・認証情報のダンプ のバックアップ(No.4)

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• ・認証情報のダンプ へ行く。
  • 1 (2019-11-12 (火) 16:29:27)
  • 2 (2019-11-12 (火) 16:34:45)
  • 3 (2019-11-13 (水) 07:23:33)
  • 4 (2019-11-13 (水) 08:37:07)
  • 5 (2019-11-13 (水) 10:00:02)
  • 6 (2019-11-13 (水) 14:18:00)
  • 7 (2019-11-15 (金) 09:56:16)
  • 8 (2020-02-09 (日) 14:43:42)
  • 9 (2020-02-09 (日) 15:29:24)
  • 10 (2020-03-19 (木) 14:53:09)
  • 11 (2020-03-24 (火) 13:51:00)
  • 12 (2020-03-26 (木) 14:26:31)
  • 13 (2020-07-25 (土) 16:29:18)
  • 14 (2020-08-12 (水) 11:24:41)
  • 15 (2020-08-30 (日) 08:28:05)
  • 16 (2020-10-24 (土) 17:38:48)
  • 17 (2020-10-25 (日) 11:19:06)
  • 18 (2020-10-27 (火) 11:30:28)
  • 19 (2020-11-06 (金) 15:32:22)

---

IPA一般公開用? 設定対策?

認証方法のダンプ †

戦術 †

水平展開

対象OS †

• Linux
• Windows
• macOS

必要なアクセス許可 †

• Administrator
• SYSTEM
• root

概説 †

認証情報のダンプは、OSに保存されているアカウントのIDとパスワードを取得するプロセスです。その後、窃取した資格情報を利用して、水平展開を図ります。このため、認証情報のダンプを阻止することは、被害の拡大を防ぐ重要なポイントとなります。Windowsの場合、攻撃者は以下の手法を試みることが判明しています。

Windows †

• Security Account Manager(SAM)への攻撃 SAMはローカルアカウントのデータベースです。ツールを使ってSAMからハッシュされた認証情報を取得します。また、RegコマンドでレジストリからSAMをダンプします。アクセスにはAdministrator権限が必要です。
• ドメインコントローラーが利用できない場合のキャッシュログオン情報への攻撃 キャッシュログオンを実現するための DCC2(Domain Cached Credentials version 2) のハッシュを取得します。メモリ上もしくはレジストリのDCC2ハッシュはツールを使いダンプします。
• Local Security Authority (LSA) への攻撃 LSAとはローカル認証やドメイン認証を実現する認証コンポーネントの中核です。このLSAに対して、SYSTEM権限（Administrator権限より上位）でツールを使い、アクセスする事で、アカウント情報へアクセスが可能となります。
• ドメインコントローラーのNTDSへの攻撃 NTDSにはドメインのユーザー情報（認証情報、アクセス権）が保存されています。ドメインコントローラー上でツールを使うことでハッシュされた情報を取得できます。
• SSPのプレーンテキストの資格情報 上記の攻撃はハッシュされた資格情報であり、辞書攻撃やブルートフォース攻撃でハッシュ値と合致するパスワードを取得しなければならないため、容易ではありません。一方で、WindowsはHTTPアクセスの際のダイジェスト認証(Wdigest)をはじめとする様々な資格情報を保存します。これらの情報はプレーンテキストで保存されるため、AdministratorもしくはSYSTEM権限でツールを利用することでダンプが可能です。

緩和の方針 †

認証情報のダンプにはローカルの管理者権限もしくはSYSTEM権限が必要です。このため、認証情報のダンプの阻止は、ユーザーのセキュリティコンテキストが

重要ですが、被害の拡大を防止するため水平展開を阻止することが重要です。

、管理者の認証情報の使いまわしの防止も有効です。 このため端末の初期導入のキッティングの際のローカル管理者の認証情報をユニークにすることを原則として、他の緩和策を付加します。

運用やNetworkが変更された場合の影響の有無 †

ローカル管理者の認証情報がユニークであることが担保されない場合、水平展開のリスクが高まります。

優先すべき措置 †

Windowsの場合、LAPSの導入でローカル管理者のパスワードをユニークにします。

ユーザー運用管理責任 †

リスクの受容 †

優先すべき措置を講じることができない場合、このリスクは回避が困難になり、他の緩和策も代替になるとはいえないため、慎重な検討が必要です。

啓発・教育 †

システム管理者に対して、認証情報のダンププロセスを理解させるとともに、管理者の認証情報の適切な運用について討議させる。

利用規定 †

情報システム設計開発部門・運用部門（ベンダー代行を含む) †

NWデザイン †

該当なし。

アクセスコントロール †

1. ローカルAdministratorの無効化をします。

1. ローカルポリシーの設定で、ビルトインローカルAdministrator (既定：無効）を有効にしている場合は、推測が困難な他のIDに変更します。
   [コンピュータの構成]-[ポリシー]-[Windowsの設定]-[セキュリティの設定]-[ローカルポリシー]-[セキュリティオプション]-[アカウント:Administrator アカウント名の変更]-[このポリシーの設定を定義する]を有効にし新しいIDを設定する。
   この場合、[アカウント:Administrator アカウントの状態]が有効であることを確認する。
2. LSASSプロセスを保護する 資格情報を管理するLSASSプロセスへの攻撃を防御します。[グループポリシー]-[コンピュータの構成]-[基本設定]-[Windowsの設定]-[レジストリ] で [\HKLM\SYSTEM\CurrentControlSet\Control\Lsa] に値を新規に設定します。 https://docs.microsoft.com/ja-jp/windows-server/security/credentials-protection-and-management/configuring-additional-lsa-protection#BKMK_HowToConfigure
3. ドメインユーザーをローカルAdministratorグループから外す ローカルのAdministratorグループに所属しているドメインユーザーをすべて削除します。

フィルタリング †

ロール運用 †

仮想端末運用 †

エンドポイント対策 †

受託開発ベンダー管理責任 †

セキュアコーディング †

開発環境管理 †

ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。

サプライチェーン正常性維持" †

ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。

---

お名前:
題名: