・Pass the Hash のバックアップ(No.8)

IPAセキュリティPT評価版?

・Pass the Hash (作成中） †

↑

戦術 †

水平展開

↑

対象OS †

Windows

↑

必要なアクセス許可 †

User Administrator

↑

概説 †

Windowsには、Kerberos認証、NTLM認証があります。このうちNTLM認証は、Kerberos認証が使えないドメインに参加していないメンバーサーバーやNASでの認証、ローカルアカウントなどで利用される認証方法です。
このNTLM認証は端末のメモリ、レジストリにパスワードのNTLMハッシュ値を保存します。攻撃者はこのNTLMハッシュ値をツールを利用して窃取し、ログオンの際に、NTLMハッシュ値をベースにした認証情報を送信します。サーバー側も同様の情報を保有しているため、NTLMハッシュ値をベースに送られた認証情報をサーバー側でも計算し、合致すれば正しい資格情報が入力されたとしてログオンを許可します。1
攻撃者は、ツールを使いメモリ上やレジストリのSAM（Security Account Manager、アクセスには管理者権限が必要)のNTLMハッシュ値を取得し、正規のユーザーをなりすましパスワードを利用せず認証情報を計算してサーバーに送信し、ログオンします。
ローカルのAdministratorは端末の管理を容易にするため、全社的に統一されている場合が多く見受けられますが、ローカルのAdministratorのNTLMハッシュ値が取得されると、全社的な水平展開が可能となり、危険です。

↑

緩和の方針 †

Pass the Hash は拡散を防止する観点から、最も重要な防御、緩和策のひとつです。
Mimikatz、PWDump7などの攻撃ツールが公開されており、保存されているパスワードやパスワードのハッシュ値を窃取するために、多角的な攻撃が存在します。このため、多重防御が必要です。
資格情報管理する LSASS プロセスへの攻撃を防ぎ、資格情報を極力保持しないことが重要です。

↑

運用やNetworkが変更された場合の影響の有無 †

各端末において、ローカルのAdministratorのパスワードが同一の場合、拡散のリスクが高まります。
ビルトインAdministratorを使用した場合、攻撃のリスクが高まります。

↑

優先すべき措置 †

①Hashの取得阻止、②取得された場合の水平展開、③垂直展開（特権アカウントに対する侵入）の阻止の観点で防御を講じます。

↑

Hashの取得阻止 †

Windows Defender Credential Guard （Windows 10の場合、Enterprise Edition のライセンスが必要です。Windows Server 2016/2019はライセンスが付与されています。）
LSA 保護モードの有効化
一般ユーザーをローカル管理者グループから外す

↑

水平展開の阻止 †

既定の Local Administrator の無効化
ローカルアカウントのネットワーク越しの操作制限、ログオン防止

↑

垂直展開の阻止 †

組織内の権限の分離
特権アカウントの保護

↑

ユーザー運用管理責任 †

↑

リスクの受容 †

Pass The Hash は攻撃者にとって水平展開を図る最も有効な攻撃手法であり、拡散防止の観点からリスク受容は困難です。

↑

啓発・教育 †

「一般ユーザーをローカル管理者グループから外す」ことで、アプリケーションのインストールや各種設定の際に手間が増えますが、最も安価かつ最も攻撃の耐性が高くなることについて、理解を求めてください。また、「一般ユーザーをローカル管理者グループから外す」を実施しないことで、コストの高いシステム監査が必要になることについても理解を得てください。

↑

利用規定 †

端末管理規定に「一般ユーザーをローカル管理者グループから外す」措置を実施しない端末の文書化を追加します。

↑

情報システム設計開発部門・運用部門（ベンダー代行を含む) †

↑

ポリシー †

LSASS保護 + 認証情報の削減[#zc38f398]

対策	目的	対策の効果	対策作業量
Windows Defender Credential Guard	独立した仮想領域に資格情報を隔離します。LSASS プロセスに対する正当なRPC呼び出し以外のアクセスを不可能とすることで、資格情報の窃盗を防ぎます。 ※Windows 10 Enterprise エディションが必要 Windows Defender Credential Guard によるドメインの派生資格情報の保護:https://docs.microsoft.com/ja-jp/windows/security/identity-protection/credential-guard/credential-guard	非常に高い	高
LSA 保護モードの有効化	LSASS プロセスに対する悪意のあるプラグインやコードの挿入を防止し、プロセスが保持している資格情報の窃盗を防ぎます。 (レジストリで有効化）	高	高
既定の Local Administrator の無効化?	既知のアカウントを狙った攻撃を防ぎます。	高	低
一般ユーザーをローカル管理者グループから外す?	資格情報窃取やシステムへの攻撃を防ぎます。	非常に高い	高
セキュリティ更新プログラムの適用	脆弱性を悪用する攻撃を防ぎます。 ※特に特権昇格、情報漏洩、バイパスの脆弱性	中	中
平文パスワードを保存しない	LSASSメモリに平文パスワードを保存しないことで、攻撃者の窃盗を防ぎます。 WDigest authenticationを無効にします。 ※Windows 8.1, Windows Server 2012 R2 以降は既定で有効	中	低
LM ハッシュを保存しない	LM ハッシュは総当たり攻撃などに対して脆弱であるため、パスワード解析のリスクを減らします。 ※次回のパスワード変更時に LAN Manager のハッシュ値を保存しない ※Vista、Windows Server 2008R2 以降は既定で有効	中	低
ログオフ後の資格情報消去	ユーザーのログオフ後に LSASS メモリから消去します。 ※Windows 8.1, Windows Server 2012 R2 以降は既定で有効	低	高
NTLMプロトコルを無効にする	NTLM 認証を利用しないことで、NTLM ハッシュを悪用する攻撃を防ぎます。 ※NTLM認証に依存する実装は多数あることから、事前に十分な検証と使用実態の監査が必要です。ネットワークセキュリティ: NTLM を制限する: 着信 NTLM トラフィックを監査する:https://docs.microsoft.com/ja-jp/windows/security/threat-protection/security-policy-settings/network-security-restrict-ntlm-audit-incoming-ntlm-traffic	低	高
ARSO 無効化	Windows 8.1 以降の Automatic Restart Sign-On (ARSO) による資格情報保持を無効化します。	中	低

水平展開の阻止 [#q0c21d7d]

UACをバイパスするビルトインAdministratorの使用を禁止し、他のIDでAdministratorsに参加します。
その上で、ネットワークログオンでローカルアカウントにUAC制限を適用するか、ネットワークログオンを禁止します。
端末のローカルAdministraotrsのパスワードをすべてユニークにします。Microsoftから提供されているツール、LAPS(Local Administrator Password Solution) を利用します。

↑