ネットワークサービスのスキャン
設定対策?
ネットワークサービスのスキャン †
対象OS:Linux、Windows、macOS †
攻撃評価 †
戦術分類 | 119 Value | Pen Value |
初期侵入 | 3 | 3 |
119 Value:Min:1 Max:3 数値が高いほど攻撃実績が多い
Pen Value:Min:1 Max:3 数値が高いほどペネトレーションテストで攻撃が成功しやすい
MITRE 緩和策 †
機能またはプログラムの無効化または削除 †
発見と潜在的な悪用のリスクを防ぐために、不要なポートとサービスが閉じられていることを確認してください。
ネットワーク侵入防止 †
ネットワーク侵入検出/防止システムを使用して、リモートサービススキャンを検出および防止します。
ネットワークセグメンテーション †
重要なサーバーとデバイスを保護するために、適切なネットワークセグメンテーションに従うようにします。
Windows 10 STIG †
V-63343 オペレーティングシステムは、自動化メカニズムを採用して、次の頻度を使用して欠陥修正に関するシステムコンポーネントの状態を判断する必要があります。
V-63581 インターネットまたはWindowsドメインへの同時接続を制限する必要があります。
V-63711 暗号化されていないパスワードをサードパーティのSMBサーバーに送信しないでください。
V-63381 システムに簡易ネットワーク管理プロトコル(SNMP)をインストールしないでください。
V-63585 ドメイン認証ネットワークに接続されている場合、非ドメインネットワークへの接続をブロックする必要があります。
V-63629 ネットワーク選択ユーザーインターフェイス(UI)をログオン画面に表示しないでください。
Windows Server 2016 STIG †
V-73675 名前付きパイプと共有への匿名アクセスを制限する必要があります。
V-73531 ネットワーク選択ユーザーインターフェイス(UI)をログオン画面に表示しないでください。
V-73731 [ネットワークからこのコンピューターにアクセス]ユーザー権利は、ドメインコントローラーの管理者、認証済みユーザー、およびエンタープライズドメインコントローラーグループにのみ割り当てる必要があります。
V-73245 サーバーには、ホストベースの侵入検知または防止システムが必要です。
V-73757 認証されていないアクセスを防ぐために、ドメインコントローラーのネットワークユーザー権利からこのコンピューターへのアクセスを拒否を構成する必要があります。
V-73387 ディレクトリサービスは、非アクティブな状態が5分間続くと、ディレクトリサーバーへのLDAPベースのネットワーク接続を終了するように構成する必要があります。
V-73257 非管理アカウントまたはグループには、プリンター共有に対する印刷権限のみが必要です。