情報システム開発契約のセキュリティ仕様作成のためのガイドライン
・管理インターフェースの保護
をテンプレートにして作成
開始行:
[[情報システム開発契約のセキュリティ仕様作成のためのガイ...
[[詳細設定対策に必要な措置]]
*基本的な考え方 [#y94de2ac]
Microsoft は、Pass the Hash を防御するため、ドメインコン...
また、重要資産やアカウントの洗い出しを行った上で、ランサ...
*管理レイヤーの設定と、アカウント・ネットワーク・管理端末...
情報資産の管理単位をドメイン、メンバーサーバー、業務端末...
Windows の Built-in Administrator は使用せず、ドメインの ...
|CENTER|CENTER|CENTER|CENTER|CENTER|CENTER:|c
|COLOR(WHITE):BGCOLOR(#44546A):CENTER:Tier|COLOR(WHITE):B...
|~|~|~|CENTER:Tier 0|CENTER:Tier 1|CENTER:Tier 2|
|Tire 0|Domain Admin|ドメインコントローラー、RADIUSサーバ...
|Tire 1|Member Server Admin|業務サーバー|CENTER:×|CENTER:...
|Tire 2|Workstation Admin|業務端末|CENTER:×|CENTER:×|CENT...
~
このように、ドメイン、メンバーサーバー、端末の管理ネット...
**各レイヤーの設定 [#ncb7cd07]
-各レイヤーのネットワーク
--各レイヤーはセグメントで分離し、アクセスコントロールを...
--管理端末は各管理対象と同じ居室に設置するか、VLANで接続...
-各レイヤーの管理者
--IDはレイヤーごとにすべてユニークにし、一般業務では使用...
--物理的な多要素認証を採用する
--ロール権限を最小にする
-各レイヤーの管理端末
--''[[端末緩和設定>#t45e9138]]'' を参照
**最重要資産での物理的アクセス制御 [#je18e21e]
極めて重要な情報資産が存在する場合は、物理的な入退出管理...
~
~
*管理すべき対象と緩和策 [#web2b680]
**管理者、重要資産にアクセスできる関係者 [#zf99dbfb]
通常の業務での情報資産へのアクセスを特定し、誰がどのよう...
***厳重に管理すべきセキュリティグループ、管理者、従業員ア...
-[[付加価値の高いビジネス資産へのアクセス権を持っているア...
-Domain Admin
-Enterprise Admin
-Schema Admin
-Account Operators
-Backup Operators
-BUILTIN\Administrator
-ハイパーバイザー管理者
-アプリケーション管理システム、アンチウイルス管理システム...
-ソフトウェアのインストール、アップデート、バックアップの...
-セキュリティスキャンに使用するサービスアカウント
-ローカル管理者アカウント
***管理者、重要資産にアクセスできる関係者への緩和策 [#sc4...
-リスクに応じたシステム管理者規程の策定とユーザー教育
--最新の手口の共有
--これらのアカウントを使用する際にインターネットへの接続...
--これらのアカウントのログオン成功、ログオン失敗等のログ...
-多要素認証の導入
***付加価値の高いビジネス資産へのアクセス権を持っているア...
--メールシステム
--ファイル共有
--SharePoint、DropBox、BOXなどのコンテンツ管理...
--File Server、オンラインバンキング端末などの重要なインフラ
--経営幹部
--研究者
--経理・財務担当者
--知財・法務担当者
--役員秘書
***付加価値の高いビジネス資産へのアクセス権を持っているア...
-リスクに応じたシステム管理者規程の策定とユーザー教育
--最新の手口の共有
--電子メールの添付ファイル、組み込みリンクのサンドボック...
--これらのアカウントのログオン成功、ログオン失敗等のログ...
--クラウドサービスの脆弱性への対処(パスワード漏洩等)
--信頼できるパスワードマネージャーの利用
-多要素認証の導入
**特権アカウントを使用することが想定される端末 [#kf7f56be]
-ヘルプデスクなどのサポートに使用されるコンピュータ
-バッチ処理管理サーバー
-セキュリティスキャナ
-RDP を使用する端末
-PS Remotting を使用する端末
-Debugツール、開発環境を使用する端末
*システム管理者の資格情報の保護 [#e9d5340b]
システム管理者は、アカウント管理、バックアップ、アクセス...
一方で、パスワードという知識要素の認証は、ログ分析以外に...
そこで、多要素認証をもちいてシステム管理者の資格情報を保...
**多要素認証 [#l3bf73e9]
多要素認証とは、知識、所有、生体という認証要素を複数、同...
|COLOR(WHITE):BGCOLOR(#44546A):CENTER:Authenticator|COLOR...
|多要素OTPデバイス|PIN を入力することでワンタイムパスワー...
|多要素暗号ソフトウェア|PIN を入力することで秘匿エリアに...
|多要素暗号デバイス|PIN を入力することで秘匿エリアに保存...
|記憶シークレット+ルックアップシークレット|パスワードと...
|記憶シークレット+経路外|パスワードとSMSによるコード送信|
|記憶シークレット+単一要素OTPデバイス|パスワードとワンタ...
|記憶シークレット+単一要素暗号ソフトウェア|パスワードとO...
|記憶シークレット+単一要素暗号デバイス|パスワードとデバ...
&br;
-NIST SP800-63-3 の OpenID ファウンデーション・ジャパンに...
**管理者の資格情報の管理 [#c70fe1d3]
ドメインの管理者とエンタープライズ管理者の資格情報は、明...
加えて、各管理者の権限でログオンする端末はクリーンセット...
&br;
各管理者の権限で、以下の行為を行うことは、規程で明確に禁...
-管理端末での電子メールの閲覧:フィッシングによるマルウェ...
-管理端末でのWeb の閲覧:ドライブバイダウンロード攻撃など...
-一般の業務端末へのパスワードを使ったログイン:すでにマル...
*管理端末緩和設定 [#t45e9138]
-クリーンセットアップされたものに限定する
-BitLockerによる暗号化
-リムーバブルメディア、スマートフォン等の接続の禁止
-明示的に必要なポート以外はすべて着信接続を拒否する
-すべてのインターネットアクセスをブロックする、もしくはポ...
-管理に不要なアプリケーションのアンインストール
-Wi-Fiでの802.1x PEAP-TLS による端末認証
-Web、電子メールの閲覧の禁止、Office、PDFの閲覧の禁止
-グループポリシー
--ネットワーク経由でのコンピュータへのアクセス拒否
--バッチジョブとしてログオンを拒否
--サービスとしてログオンを拒否
--リモートデスクトップ経由のログオンを拒否
*管理端末監査 [#r021819f]
**着目点 [#w21275a1]
-アカウントが使用された場所(発信元または宛先)。
-認証実行時(ユーザーが休暇中、休暇中、勤務時間外など)。
-異常なアカウントの作成(たとえば、プロビジョニング・シス...
-アカウントを使用した異例のアクティビティ(たとえば、設定...
-既知または未知の悪意のある実行可能ファイルの検出。
-同じホストから使用される、無関係な複数の重要なアカウント...
-異なる所有者の複数のアカウントが、同じセッション内の同じ...
-重要なオブジェクトの修正(たとえば、Domain Admins のメン...
-VPN などの境界アクセスに使用されるアカウントと、リソース...
**イベントログ [#f1cbc3da]
***監視対象のコンピュータ [#f5fbbc46]
-[Windowsログ]>[Security]
--Event ID 4688 新しいプロセスが作成されました。
--Event ID 4648 明示的な資格情報を使用してログオンが試行...
--Event ID 4624 アカウントが正常にログオンしました。
***ドメインコントローラー [#cee07256]
-[Windowsログ]>[Security]
--Event ID 4769 Kerberos サービス チケットが要求されまし...
--Event ID 4768 Kerberos 認証チケット (TGT) が要求されま...
--Event ID 4766 SIDの履歴をアカウントに追加できませんでし...
-[アプリケーションとサービスログ]>[Microsoft]>[Windows]>[...
--Event ID 100 NLTM usage attempted.
-Event ID 104 DES or RC4 attempted for Kerberos Authentic...
-[アプリケーションとサービスログ]>[Microsoft]>[Windows]>[...
--Event ID 101 – NTLM usage attempted.
--Event ID 105 – Kerberos authentication from a particula...
--Event ID 106 – The user or device was not allowed to au...
--Event ID 305 – Kerberos TGT request did not meet access...
--Event ID 306 – User, device or both do not meet the acc...
-[アプリケーションとサービスログ]>[Microsoft]>[CodeI...
--Event ID 3065 プロセス (通常は lsass.exe) が共有セクシ...
--Event ID 3066 プロセス (通常は lsass.exe) が Microsoft ...
**異常が発見された場合の対処 [#n99f4299]
***コマンドラインインターフェースの監査 [#ucd23864]
グループポリシーの[コンピュータの構成]>[ポリシー]>[管理用...
その後、Security ログの Event ID 4688 を調査し、コマンド...
''注意'':コマンドライン引数には、パスワードや個人情報が...
***侵害が発見された場合 [#od15c5d3]
-パスワード運用の場合
--Active Directoryドメインサービスでパスワードを変更しま...
--コンピュータアカウントの資格情報をリセットします。
---この設定を施しても共有や名前付きパイプはログオンセッシ...
-証明書運用の場合
--MS CA もしくは 認証局に対して関連証明書の失効を申請しま...
--失効登録完了までは Active Directory のアカウントを無効...
---オンラインで失効チェックが行える OCSP であっても認証局...
-クリーンセットアップの実施。
--キーロガー等が仕掛けられている場合、再度、パスワードを...
--コンピュータにインストールされているマルウェアが再度、...
-アカウントの削除と再登録
--Active Directoryドメインサービスでアカウントを無効にし...
---グループのメンバーシップはハードコーディングされたセキ...
--侵害されたアカウントを削除し、新たにアカウントを登録し...
-ドメインコントローラーが侵害された場合
KRNTGTパスワードハッシュが摂取されている可能性があるため...
~
~
管理インターフェイスを保護する: https://www.ncsc.gov.uk/b...
終了行:
[[情報システム開発契約のセキュリティ仕様作成のためのガイ...
[[詳細設定対策に必要な措置]]
*基本的な考え方 [#y94de2ac]
Microsoft は、Pass the Hash を防御するため、ドメインコン...
また、重要資産やアカウントの洗い出しを行った上で、ランサ...
*管理レイヤーの設定と、アカウント・ネットワーク・管理端末...
情報資産の管理単位をドメイン、メンバーサーバー、業務端末...
Windows の Built-in Administrator は使用せず、ドメインの ...
|CENTER|CENTER|CENTER|CENTER|CENTER|CENTER:|c
|COLOR(WHITE):BGCOLOR(#44546A):CENTER:Tier|COLOR(WHITE):B...
|~|~|~|CENTER:Tier 0|CENTER:Tier 1|CENTER:Tier 2|
|Tire 0|Domain Admin|ドメインコントローラー、RADIUSサーバ...
|Tire 1|Member Server Admin|業務サーバー|CENTER:×|CENTER:...
|Tire 2|Workstation Admin|業務端末|CENTER:×|CENTER:×|CENT...
~
このように、ドメイン、メンバーサーバー、端末の管理ネット...
**各レイヤーの設定 [#ncb7cd07]
-各レイヤーのネットワーク
--各レイヤーはセグメントで分離し、アクセスコントロールを...
--管理端末は各管理対象と同じ居室に設置するか、VLANで接続...
-各レイヤーの管理者
--IDはレイヤーごとにすべてユニークにし、一般業務では使用...
--物理的な多要素認証を採用する
--ロール権限を最小にする
-各レイヤーの管理端末
--''[[端末緩和設定>#t45e9138]]'' を参照
**最重要資産での物理的アクセス制御 [#je18e21e]
極めて重要な情報資産が存在する場合は、物理的な入退出管理...
~
~
*管理すべき対象と緩和策 [#web2b680]
**管理者、重要資産にアクセスできる関係者 [#zf99dbfb]
通常の業務での情報資産へのアクセスを特定し、誰がどのよう...
***厳重に管理すべきセキュリティグループ、管理者、従業員ア...
-[[付加価値の高いビジネス資産へのアクセス権を持っているア...
-Domain Admin
-Enterprise Admin
-Schema Admin
-Account Operators
-Backup Operators
-BUILTIN\Administrator
-ハイパーバイザー管理者
-アプリケーション管理システム、アンチウイルス管理システム...
-ソフトウェアのインストール、アップデート、バックアップの...
-セキュリティスキャンに使用するサービスアカウント
-ローカル管理者アカウント
***管理者、重要資産にアクセスできる関係者への緩和策 [#sc4...
-リスクに応じたシステム管理者規程の策定とユーザー教育
--最新の手口の共有
--これらのアカウントを使用する際にインターネットへの接続...
--これらのアカウントのログオン成功、ログオン失敗等のログ...
-多要素認証の導入
***付加価値の高いビジネス資産へのアクセス権を持っているア...
--メールシステム
--ファイル共有
--SharePoint、DropBox、BOXなどのコンテンツ管理...
--File Server、オンラインバンキング端末などの重要なインフラ
--経営幹部
--研究者
--経理・財務担当者
--知財・法務担当者
--役員秘書
***付加価値の高いビジネス資産へのアクセス権を持っているア...
-リスクに応じたシステム管理者規程の策定とユーザー教育
--最新の手口の共有
--電子メールの添付ファイル、組み込みリンクのサンドボック...
--これらのアカウントのログオン成功、ログオン失敗等のログ...
--クラウドサービスの脆弱性への対処(パスワード漏洩等)
--信頼できるパスワードマネージャーの利用
-多要素認証の導入
**特権アカウントを使用することが想定される端末 [#kf7f56be]
-ヘルプデスクなどのサポートに使用されるコンピュータ
-バッチ処理管理サーバー
-セキュリティスキャナ
-RDP を使用する端末
-PS Remotting を使用する端末
-Debugツール、開発環境を使用する端末
*システム管理者の資格情報の保護 [#e9d5340b]
システム管理者は、アカウント管理、バックアップ、アクセス...
一方で、パスワードという知識要素の認証は、ログ分析以外に...
そこで、多要素認証をもちいてシステム管理者の資格情報を保...
**多要素認証 [#l3bf73e9]
多要素認証とは、知識、所有、生体という認証要素を複数、同...
|COLOR(WHITE):BGCOLOR(#44546A):CENTER:Authenticator|COLOR...
|多要素OTPデバイス|PIN を入力することでワンタイムパスワー...
|多要素暗号ソフトウェア|PIN を入力することで秘匿エリアに...
|多要素暗号デバイス|PIN を入力することで秘匿エリアに保存...
|記憶シークレット+ルックアップシークレット|パスワードと...
|記憶シークレット+経路外|パスワードとSMSによるコード送信|
|記憶シークレット+単一要素OTPデバイス|パスワードとワンタ...
|記憶シークレット+単一要素暗号ソフトウェア|パスワードとO...
|記憶シークレット+単一要素暗号デバイス|パスワードとデバ...
&br;
-NIST SP800-63-3 の OpenID ファウンデーション・ジャパンに...
**管理者の資格情報の管理 [#c70fe1d3]
ドメインの管理者とエンタープライズ管理者の資格情報は、明...
加えて、各管理者の権限でログオンする端末はクリーンセット...
&br;
各管理者の権限で、以下の行為を行うことは、規程で明確に禁...
-管理端末での電子メールの閲覧:フィッシングによるマルウェ...
-管理端末でのWeb の閲覧:ドライブバイダウンロード攻撃など...
-一般の業務端末へのパスワードを使ったログイン:すでにマル...
*管理端末緩和設定 [#t45e9138]
-クリーンセットアップされたものに限定する
-BitLockerによる暗号化
-リムーバブルメディア、スマートフォン等の接続の禁止
-明示的に必要なポート以外はすべて着信接続を拒否する
-すべてのインターネットアクセスをブロックする、もしくはポ...
-管理に不要なアプリケーションのアンインストール
-Wi-Fiでの802.1x PEAP-TLS による端末認証
-Web、電子メールの閲覧の禁止、Office、PDFの閲覧の禁止
-グループポリシー
--ネットワーク経由でのコンピュータへのアクセス拒否
--バッチジョブとしてログオンを拒否
--サービスとしてログオンを拒否
--リモートデスクトップ経由のログオンを拒否
*管理端末監査 [#r021819f]
**着目点 [#w21275a1]
-アカウントが使用された場所(発信元または宛先)。
-認証実行時(ユーザーが休暇中、休暇中、勤務時間外など)。
-異常なアカウントの作成(たとえば、プロビジョニング・シス...
-アカウントを使用した異例のアクティビティ(たとえば、設定...
-既知または未知の悪意のある実行可能ファイルの検出。
-同じホストから使用される、無関係な複数の重要なアカウント...
-異なる所有者の複数のアカウントが、同じセッション内の同じ...
-重要なオブジェクトの修正(たとえば、Domain Admins のメン...
-VPN などの境界アクセスに使用されるアカウントと、リソース...
**イベントログ [#f1cbc3da]
***監視対象のコンピュータ [#f5fbbc46]
-[Windowsログ]>[Security]
--Event ID 4688 新しいプロセスが作成されました。
--Event ID 4648 明示的な資格情報を使用してログオンが試行...
--Event ID 4624 アカウントが正常にログオンしました。
***ドメインコントローラー [#cee07256]
-[Windowsログ]>[Security]
--Event ID 4769 Kerberos サービス チケットが要求されまし...
--Event ID 4768 Kerberos 認証チケット (TGT) が要求されま...
--Event ID 4766 SIDの履歴をアカウントに追加できませんでし...
-[アプリケーションとサービスログ]>[Microsoft]>[Windows]>[...
--Event ID 100 NLTM usage attempted.
-Event ID 104 DES or RC4 attempted for Kerberos Authentic...
-[アプリケーションとサービスログ]>[Microsoft]>[Windows]>[...
--Event ID 101 – NTLM usage attempted.
--Event ID 105 – Kerberos authentication from a particula...
--Event ID 106 – The user or device was not allowed to au...
--Event ID 305 – Kerberos TGT request did not meet access...
--Event ID 306 – User, device or both do not meet the acc...
-[アプリケーションとサービスログ]>[Microsoft]>[CodeI...
--Event ID 3065 プロセス (通常は lsass.exe) が共有セクシ...
--Event ID 3066 プロセス (通常は lsass.exe) が Microsoft ...
**異常が発見された場合の対処 [#n99f4299]
***コマンドラインインターフェースの監査 [#ucd23864]
グループポリシーの[コンピュータの構成]>[ポリシー]>[管理用...
その後、Security ログの Event ID 4688 を調査し、コマンド...
''注意'':コマンドライン引数には、パスワードや個人情報が...
***侵害が発見された場合 [#od15c5d3]
-パスワード運用の場合
--Active Directoryドメインサービスでパスワードを変更しま...
--コンピュータアカウントの資格情報をリセットします。
---この設定を施しても共有や名前付きパイプはログオンセッシ...
-証明書運用の場合
--MS CA もしくは 認証局に対して関連証明書の失効を申請しま...
--失効登録完了までは Active Directory のアカウントを無効...
---オンラインで失効チェックが行える OCSP であっても認証局...
-クリーンセットアップの実施。
--キーロガー等が仕掛けられている場合、再度、パスワードを...
--コンピュータにインストールされているマルウェアが再度、...
-アカウントの削除と再登録
--Active Directoryドメインサービスでアカウントを無効にし...
---グループのメンバーシップはハードコーディングされたセキ...
--侵害されたアカウントを削除し、新たにアカウントを登録し...
-ドメインコントローラーが侵害された場合
KRNTGTパスワードハッシュが摂取されている可能性があるため...
~
~
管理インターフェイスを保護する: https://www.ncsc.gov.uk/b...
ページ名:
