情報システム開発契約のセキュリティ仕様作成のためのガイドライン
・Windows の 管理者の設定
をテンプレートにして作成
開始行:
[[情報システム開発契約のセキュリティ仕様作成のためのガイ...
[[詳細設定対策に必要な措置]]
*Windows Administrtor の厳格かつ限定的運用の重要性 [#r31d...
Windows に組み込まれている特権管理者である Administrator ...
このため、安易な Administrator の運用は避けるべきであり、...
反対に、Administrator の厳格かつ限定的な運用は、標的型攻...
本項では、Active Directory ドメイン環境における Administr...
*Windows Administrator の特徴 [#d6b9540a]
**ビルトイン Administrator とビルトイン Administrator&col...
-ビルトイン Administrator
--ローカル管理者、ローカルAdministrator などと表現される...
--ビルトイン Administrator 以外のユーザーは、Windows に変...
#ref(https://www.softwareisac.jp/ipa/image/UAC.jpg)
~
--しかし、ビルトイン Admonistrator は UAC の表示がなく完...
--アカウントロックアウト、アカウントの有効期限、ログオン...
--ビルトイン Administrator&color(red){s}; から削除できま...
--Windows 10 はビルトイン Administrator は Default で無効...
--Administrator の ID はグループポリシーで変更が可能です。
--Windows Server では Default で有効となっています。
--ドメインコントローラーの場合は、ビルトイン Administrato...
-ビルトイン Administrator&color(red){s};
--ローカルグループ Administrator&color(red){s}; 、もしく...
--UAC が適用されます。
--アカウントロックアウト、アカウントの有効期限、パスワー...
*Windows Administrator への攻撃と緩和策 [#hf253c65]
**ビルトイン Administrator へのブルートフォース攻撃(総当...
ビルトイン Administrator はアカウントロックアウト設定がで...
ビルトイン Administrator 以外のコマンドラインによるリモー...
また、NTLM ハッシュが窃取された場合、オフラインで解析する...
https://www.theregister.co.uk/2019/02/14/password_length/
**暫定的な緩和策 [#bc12e2b4]
以下の緩和策を設定する前に、ID として Administrator を使...
① グループポリシーでビルトイン ''Administrator の ID を変...
|[コンピューターの構成]>[Windows の設定]>[セキュリティの...
新たな ID に組織名や組織の略称を含めることは避けるべきで...
② IDを変更したビルトイン Administrator のパスワードを少な...
パスフレーズの例:「Hayabusa2 ha Chikyuu ni# Kikanchuu Des...
③ ポリシーでビルトイン Administrator に対しても UAC の適...
参考文書: Your Pa$$word doesn't matter~
https://techcommunity.microsoft.com/t5/azure-active-direc...
**根本的な緩和策 [#d092aae2]
-多要素認証の導入~
''多要素認証の導入''を検討してください。多要素認証は攻撃...
https://techcommunity.microsoft.com/t5/azure-active-direc...
Active Directory の場合、多要素認証としては、Windows Hell...
-ビルトイン Administrator の無効化~
グループポリシーで端末のビルトイン Administrator を無効化...
--グループポリシーエディターで以下のポリシーを開きます。~
[コンピューター構成]>[ポリシー]>[Windows の設定]>[セキュ...
[無効] にします。
--ポリシーの規定値
|COLOR(WHITE):BGCOLOR(#44546A):CENTER:サーバーの種類また...
|既定のドメインポリシー|未定義|
|既定のドメインコントローラーポリシー|未定義|
|スタンドアロンサーバーの既定の設定|有効|
|DC の有効な既定の設定|有効|
|メンバーサーバーの有効な既定の設定|有効|
|クライアントコンピューターの有効な既定の設定|無効|
>アカウント: Administrator アカウントの状態: https://doc...
**ビルトイン Administrator を使った水平展開 [#v666ece5]
組織で端末やサーバーを初期設定する際に、ビルトイン Admini...
***緩和策 [#y0b7f148]
① ビルトイン Administrator のパスワードを一台ずつ、すべて...
ローカル管理者パスワードソリューション(LAPS)導入ガイド...
https://msrc-blog.microsoft.com/2020/08/26/20200827_laps/~
②その上で、ポリシーで [Apply UAC restrictions to local ac...
|[コンピューターの構成]>[ポリシー]>[管理用テンプレート]>[...
***参考 ユーザー アカウント制御、Windows Vista でリモート...
https://support.microsoft.com/ja-jp/help/951016. ~
③ ポリシーでビルトイン Administrator に対しても UAC の適...
|[コンピューターの構成]>[Windows の設定]>[セキュリティの...
**ドメインユーザーがビルトイン Administrators に所属して...
ドメインユーザーがビルトイン Administrators に所属してい...
***実行可能な戦術[#b38978f5]
悪意あるプログラムの実行、永続化、防御回避、資格情報への...
***緩和策 [#y394991c]
ドメインユーザーは標準ユーザーで運用し、ビルトイン Admini...
*リスク受容する場合の注意点 [#gee522fc]
ユーザーの利便性や業務の遂行を優先し無条件にリスク受容を...
①一般業務でのリスク受容は、まったく推奨できません。メール...
②開発環境におけるDebugコマンド実行やヘルプデスク業務など...
このような場合は、対象の端末やシステムを限定し、仮想化、...
**教育 [#g46a14eb]
Administrators にドメインユーザーが含まれる環境への脅威を...
-攻撃手法について理解する [[・攻撃ベクトルの研究]]
**緩和策 [#wb4c7c8c]
-脆弱性修正プログラムの適用
-アンチウイルスソフトの更新及び週次での完全スキャンの実施
-リムーバブルメディアの運用制限、自動再生の禁止
-電子メール、Webブラウザの閲覧等の運用制限の検討(仮想マ...
-インターネットへの接続制限の検討
-侵入検知システム、Endpoint Detection and Response 等の導...
終了行:
[[情報システム開発契約のセキュリティ仕様作成のためのガイ...
[[詳細設定対策に必要な措置]]
*Windows Administrtor の厳格かつ限定的運用の重要性 [#r31d...
Windows に組み込まれている特権管理者である Administrator ...
このため、安易な Administrator の運用は避けるべきであり、...
反対に、Administrator の厳格かつ限定的な運用は、標的型攻...
本項では、Active Directory ドメイン環境における Administr...
*Windows Administrator の特徴 [#d6b9540a]
**ビルトイン Administrator とビルトイン Administrator&col...
-ビルトイン Administrator
--ローカル管理者、ローカルAdministrator などと表現される...
--ビルトイン Administrator 以外のユーザーは、Windows に変...
#ref(https://www.softwareisac.jp/ipa/image/UAC.jpg)
~
--しかし、ビルトイン Admonistrator は UAC の表示がなく完...
--アカウントロックアウト、アカウントの有効期限、ログオン...
--ビルトイン Administrator&color(red){s}; から削除できま...
--Windows 10 はビルトイン Administrator は Default で無効...
--Administrator の ID はグループポリシーで変更が可能です。
--Windows Server では Default で有効となっています。
--ドメインコントローラーの場合は、ビルトイン Administrato...
-ビルトイン Administrator&color(red){s};
--ローカルグループ Administrator&color(red){s}; 、もしく...
--UAC が適用されます。
--アカウントロックアウト、アカウントの有効期限、パスワー...
*Windows Administrator への攻撃と緩和策 [#hf253c65]
**ビルトイン Administrator へのブルートフォース攻撃(総当...
ビルトイン Administrator はアカウントロックアウト設定がで...
ビルトイン Administrator 以外のコマンドラインによるリモー...
また、NTLM ハッシュが窃取された場合、オフラインで解析する...
https://www.theregister.co.uk/2019/02/14/password_length/
**暫定的な緩和策 [#bc12e2b4]
以下の緩和策を設定する前に、ID として Administrator を使...
① グループポリシーでビルトイン ''Administrator の ID を変...
|[コンピューターの構成]>[Windows の設定]>[セキュリティの...
新たな ID に組織名や組織の略称を含めることは避けるべきで...
② IDを変更したビルトイン Administrator のパスワードを少な...
パスフレーズの例:「Hayabusa2 ha Chikyuu ni# Kikanchuu Des...
③ ポリシーでビルトイン Administrator に対しても UAC の適...
参考文書: Your Pa$$word doesn't matter~
https://techcommunity.microsoft.com/t5/azure-active-direc...
**根本的な緩和策 [#d092aae2]
-多要素認証の導入~
''多要素認証の導入''を検討してください。多要素認証は攻撃...
https://techcommunity.microsoft.com/t5/azure-active-direc...
Active Directory の場合、多要素認証としては、Windows Hell...
-ビルトイン Administrator の無効化~
グループポリシーで端末のビルトイン Administrator を無効化...
--グループポリシーエディターで以下のポリシーを開きます。~
[コンピューター構成]>[ポリシー]>[Windows の設定]>[セキュ...
[無効] にします。
--ポリシーの規定値
|COLOR(WHITE):BGCOLOR(#44546A):CENTER:サーバーの種類また...
|既定のドメインポリシー|未定義|
|既定のドメインコントローラーポリシー|未定義|
|スタンドアロンサーバーの既定の設定|有効|
|DC の有効な既定の設定|有効|
|メンバーサーバーの有効な既定の設定|有効|
|クライアントコンピューターの有効な既定の設定|無効|
>アカウント: Administrator アカウントの状態: https://doc...
**ビルトイン Administrator を使った水平展開 [#v666ece5]
組織で端末やサーバーを初期設定する際に、ビルトイン Admini...
***緩和策 [#y0b7f148]
① ビルトイン Administrator のパスワードを一台ずつ、すべて...
ローカル管理者パスワードソリューション(LAPS)導入ガイド...
https://msrc-blog.microsoft.com/2020/08/26/20200827_laps/~
②その上で、ポリシーで [Apply UAC restrictions to local ac...
|[コンピューターの構成]>[ポリシー]>[管理用テンプレート]>[...
***参考 ユーザー アカウント制御、Windows Vista でリモート...
https://support.microsoft.com/ja-jp/help/951016. ~
③ ポリシーでビルトイン Administrator に対しても UAC の適...
|[コンピューターの構成]>[Windows の設定]>[セキュリティの...
**ドメインユーザーがビルトイン Administrators に所属して...
ドメインユーザーがビルトイン Administrators に所属してい...
***実行可能な戦術[#b38978f5]
悪意あるプログラムの実行、永続化、防御回避、資格情報への...
***緩和策 [#y394991c]
ドメインユーザーは標準ユーザーで運用し、ビルトイン Admini...
*リスク受容する場合の注意点 [#gee522fc]
ユーザーの利便性や業務の遂行を優先し無条件にリスク受容を...
①一般業務でのリスク受容は、まったく推奨できません。メール...
②開発環境におけるDebugコマンド実行やヘルプデスク業務など...
このような場合は、対象の端末やシステムを限定し、仮想化、...
**教育 [#g46a14eb]
Administrators にドメインユーザーが含まれる環境への脅威を...
-攻撃手法について理解する [[・攻撃ベクトルの研究]]
**緩和策 [#wb4c7c8c]
-脆弱性修正プログラムの適用
-アンチウイルスソフトの更新及び週次での完全スキャンの実施
-リムーバブルメディアの運用制限、自動再生の禁止
-電子メール、Webブラウザの閲覧等の運用制限の検討(仮想マ...
-インターネットへの接続制限の検討
-侵入検知システム、Endpoint Detection and Response 等の導...
ページ名:
