悪意あるWindowsサービスの実行 のバックアップ(No.4)

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• 悪意あるWindowsサービスの実行 へ行く。
  • 1 (2019-10-12 (土) 14:46:17)
  • 2 (2019-10-12 (土) 15:21:25)
  • 3 (2019-10-12 (土) 16:58:46)
  • 4 (2019-10-14 (月) 15:07:07)
  • 5 (2019-10-25 (金) 11:56:11)
  • 6 (2019-10-25 (金) 11:58:45)

---

設定対策?

悪意あるWindowsサービスの実行 †

攻撃評価 †

119 Value:Min:1 Max:3 数値が高いほど攻撃実績が多い
Pen Value:Min:1 Max:3 数値が高いほどペネトレーションテストで攻撃が成功しやすい

MITRE 緩和策 †

特権アカウント管理 †

アクセス許可によって、上位のアクセス許可レベルで実行されるサービスが、下位のアクセス許可レベルを持つユーザーによって作成または操作されないようにしてください。

psexeを使用せずアンインストールする、もしくは -uオプションを使用しない。（Pass the Hashのおそれ、必ず管理者のコンテキストでKervberos認証されるようにする）

ファイルとディレクトリのアクセス許可を制限する †

アクセス許可レベルの高いサービスバイナリを、アクセス許可レベルの低いユーザーが置換または変更できないようにしてください。

CWE-428:引用符で囲まれていない検索パスまたは要素に該当するサードパーティ製のWindowsサービスを修正する。 空白を含むパスを正しく "C:\Program Files\abc\service.exe" ダブルクォテーションで囲まないと、プログラム C:\Program.exe 引数 file\abc\service.exe という解釈ができ、Program.exe がローカルシステムアカウントで実行できる。

Windows 10 STIG †

V-63889 認証後のクライアントの偽装ユーザー権利は、管理者、サービス、ローカルサービス、およびネットワークサービスにのみ割り当てる必要があります。

Windows 2016 STIG †

V-73785 認証後のクライアントの偽装ユーザー権利は、管理者、サービス、ローカルサービス、およびネットワークサービスにのみ割り当てる必要があります。