情報システム開発契約のセキュリティ仕様作成のためのガイドライン
・不正なWindowsサービスの追加
をテンプレートにして作成
開始行:
[[情報システム開発契約のセキュリティ仕様作成のためのガイ...
[[MITRE ATT&CKに基づく詳細設定対策]]
*戦術:悪意あるプログラムの実行 (悪意あるWindowsサービス...
-MITRE ATT&CK
[[T1569:002System Services Service Execution>https://atta...
*戦術:永続性、特権昇格 (不正なWindowsサービスの追加) [...
-MITRE ATT&CK
[[T1543.003 Create or Modify System Process: Windows Serv...
*概説 [#df9df928]
|MITRE ATT&CKでは、悪意あるプログラムの実行と永続性、特権...
Windowsサービスとは、ユーザーインターフェイスを持たずにバ...
新しいWindowsサービスをインストールするか、既存のサービス...
*緩和の方針 [#i45ea24b]
一般業務端末を操作するユーザーアカウントを標準ユーザーと...
CWE-428(引用符で囲まれていないプログラムパス)の脆弱性を...
*運用やNetworkが変更された場合の影響の有無 [#pbeb91dc]
標準ユーザーアカウントを、ビルトインAdministratorsグルー...
*優先すべき措置 [#mf45c47b]
以下の設定を検討します。
-一般業務は標準ユーザーアカウントで実行し、ビルトインAdmi...
-管理者業務を行う端末、サーバーでは [Windows ログ]-[シス...
-CWE-428(引用符で囲まれていないプログラムパス)の脆弱性...
*ユーザー運用管理責任 [#o4d09f0e]
**リスクの受容 [#h06d4411]
-アプリケーションのインストール権限をユーザーに委ねた場合...
|180|||c
|COLOR(WHITE):BGCOLOR(#44546A):CENTER:業務|COLOR(WHITE):B...
|プログラム開発担当者|Local Administrator|スクリプトへの...
|Help Desk 担当者|Domain/Local Administrator|~|
|システム管理者|Enterprise/Domain/Local Administrator|~|
|部門管理者(OUの委任)|OUのパスワードリセット、セキュリ...
|VBAを利用する業務担当者|標準ユーザー|スクリプトへの署名...
|役職者、研究者、秘書|標準ユーザー|Local Administrators ...
|上記以外の一般業務担当者|標準ユーザー|Local Administrato...
**啓発・教育 [#t6d5a3a7]
-すべての端末利用者
--組織のアプリケーションのインストール規程(評価済みアプ...
-ローカル Administrtors メンバー
--アプリケーションをインストールできる権限を持つユーザー...
--アプリケーションのインストールや保守以外での管理者権限...
**管理規程[#f0cb340e]
運用規程に以下を追加することを検討します。
-ローカル管理者権限を業務ユーザーに付与した場合の文書化
-監査による不正なWindowsサービスのインストールの検出。
*情報システム設計開発部門・運用部門(ベンダー代行を含む) ...
**ポリシー [#p2100cf4]
-該当しません。
**モニタリング [#k765066f]
+管理対象の端末、サーバー、ドメインコントローラーで以下の...
[イベントビューアー]-[Windows ログ]-[システム] ~
ソース: Service Control Manager~
イベントID: 7045 サービスがシステムにインストールされま...
+不審なサービスのインストールが疑われた際は、次のドキュメ...
[[JPCERT/CC インシデント調査のための攻撃ツール等の実行痕...
+Windowsサービスのインストールをイベントログで検出した際...
-引用符で囲まれていないWindowsサービスの検知(管理者権限...
wmic service get name,pathname,displayname,startmode | f...
なお、C:\Windows 以下のWindowsサービスはデフォルトで引用...
**ネットワークデザイン、アクセスコントロール、フィルタリ...
以下の設定を検討します。
+標準ユーザー~
ビルトインAdministratorsグループのメンバーに標準ユーザー...
+Windowsサービスのインストールの制限~
Windowsサービスはログインしているユーザーのセキュリティコ...
このような場合、アプリケーションがLocal Systemで動作する...
Windowsサービスのセキュリティコンテキストは以下の表の通り...
|CENTER|CENTER|c
|セキュリティコンテキスト|与えられる権限|h
|User|システムは、サービスのインストール時に有効なユーザ...
|LocalService|ローカル コンピューター上で非特権ユー...
|LocalSystem|広範なローカル特権を提供し、リモート サ...
|NetworkService|ローカル コンピューター上で非特権ユ...
**仮想端末運用 [#v2e369ca]
これは将来のためのプレースフォルダーです。
**ゲートウェイ及びエンドポイント対策 [#j8911a8b]
Endpoint Detection and Response もしくは、侵入検知システ...
*受託開発ベンダー管理責任 [#jc57a4a6]
**セキュアコーディング [#oc9db074]
最小限のセキュリティコンテキストでWindowsサービスを設計し...
Windowsサービスを作成する場合は、CWE-428(引用符で囲まれ...
**開発環境管理 [#t25a59e4]
ユーザー運用管理責任、情報システム設計開発部門・運用部門...
**サプライチェーン正常性維持" [#qd97f7e2]
ユーザー運用管理責任、情報システム設計開発部門・運用部門...
終了行:
[[情報システム開発契約のセキュリティ仕様作成のためのガイ...
[[MITRE ATT&CKに基づく詳細設定対策]]
*戦術:悪意あるプログラムの実行 (悪意あるWindowsサービス...
-MITRE ATT&CK
[[T1569:002System Services Service Execution>https://atta...
*戦術:永続性、特権昇格 (不正なWindowsサービスの追加) [...
-MITRE ATT&CK
[[T1543.003 Create or Modify System Process: Windows Serv...
*概説 [#df9df928]
|MITRE ATT&CKでは、悪意あるプログラムの実行と永続性、特権...
Windowsサービスとは、ユーザーインターフェイスを持たずにバ...
新しいWindowsサービスをインストールするか、既存のサービス...
*緩和の方針 [#i45ea24b]
一般業務端末を操作するユーザーアカウントを標準ユーザーと...
CWE-428(引用符で囲まれていないプログラムパス)の脆弱性を...
*運用やNetworkが変更された場合の影響の有無 [#pbeb91dc]
標準ユーザーアカウントを、ビルトインAdministratorsグルー...
*優先すべき措置 [#mf45c47b]
以下の設定を検討します。
-一般業務は標準ユーザーアカウントで実行し、ビルトインAdmi...
-管理者業務を行う端末、サーバーでは [Windows ログ]-[シス...
-CWE-428(引用符で囲まれていないプログラムパス)の脆弱性...
*ユーザー運用管理責任 [#o4d09f0e]
**リスクの受容 [#h06d4411]
-アプリケーションのインストール権限をユーザーに委ねた場合...
|180|||c
|COLOR(WHITE):BGCOLOR(#44546A):CENTER:業務|COLOR(WHITE):B...
|プログラム開発担当者|Local Administrator|スクリプトへの...
|Help Desk 担当者|Domain/Local Administrator|~|
|システム管理者|Enterprise/Domain/Local Administrator|~|
|部門管理者(OUの委任)|OUのパスワードリセット、セキュリ...
|VBAを利用する業務担当者|標準ユーザー|スクリプトへの署名...
|役職者、研究者、秘書|標準ユーザー|Local Administrators ...
|上記以外の一般業務担当者|標準ユーザー|Local Administrato...
**啓発・教育 [#t6d5a3a7]
-すべての端末利用者
--組織のアプリケーションのインストール規程(評価済みアプ...
-ローカル Administrtors メンバー
--アプリケーションをインストールできる権限を持つユーザー...
--アプリケーションのインストールや保守以外での管理者権限...
**管理規程[#f0cb340e]
運用規程に以下を追加することを検討します。
-ローカル管理者権限を業務ユーザーに付与した場合の文書化
-監査による不正なWindowsサービスのインストールの検出。
*情報システム設計開発部門・運用部門(ベンダー代行を含む) ...
**ポリシー [#p2100cf4]
-該当しません。
**モニタリング [#k765066f]
+管理対象の端末、サーバー、ドメインコントローラーで以下の...
[イベントビューアー]-[Windows ログ]-[システム] ~
ソース: Service Control Manager~
イベントID: 7045 サービスがシステムにインストールされま...
+不審なサービスのインストールが疑われた際は、次のドキュメ...
[[JPCERT/CC インシデント調査のための攻撃ツール等の実行痕...
+Windowsサービスのインストールをイベントログで検出した際...
-引用符で囲まれていないWindowsサービスの検知(管理者権限...
wmic service get name,pathname,displayname,startmode | f...
なお、C:\Windows 以下のWindowsサービスはデフォルトで引用...
**ネットワークデザイン、アクセスコントロール、フィルタリ...
以下の設定を検討します。
+標準ユーザー~
ビルトインAdministratorsグループのメンバーに標準ユーザー...
+Windowsサービスのインストールの制限~
Windowsサービスはログインしているユーザーのセキュリティコ...
このような場合、アプリケーションがLocal Systemで動作する...
Windowsサービスのセキュリティコンテキストは以下の表の通り...
|CENTER|CENTER|c
|セキュリティコンテキスト|与えられる権限|h
|User|システムは、サービスのインストール時に有効なユーザ...
|LocalService|ローカル コンピューター上で非特権ユー...
|LocalSystem|広範なローカル特権を提供し、リモート サ...
|NetworkService|ローカル コンピューター上で非特権ユ...
**仮想端末運用 [#v2e369ca]
これは将来のためのプレースフォルダーです。
**ゲートウェイ及びエンドポイント対策 [#j8911a8b]
Endpoint Detection and Response もしくは、侵入検知システ...
*受託開発ベンダー管理責任 [#jc57a4a6]
**セキュアコーディング [#oc9db074]
最小限のセキュリティコンテキストでWindowsサービスを設計し...
Windowsサービスを作成する場合は、CWE-428(引用符で囲まれ...
**開発環境管理 [#t25a59e4]
ユーザー運用管理責任、情報システム設計開発部門・運用部門...
**サプライチェーン正常性維持" [#qd97f7e2]
ユーザー運用管理責任、情報システム設計開発部門・運用部門...
ページ名:
