・アカウントの探索 のバックアップ(No.12)

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• ・アカウントの探索 へ行く。
  • 1 (2019-11-13 (水) 17:00:10)
  • 2 (2019-11-13 (水) 17:00:00)
  • 3 (2019-11-15 (金) 09:57:20)
  • 4 (2019-11-18 (月) 11:21:21)
  • 5 (2020-02-09 (日) 15:47:35)
  • 6 (2020-03-19 (木) 14:54:34)
  • 7 (2020-03-24 (火) 13:53:00)
  • 8 (2020-03-26 (木) 14:27:16)
  • 9 (2020-07-25 (土) 16:30:22)
  • 10 (2020-08-12 (水) 12:31:29)
  • 11 (2020-10-26 (月) 09:25:58)
  • 12 (2020-10-27 (火) 11:41:06)

---

情報システム開発契約のセキュリティ仕様作成のためのガイドライン（案）?
MITRE ATT＆CKに基づく詳細設定対策

戦術：情報の探索 †

• MITRE ATT&CK
  • T1087 Account Discovery

概説 †

攻撃者はローカル、ドメイン、クラウド、電子メールのアカウントを取得する場合があります。いずれも、OSのコマンドもしくはシェルを利用しアカウントの情報を取得できます。なお、この手法はクラウドシステムのアカウントの探索も含まれることから、クラウド管理システムも対象となります。

緩和の方針 †

Windowsの場合、ローカル管理者アカウントが列挙されないようにポリシー設定をします。 クラウドの制御に使用するコマンドラインインターフェースがインストールされた端末を特定し、監査を強化します。

• Azure PowerShell コマンド、Azure CLI コマンド、AWS CLIコマンドなど

運用やNetworkが変更された場合の影響の有無 †

ローカル管理者アカウント列挙のポリシーが有効にされると、攻撃者は容易にローカル管理者のIDを入手でき、クレデンシャルアクセスなどのリスクが増大します。

優先すべき措置 †

ローカル管理者アカウントが列挙されないように設定します。

• スクリプト実行ログの取得

ユーザー運用管理責任 †

リスクの受容 †

設定しない場合、攻撃者に情報を提供するため、このリスクは受容すべきではありません。

啓発・教育 †

該当しません。

利用規定 †

該当しません。

情報システム設計開発部門・運用部門（ベンダー代行を含む) †

ネットワークデザイン †

該当しません。

ポリシー †

以下のポリシー設定を検討します。

• [コンピューターの構成]> [ポリシー]> [管理用テンプレート]> [Windowsコンポーネント]> [資格情報ユーザーインターフェイス]> [昇格時に管理者アカウントを列挙する] を [無効] にします。
  

• [コンピューターの構成]>[ポリシー]>[Windowsの設定]>[セキュリティの設定]>[ローカルポリシー]>[セキュリティオプション]>[ネットワーク アクセス:Everyone アクセス許可を匿名ユーザーに適用する] を [無効] にします。
  

  潜在的な影響: https://docs.microsoft.com/ja-jp/windows/security/threat-protection/security-policy-settings/network-access-let-everyone-permissions-apply-to-anonymous-users

• [コンピューターの構成]>[ポリシー]>[Windowsの設定]>[セキュリティの設定]>[ローカルポリシー]>[セキュリティオプション]>[ネットワーク アクセス:SAMアカウントの匿名列挙を許可しない ] を [有効] にします。
  

  潜在的な影響: https://docs.microsoft.com/ja-jp/windows/security/threat-protection/security-policy-settings/network-access-do-not-allow-anonymous-enumeration-of-sam-accounts

• [コンピューターの構成]>[ポリシー]>[Windowsの設定]>[セキュリティの設定]>[ローカルポリシー]>[セキュリティオプション]>[ネットワーク アクセス: SAM アカウントおよび共有の匿名の列挙を許可しない] を [有効] にします。
  

  潜在的な影響: https://docs.microsoft.com/ja-jp/windows/security/threat-protection/security-policy-settings/network-access-do-not-allow-anonymous-enumeration-of-sam-accounts-and-shares

• [コンピューターの構成]>[ポリシー]>[Windowsの設定]>[セキュリティの設定]>[ローカルポリシー]>[セキュリティオプション]>[ネットワーク アクセス: SAM へのリモート呼び出しを許可するクライアントを制限する] を [定義する] にチェックし、[セキュリティの編集] で [Domain\Administrators] を指定し、[リモートアクセス] を [許可] します。[セキュリティ記述子]を[O:BAG:BAD:(A;;RC;;;BA)] が設定されることを確認します。
  

  潜在的な影響: https://docs.microsoft.com/ja-jp/windows/security/threat-protection/security-policy-settings/network-access-restrict-clients-allowed-to-make-remote-sam-calls

アクセスコントロール †

該当しません。

フィルタリング †

該当しません。

仮想端末運用 †

該当しません。

エンドポイント対策 †

該当しません。

受託開発ベンダー管理責任 †

セキュアコーディング †

該当しません。

開発環境管理 †

ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じます。 例外はすべて文書化し、適切な監査を実施します。

サプライチェーン正常性維持" †

ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じます。 例外はすべて文書化し、適切な監査を実施します。