユーザーを複数のシステムのローカル管理者グループに入れないでください。

Windows 10 STIG

V-63597 ローカル管理者アカウントでは、ドメインシステム上のネットワークで昇格した特権が使用されないように、特権トークンをフィルタリングする必要があります。
V-63851 [ローカルログオンを許可する]ユーザー権利は、AdministratorsおよびUsersグループにのみ割り当てる必要があります。
V-63367 ドメイン内のシステムに標準のローカルユーザーアカウントが存在していてはなりません。
V-63371 パスワードの有効期限を要求するようにアカウントを構成する必要があります。

Windows Server 2016 STIG

V-73495 ローカル管理者アカウントでは、ドメインシステム上のネットワークで昇格した特権が使用されないように、特権トークンをフィルタリングする必要があります。
V-73567 パスワードをリモートデスクトップクライアントに保存しないでください。

Active Directory Domain STIG

V-36438 ドメインシステムのローカル管理者アカウントは、同じパスワードを共有しないでください。

Others

マイクロソフトセキュリティレスポンスセンター ローカル管理者パスワードソリューション(LAPS)の提供を開始
マイクロソフトダウンロードセンター Local Administrator Password Solution (LAPS)