・アカウントの探索 のバックアップソース(No.10)

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• バックアップ を表示
• ・アカウントの探索 へ行く。
  • 1 (2019-11-13 (水) 17:00:10)
  • 2 (2019-11-13 (水) 17:00:00)
  • 3 (2019-11-15 (金) 09:57:20)
  • 4 (2019-11-18 (月) 11:21:21)
  • 5 (2020-02-09 (日) 15:47:35)
  • 6 (2020-03-19 (木) 14:54:34)
  • 7 (2020-03-24 (火) 13:53:00)
  • 8 (2020-03-26 (木) 14:27:16)
  • 9 (2020-07-25 (土) 16:30:22)
  • 10 (2020-08-12 (水) 12:31:29)
  • 11 (2020-10-26 (月) 09:25:58)
  • 12 (2020-10-27 (火) 11:41:06)

#author("2020-08-12T12:31:29+09:00","","")
[[情報システム開発契約のセキュリティ仕様作成のためのガイドライン（案）]]~
[[MITRE に基づく詳細設定対策]]

*戦術：情報の探索 [#zf789c8b]
-MITRE ATT&CK
--[[T1087 Account Discovery>https://attack.mitre.org/techniques/T1087/]]

*対象OSシステム [#h3f2ad25]
-Windows
-Office365
-AzureAD
-AWS
-GCP
-SaaS

*概説 [#z50001f2]
攻撃者はローカル、ドメイン、クラウド、電子メールのアカウントを取得する場合があります。いずれも、OSのコマンドもしくはシェルを利用しアカウントの情報を取得できます。

*緩和の方針 [#e8cc21e6]
-Windowsの場合、ローカル管理者アカウントが列挙されないようにポリシー設定をします。
-クラウドの制御に使用するコマンドラインインターフェースがインストールされた端末を特定し、監査を強化します。
--Get-MsolRoleMember などの PowerShell コマンド
--az ad user list などの Azure CLI コマンド

*運用やNetworkが変更された場合の影響の有無 [#b4cd790a]
-ローカル管理者アカウント列挙のポリシーが有効にされると、攻撃者は容易にローカル管理者のIDを入手でき、クレデンシャルアクセスなどのリスクが増大します。

*優先すべき措置 [#l575bfbc]
-ローカル管理者アカウントが列挙されないように設定します。
-[[スクリプト実行ログの取得>PowerShellのログ]] 

*ユーザー運用管理責任 [#xc06ab45]
**リスクの受容 [#a8372920]
-設定しない場合、攻撃者に情報を提供するため、このリスクは受容すべきではありません。

**啓発・教育 [#xa25c7c6]
-該当なし。

**利用規定 [#mbfb5f29]
-該当なし。

*情報システム設計開発部門・運用部門（ベンダー代行を含む) [#ic3a864e]
**NWデザイン [#v8e2f6d4]
-該当なし。

**ポリシー [#f6add26c]
-[コンピューターの構成]> [ポリシー]> [管理用テンプレート]> [Windowsコンポーネント]> [資格情報ユーザーインターフェイス]> [昇格時に管理者アカウントを列挙する] を [無効] にします。~

-[コンピューターの構成]>[ポリシー]>[Windowsの設定]>[セキュリティの設定]>[ローカルポリシー]>[セキュリティオプション]>[ネットワーク アクセス:Everyone アクセス許可を匿名ユーザーに適用する] を [無効] にします。~
--潜在的な影響: https://docs.microsoft.com/ja-jp/windows/security/threat-protection/security-policy-settings/network-access-let-everyone-permissions-apply-to-anonymous-users

-[コンピューターの構成]>[ポリシー]>[Windowsの設定]>[セキュリティの設定]>[ローカルポリシー]>[セキュリティオプション]>[ネットワーク アクセス:SAMアカウントの匿名列挙を許可しない ] を [有効] にします。~
--潜在的な影響: https://docs.microsoft.com/ja-jp/windows/security/threat-protection/security-policy-settings/network-access-do-not-allow-anonymous-enumeration-of-sam-accounts

-[コンピューターの構成]>[ポリシー]>[Windowsの設定]>[セキュリティの設定]>[ローカルポリシー]>[セキュリティオプション]>[ネットワーク アクセス: SAM アカウントおよび共有の匿名の列挙を許可しない] を [有効] にします。~
--潜在的な影響: https://docs.microsoft.com/ja-jp/windows/security/threat-protection/security-policy-settings/network-access-do-not-allow-anonymous-enumeration-of-sam-accounts-and-shares

-[コンピューターの構成]>[ポリシー]>[Windowsの設定]>[セキュリティの設定]>[ローカルポリシー]>[セキュリティオプション]>[ネットワーク アクセス: SAM へのリモート呼び出しを許可するクライアントを制限する] を [定義する] にチェックし、[セキュリティの編集] で [Domain\Administrators] を指定し、[リモートアクセス] を [許可] します。[セキュリティ記述子]を[O:BAG:BAD:(A;;RC;;;BA)] が設定されることを確認します。~
--潜在的な影響: https://docs.microsoft.com/ja-jp/windows/security/threat-protection/security-policy-settings/network-access-restrict-clients-allowed-to-make-remote-sam-calls

**アクセスコントロール [#gec7d4df]
-該当なし。


**フィルタリング [#r3c0012c]
-該当なし。

**ロール運用 [#i39bb6d6]
-該当なし。

**仮想端末運用 [#e4b2caf3]
-該当なし。

**エンドポイント対策 [#vc5b5a78]
-該当なし。

*受託開発ベンダー管理責任 [#t2c69b81]
**セキュアコーディング [#ma2bae84]
-該当なし。

**開発環境管理 [#s37f2484]
-ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。
**サプライチェーン正常性維持" [#va6f8bf6]
-ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。