Windowsタスクスケジューラ at, schtasks の悪用 のバックアップ(No.7)
- バックアップ一覧
- ソース を表示
- Windowsタスクスケジューラ at, schtasks の悪用 は削除されています。
- 1 (2019-10-11 (金) 17:55:02)
- 2 (2019-10-11 (金) 18:31:00)
- 3 (2019-10-12 (土) 12:26:16)
- 4 (2019-10-14 (月) 11:28:05)
- 5 (2019-10-14 (月) 15:05:50)
- 6 (2019-10-14 (月) 19:28:38)
- 7 (2019-10-23 (水) 16:42:40)
- 8 (2019-10-25 (金) 08:40:57)
- 9 (2019-10-25 (金) 10:05:36)
- 10 (2019-10-25 (金) 12:32:36)
- 11 (2019-10-25 (金) 14:50:00)
- 12 (2020-08-12 (水) 12:43:14)
設定対策?
Windowsタスクスケジューラ at, schtasks の悪用 †
概説 †
at(Windows 8.1まで)やschatasksという、予め定めた時刻にプログラムを実行させるOS標準のツールを使い、悪意あるプログラム(マルウェア)を密かに実行することが可能です。また、AdministratorsのメンバーのID/Passwordがあればネットワーク上の他の端末に対しても同様のことが可能です。これは「ファイルとプリンターの共有」が有効な場合ですので、必要に応じて、「ファイルとプリンターの共有」を無効にすることも検討してください。
ローカルのAdministratorのID/Passwordが全社共通の場合は、LAPS (Local Administrator Password Solution) の導入を検討してください。
マイクロソフト セキュリティ アドバイザリ 3062591
攻撃評価 †
戦術分類 | 119 Value | Pen Value |
初期侵入 | 3 | 3 |
119 Value:Min:1 Max:3 数値が高いほど攻撃実績が多い
Pen Value:Min:1 Max:3 数値が高いほどペネトレーションテストで攻撃が成功しやすい
MITRE 緩和策 †
監査(イベントログ) †
Microsoft-Windows-TaskScheduler /Operational を有効にし、次のイベントを監視します。
イベントID 106-スケジュールされたタスクが登録されました
イベントID 140-スケジュールされたタスクが更新されました
イベントID 141-スケジュールされたタスクが削除されました
PowerShellのログ
オペレーティングシステムの構成 †
SYSTEMとして実行するのではなく、認証済みアカウントのコンテキストでタスクを実行するようにスケジュールされたタスクの設定を構成します。
関連するレジストリキーはHKLM\SYSTEM\CurrentControlSet\Control\Lsa\SubmitControlです。
この設定は、GPOで構成できます。
[コンピューターの構成]> [ポリシー]> [Windowsの設定]> [セキュリティの設定]> [ローカルポリシー]> [セキュリティオプション:ドメインコントローラー:サーバーオペレーターがタスクをスケジュールできるようにします。]
docs.microsoft ドメインコントローラー:サーバーオペレーターがタスクをスケジュールできるようにします。
特権アカウント管理 †
管理者グループに優先プロセスをスケジュールする権限のみを許可するように、[スケジュールの優先度を上げる]オプションを構成します。
これは、GPOで構成できます。[コンピューターの構成]> [ポリシー]> [Windowsの設定]> [セキュリティの設定]> [ローカルポリシー]> [ユーザー権利の割り当て]:スケジュールの優先度を上げます。
ユーザーアカウント管理 †
ユーザーアカウントの権限を制限し、権限エスカレーションベクターを修正して、許可された管理者のみがリモートシステムでスケジュールされたタスクを作成できるようにします。
Windows 10 STIG †
V-74411 Windows 10は、オブジェクトアクセス-その他のオブジェクトアクセスイベントの成功を監査するように構成する必要があります。
その他のオブジェクトアクセスの監査は、タスクスケジューラジョブとCOM +オブジェクトの管理に関連するイベントを記録します。
V-74409 オブジェクトアクセス-その他のオブジェクトアクセスイベントの失敗を監査するように構成する必要があります。
その他のオブジェクトアクセスの監査は、タスクスケジューラジョブとCOM +オブジェクトの管理に関連するイベントを記録します。
Windows Server 2016 STIG †
V-90359 Windows 2016は、オブジェクトアクセス-その他のオブジェクトアクセスイベントの成功を監査するように構成する必要があります。
その他のオブジェクトアクセスの監査は、タスクスケジューラジョブとCOM +オブジェクトの管理に関連するイベントを記録します。
V-90361 Windows 2016は、オブジェクトアクセス-その他のオブジェクトアクセスイベントのエラーを監査するように構成する必要があります。
その他のオブジェクトアクセスの監査は、タスクスケジューラジョブとCOM +オブジェクトの管理に関連するイベントを記録します。