情報システム開発契約のセキュリティ仕様作成のためのガイドライン
・ログとレジストリの保護
をテンプレートにして作成
開始行:
[[FrontPage]]~
[[情報システム開発契約のセキュリティ仕様作成のためのガイ...
[[詳細設定対策に必要な措置]]
*ログの保護 [#h449d35e]
**基本的な考え方 [#d306addb]
MITRE ATT&CK で、Disable Windows Event Logging(T1562.002...
ログの保護は、コンピュータの役割と機能、ログのアクセス権...
***コンピュータの役割と機能 [#d0e276fb]
Windows サーバー と Windows クライアント は非常に多くの機...
|COLOR(WHITE):BGCOLOR(#44546A):CENTER:役割・機能|COLOR(WH...
|Domain Controller&br;File Server|[[・DC 監査ポリシーの詳...
|DNS サーバー|DNSログ|%systemroot%\System32\winevt\Logs\D...
|DHCPサーバー|DHCPログ|%systemroot%\System32\Dhcp\Dh...
|IIS|Webログ、FTPログ|%SystemDrive%\Inetpub\Logs\Log...
|Network Policy Server (RADIUS)|ユーザー認証およびアカウ...
|Windows ファイアウォール |[[・L1 セキュリティが強化され...
***Event Log のアクセス権 [#o58c03b2]
すべてのEvent Log のアクセス権(ファイルのプロパティのセ...
|COLOR(WHITE):BGCOLOR(#44546A):CENTER:グループ名またはユ...
|Eventlog|フルコントロール|
|SYSTEM|~|
|Domain\Administrators|~|
また、DNS、DHCP等のログのアクセス権は、保守運用のオペレー...
***保存とバックアップ [#xb414c09]
Event Log は初期値で 1Mbyte を超えた場合、上書きという設...
-リアルタイムでの転送
米国国防総省の Security Technical Implementation Guide (S...
-Event Log の保存サイズ
セキュリティログは大量のログが書き込まれるため、保存サイ...
**Event Log 関連のツール [#zb1f94c4]
Event Log はバイナリ形式であり、ツールを使いわない限り内...
***GUI [#uda2eb6f]
-Windows イベントビューアー
-Microsoft Log Parser Studio.Exe:https://www.microsoft.c...
-MessageAnalyzer.Exe (現在はダウンロードできません)
***コマンドライン [#z5701cc6]
-wevtutil.Exe
-WMIC.Exe
-Logparser.Exe
-PowerShell Get-EventLogコマンドレット
*レジストリの保護 [#re553b59]
**基本的な考え方 [#n37d2aa0]
MITRE ATT&CK では、 Modify Registry : https://attack.mitr...
従って、レジストリに対するアクセス権の監査と、変更があっ...
***レジストリハイブのアクセス権の監査 [#f288225c]
1. 管理者権限で立ち上げたコマンドプロンプトから、regiedit...
2. [コンピュータ]>[HKEY_LOCAL_MACHINE]>[SECURITY] で右ク...
3. 次のアクセス許可を確認します。基本的に規定値を維持しま...
|COLOR(WHITE):BGCOLOR(#44546A):CENTER:種類|COLOR(WHITE):B...
|許可|SYSTEM|フルコントロール|なし|このキーとサブキー|
|許可|Administrators|特殊|なし|このキーとサブキー|
~
4. [コンピュータ]>[HKEY_LOCAL_MACHINE]>[SOFTWARE] で右ク...
5. 次のアクセス許可を確認します。基本的に規定値を維持しま...
|COLOR(WHITE):BGCOLOR(#44546A):CENTER:種類|COLOR(WHITE):B...
|許可|Users|読み取り|なし|このキーとサブキー|
|許可|SYSTEM|フルコントロール|なし|このキーとサブキー|
|許可|Administrators|特殊|なし|このキーとサブキー|
|許可|CREATOR OWNER|フルコントロール|なし|このキーとサブ...
|許可|ALL APPLICATION PACKAGES|読み取り|なし|このキーとサ...
~
6. [コンピュータ]>[HKEY_LOCAL_MACHINE]>[SYSTEM] で右クリ...
7. 次のアクセス許可を確認します。基本的に規定値を維持しま...
|COLOR(WHITE):BGCOLOR(#44546A):CENTER:種類|COLOR(WHITE):B...
|許可|Users|読み取り|なし|このキーとサブキー|
|許可|SYSTEM|フルコントロール|なし|このキーとサブキー|
|許可|Administrators|特殊|なし|このキーとサブキー|
|許可|CREATOR OWNER|フルコントロール|なし|このキーとサブ...
|許可|ALL APPLICATION PACKAGES|読み取り|なし|このキーとサ...
***リモートレジストリサービスを無効にする [#q0f239af]
リモートレジストリサービスによって、リモートから操作され...
コントロールパネルからサービスを起動し、 RemoteRegis...
>C:\Windows\system32>sc query RemoteRegistry
>SERVICE_NAME: RemoteRegistry
> TYPE : 20 WIN32_SHARE_PROCESS
> STATE : 1 STOPPED
> WIN32_EXIT_CODE : 1077 (0x435)
> SERVICE_EXIT_CODE : 0 (0x0)
> CHECKPOINT : 0x0
> WAIT_HINT : 0x0
STATE が STOOPED になっていることを確認します。
終了行:
[[FrontPage]]~
[[情報システム開発契約のセキュリティ仕様作成のためのガイ...
[[詳細設定対策に必要な措置]]
*ログの保護 [#h449d35e]
**基本的な考え方 [#d306addb]
MITRE ATT&CK で、Disable Windows Event Logging(T1562.002...
ログの保護は、コンピュータの役割と機能、ログのアクセス権...
***コンピュータの役割と機能 [#d0e276fb]
Windows サーバー と Windows クライアント は非常に多くの機...
|COLOR(WHITE):BGCOLOR(#44546A):CENTER:役割・機能|COLOR(WH...
|Domain Controller&br;File Server|[[・DC 監査ポリシーの詳...
|DNS サーバー|DNSログ|%systemroot%\System32\winevt\Logs\D...
|DHCPサーバー|DHCPログ|%systemroot%\System32\Dhcp\Dh...
|IIS|Webログ、FTPログ|%SystemDrive%\Inetpub\Logs\Log...
|Network Policy Server (RADIUS)|ユーザー認証およびアカウ...
|Windows ファイアウォール |[[・L1 セキュリティが強化され...
***Event Log のアクセス権 [#o58c03b2]
すべてのEvent Log のアクセス権(ファイルのプロパティのセ...
|COLOR(WHITE):BGCOLOR(#44546A):CENTER:グループ名またはユ...
|Eventlog|フルコントロール|
|SYSTEM|~|
|Domain\Administrators|~|
また、DNS、DHCP等のログのアクセス権は、保守運用のオペレー...
***保存とバックアップ [#xb414c09]
Event Log は初期値で 1Mbyte を超えた場合、上書きという設...
-リアルタイムでの転送
米国国防総省の Security Technical Implementation Guide (S...
-Event Log の保存サイズ
セキュリティログは大量のログが書き込まれるため、保存サイ...
**Event Log 関連のツール [#zb1f94c4]
Event Log はバイナリ形式であり、ツールを使いわない限り内...
***GUI [#uda2eb6f]
-Windows イベントビューアー
-Microsoft Log Parser Studio.Exe:https://www.microsoft.c...
-MessageAnalyzer.Exe (現在はダウンロードできません)
***コマンドライン [#z5701cc6]
-wevtutil.Exe
-WMIC.Exe
-Logparser.Exe
-PowerShell Get-EventLogコマンドレット
*レジストリの保護 [#re553b59]
**基本的な考え方 [#n37d2aa0]
MITRE ATT&CK では、 Modify Registry : https://attack.mitr...
従って、レジストリに対するアクセス権の監査と、変更があっ...
***レジストリハイブのアクセス権の監査 [#f288225c]
1. 管理者権限で立ち上げたコマンドプロンプトから、regiedit...
2. [コンピュータ]>[HKEY_LOCAL_MACHINE]>[SECURITY] で右ク...
3. 次のアクセス許可を確認します。基本的に規定値を維持しま...
|COLOR(WHITE):BGCOLOR(#44546A):CENTER:種類|COLOR(WHITE):B...
|許可|SYSTEM|フルコントロール|なし|このキーとサブキー|
|許可|Administrators|特殊|なし|このキーとサブキー|
~
4. [コンピュータ]>[HKEY_LOCAL_MACHINE]>[SOFTWARE] で右ク...
5. 次のアクセス許可を確認します。基本的に規定値を維持しま...
|COLOR(WHITE):BGCOLOR(#44546A):CENTER:種類|COLOR(WHITE):B...
|許可|Users|読み取り|なし|このキーとサブキー|
|許可|SYSTEM|フルコントロール|なし|このキーとサブキー|
|許可|Administrators|特殊|なし|このキーとサブキー|
|許可|CREATOR OWNER|フルコントロール|なし|このキーとサブ...
|許可|ALL APPLICATION PACKAGES|読み取り|なし|このキーとサ...
~
6. [コンピュータ]>[HKEY_LOCAL_MACHINE]>[SYSTEM] で右クリ...
7. 次のアクセス許可を確認します。基本的に規定値を維持しま...
|COLOR(WHITE):BGCOLOR(#44546A):CENTER:種類|COLOR(WHITE):B...
|許可|Users|読み取り|なし|このキーとサブキー|
|許可|SYSTEM|フルコントロール|なし|このキーとサブキー|
|許可|Administrators|特殊|なし|このキーとサブキー|
|許可|CREATOR OWNER|フルコントロール|なし|このキーとサブ...
|許可|ALL APPLICATION PACKAGES|読み取り|なし|このキーとサ...
***リモートレジストリサービスを無効にする [#q0f239af]
リモートレジストリサービスによって、リモートから操作され...
コントロールパネルからサービスを起動し、 RemoteRegis...
>C:\Windows\system32>sc query RemoteRegistry
>SERVICE_NAME: RemoteRegistry
> TYPE : 20 WIN32_SHARE_PROCESS
> STATE : 1 STOPPED
> WIN32_EXIT_CODE : 1077 (0x435)
> SERVICE_EXIT_CODE : 0 (0x0)
> CHECKPOINT : 0x0
> WAIT_HINT : 0x0
STATE が STOOPED になっていることを確認します。
ページ名:
