- 追加された行はこの色です。
- 削除された行はこの色です。
#author("2019-10-12T12:26:16+09:00","","")
[[設定対策]]
*Windowsタスクスケジューラ at, schtasks の悪用 [#o9fec4a6]
**攻撃評価 [#w7777360]
|戦術分類|119 Value|Pen Value|
|初期侵入|RIGHT:3|RIGHT:3|
119 Value:Min:1 Max:3 数値が高いほど攻撃実績が多い~
Pen Value:Min:1 Max:3 数値が高いほどペネトレーションテストで攻撃が成功しやすい
**MITRE 緩和策 [#z548a1b1]
***監査(イベントログ) [#f2027b38]
Microsoft-Windows-TaskScheduler /Operational を有効にし、次のイベントを監視します。~
イベントID 106-スケジュールされたタスクが登録されました~
イベントID 140-スケジュールされたタスクが更新されました~
イベントID 141-スケジュールされたタスクが削除されました~
[[PowerShellのログ]]
***オペレーティングシステムの構成 [#x9b9e291]
SYSTEMとして実行するのではなく、認証済みアカウントのコンテキストでタスクを実行するようにスケジュールされたタスクの設定を構成します。~
関連するレジストリキーはHKLM\SYSTEM\CurrentControlSet\Control\Lsa\SubmitControlです。~
この設定は、GPOで構成できます。~
[コンピューターの構成]> [ポリシー]> [Windowsの設定]> [セキュリティの設定]> [ローカルポリシー]> [セキュリティオプション:ドメインコントローラー:サーバーオペレーターがタスクをスケジュールできるようにします。]~
[[ドメインコントローラー:サーバーオペレーターがタスクをスケジュールできるようにします:https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/jj852168(v=ws.11)?redirectedfrom=MSDN]]
***特権アカウント管理 [#x93e8fee]
管理者グループに優先プロセスをスケジュールする権限のみを許可するように、[スケジュールの優先度を上げる]オプションを構成します。~
これは、GPOで構成できます。[コンピューターの構成]> [ポリシー]> [Windowsの設定]> [セキュリティの設定]> [ローカルポリシー]> [ユーザー権利の割り当て]:スケジュールの優先度を上げます。~
[[スケジューリング優先順位の繰り上げ:https://docs.microsoft.com/ja-jp/windows/security/threat-protection/security-policy-settings/increase-scheduling-priority]]
***ユーザーアカウント管理 [#t4c62959]
ユーザーアカウントの権限を制限し、権限エスカレーションベクターを修正して、許可された管理者のみがリモートシステムでスケジュールされたタスクを作成できるようにします。
