アカウントの探索 のバックアップ(No.4)
設定対策?
アカウントの探索 †
攻撃評価 †
戦術分類 | 119 Value | Pen Value |
初期侵入 | 3 | 3 |
119 Value:Min:1 Max:3 数値が高いほど攻撃実績が多い
Pen Value:Min:1 Max:3 数値が高いほどペネトレーションテストで攻撃が成功しやすい
MITRE 緩和策 †
オペレーティングシステムの構成 †
アプリケーションがUAC経由で昇格しているときに、アカウント名が公開される可能性があるため、管理者アカウントが列挙されないようにします。
レジストリキーの場所は、
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\CredUI\EnumerateAdministrators
です。
これは、GPOの
[コンピューターの構成]> [ポリシー]> [管理用テンプレート]> [Windowsコンポーネント]> [資格情報ユーザーインターフェイス]> [昇格時に管理者アカウントを列挙する]
で無効にできます。
昇格時に管理者アカウントを列挙する(Group Policy Home)
Windows 10 STIG †
V-68817 コマンドラインデータは、プロセス作成イベントに含める必要があります。
V-68819 PowerShellスクリプトブロックのログを有効にする必要があります。
V-63745 SAMアカウントの匿名列挙を許可しないでください。
V-63749 共有の匿名列挙は制限する必要があります。
V-63679 管理者アカウントは昇格中に列挙しないでください。
V-63633 ドメインに参加しているコンピューターのローカルユーザーは列挙しないでください。
Windows Server 2016 STIG †
V-73511 コマンドラインデータは、プロセス作成イベントに含める必要があります。
V-73591 PowerShellスクリプトブロックのログを有効にする必要があります。
V-73669 共有の匿名列挙を許可しないでください。
V-73667 セキュリティアカウントマネージャー(SAM)アカウントの匿名列挙を許可しないでください。
V-73487 管理者アカウントは昇格中に列挙しないでください。
V-73533 ドメインに参加しているコンピューターのローカルユーザーは列挙しないでください。