トップ   編集 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

アカウントの探索 の変更点

Top/アカウントの探索
#author("2019-10-27T11:54:07+09:00","","")
[[設定対策]]
*アカウントの探索 [#ae421477]
**攻撃評価 [#e5526ddb]
#author("2020-08-12T12:40:44+09:00","","")

|戦術分類|119 Value|Pen Value|
|初期侵入|RIGHT:3|RIGHT:3|
119 Value:Min:1 Max:3 数値が高いほど攻撃実績が多い~
Pen Value:Min:1 Max:3 数値が高いほどペネトレーションテストで攻撃が成功しやすい 

**MITRE 緩和策 [#mc6093da]
***オペレーティングシステムの構成 [#c594d285]
アプリケーションがUAC経由で昇格しているときに、アカウント名が公開される可能性があるため、管理者アカウントが列挙されないようにします。~
レジストリキーの場所は、~
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\CredUI\EnumerateAdministrators~
です。~
これは、GPOの~
[コンピューターの構成]> [ポリシー]> [管理用テンプレート]> [Windowsコンポーネント]> [資格情報ユーザーインターフェイス]> [昇格時に管理者アカウントを列挙する]~
で無効にできます。

-[[昇格時に管理者アカウントを列挙する(Group Policy Home):https://getadmx.com/?Category=Windows_8.1_2012R2&Policy=Microsoft.Policies.CredentialsUI::EnumerateAdministrators&Language=ja-jp]]

**Windows 10 STIG [#i3b42962]
[[V-68817:https://www.stigviewer.com/stig/windows_10/2019-01-04/finding/V-68817]] コマンドラインデータは、プロセス作成イベントに含める必要があります。~
[[V-68819:https://www.stigviewer.com/stig/windows_10/2019-01-04/finding/V-68819]] PowerShellスクリプトブロックのログを有効にする必要があります。~
[[V-63745:https://www.stigviewer.com/stig/windows_10/2019-01-04/finding/V-63745]] SAMアカウントの匿名列挙を許可しないでください。~
[[V-63749:https://www.stigviewer.com/stig/windows_10/2019-01-04/finding/V-63749]] 共有の匿名列挙は制限する必要があります。~
[[V-63679:https://www.stigviewer.com/stig/windows_10/2019-01-04/finding/V-63679]] 管理者アカウントは昇格中に列挙しないでください。~
[[V-63633:https://www.stigviewer.com/stig/windows_10/2019-01-04/finding/V-63633]] ドメインに参加しているコンピューターのローカルユーザーは列挙しないでください。~
[[V-63619:https://www.stigviewer.com/stig/windows_10/2019-01-04/finding/V-63619]] ビルトイン管理者アカウントの名前を変更する必要があります。~
[[V-63625:https://www.stigviewer.com/stig/windows_10/2019-01-04/finding/V-63625]] ビルトインゲストアカウントの名前を変更する必要があります。~


**Windows Server 2016 STIG [#jc46aa1d]
[[V-73511:https://www.stigviewer.com/stig/windows_server_2016/2019-01-16/MAC-1_Sensitive/]] コマンドラインデータは、プロセス作成イベントに含める必要があります。~
[[V-73591:https://www.stigviewer.com/stig/windows_server_2016/2019-01-16/finding/V-73591]] PowerShellスクリプトブロックのログを有効にする必要があります。~
[[V-73669:https://www.stigviewer.com/stig/windows_server_2016/2019-01-16/finding/V-73669]] 共有の匿名列挙を許可しないでください。~
[[V-73667:https://www.stigviewer.com/stig/windows_server_2016/2019-01-16/finding/V-73667]] セキュリティアカウントマネージャー(SAM)アカウントの匿名列挙を許可しないでください。~
[[V-73487:https://www.stigviewer.com/stig/windows_server_2016/2019-01-16/finding/V-73487]] 管理者アカウントは昇格中に列挙しないでください。~
[[V-73533:https://www.stigviewer.com/stig/windows_server_2016/2019-01-16/finding/V-73533]] ドメインに参加しているコンピューターのローカルユーザーは列挙しないでください。~
[[V-73623:https://www.stigviewer.com/stig/windows_server_2016/2019-01-16/finding/V-73623]] ビルトイン管理者アカウントの名前を変更する必要があります。~
[[V-73625:https://www.stigviewer.com/stig/windows_server_2016/2019-01-16/finding/V-73625]] ビルトインゲストアカウントの名前を変更する必要があります。~


**Others [#y66c1670]

[[Windows監査(イベントログ)設定]]


#br
#br
----
#article