トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

・Windows の 管理者の設定 のバックアップ(No.8)


IPAセキュリティPT評価版?

Windows の 管理者

ビルトイン Administrators

  • SID: S-1-5-32-544
    • リビジョンレベルが1、識別子機関が5(NT Authority)、ドメイン識別子が32(ビルトイン)、相対識別子が544(管理者)のすべての権限を持つ管理者です。
  • ビルトイン Administrators に属する、ビルトイン Administrator はアカウントロックアウト、アカウントの有効期限、パスワードの有効期限、ログオン時間が適用されません。
  • Windows 10 はビルトイン Administrator は Default で無効となっており、Install の際の最初のユーザーが Administrators に所属します。
  • Windows Server では Default で有効となっていますが、ドメインコントローラーにはローカル Administrator は存在しません。
  • ローカルのAdministrators から削除できません。
  • 既定では、ネットワーク経由を含め UAC なしで完全な管理者権限で実行されます。
    • これは、マルウェアの水平展開で悪用される危険につながります。
  • グループポリシーの設定でUACを設定できます。
    • Administrator の ID はグループポリシーで変更が可能です。
  • ビルトイン Administrator の課題
    • アカウント名が公知かつロックアウトされない
      ブルートフォース(総当たり)攻撃を受けてもアカウントがロックアウトされないため、強度の低いパスワードが設定されていると破られる可能性があります。グループポリシーでビルトイン Administrator の ID を変更する必要があります。
    • UACが規定で適用されない
      悪意あるプグラムが設定変更やリモート接続が容易となります。グループポリシーでUACの適用を行う必要があります。

Administrators のメンバー

  • S-1-5-21-Domain-544 の管理者
  • アカウントロックアウト、アカウントの有効期限、パスワードの有効期限、ログオン時間が適用されます。

ローカル管理者アカウントの脆弱性(水平展開)

すべての端末、サーバーのローカルAdministratorのID、パスワードが共通の場合の脆弱性

  • この脆弱性は多くの組織で端末の初期設定の際に、ローカル Administrator の ID、パスワードを共通にし、セッティングやサポートの管理負担を軽減する慣習を狙ったものです。

前提条件

  • 端末のローカル Administrator の ID、パスワードが共通である

実行可能な戦術

  • 水平展開
  • 共通 ID と共通パスワードが摂取できれば、他の端末、サーバーへのリモートアクセスが可能となります。
  • ドメインユーザーがローカル管理者であった場合で、マルウェアに感染したとすると、マルウェアはローカル管理者権限であらゆる行動が可能になります。例えば、ローカル管理者の資格情報の窃取が容易になります。資格情報の窃取に成功すると、ネットワーク情報を参照し、他の端末への接続を試みます。
  • ローカル Administrator は Default で UAC なしで接続が可能なため、こうした攻撃ベクトルを遮断する設定が必要です。

ローカル Administrator の攻撃の緩和(水平展開の防止)

  • ローカル Administrator のパスワードを一台ずつ、ユニークにします。Microsoft から LAPS (Local Administrator Password Solution) が無償で利用可能です。
    • ローカル Administrator のパスワードを使ったリモート接続ができなくなるため、攻撃者は水平展開に失敗します。
  • グループポリシーで、Administrator の ID を他の ID に変更します。
    • 攻撃者のAdministrator 決め打ちでのブルートフォース攻撃や辞書攻撃が緩和されます。
  • グループポリシーで、ビルトイン Administrator の UAC の制御を強化します。
    • これにより、他の端末へのリモート接続でユーザーの承認が必要となり、攻撃者はリモート接続に失敗します。
  • ドメインユーザーは標準ユーザーとし、ローカルの管理者として登録しない。
    • ドメインユーザーの権限を制限し、大規模な拡大を防止します。