情報システム開発契約のセキュリティ仕様作成のためのガイドライン
・Pass the Hash
をテンプレートにして作成
開始行:
[[情報システム開発契約のセキュリティ仕様作成のためのガイ...
[[MITRE ATT&CKに基づく詳細設定対策]]
*戦術:水平展開[#c1589d41]
-MITRE ATT&CK
--[[T1550.002 Use Alternate Authentication Material: Pass...
*概説 [#sb0c6142]
Windowsには、Kerberos認証、NTLM認証があります。このうちNT...
このNTLM認証は端末のメモリ、レジストリにパスワードのNTLM...
攻撃者は、ツールを使いメモリ上やレジストリのSecurity Acco...
ローカル Administrator は端末の管理を容易にするため、全社...
*緩和の方針 [#pdfbc86d]
Pass the Hash 対策は拡散を防止する観点から、最も重要な防...
Mimikatz、PWDump7などの攻撃ツールが公開されており、保存さ...
資格情報管理する LSASS プロセスへの攻撃を防ぎ、資格情報を...
*運用やNetworkが変更された場合の影響の有無 [#o7f480ff]
各端末において、ローカルのAdministratorのパスワードが同一...
ビルトイン Administrators を使用した場合、攻撃のリスクが...
*優先すべき措置 [#y50ad94f]
''Hashの取得阻止''、''取得された場合の水平展開''、''垂直...
**Hashの取得阻止 [#h2ec743d]
以下の措置の実施を検討します。
-Windows Defender Credential Guard の導入を検討します。~
Windows 10 の場合、Enterprise Edition のライセンスが必要...
-LSA 保護モードの有効化。
-一般ユーザーをローカル Administrators に所属させません。
**水平展開の阻止 [#o530dbee]
以下の措置の実施を検討します。
-既定の Local Administrator を無効化します。
-LAPS の導入を検討します。
-ローカルアカウントのネットワーク越しの操作とログオンを制...
**垂直展開の阻止 [#n6416626]
以下の措置の実施を検討します。
-組織内の権限を分離します。ドメインコントローラー、メンバ...
-管理者権限を最小化し、特権アカウントの露出を最小限に抑え...
*ユーザー運用管理責任 [#f28d8b29]
**リスクの受容 [#g256381d]
Pass The Hash は攻撃者にとって水平展開を図る最も有効な攻...
**啓発・教育 [#t0ea9e25]
-対象:すべての端末利用者
--「一般ユーザーをローカル管理者グループから外す」ことで...
--「一般ユーザーをローカル管理者グループから外す」を実施...
**管理規程 [#zb0573a7]
以下の規程の整備を検討します。
-端末管理規定に「一般ユーザーをローカル管理者グループから...
*情報システム設計開発部門・運用部門(ベンダー代行を含む) ...
**ポリシー ①LSASS保護 + 認証情報の削減 [#v86ab53d]
|200||80|80|c
|COLOR(WHITE):BGCOLOR(#44546A):CENTER:対策|COLOR(WHITE):B...
|Windows Defender Credential Guard|独立した仮想領域に資格...
|[[LSA 保護モードの有効化]]|LSASS プロセスに対する悪意の...
|[[ビルトイン Administrator の無効化>・Windows の 管理者...
|[[一般ユーザーをローカル管理者グループから外す>・Windows...
|セキュリティ更新プログラムの適用|脆弱性を悪用する攻撃を...
|[[平文パスワードを保存しない>・L1 MS Security Guide#e6cd...
|[[LM ハッシュを保存しない>・L1 ローカルポリシー セキュリ...
|[[ログオフ後の資格情報消去]]|ユーザーのログオフ後に LSAS...
|NTLMプロトコルを無効にする|NTLM 認証を利用しないことで、...
|[[ARSO 無効化]]|Windows 8.1 以降の Automatic Restart Sig...
**ポリシー ②水平展開の阻止 [#z533e0e1]
|200||80|80|c
|COLOR(WHITE):BGCOLOR(#44546A):CENTER:対策|COLOR(WHITE):B...
|[[・LAPS]]&br;Local Administrator Password Solution|攻撃...
|[[ローカルアカウントのネットワーク越しの操作制限、ログオ...
-マイクロソフト セキュリティ アドバイザリ 3062591 Local A...
**ポリシー ③縦展開防止対策 [#hc718c4d]
|200||80|80|c
|COLOR(WHITE):BGCOLOR(#44546A):CENTER:対策|COLOR(WHITE):B...
|組織内の権限を分離する|攻撃者がドメイン内の異なる端末へ...
|特権アカウントの保護 |特にドメイン管理権限を保護|非常に...
|高い権限を持つ端末の要塞化|高い権限を扱う端末を要塞化す...
|リモートセッション資格情報保護|侵害にあっている端末へ接...
**ネットワークデザイン [#j6eccedd]
該当しません。
**アクセスコントロール [#s329f881]
以下の設定を検討して下さい。~
LSA保護を構成する方法:https://docs.microsoft.com/ja-jp/w...
**フィルタリング [#wdaadd39]
該当しません。
**仮想端末運用 [#u3c85ffa]
該当しません。
**エンドポイント対策 [#l27c4fa5]
-Endpoint Detection and Response の導入を検討します。
*受託開発ベンダー管理責任 [#tac506bd]
**セキュアコーディング [#cceeba2c]
該当しません。
**開発環境管理 [#g3d28ba8]
ユーザー運用管理責任、情報システム設計開発部門・運用部門...
**サプライチェーン正常性維持" [#f8f77365]
ユーザー運用管理責任、情報システム設計開発部門・運用部門...
終了行:
[[情報システム開発契約のセキュリティ仕様作成のためのガイ...
[[MITRE ATT&CKに基づく詳細設定対策]]
*戦術:水平展開[#c1589d41]
-MITRE ATT&CK
--[[T1550.002 Use Alternate Authentication Material: Pass...
*概説 [#sb0c6142]
Windowsには、Kerberos認証、NTLM認証があります。このうちNT...
このNTLM認証は端末のメモリ、レジストリにパスワードのNTLM...
攻撃者は、ツールを使いメモリ上やレジストリのSecurity Acco...
ローカル Administrator は端末の管理を容易にするため、全社...
*緩和の方針 [#pdfbc86d]
Pass the Hash 対策は拡散を防止する観点から、最も重要な防...
Mimikatz、PWDump7などの攻撃ツールが公開されており、保存さ...
資格情報管理する LSASS プロセスへの攻撃を防ぎ、資格情報を...
*運用やNetworkが変更された場合の影響の有無 [#o7f480ff]
各端末において、ローカルのAdministratorのパスワードが同一...
ビルトイン Administrators を使用した場合、攻撃のリスクが...
*優先すべき措置 [#y50ad94f]
''Hashの取得阻止''、''取得された場合の水平展開''、''垂直...
**Hashの取得阻止 [#h2ec743d]
以下の措置の実施を検討します。
-Windows Defender Credential Guard の導入を検討します。~
Windows 10 の場合、Enterprise Edition のライセンスが必要...
-LSA 保護モードの有効化。
-一般ユーザーをローカル Administrators に所属させません。
**水平展開の阻止 [#o530dbee]
以下の措置の実施を検討します。
-既定の Local Administrator を無効化します。
-LAPS の導入を検討します。
-ローカルアカウントのネットワーク越しの操作とログオンを制...
**垂直展開の阻止 [#n6416626]
以下の措置の実施を検討します。
-組織内の権限を分離します。ドメインコントローラー、メンバ...
-管理者権限を最小化し、特権アカウントの露出を最小限に抑え...
*ユーザー運用管理責任 [#f28d8b29]
**リスクの受容 [#g256381d]
Pass The Hash は攻撃者にとって水平展開を図る最も有効な攻...
**啓発・教育 [#t0ea9e25]
-対象:すべての端末利用者
--「一般ユーザーをローカル管理者グループから外す」ことで...
--「一般ユーザーをローカル管理者グループから外す」を実施...
**管理規程 [#zb0573a7]
以下の規程の整備を検討します。
-端末管理規定に「一般ユーザーをローカル管理者グループから...
*情報システム設計開発部門・運用部門(ベンダー代行を含む) ...
**ポリシー ①LSASS保護 + 認証情報の削減 [#v86ab53d]
|200||80|80|c
|COLOR(WHITE):BGCOLOR(#44546A):CENTER:対策|COLOR(WHITE):B...
|Windows Defender Credential Guard|独立した仮想領域に資格...
|[[LSA 保護モードの有効化]]|LSASS プロセスに対する悪意の...
|[[ビルトイン Administrator の無効化>・Windows の 管理者...
|[[一般ユーザーをローカル管理者グループから外す>・Windows...
|セキュリティ更新プログラムの適用|脆弱性を悪用する攻撃を...
|[[平文パスワードを保存しない>・L1 MS Security Guide#e6cd...
|[[LM ハッシュを保存しない>・L1 ローカルポリシー セキュリ...
|[[ログオフ後の資格情報消去]]|ユーザーのログオフ後に LSAS...
|NTLMプロトコルを無効にする|NTLM 認証を利用しないことで、...
|[[ARSO 無効化]]|Windows 8.1 以降の Automatic Restart Sig...
**ポリシー ②水平展開の阻止 [#z533e0e1]
|200||80|80|c
|COLOR(WHITE):BGCOLOR(#44546A):CENTER:対策|COLOR(WHITE):B...
|[[・LAPS]]&br;Local Administrator Password Solution|攻撃...
|[[ローカルアカウントのネットワーク越しの操作制限、ログオ...
-マイクロソフト セキュリティ アドバイザリ 3062591 Local A...
**ポリシー ③縦展開防止対策 [#hc718c4d]
|200||80|80|c
|COLOR(WHITE):BGCOLOR(#44546A):CENTER:対策|COLOR(WHITE):B...
|組織内の権限を分離する|攻撃者がドメイン内の異なる端末へ...
|特権アカウントの保護 |特にドメイン管理権限を保護|非常に...
|高い権限を持つ端末の要塞化|高い権限を扱う端末を要塞化す...
|リモートセッション資格情報保護|侵害にあっている端末へ接...
**ネットワークデザイン [#j6eccedd]
該当しません。
**アクセスコントロール [#s329f881]
以下の設定を検討して下さい。~
LSA保護を構成する方法:https://docs.microsoft.com/ja-jp/w...
**フィルタリング [#wdaadd39]
該当しません。
**仮想端末運用 [#u3c85ffa]
該当しません。
**エンドポイント対策 [#l27c4fa5]
-Endpoint Detection and Response の導入を検討します。
*受託開発ベンダー管理責任 [#tac506bd]
**セキュアコーディング [#cceeba2c]
該当しません。
**開発環境管理 [#g3d28ba8]
ユーザー運用管理責任、情報システム設計開発部門・運用部門...
**サプライチェーン正常性維持" [#f8f77365]
ユーザー運用管理責任、情報システム設計開発部門・運用部門...
ページ名:
