トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

・認証情報のダンプ のバックアップ(No.13)


情報システム開発契約のセキュリティ仕様作成のためのガイドライン(案)?
MITRE に基づく詳細設定対策?

認証方法のダンプ

戦術

認証情報アクセス

必要なアクセス許可

  • Administrator
  • SYSTEM

概説

認証情報のダンプは、OSに保存されているアカウントのIDとパスワードを取得するプロセスです。その後、窃取した資格情報を利用して、情報の収集や水平展開を図ります。このため、認証情報のダンプを阻止することは、被害の拡大を防ぐ重要なポイントとなります。
認証情報はOSによってHashされ安全な状態で保管され、AdministratorやSYSTEM権限でアクセスされますので、一般的な標準ユーザーの場合は安全といえます。しかし、Administrator権限でログオン中に悪意あるプログラムの実行を招くと、認証情報のアクセスを許してしまうこととなります。

緩和の方針

  • 認証情報の窃取は管理者特権が必要なため、端末の利用者の権限が管理者権限である場合、極めて危険です。このため、利用者の権限を標準ユーザーにすることは、大変効果的で、この攻撃の緩和に役立ちます。
  • システム管理者は多要素認証を導入します。

運用やNetworkが変更された場合の影響の有無

  • 意図しない管理者権限でのアプリケーションのインストールや、電子メール、Webサイトの閲覧は悪意あるプログラムに高位の権限を与えるため、十分な管理が必要です。

優先すべき措置

Windows

ユーザー運用管理責任

リスクの受容

  • 優先すべき措置を講じることができない場合、このリスクは回避が困難になり、他の緩和策も代替になるとはいえないため、慎重な検討が必要です。

啓発・教育

  • システム管理者に対して、認証情報のダンププロセスと攻撃プロセスを理解させるとともに、管理者の認証情報の適切な運用について討議させる。

利用規定

  • ローカル Administrator 権限を有するドメインユーザーの管理規程。

情報システム設計開発部門・運用部門(ベンダー代行を含む)

NWデザイン

  • 該当なし。

アクセスコントロール

  1. ローカルAdministratorの無効化をします。ローカルAdministratorsにドメインユーザーが登録されている場合は削除します。(ダンプが成功した場合、水平展開されます。)
  2. ローカルポリシーの設定で、ビルトインローカルAdministrator (既定:無効)を有効にしている場合は、推測が困難な他のIDに変更します。
    [コンピュータの構成]-[ポリシー]-[Windowsの設定]-[セキュリティの設定]-[ローカルポリシー]-[セキュリティオプション]-[アカウント:Administrator アカウント名の変更]-[このポリシーの設定を定義する]を有効にし新しいIDを設定する。
    この場合、[アカウント:Administrator アカウントの状態]が有効であることを確認する。
  3. LSASSプロセスを保護します。 資格情報を管理するLSASSプロセスへの攻撃を防御します。[グループポリシー]-[コンピュータの構成]-[基本設定]-[Windowsの設定]-[レジストリ] で [\HKLM\SYSTEM\CurrentControlSet\Control\Lsa] に値を新規に設定する。 https://docs.microsoft.com/ja-jp/windows-server/security/credentials-protection-and-management/configuring-additional-lsa-protection#BKMK_HowToConfigure
  4. ドメインユーザーをローカルAdministratorグループから外す ローカルのAdministratorグループに所属しているドメインユーザーをすべて削除します。
  5. クレデンシャルガードの導入(Windows 10 のEditionによって機能制限があります) Windows Defender Credential Guard の要件:https://docs.microsoft.com/ja-jp/windows/security/identity-protection/credential-guard/credential-guard-requirements

フィルタリング

  • 該当なし。

ロール運用

  • 管理者権限の付与を最小限にします。

仮想端末運用

  • 該当なし。

エンドポイント対策

  • アンチウイルス もしくは Endpoint Detection and Response でツールの検出が期待できます。

受託開発ベンダー管理責任

セキュアコーディング

  • 特権が必要なサービスに対する認証を行う場合は、システムの認証ダイアログ(またはOSが提供する仕組み)を使用する。
  • アプリケーションへの認証情報等のハードコーディングを禁止します。(必須)
  • メモリダンプを無効にします。(必須)
  • プレーンテキストで機密情報をメモリ、ディスクに格納する事を禁止します。(必須)
  • 物理メモリから機密情報がスワップされディスクに書き出されないようにする。(推奨:権限によりロックできない場合がある。)

開発環境管理

  • ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。

サプライチェーン正常性維持"

  • ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。