- 追加された行はこの色です。
- 削除された行はこの色です。
#author("2019-11-12T14:49:46+09:00","","")
[[IPA一般公開用]]
#freeze
#author("2021-01-13T13:01:47+09:00","","")
[[情報システム開発契約のセキュリティ仕様作成のためのガイドライン]]~
[[詳細設定対策に必要な措置]]
*Windows Group Policyの再読み込み [#q0579cce]
MITRE ATT&CKの設定対策では、Windowsの場合、グループポリシーの設定い依存する場合があります。そのため、レジストリーが攻撃者によって改ざんされた場合、上書きされない限り例外を許すことになります。このため、Group Policyに変更がなくても、起動時には必ずグループポリシーを読み込み直し、上書きする必要があります。
MITRE ATT&CKに基づく詳細設定対策では、Windowsの場合、グループポリシーによって予防的設定をレジストリーに適用します。しかし、攻撃者によってレジストリーが改ざんされた場合、例外を許すことになります。そこで、Group Policyに変更がなくても、必ずグループポリシー全体を読み込み直し、改ざんされた場合でもレジストリーを再度上書きすることでポリシーを維持します。
ただし、定時出社の始業時では、ドメインコントローラーへの負荷が増大する恐れがあります。このため、OUごとにグループポリシーの変更を実施して負荷を計測し、必要に応じてサイトの見直しや、ドメインコントローラーを増強するなどの措置をとってください。
**Windows レジストリ(W10、W2016確認済) [#b5d83599]
レジストリハイブ: HKEY_LOCAL_MACHINE
レジストリパス: \SOFTWARE\Policies\Microsoft\Windows\Group Policy\{35378EAC-683F-11D2-A89A-00C04FBBCFA2}
値の名前:NoGPOListChanges
値の種類:REG_DWORD
値:0
#br
#br
**Windows Group Policy設定 [#k2cee2a4]
グループポリシーで設定する場合は、以下の設定を実施します。~
[コンピューターの構成] >> [管理用テンプレート] >> [システム] >> [グループポリシー] >> [レジストリポリシー処理の構成]のポリシー値を[有効]に構成し、[グループポリシーオブジェクトが変更されていない場合でも処理する]を選択する。
***Windows レジストリー(Windows 10、Windows Server 2016確認済) [#q9537c89]
レジストリーで設定する場合は、以下の設定を実施します。~
|COLOR(WHITE):BGCOLOR(#44546A):CENTER:項目|COLOR(WHITE):BGCOLOR(#44546A):CENTER:値|h
|レジストリハイブ|HKEY_LOCAL_MACHINE|
|レジストリパス|\SOFTWARE\Policies\Microsoft\Windows\Group Policy\{35378EAC-683F-11D2-A89A-00C04FBBCFA2}|
|値の名前|NoGPOListChanges|
|値の種類|REG_DWORD|
|値|0|
