不正なWindowsサービスの追加 の変更点

• 追加された行はこの色です。
• 削除された行はこの色です。
• 不正なWindowsサービスの追加 は削除されています。
• 不正なWindowsサービスの追加 の差分を削除

#author("2019-10-25T14:17:02+09:00","","")
[[設定対策]]
#author("2020-08-12T16:45:46+09:00","","")

*不正なWindowsサービスの追加 [#a3e9aff7]
**戦術 [#pf1af485]
永続性、特権昇格

**対象OS [#u892f644]
Windows

**必要なアクセス許可 [#od56b0ff]
-Administrator
-SYSTEM

**概説 [#c58d369a]
Windowsサービスとは、ユーザーインターフェースを持たずにバックグラウンドで常駐して動作するプログラムです。Windowsが起動した際に自動起動するように設定できるため、悪意あるプログラム（マルウェア）をWindows サービスとしてインストールできれば、マルウェアの実行や永続化が可能となります。
悪意あるWindowsサービスは、キーボード・画面の窃取、C&Cサーバーとの通信、リモート操作などの機能を提供します。~
-サービス名を偽装する場合があります。
-サービスの作成は管理者権限ですが、実行はSYSTEM特権となるため、昇格が可能です。

**攻撃評価 [#w00e355a]


|戦術分類|119 Value|Pen Value|
|初期侵入|RIGHT:3|RIGHT:3|
119 Value:Min:1 Max:3 数値が高いほど攻撃実績が多い~
Pen Value:Min:1 Max:3 数値が高いほどペネトレーションテストで攻撃が成功しやすい 

**MITRE 緩和策 [#f09bb2e7]
***ユーザーアカウントの権限を制限し、権限エスカレーションベクターを修正して、承認された管理者のみが新しいサービスを作成できるようにします。 [#a1b4b244]
psexeを使用せずアンインストールする、もしくは -uオプションを使用しない。（Pass the Hashのおそれ、必ず管理者のコンテキストでKervberos認証されるようにする）


**Windows 10 STIG [#q30d4af9]
[[V-63875:https://www.stigviewer.com/stig/windows_10/2019-01-04/finding/V-63875]] ドメインに参加しているワークステーションの[サービスとしてログオンを拒否する]ユーザー権利は、高度な特権を持つドメインアカウントからのアクセスを防ぐように構成する必要があります。

**Windows Serve 2016 STIG [#m43b259c]
[[V-73767:https://www.stigviewer.com/stig/windows_server_2016/2019-01-16/finding/V-73767]] ドメインシステム上の高度な特権を持つドメインアカウントからのアクセスを防ぐために、メンバーサーバーでのサービスとしてのログオンを拒否するユーザー権利を構成する必要があります。他のグループまたはアカウントにこの権利を割り当てる必要はありません。