情報システム開発契約のセキュリティ仕様作成のためのガイドライン
・認証情報のダンプ
をテンプレートにして作成
開始行:
[[情報システム開発契約のセキュリティ仕様作成のためのガイ...
[[MITRE ATT&CKに基づく詳細設定対策]]
*戦術:認証情報アクセス [#w019e58a]
-MITRE ATT&CK
--[[T1003.001 OS Credential Dumping: LSASS Memory>https:/...
--[[T1003.002 OS Credential Dumping: Security Account Man...
--[[T1003.003 OS Credential Dumping: NTDS>https://attack....
--[[T1003.004 OS Credential Dumping: LSA Secrets>https://...
--[[T1003.005 OS Credential Dumping: Cached Domain Creden...
--[[T1003.006 OS Credential Dumping: DCSync>https://attac...
*概説 [#o554df20]
認証情報のダンプは、OSに保存されているアカウントのIDとパ...
認証情報はOSによってHashされ安全な状態で保管され、Adminis...
MITRE ATT&CKでは、主にWindowsからの認証情報の窃取にフォー...
*緩和の方針 [#nb3d986a]
認証情報の窃取は管理者権限が必要なため、利用者の権限を標...
*運用やNetworkが変更された場合の影響の有無 [#d7797d83]
-意図しない管理者権限でのアプリケーションのインストールや...
*優先すべき措置 [#yca3f50a]
多角的な防御が必要です。以下のすべての措置を優先的に検討...
-一般業務
--標準ユーザーでの運用とする。
-システム管理者、もしくは管理者特権が必要な業務
--多要素認証の導入を検討する。
--重要な情報資産を有する端末、サーバー、それらの管理用端...
--Windows Defender Credential Guard の導入を検討する。
--Protected Users のグループメンバーに追加し、資格情報の...
---オフラインサインインはサポートされなくなる。
---IPアドレスを指定してログオンすることはできなくなる。
---https://docs.microsoft.com/ja-jp/windows-server/securi...
---https://msrc-blog.microsoft.com/2014/06/05/an-overview...
-ローカル Administrators
--ドメインユーザーはローカル Administratorsのメンバーから...
--ローカル Administrators のメンバーを監査する。
--LAPSの導入を検討する。
-管理者端末、重要資産を有する端末、メンバーサーバー、ドメ...
--WDigest認証の無効化と監査を行う。
-その他の事項
--互換性維持のための弱いハッシュ、暗号方式、平文パスワー...
--LSASSプロセスを保護する。 「26.7.3ネットワークデザイン...
*ユーザー運用管理責任 [#va91f9ce]
**リスクの受容 [#i5c77ff0]
優先すべき措置を講じることができない場合、このリスクの回...
|180|||c
|COLOR(WHITE):BGCOLOR(#44546A):CENTER:業務|COLOR(WHITE):B...
|すべて|Local Administrator|LAPSを導入し、すべての端末、...
|プログラム開発担当者|Local Administrator|Windows Defende...
|Help Desk 担当者|Domain/Local Administrator|~|
|システム管理者|Enterprise/Domain/Local Administrator|~|
|部門管理者(OUの委任)|OUのパスワードリセット、グループ...
|役職者、研究者、秘書|標準ユーザー|標準ユーザーでの運用。...
|上記以外の一般業務担当者|標準ユーザー|~|
Windows Defender Credential Guard はWindows 10 Enterprise...
**啓発・教育 [#j172e3b9]
-対象:システム管理者
--認証情報のダンププロセスと攻撃プロセスを理解させるとと...
**管理規程 [#u3a821ac]
以下の規程の整備を検討します。
-ローカル Administrator 権限を有するドメインユーザーの管...
*情報システム設計開発部門・運用部門(ベンダー代行を含む) ...
**ポリシー [#w891d435]
以下のポリシーの適用を検討します。~
+ローカルAdministratorの無効化する。Windows 10、Windows S...
[コンピュータの構成]>[Windowsの設定]>[セキュリティの設定]...
なお、ビルトインローカルAdministratorを有効にし、Administ...
+LSASSプロセスを保護します。 資格情報を管理するLSASSプロ...
[グループポリシー]-[コンピュータの構成]-[基本設定]-[Windo...
+WDigest認証プロトコルを無効化する。~
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[管理用...
+MITRE ATT&CKの緩和策では、Protected Users や NTLM認証の...
**モニタリング [#p8566d98]
以下の監査を検討して下さい。
-管理者端末、重要資産を有する端末、メンバーサーバー、ドメ...
--「17章・コマンドラインインターフェースの悪用」、「18章...
--セキュリティイベントログ Evenmt ID 4624 でWDigestのプ...
---ログオンプロセス:WDigest
---認証パッケージ:WDigest
-ドメインコントローラー
--セキュリティイベントログ:イベントEvent ID 4776 でWDige...
---認証パッケージ:WDigest
-Protected User
--[イベントログ]-[アプリケーションとサービスログ]-[Micros...
ホスト名を使用せず明示的にIPアドレスを指定してアクセスし...
---100 NLTM usage attempted.
---104 DES or RC4 attempted for Kerberos Authentication
**ネットワークデザイン、アクセスコントロール、フィルタリ...
以下の設定を検討して下さい。
-クレデンシャルガードを導入し、資格情報を仮想化ベースのセ...
>Windows Defender Credential Guard の要件:https://docs.mi...
** [#qb09dce7]
該当しません。
**仮想端末運用 [#e870d281]
該当しません。
**ゲートウェイ及びエンドポイント対策 [#s86d385a]
侵入検知システム、Endpoint Detection and Responseの導入を...
*受託開発ベンダー管理責任 [#uc37b2dd]
**セキュアコーディング [#mfb95ce5]
以下を開発規約とすることを検討して下さい。
-特権が必要なサービスに対する認証を行う場合は、システムの...
-アプリケーション自身に認証情報等をハードコーディングして...
-プレーンテキストで認証情報をメモリ、ディスクに格納する事...
-物理メモリから機密情報がスワップされディスクに書き出され...
-JPCERT/CC Java コーディングスタンダード MSC03-J. センシ...
>https://www.jpcert.or.jp/java-rules/msc03-j.html~
-JPCERT/CC CERT C コーディングスタンダード MSC18-C. プロ...
>https://www.jpcert.or.jp/sc-rules/c-msc18-c.html
**開発環境管理 [#qcd8c290]
-ユーザー運用管理責任、情報システム設計開発部門・運用部門...
**サプライチェーン正常性維持" [#ob0677f0]
-ユーザー運用管理責任、情報システム設計開発部門・運用部門...
終了行:
[[情報システム開発契約のセキュリティ仕様作成のためのガイ...
[[MITRE ATT&CKに基づく詳細設定対策]]
*戦術:認証情報アクセス [#w019e58a]
-MITRE ATT&CK
--[[T1003.001 OS Credential Dumping: LSASS Memory>https:/...
--[[T1003.002 OS Credential Dumping: Security Account Man...
--[[T1003.003 OS Credential Dumping: NTDS>https://attack....
--[[T1003.004 OS Credential Dumping: LSA Secrets>https://...
--[[T1003.005 OS Credential Dumping: Cached Domain Creden...
--[[T1003.006 OS Credential Dumping: DCSync>https://attac...
*概説 [#o554df20]
認証情報のダンプは、OSに保存されているアカウントのIDとパ...
認証情報はOSによってHashされ安全な状態で保管され、Adminis...
MITRE ATT&CKでは、主にWindowsからの認証情報の窃取にフォー...
*緩和の方針 [#nb3d986a]
認証情報の窃取は管理者権限が必要なため、利用者の権限を標...
*運用やNetworkが変更された場合の影響の有無 [#d7797d83]
-意図しない管理者権限でのアプリケーションのインストールや...
*優先すべき措置 [#yca3f50a]
多角的な防御が必要です。以下のすべての措置を優先的に検討...
-一般業務
--標準ユーザーでの運用とする。
-システム管理者、もしくは管理者特権が必要な業務
--多要素認証の導入を検討する。
--重要な情報資産を有する端末、サーバー、それらの管理用端...
--Windows Defender Credential Guard の導入を検討する。
--Protected Users のグループメンバーに追加し、資格情報の...
---オフラインサインインはサポートされなくなる。
---IPアドレスを指定してログオンすることはできなくなる。
---https://docs.microsoft.com/ja-jp/windows-server/securi...
---https://msrc-blog.microsoft.com/2014/06/05/an-overview...
-ローカル Administrators
--ドメインユーザーはローカル Administratorsのメンバーから...
--ローカル Administrators のメンバーを監査する。
--LAPSの導入を検討する。
-管理者端末、重要資産を有する端末、メンバーサーバー、ドメ...
--WDigest認証の無効化と監査を行う。
-その他の事項
--互換性維持のための弱いハッシュ、暗号方式、平文パスワー...
--LSASSプロセスを保護する。 「26.7.3ネットワークデザイン...
*ユーザー運用管理責任 [#va91f9ce]
**リスクの受容 [#i5c77ff0]
優先すべき措置を講じることができない場合、このリスクの回...
|180|||c
|COLOR(WHITE):BGCOLOR(#44546A):CENTER:業務|COLOR(WHITE):B...
|すべて|Local Administrator|LAPSを導入し、すべての端末、...
|プログラム開発担当者|Local Administrator|Windows Defende...
|Help Desk 担当者|Domain/Local Administrator|~|
|システム管理者|Enterprise/Domain/Local Administrator|~|
|部門管理者(OUの委任)|OUのパスワードリセット、グループ...
|役職者、研究者、秘書|標準ユーザー|標準ユーザーでの運用。...
|上記以外の一般業務担当者|標準ユーザー|~|
Windows Defender Credential Guard はWindows 10 Enterprise...
**啓発・教育 [#j172e3b9]
-対象:システム管理者
--認証情報のダンププロセスと攻撃プロセスを理解させるとと...
**管理規程 [#u3a821ac]
以下の規程の整備を検討します。
-ローカル Administrator 権限を有するドメインユーザーの管...
*情報システム設計開発部門・運用部門(ベンダー代行を含む) ...
**ポリシー [#w891d435]
以下のポリシーの適用を検討します。~
+ローカルAdministratorの無効化する。Windows 10、Windows S...
[コンピュータの構成]>[Windowsの設定]>[セキュリティの設定]...
なお、ビルトインローカルAdministratorを有効にし、Administ...
+LSASSプロセスを保護します。 資格情報を管理するLSASSプロ...
[グループポリシー]-[コンピュータの構成]-[基本設定]-[Windo...
+WDigest認証プロトコルを無効化する。~
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[管理用...
+MITRE ATT&CKの緩和策では、Protected Users や NTLM認証の...
**モニタリング [#p8566d98]
以下の監査を検討して下さい。
-管理者端末、重要資産を有する端末、メンバーサーバー、ドメ...
--「17章・コマンドラインインターフェースの悪用」、「18章...
--セキュリティイベントログ Evenmt ID 4624 でWDigestのプ...
---ログオンプロセス:WDigest
---認証パッケージ:WDigest
-ドメインコントローラー
--セキュリティイベントログ:イベントEvent ID 4776 でWDige...
---認証パッケージ:WDigest
-Protected User
--[イベントログ]-[アプリケーションとサービスログ]-[Micros...
ホスト名を使用せず明示的にIPアドレスを指定してアクセスし...
---100 NLTM usage attempted.
---104 DES or RC4 attempted for Kerberos Authentication
**ネットワークデザイン、アクセスコントロール、フィルタリ...
以下の設定を検討して下さい。
-クレデンシャルガードを導入し、資格情報を仮想化ベースのセ...
>Windows Defender Credential Guard の要件:https://docs.mi...
** [#qb09dce7]
該当しません。
**仮想端末運用 [#e870d281]
該当しません。
**ゲートウェイ及びエンドポイント対策 [#s86d385a]
侵入検知システム、Endpoint Detection and Responseの導入を...
*受託開発ベンダー管理責任 [#uc37b2dd]
**セキュアコーディング [#mfb95ce5]
以下を開発規約とすることを検討して下さい。
-特権が必要なサービスに対する認証を行う場合は、システムの...
-アプリケーション自身に認証情報等をハードコーディングして...
-プレーンテキストで認証情報をメモリ、ディスクに格納する事...
-物理メモリから機密情報がスワップされディスクに書き出され...
-JPCERT/CC Java コーディングスタンダード MSC03-J. センシ...
>https://www.jpcert.or.jp/java-rules/msc03-j.html~
-JPCERT/CC CERT C コーディングスタンダード MSC18-C. プロ...
>https://www.jpcert.or.jp/sc-rules/c-msc18-c.html
**開発環境管理 [#qcd8c290]
-ユーザー運用管理責任、情報システム設計開発部門・運用部門...
**サプライチェーン正常性維持" [#ob0677f0]
-ユーザー運用管理責任、情報システム設計開発部門・運用部門...
ページ名:
