・認証情報のダンプのバックアップ(No.5)

IPA一般公開用? 設定対策?

認証方法のダンプ †

↑

戦術 †

認証情報アクセス

↑

対象OS †

Linux
Windows
macOS

↑

必要なアクセス許可 †

Administrator
SYSTEM
root

↑

概説 †

認証情報のダンプは、OSに保存されているアカウントのIDとパスワードを取得するプロセスです。その後、窃取した資格情報を利用して、情報の収集や水平展開を図ります。このため、認証情報のダンプを阻止することは、被害の拡大を防ぐ重要なポイントとなります。
認証情報はOSによってHashされ安全な状態で保管され、AdministratorやSYSTEM権限でアクセスされますので、一般的な標準ユーザーの場合は安全といえます。しかし、Administrator権限でログオン中に悪意あるプログラムのインストールを招くと、Administrator権限やSYSTEM権限を取得されてしまい、認証情報のアクセスを許してしまうこととなります。

↑

緩和の方針 †

ユーザーのセキュリティコンテキストを標準ユーザーにすることで、認証情報のダンプを阻止します。高位の権限が必要な場合は、OSの保護機能を適用します。

↑

運用やNetworkが変更された場合の影響の有無 †

意図しない管理者権限でのアプリケーションのインストールや、電子メール、Webサイトの閲覧は悪意あるプログラムに高位の権限を与えるため、十分な管理が必要です。

↑

優先すべき措置 †

↑

Windows †

ローカルAdministrator権限を有するユーザーの監査。
互換性維持のための弱いハッシュ、暗号方式の禁止。平文パスワードの禁止。
LSASSプロセスの保護。
クレデンシャルガードの採用。

↑

ユーザー運用管理責任 †

↑

リスクの受容 †

優先すべき措置を講じることができない場合、このリスクは回避が困難になり、他の緩和策も代替になるとはいえないため、慎重な検討が必要です。

↑

啓発・教育 †

システム管理者に対して、認証情報のダンププロセスと攻撃プロセスを理解させるとともに、管理者の認証情報の適切な運用について討議させる。

↑

利用規定 †

↑

情報システム設計開発部門・運用部門（ベンダー代行を含む) †

↑

NWデザイン †

該当なし。

↑

アクセスコントロール †

ローカルAdministratorの無効化をします。

ローカルポリシーの設定で、ビルトインローカルAdministrator (既定：無効）を有効にしている場合は、推測が困難な他のIDに変更します。
[コンピュータの構成]-[ポリシー]-[Windowsの設定]-[セキュリティの設定]-[ローカルポリシー]-[セキュリティオプション]-[アカウント:Administrator アカウント名の変更]-[このポリシーの設定を定義する]を有効にし新しいIDを設定する。
この場合、[アカウント:Administrator アカウントの状態]が有効であることを確認する。
LSASSプロセスを保護します。資格情報を管理するLSASSプロセスへの攻撃を防御します。[グループポリシー]-[コンピュータの構成]-[基本設定]-[Windowsの設定]-[レジストリ] で [\HKLM\SYSTEM\CurrentControlSet\Control\Lsa] に値を新規に設定する。 https://docs.microsoft.com/ja-jp/windows-server/security/credentials-protection-and-management/configuring-additional-lsa-protection#BKMK_HowToConfigure
ドメインユーザーをローカルAdministratorグループから外すローカルのAdministratorグループに所属しているドメインユーザーをすべて削除します。
クレデンシャルガードの導入 Windows Defender Credential Guard の要件:https://docs.microsoft.com/ja-jp/windows/security/identity-protection/credential-guard/credential-guard-requirements

↑

開発環境管理 †

ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。例外はすべて文書化し、適切な監査を実施する。

↑

サプライチェーン正常性維持" †