#author("2019-12-02T13:09:54+09:00","","")
[[IPAセキュリティPT評価版]]
*ローカル管理者アカウントとは [#d6b9540a]
**Administrator [#ic9522af]
以下の特徴を有するすべての権限を持つ管理者です。
-SID: S-1-5-32-544 のビルトイングループ。
-Windows 10 は Default で無効となっており、Install の際の最初のユーザーが Administrators に所属します。
-Windows Server では Default で有効となっていますが、ドメインコントローラーにはローカル Administrator は存在しません。
-ローカル Administrator には、アカウントロックアウト、アカウントの有効期限、パスワードの有効期限、ログオン時間が適用されません。
-Administrators から削除できません。
-Defaultでネットワーク経由を含め UAC なしで完全な管理者権限で実行されます。これは、マルウェアの水平展開で悪用される危険につながります。
--グループポリシーの設定でUACを設定できます。
-上記理由で、Windows Server の Administrator のパスワードは、長く複雑でランダムな推測不可能なものにするか、多要素認証の採用が推奨されます。
-Administrators の ID はグループポリシーで変更が可能です。
**Administrators のメンバー [#fac0170b]
-S-1-5-21-Domain-544 の管理者
-アカウントロックアウト、アカウントの有効期限、パスワードの有効期限、ログオン時間が適用されます。
*ローカル管理者アカウントの脆弱性(水平展開) [#z6e4dca1]
**すべての端末、サーバーのローカルAdministratorのID、パスワードが共通の場合の脆弱性 [#de790ccb]
-この脆弱性は多くの組織で端末の初期設定の際に、ローカル Administrator の ID、パスワードを共通にし、セッティングやサポートの管理負担を軽減する慣習を狙ったものです。
***前提条件 [#t839235a]
-端末のローカル Administrator の ID、パスワードが共通である
***実行可能な戦術 [#h735c132]
-水平展開
-共通 ID と共通パスワードが摂取できれば、他の端末、サーバーへのリモートアクセスが可能となります。
-ドメインユーザーがローカル管理者であった場合で、マルウェアに感染したとすると、マルウェアはローカル管理者権限であらゆる行動が可能になります。例えば、ローカル管理者の資格情報の窃取が容易になります。資格情報の窃取に成功すると、ネットワーク情報を参照し、他の端末への接続を試みます。
-ローカル Administrator は Default で UAC なしで接続が可能なため、こうした攻撃ベクトルを遮断する設定が必要です。
**ローカル Administrator の攻撃の緩和(水平展開の防止) [#x1ab3b90]
-ローカル Administrator のパスワードを一台ずつ、ユニークにします。Microsoft から LAPS (Local Administrator Password Solution) が無償で利用可能です。
--ローカル Administrator のパスワードを使ったリモート接続に失敗します。
-グループポリシーで、Administrator の ID を他の ID に変更します。
--Administrator 決め打ちでの攻撃が緩和されます。
-グループポリシーで、ビルトイン Administrator の UAC の制御を強化します。
--これにより、他の端末へのリモート接続でユーザーの承認が必要となり、結果としてリモート接続に失敗します。
-ドメインユーザーは標準ユーザーとし、ローカルの管理者として登録しない。
--ドメインユーザーの権限を制限し、大規模な拡大を防止します。
