トップ   編集 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

認証方法のダンプ の変更点

Top/認証方法のダンプ

#author("2019-11-01T09:41:10+09:00","","")
#author("2019-11-01T10:18:33+09:00","","")
[[設定対策]]

*認証方法のダンプ [#cddcc773]

**戦術 [#gdc4fa75]
水平展開

**対象OS[#t9758f3c]
-Linux
-Windows
-macOS 

**必要なアクセス許可 [#qefaa41a]
-Administrator
-SYSTEM
-root

**概説 [#g2dd4d4b]
認証情報のダンプは、OSに保存されているアカウントのIDとパスワードを取得するプロセスです。攻撃者は以下の手法を試みることが判明しています。
-オフラインで解読するための資格情報のHasデータの抽出
-暗号化されていないプレーンテキストの抽出
-Kerberosチケットの抽出
ツールを使い、ハッシュデータもしくはクリアテキストのパスワードを取得します。




**攻撃評価 [#j3989121]


|戦術分類|119 Value|Pen Value|
|初期侵入|RIGHT:3|RIGHT:3|
119 Value:Min:1 Max:3 数値が高いほど攻撃実績が多い~
Pen Value:Min:1 Max:3 数値が高いほどペネトレーションテストで攻撃が成功しやすい 

**MITRE 緩和策 [#s6343a97]
***Active Directoryの構成 [#odf6c3cc]
「ディレクトリの変更の複製」のアクセス制御リストと、ドメインコントローラーの複製に関連するその他のアクセス許可を監査します。~

※ディレクトリ変更の複製の権限は以下に与えられているため、これ以外のユーザーが存在しないことを監査します。~
また、Administrators, EnterpriseAdmin,DomainAdminに属する管理者を最小限にします。
|LEFT;250|CENTER;300|CENTER;300|c
|アカウント|ディレクトリの変更の&br;レプリケート(Pull)|ディレクトリの変更を&br;すべてにレプリケート(Push)|h
|SYSTEM|〇|〇|
|Enteprise Read-Only Domain Controllers|〇||
|Domain Admin|〇|〇|
|Domain Controllers||〇|
|Enteprise Admin|〇|〇|
|Enterprise Key Admin|〇|〇|
|Administrators|〇|〇|
|Enteprise Domain Controllers||〇|


***資格情報アクセス保護 [#d4b1311a]
Windows 10では、Microsoftは、Credential Guardと呼ばれる新しい保護を実装して、資格情報のダンプ形式で資格情報を取得するために使用できるLSAシークレットを保護します。デフォルトでは設定されておらず、ハードウェアおよびファームウェアのシステム要件があります。また、すべての形式の資格情報のダンプから保護するわけではありません。

***オペレーティングシステムの構成 [#lacc19b8]
NTLMの無効化または制限を検討してください。
※NTLMを無効化すると、無線LANでの802.1X認証等で影響が出ます。十分な検証をしてください。~
※NTLMを無効化すると、様々な影響が出ます。十分な検証をしてください。~
[[NTLM使用ガイドの監査と制限:https://docs.microsoft.com/ja-jp/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/jj865670%28v%3dws.10%29]]

***パスワードポリシー [#vdb1e5cc]
ローカル管理者アカウントには、ネットワーク上のすべてのシステムにわたって複雑で一意のパスワードを設定してください。~
※アカウントロックアウト設定も併せて検討してください。~
※ローカルの管理者アカウントのID、パスワードが共通であると、水平展開が容易になり、全社的な被害が発生します。また、アカウントロックアウト設定も併せて検討してください。~
[[NIST Special Publication 800-63B Digital Identity Guidelines:https://pages.nist.gov/800-63-3/sp800-63b.html]]

***特権アカウント管理 [#m6f64b60]
Windows~
厳密に制御されない限り、システム全体のローカル管理者グループにユーザーまたは管理者ドメインアカウントを配置しないでください。これは、多くの場合、すべてのシステムで同じパスワードを持つローカル管理者アカウントを持つことに相当します。エンタープライズネットワークの設計と管理のベストプラクティスに従って、管理層全体で特権アカウントの使用を制限します。~
※ローカルのAdministratorのパスワードを個別に設定するためには、Microsoft LAPSの使用を検討してく下さい。~
~
Linux~
メモリからパスワードをスクレイピングするには、ルート権限が必要です。特権アカウントへのアクセスを制限するベストプラクティスに従って、悪意のあるプログラムがこのような機密性の高いメモリ領域にアクセスするのを防ぎます。


***特権プロセスの整合性 [#u2febac0]
Windows 8.1およびWindows Server 2012 R2では、LSAのProtected Process Lightを有効にします。~
[[追加の LSA の保護の構成:https://docs.microsoft.com/ja-jp/windows-server/security/credentials-protection-and-management/configuring-additional-lsa-protection]] Microsoft~
[[Windowsの新セキュリティ機能を検証する LSAの保護モードとCredential Guard:https://blogs.jpcert.or.jp/ja/2016/09/lsa_protect.html]] JPCERT/CC

***ユーザートレーニング [#o97825e5]
ユーザーと管理者が複数のアカウントに同じパスワードを使用しないようにトレーニングすることにより、アカウントとシステム全体で資格情報の重複を制限します。~
※ローカルのAdministratorsのパスワードと、ドメインユーザーのパスワードが重複すると、ドメイン全体への攻撃が容易になります。


**Windows 10 STIG [#p798fbb8]
[[V-63797:https://www.stigviewer.com/stig/windows_10/2019-01-04/finding/V-63797]] システムは、パスワードのLAN Managerハッシュの保存を防ぐように構成する必要があります。~
[[V-63429:https://www.stigviewer.com/stig/windows_10/2019-01-04/finding/V-63429]] 可逆パスワード暗号化を無効にする必要があります。~
[[V-63347:https://www.stigviewer.com/stig/windows_10/2019-01-04/finding/V-63347]] Windowsリモート管理(WinRM)サービスでは、基本認証を使用しないでください。~
[[V-63335:https://www.stigviewer.com/stig/windows_10/2019-01-04/finding/V-63335]] Windowsリモート管理(WinRM)クライアントは、基本認証を使用しないでください。~
[[V-63413:https://www.stigviewer.com/stig/windows_10/2019-01-04/finding/V-63413]] 不正なログオンカウンタがリセットされるまでの時間は、15分に設定する必要があります。~
[[V-63415:https://www.stigviewer.com/stig/windows_10/2019-01-04/finding/V-63415]] パスワード履歴は、24個のパスワードを記憶するように構成する必要があります。~
[[V-63419:https://www.stigviewer.com/stig/windows_10/2019-01-04/finding/V-63419]] パスワードの最大有効期間は60日以下に設定する必要があります。~
[[V-63711:https://www.stigviewer.com/stig/windows_10/2019-01-04/finding/V-63711]] 暗号化されていないパスワードをサードパーティのSMBサーバーに送信しないでください。~
[[V-63421:https://www.stigviewer.com/stig/windows_10/2019-01-04/finding/V-63421]] パスワードの最小有効期間は、少なくとも1日に設定する必要があります。~
[[V-71769:https://www.stigviewer.com/stig/windows_10/2019-01-04/finding/V-71769]] セキュリティアカウントマネージャー(SAM)へのリモート呼び出しは、管理者に制限する必要があります。~
[[V-71763:https://www.stigviewer.com/stig/windows_10/2019-01-04/finding/V-71763]] WDigest認証を無効にする必要があります。~
[[V-63383:https://www.stigviewer.com/stig/windows_10/2019-01-04/finding/V-63383]] システムにシンプルTCP / IPサービスをインストールしないでください。~
[[V-63381:https://www.stigviewer.com/stig/windows_10/2019-01-04/finding/V-63381]] システムに簡易ネットワーク管理プロトコル(SNMP)をインストールしないでください。~
[[V-63385:https://www.stigviewer.com/stig/windows_10/2019-01-04/finding/V-63385]] Telnetクライアントをシステムにインストールしないでください。~
[[V-63389:https://www.stigviewer.com/stig/windows_10/2019-01-04/finding/V-63389]] TFTPクライアントをシステムにインストールしないでください。~
[[V-63669:https://www.stigviewer.com/stig/windows_10/2019-01-04/finding/V-63669]] マシンの非アクティブ制限を15分に設定して、スクリーンセーバーでシステムをロックする必要があります。~
[[V-63423:https://www.stigviewer.com/stig/windows_10/2019-01-04/finding/V-63423]] パスワードは、少なくとも14文字でなければなりません。~
[[V-63371:https://www.stigviewer.com/stig/windows_10/2019-01-04/finding/V-63371]] パスワードの有効期限を要求するようにアカウントを構成する必要があります。~
[[V-63721:https://www.stigviewer.com/stig/windows_10/2019-01-04/finding/V-63721]] Windows 10は、6文字以上の最小ピン長を要求するように構成する必要があります。~
[[V-63617:https://www.stigviewer.com/stig/windows_10/2019-01-04/finding/V-63617]] パスワードが空白のローカルアカウントは、ネットワークからのアクセスを防ぐために制限する必要があります。~
[[V-63747:https://www.stigviewer.com/stig/windows_10/2019-01-04/finding/V-63747]] HTTP経由のRSSフィードの基本認証は使用しないでください。~
[[V-63625:https://www.stigviewer.com/stig/windows_10/2019-01-04/finding/V-63625]] ビルトインゲストアカウントの名前を変更する必要があります。~
[[V-63627:https://www.stigviewer.com/stig/windows_10/2019-01-04/finding/V-63627]] システムは、少なくとも証明書を使用してデバイス認証を試行する必要があります。~
[[V-63729:https://www.stigviewer.com/stig/windows_10/2019-01-04/finding/V-63729]] パスワードをリモートデスクトップクライアントに保存しないでください。~
[[V-63709:https://www.stigviewer.com/stig/windows_10/2019-01-04/finding/V-63709]] Edgeブラウザーのパスワードマネージャー機能を無効にする必要があります。~
[[V-63733:https://www.stigviewer.com/stig/windows_10/2019-01-04/finding/V-63733]] リモートデスクトップサービスは、接続時に常にクライアントにパスワードを要求する必要があります。~
[[V-63639:https://www.stigviewer.com/stig/windows_10/2019-01-04/finding/V-63639]] セキュリティで保護された発信トラフィックは、暗号化または署名する必要があります。~
[[V-63405:https://www.stigviewer.com/stig/windows_10/2019-01-04/finding/V-63405]] Windows 10アカウントのロックアウト期間は、15分以上に構成する必要があります。~
[[V-63409:https://www.stigviewer.com/stig/windows_10/2019-01-04/finding/V-63409]] 許可される不正なログオン試行の回数は、3回以下に設定する必要があります。~
[[V-63643:https://www.stigviewer.com/stig/windows_10/2019-01-04/finding/V-63643]] 可能な場合は、安全な発信チャネルトラフィックを暗号化する必要があります。~
[[V-63647:https://www.stigviewer.com/stig/windows_10/2019-01-04/finding/V-63647]] 可能な場合は、安全な発信チャネルトラフィックに署名する必要があります。~
[[V-63645:https://www.stigviewer.com/stig/windows_10/2019-01-04/finding/V-63645]] ユーザーは、スリープからの再開時に(バッテリーで)パスワードの入力を求められる必要があります。~
[[V-63427:https://www.stigviewer.com/stig/windows_10/2019-01-04/finding/V-63427]] 組み込みのMicrosoftパスワード複雑度フィルターを有効にする必要があります。~
[[V-63653:https://www.stigviewer.com/stig/windows_10/2019-01-04/finding/V-63653]] コンピューターアカウントのパスワードがリセットされないようにする必要があります。~
[[V-63661:https://www.stigviewer.com/stig/windows_10/2019-01-04/finding/V-63661]] マシンアカウントパスワードの最大有効期間は30日以下に設定する必要があります。~


**Windows Server 2016STIG [#x0a0afa8]

[[V-73325:https://www.stigviewer.com/stig/windows_server_2016/2019-01-16/finding/V-73325]] 可逆パスワード暗号化を無効にする必要があります。~
[[V-73621:https://www.stigviewer.com/stig/windows_server_2016/2019-01-16/finding/V-73621]] パスワードが空白のローカルアカウントは、ネットワークからのアクセスを防ぐために制限する必要があります。~
[[V-73599:https://www.stigviewer.com/stig/windows_server_2016/2019-01-16/finding/V-73599]] Windowsリモート管理(WinRM)サービスでは、基本認証を使用しないでください。~
[[V-73593:https://www.stigviewer.com/stig/windows_server_2016/2019-01-16/finding/V-73593]] Windowsリモート管理(WinRM)クライアントは、基本認証を使用しないでください。~
[[V-73687:https://www.stigviewer.com/stig/windows_server_2016/2019-01-16/finding/V-73687]] Windows Server 2016は、パスワードのLAN Managerハッシュの保存を防ぐように構成する必要があります。~
[[V-73497:https://www.stigviewer.com/stig/windows_server_2016/2019-01-16/finding/V-73497]] WDigest認証を無効にする必要があります。~
[[V-73223:https://www.stigviewer.com/stig/windows_server_2016/2019-01-16/finding/V-73223]] ビルトインAdministratorアカウントのパスワードは、少なくとも60日ごとに変更する必要があります。~
[[V-73309:https://www.stigviewer.com/stig/windows_server_2016/2019-01-16/finding/V-73309]] Windows 2016アカウントのロックアウト期間は、15分以上に設定する必要があります。~
[[V-73261:https://www.stigviewer.com/stig/windows_server_2016/2019-01-16/finding/V-73261]] アカウントにはパスワードが必要です。~
[[V-73263:https://www.stigviewer.com/stig/windows_server_2016/2019-01-16/finding/V-73263]] パスワードは有効期限が切れるように設定する必要があります。~
[[V-91779:https://www.stigviewer.com/stig/windows_server_2016/2019-01-16/finding/V-91779]] ドメインのkrbtgtアカウントのパスワードは、少なくとも180日ごとにリセットする必要があります。~
[[V-73311:https://www.stigviewer.com/stig/windows_server_2016/2019-01-16/finding/V-73311]] 許可される不正なログオン試行の回数は、3回以下に設定する必要があります。~
[[V-73313:https://www.stigviewer.com/stig/windows_server_2016/2019-01-16/finding/V-73313]] 不正なログオンカウンタがリセットされるまでの時間は、15分以上に設定する必要があります。~
[[V-73315:https://www.stigviewer.com/stig/windows_server_2016/2019-01-16/finding/V-73315]] パスワード履歴は、24個のパスワードを記憶するように構成する必要があります。~
[[V-73317:https://www.stigviewer.com/stig/windows_server_2016/2019-01-16/finding/V-73317]] パスワードの最大有効期間は60日以下に設定する必要があります。~
[[V-73319:https://www.stigviewer.com/stig/windows_server_2016/2019-01-16/finding/V-73319]] 最小パスワード有効期間は少なくとも1日に設定する必要があります。~
[[V-73657:https://www.stigviewer.com/stig/windows_server_2016/2019-01-16/finding/V-73657]] 暗号化されていないパスワードは、サードパーティのサーバーメッセージブロック(SMB)サーバーに送信しないでください。~
[[V-73637:https://www.stigviewer.com/stig/windows_server_2016/2019-01-16/finding/V-73637]] [ドメインメンバー:セキュリティで保護されたチャネルデータにデジタル署名する(可能な場合)]設定を[有効]に構成する必要があります。~
[[V-73635:https://www.stigviewer.com/stig/windows_server_2016/2019-01-16/finding/V-73635]] [ドメインメンバー:セキュリティで保護されたチャネルデータをデジタルで暗号化する]設定(可能な場合)を有効に構成する必要があります。~
[[V-73633:https://www.stigviewer.com/stig/windows_server_2016/2019-01-16/finding/V-73633]] [ドメインメンバ:セキュリティで保護されたチャネルデータをデジタル的に暗号化または署名する(常に)]設定を[有効]に構成する必要があります。~
[[V-73631:https://www.stigviewer.com/stig/windows_server_2016/2019-01-16/finding/V-73631]] マシンアカウントのパスワードをリセットできるようにドメインコントローラーを構成する必要があります。~
[[V-73639:https://www.stigviewer.com/stig/windows_server_2016/2019-01-16/finding/V-73639]] コンピューターアカウントのパスワードがリセットされないようにする必要があります。~
[[V-73321:https://www.stigviewer.com/stig/windows_server_2016/2019-01-16/finding/V-73321]] 最小パスワード長は14文字に設定する必要があります。~
[[V-73323:https://www.stigviewer.com/stig/windows_server_2016/2019-01-16/finding/V-73323]] 組み込みのWindowsパスワード複雑度ポリシーを有効にする必要があります。~
[[V-73641:https://www.stigviewer.com/stig/windows_server_2016/2019-01-16/finding/V-73641]] マシンアカウントパスワードの最大有効期間は30日以下に設定する必要があります。~
[[V-73645:https://www.stigviewer.com/stig/windows_server_2016/2019-01-16/finding/V-73645]] マシンの非アクティブ制限を15分に設定し、スクリーンセーバーでシステムをロックする必要があります。~
[[V-73625:https://www.stigviewer.com/stig/windows_server_2016/2019-01-16/finding/V-73625]] ビルトインゲストアカウントの名前を変更する必要があります。~
[[V-73231:https://www.stigviewer.com/stig/windows_server_2016/2019-01-16/finding/V-73231]] 手動で管理されるアプリケーションアカウントのパスワードは、少なくとも年1回、またはパスワードを知っているシステム管理者が退職するときに変更する必要があります。~
[[V-73617:https://www.stigviewer.com/stig/windows_server_2016/2019-01-16/finding/V-73617]] 管理者を含むActive Directoryユーザーアカウントは、ユーザー認証にCommon Access Card(CAC)、Personal Identity Verification(PIV)準拠のハードウェアトークン、または代替ログオントークン(ALT)の使用を要求するように構成する必要があります。~
[[V-73229:https://www.stigviewer.com/stig/windows_server_2016/2019-01-16/finding/V-73229]] 手動で管理されるアプリケーションアカウントのパスワードは、15文字以上である必要があります。~
[[V-73567:https://www.stigviewer.com/stig/windows_server_2016/2019-01-16/finding/V-73567]] パスワードをリモートデスクトップクライアントに保存しないでください。~
[[V-73571:https://www.stigviewer.com/stig/windows_server_2016/2019-01-16/finding/V-73571]] リモートデスクトップサービスは、接続時に常にクライアントにパスワードを要求する必要があります。~
[[V-73677:https://www.stigviewer.com/stig/windows_server_2016/2019-01-16/finding/V-73677]] セキュリティアカウントマネージャー(SAM)へのリモート呼び出しは、管理者に制限する必要があります。~
[[V-73579:https://www.stigviewer.com/stig/windows_server_2016/2019-01-16/finding/V-73579]] HTTP経由のRSSフィードの基本認証は使用しないでください。~
**Others [#a42a9efd]
[[Windows 認証での資格情報の処理:https://docs.microsoft.com/ja-jp/windows-server/security/windows-authentication/credentials-processes-in-windows-authentication]]