アカウントの探索 のバックアップ(No.4)

• バックアップ一覧
• ソース を表示
• アカウントの探索 は削除されています。
  • 1 (2019-10-14 (月) 16:48:46)
  • 2 (2019-10-17 (木) 14:51:26)
  • 3 (2019-10-18 (金) 10:49:56)
  • 4 (2019-10-23 (水) 16:01:35)
  • 5 (2019-10-27 (日) 11:54:00)
  • 6 (2020-08-12 (水) 12:40:44)

設定対策?

アカウントの探索 †

攻撃評価 †

119 Value:Min:1 Max:3 数値が高いほど攻撃実績が多い
Pen Value:Min:1 Max:3 数値が高いほどペネトレーションテストで攻撃が成功しやすい

MITRE 緩和策 †

オペレーティングシステムの構成 †

アプリケーションがUAC経由で昇格しているときに、アカウント名が公開される可能性があるため、管理者アカウントが列挙されないようにします。
レジストリキーの場所は、
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\CredUI\EnumerateAdministrators
です。
これは、GPOの
[コンピューターの構成]> [ポリシー]> [管理用テンプレート]> [Windowsコンポーネント]> [資格情報ユーザーインターフェイス]> [昇格時に管理者アカウントを列挙する]
で無効にできます。

昇格時に管理者アカウントを列挙する(Group Policy Home)

Windows 10 STIG †

V-68817 コマンドラインデータは、プロセス作成イベントに含める必要があります。
V-68819 PowerShellスクリプトブロックのログを有効にする必要があります。
V-63745 SAMアカウントの匿名列挙を許可しないでください。
V-63749 共有の匿名列挙は制限する必要があります。
V-63679 管理者アカウントは昇格中に列挙しないでください。
V-63633 ドメインに参加しているコンピューターのローカルユーザーは列挙しないでください。

Windows Server 2016 STIG †

V-73511 コマンドラインデータは、プロセス作成イベントに含める必要があります。
V-73591 PowerShellスクリプトブロックのログを有効にする必要があります。
V-73669 共有の匿名列挙を許可しないでください。
V-73667 セキュリティアカウントマネージャー（SAM）アカウントの匿名列挙を許可しないでください。
V-73487 管理者アカウントは昇格中に列挙しないでください。
V-73533 ドメインに参加しているコンピューターのローカルユーザーは列挙しないでください。

Windows監査（イベントログ）設定