・Windows Group Policyの再読み込み

Last-modified: 2021-01-13 (水) 13:01:47

情報システム開発契約のセキュリティ仕様作成のためのガイドライン
詳細設定対策に必要な措置

MITRE ATT&CKに基づく詳細設定対策では、Windowsの場合、グループポリシーによって予防的設定をレジストリーに適用します。しかし、攻撃者によってレジストリーが改ざんされた場合、例外を許すことになります。そこで、Group Policyに変更がなくても、必ずグループポリシー全体を読み込み直し、改ざんされた場合でもレジストリーを再度上書きすることでポリシーを維持します。 ただし、定時出社の始業時では、ドメインコントローラーへの負荷が増大する恐れがあります。このため、OUごとにグループポリシーの変更を実施して負荷を計測し、必要に応じてサイトの見直しや、ドメインコントローラーを増強するなどの措置をとってください。

Windows Group Policy設定 †

グループポリシーで設定する場合は、以下の設定を実施します。
[コンピューターの構成] >> [管理用テンプレート] >> [システム] >> [グループポリシー] >> [レジストリポリシー処理の構成]のポリシー値を[有効]に構成し、[グループポリシーオブジェクトが変更されていない場合でも処理する]を選択する。

Windows レジストリー（Windows 10、Windows Server 2016確認済） †

レジストリーで設定する場合は、以下の設定を実施します。

攻撃ベクトルの研究
OWASP ASVS 4.0
最低限検討すべきデフォルト緩和策 端末編
最低限検討すべきデフォルト緩和策 セキュリティ仕様・Webアプリケーション編
詳細設定対策に必要な措置
MITRE ATT＆CKに基づく詳細設定対策