#author("2019-10-14T15:07:07+09:00","","")
[[設定対策]]
*悪意あるWindowsサービスの実行 [#ce3639a1]
**攻撃評価 [#m4ecb385]
|戦術分類|119 Value|Pen Value|
|初期侵入|RIGHT:3|RIGHT:3|
119 Value:Min:1 Max:3 数値が高いほど攻撃実績が多い~
Pen Value:Min:1 Max:3 数値が高いほどペネトレーションテストで攻撃が成功しやすい
**MITRE 緩和策 [#c6387adc]
***特権アカウント管理 [#ufe317ed]
アクセス許可によって、上位のアクセス許可レベルで実行されるサービスが、下位のアクセス許可レベルを持つユーザーによって作成または操作されないようにしてください。
>>>psexeを使用せずアンインストールする、もしくは -uオプションを使用しない。(Pass the Hashのおそれ、必ず管理者のコンテキストでKervberos認証されるようにする)
***ファイルとディレクトリのアクセス許可を制限する [#x82028dd]
アクセス許可レベルの高いサービスバイナリを、アクセス許可レベルの低いユーザーが置換または変更できないようにしてください。
>>>[[CWE-428:引用符で囲まれていない検索パスまたは要素:http://cwe.mitre.org/data/definitions/428.html]]に該当するサードパーティ製のWindowsサービスを修正する。
空白を含むパスを正しく "C:\Program Files\abc\service.exe" ダブルクォテーションで囲まないと、プログラム C:\Program.exe 引数 file\abc\service.exe という解釈ができ、Program.exe がローカルシステムアカウントで実行できる。
**Windows 10 STIG [#dfdbd266]
[[V-63889:https://www.stigviewer.com/stig/windows_10/2019-01-04/finding/V-63889]] 認証後のクライアントの偽装ユーザー権利は、管理者、サービス、ローカルサービス、およびネットワークサービスにのみ割り当てる必要があります。
**Windows 2016 STIG [#n8c915d2]
[[V-73785:https://www.stigviewer.com/stig/windows_server_2016/2019-01-16/finding/V-73785]] 認証後のクライアントの偽装ユーザー権利は、管理者、サービス、ローカルサービス、およびネットワークサービスにのみ割り当てる必要があります。