・WinRMサービスを無効化/制限

Last-modified: 2019-11-21 (木) 17:02:00

・PowerShellの悪用

WinRMの無効化 †

PowerShell のリモート接続には WinRM が有効になっている必要があるため、WinRM を無効化することで、リモート操作を停止することができます。

1. PowerShell でのWinRMの無効化
   最初に無効化する端末で以下のコマンドレットを実行します。
   

   #リモートユーザーがローカルコンピューターのPowerShellでコマンドを実行できないようにします。
   Disable-PSRemoting
   #Trustedhosts の削除
   Clear-Item WSMan:\localhost\Client\Trustedhosts -Force

2. セキュリティが強化されたWindowsファイアーウォールの設定
   受信の規則：Windows リモート管理（HTTP受信）TCP/5985 [有効]→[いいえ]
   受信の規則：Windows リモート管理-互換モード（HTTP-In）TCP/80 [有効]→[いいえ] ※Defaultは[いいえ]となっている。

攻撃ベクトルの研究
OWASP ASVS 4.0
最低限検討すべきデフォルト緩和策 端末編
最低限検討すべきデフォルト緩和策 セキュリティ仕様・Webアプリケーション編
詳細設定対策に必要な措置
MITRE ATT＆CKに基づく詳細設定対策