・管理インターフェースの保護 のバックアップ(No.6)
- バックアップ一覧
- 差分 を表示
- 現在との差分 を表示
- ソース を表示
- ・管理インターフェースの保護 へ行く。
- 1 (2019-11-26 (火) 10:19:11)
- 2 (2019-11-26 (火) 10:24:04)
- 3 (2019-11-26 (火) 10:24:22)
- 4 (2019-11-26 (火) 10:25:08)
- 5 (2019-12-11 (水) 13:00:07)
- 6 (2019-12-11 (水) 15:01:50)
- 7 (2019-12-11 (水) 17:29:48)
- 8 (2019-12-11 (水) 17:43:29)
- 9 (2019-12-12 (木) 10:07:29)
- 10 (2019-12-12 (木) 12:02:46)
- 11 (2019-12-18 (水) 10:34:30)
- 12 (2020-02-16 (日) 10:17:06)
- 13 (2020-03-16 (月) 10:54:58)
- 14 (2020-03-19 (木) 14:38:00)
- 15 (2020-07-17 (金) 15:52:07)
- 16 (2020-07-25 (土) 14:48:06)
- 17 (2020-09-17 (木) 09:44:07)
- 18 (2020-11-08 (日) 11:16:30)
IPAセキュリティPT評価版?
基本的な考え方 †
Microsoft は、Pass The Hash に対抗するための封じ込め策を提唱しています。これは攻撃者に対する管理者の露出を制限することで、重要資産にアクセスできる特権の窃取を防ぐ狙いがあります。
| Tier | 管理者グループ | 管理対象 | 禁止されている接続先 |
| 0 | Domain Admin | ドメインコントローラー | Tier 1, Tier 2 |
| 1 | Member Server Admin | 業務サーバー | Tier 0, Tier 2 |
| 2 | Workstation Admin | 業務端末 | Tier 1, Tier 2 |
- 各層のネットワーク
- セグメント化する
- 管理端末は同じ居室に設置するか、VLANで接続する
- 各層の管理者
- IDはすべてユニークにする(層をまたいで同じIDを使用しない)
- 多要素認証にする
- ロール権限を最小にする
- 各層の管理端末
- クリーンセットアップされたものに限定する
- リムーバブルメディア、スマートフォン等の接続を禁止する
- 明示的に必要なポート以外はすべて着信接続を拒否する
- すべてのインターネットアクセスをブロックする
- 管理に不要なアプリケーションのアンインストール
- Web、電子メールの閲覧の禁止、Office、PDFの閲覧の禁止
- グループポリシー
- ネットワーク経由でのコンピュータへのアクセス拒否
- バッチジョブとしてログオンを拒否
- サービスとしてログオンを拒否
- リモートデスクトップけいゆのログオンを拒否
- 管理者
- 最新のスピアフィッシングの傾向を共有する
管理端末でのメール、Web、Officeアプリケーション閲覧と操作を禁止することで、初期侵入時に最も利用されている添付ファイルやリンクを伴うスピアフィッシングメールからの感染を防止しします。
- Tier 0
管理インターフェイスを保護する: https://www.ncsc.gov.uk/blog-post/protect-your-management-interfaces