- 追加された行はこの色です。
- 削除された行はこの色です。
#author("2020-02-14T13:02:05+09:00","","")
#author("2020-02-14T14:14:39+09:00","","")
[[IPAセキュリティPT評価版]]
*Windows の 管理者の設定 [#d6b9540a]
攻撃者や悪意あるプログラムに特権昇格を許すと、被害の拡大や他の端末、サーバーへの拡散が発生します。従って、管理者権限は限定的に使用される必要があります。ここでは、Windows における管理者の特性と対策を述べます。
攻撃者や悪意あるプログラムに特権昇格を許すと、被害の拡大や他の端末、サーバーへの拡散が発生します。従って、管理者権限は限定的に使用される必要があります。ここでは、Active Directory ドメイン環境における管理者の特性と対策を述べます。
**ビルトイン Administrator とビルトイン Administrator&color(red){s}; [#we5087a2]
-ビルトイン Administrator
--ローカル管理者、ローカルAdministrator などと表現されることがあります。
--既定では、 UAC なしで完全な管理者権限が実行でき、リモート接続の際も UAC が適用されません。
--アカウントロックアウト、アカウントの有効期限、パスワードの有効期限、ログオン時間が適用されません。
--ビルトイン Administrator&color(red){s}; から削除できません。
--Windows 10 はビルトイン Administrator は Default で無効となっており、Install の際の最初のユーザーがビルトイン Administrator&color(red){s}; に所属します。
--Administrator の ID はグループポリシーで変更が可能です。
--Windows Server では Default で有効となっています。
--ドメインコントローラーの場合は、ビルトイン Administrator は存在せず、代わりにドメイン Administrator がビルトイン Administrator として機能します。
-ビルトイン Administrator&color(red){s};
--ローカルグループ Administrator&color(red){s}; に所属するユーザーです。
--ローカルグループ Administrator&color(red){s}; 、もしくは Administrator&color(red){s}; に所属するユーザーを指します。
--UAC が適用されます。
--アカウントロックアウト、アカウントの有効期限、パスワードの有効期限、ログオン時間が適用されます。
-ビルトイン Administrator の課題
--アカウント名が公知かつロックアウトされない~
ブルートフォース(総当たり)攻撃を受けてもアカウントがロックアウトされないため、強度の低いパスワードが設定されていると破られる可能性があります。グループポリシーでビルトイン Administrator の ID を変更する必要があります。
--UACが規定で適用されない~
悪意あるプグラムが設定変更やリモート接続が容易となります。グループポリシーでUACの適用を行う必要があります。
*ビルトイン Administrator の脆弱性(水平展開) [#z6e4dca1]
**すべての端末、サーバーのビルトイン Administrator のID、パスワードが共通の場合の脆弱性 [#de790ccb]
-この脆弱性は多くの組織で端末の初期設定の際に、ローカル Administrator の ID、パスワードを共通にし、セッティングやサポートの管理負担を軽減する慣習を狙ったものです。
-前提条件 [#t839235a]
--端末、サーバーのビルトイン Administrator の ID、パスワードが共通である
*ビルトイン Administrator への攻撃(水平展開) [#z6e4dca1]
**ローカル Administrator の ID、パスワードが全社共通 [#ke382c8a]
組織で端末やサーバーを初期設定する際に、ローカル Administrator の ID、パスワードを共通にすることがあります。これは、セッティングやサポートの管理負担を軽減するためですが、この慣習を狙い、水平展開を図る攻撃が知られています。
-実行可能な戦術 [#h735c132]
-水平展開
--共通 ID と共通パスワードが摂取できれば、他の端末、サーバーへのリモートアクセスが可能となります。
**ドメインユーザーがビルトイン Administrators に所属している [#h2ac55d6]
-ドメインユーザーがビルトイン Administrator&color(red){s}; に所属している場合、マルウェアが侵入すると、マルウェアはビルトイン Administrator&color(red){s}; で許可される行動が可能になります。例えば、レジストリの改ざんや、ビルトイン Administrator&color(red){s}; の資格情報の窃取が容易になります。資格情報の窃取に成功すると、ネットワーク情報を参照し、他の端末への接続を試みます。また、管理者権限で悪意あるプログラムのインストールが可能となり、永続性の確保や、アンチウイルスの無効化やファイルやフォルダのアクセス、改ざんが可能となります。
-ローカル Administrator は Default で UAC なしで接続が可能なため、こうした攻撃ベクトルを遮断する設定が必要です。
水平展開~
共通 ID と共通パスワードが摂取できれば、他の端末、サーバーへのリモートアクセスが可能となります。~
ローカル Administrator は Default で UAC なしで接続が可能なため、こうした攻撃ベクトルを遮断する緩和策が必要です。
-緩和策
--ローカル Administrator のパスワードを一台ずつ、ユニークにします。Microsoft から提供されているツール LAPS (Local Administrator Password Solution) が無償で利用可能です。
--グループポリシーで [Apply UAC restrictions to local accounts on network logons] を有効にします。これによって、ローカルアカウントにネットワーク経由でログオンする際にUACが適用されます。
---[[[コンピュータの構成]>[ポリシー]>[管理用テンプレート]>[MS Security Guide]>・DC 管理用テンプレート#f691dc30]]
---ユーザー アカウント制御、Windows Vista でリモートの制限の説明: https://support.microsoft.com/ja-jp/help/951016.
**ローカル Administrator の攻撃の緩和(水平展開の防止) [#x1ab3b90]
-ローカル Administrator のパスワードを一台ずつ、ユニークにします。Microsoft から提供されているツール LAPS (Local Administrator Password Solution) が無償で利用可能です。
--ローカル Administrator のパスワードを使ったリモート接続ができなくなるため、攻撃者は水平展開に失敗します。
-グループポリシーで、Administrator の ID を他の ID に変更します。
--攻撃者のAdministrator 決め打ちでのブルートフォース攻撃や辞書攻撃が緩和されます。
-グループポリシーで、ビルトイン Administrator の UAC の制御を強化します。
--これにより、他の端末へのリモート接続でユーザーの承認が必要となり、攻撃者はリモート接続に失敗します。
-ドメインユーザーは標準ユーザーとし、ローカルの管理者として登録しない。
--ドメインユーザーの権限を制限し、大規模な拡大を防止します。~
**ドメインユーザーがビルトイン Administrator&color(red){s}; に所属している [#h2ac55d6]
ドメインユーザーがビルトイン Administrator&color(red){s}; に所属している場合、マルウェアが侵入すると、マルウェアはビルトイン Administrator&color(red){s}; で許可される行動が可能になります。例えば、レジストリの改ざんや、ビルトイン Administrator&color(red){s}; の資格情報の窃取が容易になります。資格情報の窃取に成功すると、ネットワーク情報を参照し、他の端末への接続を試みます。また、管理者権限で悪意あるプログラムのインストールが可能となり、永続性の確保や、アンチウイルスの無効化やファイルやフォルダのアクセス、改ざんが可能となります。
-実行可能な戦術 [#h735c132]
悪意あるプログラムの実行、永続化、防御回避、資格情報へのアクセス、情報の窃取、外部送信
-緩和策
--ドメインユーザーは標準ユーザーとし、ビルトイン Administrator&color(red){s}; に登録をしないようにします。
