・アカウントの探索
情報システム開発契約のセキュリティ仕様作成のためのガイドライン
MITRE ATT&CKに基づく詳細設定対策
戦術:情報の探索 †
- MITRE ATT&CK
概説 †
攻撃者はローカル、ドメイン、クラウド、電子メールのアカウントを取得する場合があります。いずれも、OSのコマンドもしくはシェルを利用しアカウントの情報を取得できます。なお、この手法はクラウドシステムのアカウントの探索も含まれることから、クラウド管理システムも対象となります。
緩和の方針 †
Windowsの場合、ローカル管理者アカウントが列挙されないようにポリシー設定をします。 クラウドの制御に使用するコマンドラインインターフェースがインストールされた端末を特定し、監査を強化します。
- Azure PowerShell コマンド、Azure CLI コマンド、AWS CLIコマンドなど
運用やNetworkが変更された場合の影響の有無 †
ローカル管理者アカウント列挙のポリシーが有効にされると、攻撃者は容易にローカル管理者のIDを入手でき、クレデンシャルアクセスなどのリスクが増大します。
優先すべき措置 †
Windowsのローカル管理者アカウントが列挙されないようにポリシーを設定します。 スクリプト、コマンドラインインターフェースの実行ログの取得を取得し検出に努めます。
ユーザー運用管理責任 †
リスクの受容 †
設定しない場合、攻撃者に情報を提供するため、このリスクは受容すべきではありません。
啓発・教育 †
該当しません。
管理規定 †
該当しません。
情報システム設計開発部門・運用部門(ベンダー代行を含む) †
ポリシー †
以下のポリシー設定を検討します。
- [コンピューターの構成]> [ポリシー]> [管理用テンプレート]> [Windowsコンポーネント]> [資格情報ユーザーインターフェイス]> [昇格時に管理者アカウントを列挙する] を [無効] にします。
- [コンピューターの構成]>[ポリシー]>[Windowsの設定]>[セキュリティの設定]>[ローカルポリシー]>[セキュリティオプション]>[ネットワーク アクセス:Everyone アクセス許可を匿名ユーザーに適用する] を [無効] にします。
- [コンピューターの構成]>[ポリシー]>[Windowsの設定]>[セキュリティの設定]>[ローカルポリシー]>[セキュリティオプション]>[ネットワーク アクセス:SAMアカウントの匿名列挙を許可しない ] を [有効] にします。
- [コンピューターの構成]>[ポリシー]>[Windowsの設定]>[セキュリティの設定]>[ローカルポリシー]>[セキュリティオプション]>[ネットワーク アクセス: SAM アカウントおよび共有の匿名の列挙を許可しない] を [有効] にします。
- [コンピューターの構成]>[ポリシー]>[Windowsの設定]>[セキュリティの設定]>[ローカルポリシー]>[セキュリティオプション]>[ネットワーク アクセス: SAM へのリモート呼び出しを許可するクライアントを制限する] を [定義する] にチェックし、[セキュリティの編集] で [Domain\Administrators] を指定し、[リモートアクセス] を [許可] します。[セキュリティ記述子]を[O:BAG:BAD:(A;;RC;;;BA)] が設定されることを確認します。
モニタリング †
以下の監査の実施を検討します。
- ポリシー設定の変更の有無を定期的に監査する。
- クラウドコマンドラインインターフェースのログを監査する。
ネットワークデザイン、アクセスコントロール、フィルタリング †
該当しません。
仮想端末運用 †
これは将来のためのプレースフォルダーです。
ゲートウェイ及びエンドポイント対策 †
該当しません。
受託開発ベンダー管理責任 †
セキュアコーディング †
該当しません。
開発環境管理 †
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じます。 例外はすべて文書化し、適切な監査を実施します。
サプライチェーン正常性維持" †
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じます。 例外はすべて文書化し、適切な監査を実施します。