- 追加された行はこの色です。
- 削除された行はこの色です。
#author("2019-12-18T11:13:11+09:00","","")
#author("2019-12-18T12:09:50+09:00","","")
[[IPAセキュリティPT評価版]]
*管理者ポリシー [#y0d6d21b]
|100|150||c
|ポリシー設定|ポリシー値|説明|h
|管理特権を持つユーザー|管理業務と通常の運用タスクのためにアカウントを分ける|特権アカウントを使用してルーチン機能を実行すると、完全な特権が付与されたセッション中に意図せず導入された悪意のあるソフトウェアに対してコンピューターが脆弱になります。|
|ドメインコントローラーを担当する管理者|標準ユーザーアカウントがローカル管理者グループに存在していないこと&br;メンバーサーバー、ワークステーションの管理者グループに存在しないこと|管理者の職務を持たないアカウントは、管理者権限を持ってはなりません。このような権限により、アカウントはそのマシンに必要なセキュリティ制限をバイパスまたは変更し、攻撃に対して脆弱になります。&br;ドメインコントローラーのシステム管理者は、必要最小限の権限を持つアカウントのみを使用してシステムにログオンする必要があります。また、メンバーサーバ管理者グループ、ワークステーション管理者グループに属さないようにしてください。&br;標準ユーザーアカウントは、ビルトインAdministratorsグループのメンバーであってはなりません。|
|メンバーサーバーを担当する管理者|標準ユーザーアカウントがローカル管理者グループに存在していないこと&br;ドメインコントローラー、ワークステーションの管理者グループに存在しないこと|管理者の職務を持たないアカウントは、管理者権限を持ってはなりません。このような権限により、アカウントはそのマシンに必要なセキュリティ制限をバイパスまたは変更し、攻撃に対して脆弱になります。&br;メンバーサーバーのシステム管理者は、必要最小限の権限を持つアカウントのみを使用してシステムにログオンする必要があります。また、ドメインコントローラー管理者グループ、ワークステーション管理者グループに属さないようにしてください。&br;標準ユーザーアカウントは、ビルトインAdministratorsグループのメンバーであってはなりません。|
|ワークステーションを担当する管理者|標準ユーザーアカウントがローカル管理者グループに存在していないこと&br;ドメインコントローラー、メンバーサーバーの管理者グループに存在しないこと|管理者の職務を持たないアカウントは、管理者権限を持ってはなりません。このような権限により、アカウントはそのマシンに必要なセキュリティ制限をバイパスまたは変更し、攻撃に対して脆弱になります。&br;ワークステーションのシステム管理者は、必要最小限の権限を持つアカウントのみを使用してシステムにログオンする必要があります。また、ドメインコントローラー管理者グループ、メンバーサーバー管理者グループに属さないようにしてください。&br;標準ユーザーアカウントは、ビルトインAdministratorsグループのメンバーであってはなりません。|
|Built-in Administratorアカウントのパスワード変更|60日ごとに変更する|Built-in Administrator はロックアウトされないためブルートフォース攻撃の危険性が存在します。LAPSを導入している場合は30日ごとに変更してください。|
|管理者アカウントでの禁止事項|Webサイトやメールなどのインターネット接続するアプリケーションを使用しない|インターネットにアクセスするアプリケーション、または管理者権限を使用して潜在的なインターネットソースを持つアプリケーションを使用すると、システムが危険にさらされます。特権ユーザーとして実行中にアプリケーションの欠陥が悪用されると、システム全体が危険にさらされる可能性があります。Webブラウザーと電子メールは、悪意のあるコードを導入するための一般的な攻撃ベクトルであり、管理者アカウントで実行しないでください。|
|Backup Operators|バックアップ業務を実行するための個別のアカウントが必要|Backup Operators はシステム内の任意のファイルを読み書きできるため、通常業務のアカウントとは別のアカウントにしてください。|
|手動で管理されるアプリケーションアカウントのパスワード設定|15文字以上、1年に1回は変更する&br;システム管理者が退職した場合は変更する|可能な限りSPN (サービス プリンシパル名) を使用してください。|
|共有ユーザーアカウント|使用しない|共有アカウント(2人以上が同じユーザーIDでログオンするアカウント)では、適切な識別と認証が提供されません。システムへのアクセスとリソースの使用に対する否認防止または個別の説明責任を提供する方法はありません。|
|承認されたソフトウェアプログラムの実行の許可|AppLockerによる拒否・例外ルール(ホワイトリスト)を設定する|ホワイトリストを使用すると、構成管理方法が提供され、承認されたソフトウェアのみを実行できます。許可されたソフトウェアのみを使用すると、潜在的な脆弱性の数が制限されるため、リスクが減少します。&br;組織は、許可されたソフトウェアプログラムを識別し、許可されたソフトウェアの実行のみを許可する必要があります。組織情報システムでの実行が許可されているソフトウェアプログラムの識別に使用されるプロセスは、一般にホワイトリストと呼ばれます。|
||||