トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

PowerShellの悪用 のバックアップ(No.6)


設定対策?

PowerShellの悪用

攻撃評価

戦術分類119 ValuePen Value
初期侵入33

119 Value:Min:1 Max:3 数値が高いほど攻撃実績が多い
Pen Value:Min:1 Max:3 数値が高いほどペネトレーションテストで攻撃が成功しやすい

MITRE 緩和策

コード署名

PowerShell実行ポリシーを設定して、署名されたスクリプトのみを実行します。

機能やプログラムの無効化または削除

不要な場合はシステムからPowerShellを削除することもできますが、多くの正当な目的や管理機能に使用される可能性があるため、環境への影響を評価するためにレビューを実行する必要があります。WinRMサービスを無効化/制限して、リモート実行でPowerShellが使用されないようにします。

特権アカウント管理

PowerShellが必要な場合、PowerShell実行ポリシーを管理者に制限します。環境の構成に応じて、PowerShell実行ポリシーをバイパスする方法があることに注意してください。

Windows 10 STIG

V-68819 PowerShellスクリプトブロックのログは、Windows 10で有効にする必要があります。
V-70637 システムでWindows PowerShell 2.0機能を無効にする必要があります。
V-63345 オペレーティングシステムは、許可されたソフトウェアプログラムの実行を許可するために、すべて拒否、例外による許可ポリシーを採用する必要があります。
V-68817 コマンドラインデータをプロセス作成イベントに含める必要があります。

Windows 2016 STIG

V-73591 PowerShellスクリプトブロックのログを有効にする必要があります。
V-73301 Windows PowerShell 2.0をインストールしないでください。
V-73235 Windows Server 2016は、承認されたソフトウェアプログラムの実行を許可するために、すべて拒否、例外による許可ポリシーを採用する必要があります。
V-73511 コマンドラインデータを、プロセス作成イベントに含める必要があります。

Windows監査(イベントログ)設定