・Windows の 管理者の設定 のバックアップ(No.6)
- バックアップ一覧
- 差分 を表示
- 現在との差分 を表示
- ソース を表示
- ・Windows の 管理者の設定 へ行く。
- 1 (2019-11-27 (水) 13:30:54)
- 2 (2019-11-27 (水) 13:35:11)
- 3 (2019-11-27 (水) 13:35:54)
- 4 (2019-12-01 (日) 10:49:12)
- 5 (2019-12-02 (月) 10:57:39)
- 6 (2019-12-02 (月) 13:09:54)
- 7 (2019-12-13 (金) 09:43:15)
- 8 (2020-02-11 (火) 16:51:06)
- 9 (2020-02-11 (火) 17:22:33)
- 10 (2020-02-14 (金) 13:02:05)
- 11 (2020-02-14 (金) 14:14:39)
- 12 (2020-03-08 (日) 15:34:34)
- 13 (2020-03-16 (月) 10:29:45)
- 14 (2020-03-18 (水) 16:51:19)
- 15 (2020-03-19 (木) 14:36:00)
- 16 (2020-03-26 (木) 14:19:24)
- 17 (2020-07-11 (土) 14:01:03)
- 18 (2020-07-17 (金) 15:24:05)
- 19 (2020-07-25 (土) 14:08:36)
- 20 (2020-07-26 (日) 09:48:19)
- 21 (2020-08-28 (金) 09:52:11)
- 22 (2020-08-30 (日) 14:57:52)
- 23 (2020-10-28 (水) 16:44:20)
- 24 (2020-11-08 (日) 11:15:45)
IPAセキュリティPT評価版?
ローカル管理者アカウントとは †
Administrator †
以下の特徴を有するすべての権限を持つ管理者です。
- SID: S-1-5-32-544 のビルトイングループ。
- Windows 10 は Default で無効となっており、Install の際の最初のユーザーが Administrators に所属します。
- Windows Server では Default で有効となっていますが、ドメインコントローラーにはローカル Administrator は存在しません。
- ローカル Administrator には、アカウントロックアウト、アカウントの有効期限、パスワードの有効期限、ログオン時間が適用されません。
- Administrators から削除できません。
- Defaultでネットワーク経由を含め UAC なしで完全な管理者権限で実行されます。これは、マルウェアの水平展開で悪用される危険につながります。
- グループポリシーの設定でUACを設定できます。
- 上記理由で、Windows Server の Administrator のパスワードは、長く複雑でランダムな推測不可能なものにするか、多要素認証の採用が推奨されます。
- Administrators の ID はグループポリシーで変更が可能です。
Administrators のメンバー †
- S-1-5-21-Domain-544 の管理者
- アカウントロックアウト、アカウントの有効期限、パスワードの有効期限、ログオン時間が適用されます。
ローカル管理者アカウントの脆弱性(水平展開) †
すべての端末、サーバーのローカルAdministratorのID、パスワードが共通の場合の脆弱性 †
- この脆弱性は多くの組織で端末の初期設定の際に、ローカル Administrator の ID、パスワードを共通にし、セッティングやサポートの管理負担を軽減する慣習を狙ったものです。
前提条件 †
- 端末のローカル Administrator の ID、パスワードが共通である
実行可能な戦術 †
- 水平展開
- 共通 ID と共通パスワードが摂取できれば、他の端末、サーバーへのリモートアクセスが可能となります。
- ドメインユーザーがローカル管理者であった場合で、マルウェアに感染したとすると、マルウェアはローカル管理者権限であらゆる行動が可能になります。例えば、ローカル管理者の資格情報の窃取が容易になります。資格情報の窃取に成功すると、ネットワーク情報を参照し、他の端末への接続を試みます。
- ローカル Administrator は Default で UAC なしで接続が可能なため、こうした攻撃ベクトルを遮断する設定が必要です。
ローカル Administrator の攻撃の緩和(水平展開の防止) †
- ローカル Administrator のパスワードを一台ずつ、ユニークにします。Microsoft から LAPS (Local Administrator Password Solution) が無償で利用可能です。
- ローカル Administrator のパスワードを使ったリモート接続に失敗します。
- グループポリシーで、Administrator の ID を他の ID に変更します。
- Administrator 決め打ちでの攻撃が緩和されます。
- グループポリシーで、ビルトイン Administrator の UAC の制御を強化します。
- これにより、他の端末へのリモート接続でユーザーの承認が必要となり、結果としてリモート接続に失敗します。
- ドメインユーザーは標準ユーザーとし、ローカルの管理者として登録しない。
- ドメインユーザーの権限を制限し、大規模な拡大を防止します。