・アカウントの探索 のバックアップ(No.5)
- バックアップ一覧
- 差分 を表示
- 現在との差分 を表示
- ソース を表示
- ・アカウントの探索 へ行く。
- 1 (2019-11-13 (水) 17:00:10)
- 2 (2019-11-13 (水) 17:00:00)
- 3 (2019-11-15 (金) 09:57:20)
- 4 (2019-11-18 (月) 11:21:21)
- 5 (2020-02-09 (日) 15:47:35)
- 6 (2020-03-19 (木) 14:54:34)
- 7 (2020-03-24 (火) 13:53:00)
- 8 (2020-03-26 (木) 14:27:16)
- 9 (2020-07-25 (土) 16:30:22)
- 10 (2020-08-12 (水) 12:31:29)
- 11 (2020-10-26 (月) 09:25:58)
- 12 (2020-10-27 (火) 11:41:06)
IPAセキュリティPT評価版?
・アカウントの探索 †
戦術 †
情報の探索
対象OS †
- Linux
- Windows
- macOS
- Office365
- AzureAD
必要なアクセス許可 †
User
概説 †
攻撃者はローカルもしくはドメインのアカウントを取得する場合があります。いずれも、OSのコマンドもしくはシェルを利用しアカウントの情報を取得できます。
緩和の方針 †
- Windowsの場合、ローカル管理者アカウントが列挙されないようにポリシー設定をします。
運用やNetworkが変更された場合の影響の有無 †
- ローカル管理者アカウント列挙のポリシーが有効にされると、攻撃者は容易にローカル管理者のIDを入手でき、クレデンシャルアクセスなどのリスクが増大します。
優先すべき措置 †
- ローカル管理者アカウントが列挙されないように設定します。
ユーザー運用管理責任 †
リスクの受容 †
- 設定しない場合、攻撃者に情報を提供するため、このリスクは受容すべきではありません。
啓発・教育 †
- 該当なし。
利用規定 †
- 該当なし。
情報システム設計開発部門・運用部門(ベンダー代行を含む) †
NWデザイン †
- 該当なし。
ポリシー †
- [コンピューターの構成]> [ポリシー]> [管理用テンプレート]> [Windowsコンポーネント]> [資格情報ユーザーインターフェイス]> [昇格時に管理者アカウントを列挙する] を [無効] にします。
- [コンピューターの構成]>[ポリシー]>[Windowsの設定]>[セキュリティの設定]>[ローカルポリシー]>[セキュリティオプション]>[ネットワーク アクセス:Everyone アクセス許可を匿名ユーザーに適用する] を [無効] にします。
- [コンピューターの構成]>[ポリシー]>[Windowsの設定]>[セキュリティの設定]>[ローカルポリシー]>[セキュリティオプション]>[ネットワーク アクセス:SAMアカウントの匿名列挙を許可しない ] を [有効] にします。
- [コンピューターの構成]>[ポリシー]>[Windowsの設定]>[セキュリティの設定]>[ローカルポリシー]>[セキュリティオプション]>[ネットワーク アクセス: SAM アカウントおよび共有の匿名の列挙を許可しない] を [有効] にします。
- [コンピューターの構成]>[ポリシー]>[Windowsの設定]>[セキュリティの設定]>[ローカルポリシー]>[セキュリティオプション]>[ネットワーク アクセス: SAM へのリモート呼び出しを許可するクライアントを制限する] を [定義する] にチェックし、[セキュリティの編集] で [Domain\Administrators] を指定し、[リモートアクセス] を [許可] します。[セキュリティ記述子]を[O:BAG:BAD:(A;;RC;;;BA)] が設定されることを確認します。
アクセスコントロール †
- 該当なし。
フィルタリング †
- 該当なし。
ロール運用 †
- 該当なし。
仮想端末運用 †
- 該当なし。
エンドポイント対策 †
- 該当なし。
受託開発ベンダー管理責任 †
セキュアコーディング †
- 該当なし。
開発環境管理 †
- ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。
サプライチェーン正常性維持" †
- ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。