・不正なWindowsサービスの追加 のバックアップソース(No.7)

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• バックアップ を表示
• ・不正なWindowsサービスの追加 へ行く。
  • 1 (2019-11-18 (月) 14:16:30)
  • 2 (2020-02-08 (土) 17:21:39)
  • 3 (2020-03-19 (木) 14:46:44)
  • 4 (2020-03-24 (火) 13:47:00)
  • 5 (2020-03-26 (木) 14:24:47)
  • 6 (2020-07-25 (土) 16:45:36)
  • 7 (2020-08-12 (水) 10:56:35)
  • 8 (2020-08-30 (日) 09:33:35)
  • 9 (2020-10-19 (月) 09:15:47)

#author("2020-08-12T10:56:34+09:00","","")
[[情報システム開発契約のセキュリティ仕様作成のためのガイドライン（案）]]~
[[MITRE に基づく詳細設定対策]]

*戦術：永続性、特権昇格 [#kdaa9829]
-MITRE ATT&CK
--[[T1543.003 Create or Modify System Process: Windows Service>https://attack.mitre.org/techniques/T1543/003/]]


*概説 [#d0c56f8c]
Windowsサービスとは、ユーザーインターフェースを持たずにバックグラウンドで常駐して動作するプログラムです。Windowsが起動した際に自動起動するように設定できるため、悪意あるプログラム（マルウェア）をWindows サービスとしてインストールできれば、マルウェアの実行や永続化が可能となります。 悪意あるWindowsサービスは、キーボード・画面の窃取、C&Cサーバーとの通信、リモート操作などの機能を提供します。
-サービス名を偽装する場合があります。
-サービスの作成は管理者権限ですが、実行はLocalSystem特権となる場合があるため、権限昇格が起こりえます。

*緩和の方針 [#ref4af1e]
-一般業務端末ユーザーには、ローカル管理者の権限を付与せず、Windowsサービスのインストールを制限します。
-ローカル管理者の権限を有するユーザーの使用端末は、不正な Windows サービスが存在しないかを定期的に監査します。

*運用やNetworkが変更された場合の影響の有無 [#bec278d6]
ユーザーがローカルの管理者権限を新たに取得した場合、不正な Windows サービスが存在しないかを定期的に監査します。

*優先すべき措置 [#sb303208]
-一般ユーザーにはWindowsサービスを含むアプリケーションのインストール権限を付与せず制限します。
*ユーザー運用管理責任 [#y4f7ffd6]
**リスクの受容 [#mcce61a5]
-初期侵入~悪意あるプログラムの実行での対策が効果的と判断される場合は、不正な Windows サービスが存在しないかを定期的に監査することを前提に受容することを検討します。

**啓発・教育 [#be38aa80]
アプリケーションをインストールできる権限を持つユーザーに対して、"初期侵入" から "悪意あるプログラムの実行" までの攻撃ベクターで攻撃を阻止しないと、情報窃取、送信、漏洩等のリスクが高まることを理解させます。アプリケーションのインストールや保守以外での管理者権限でのインターネット接続、メール受信などのリスクを正しく認識させます。

**利用規定 [#r81e06ce]
システム管理者、ローカル管理者の文書化、監査。
一般ユーザーの権限の明示。

*情報システム設計開発部門・運用部門（ベンダー代行を含む) [#m17ad063]
**NWデザイン [#s2b5e192]
重要な情報資産を有する端末・サーバーのセグメント化、インターネット接続の禁止。


**アクセスコントロール [#y2389548]
-セキュリティコンテキスト~
Windowsサービスはログインしているユーザーのセキュリティコンテキストとは異なるセキュリティコンテキストで実行されます。~
ドメインの管理者でないユーザーにアプリケーションをインストールできる権限を与えた場合を考えます。このような場合に、アプリケーションがLocal Systemで動作するサービスをインストールできてしまうと、本来、特権を有しないユーザーが特権を有するアプリケーションを使って、レジストリを変更するなどして永続性の確保や、権限昇格が可能となります。

-Windowsサービスのセキュリティコンテキスト
|CENTER|CENTER|c
|セキュリティコンテキスト|与えられる権限|h
|User|システムは、サービスのインストール時に有効なユーザー名とパスワードの指定を要求し、ネットワーク上の 1 人のユーザーによって指定されたアカウントのコンテキストで実行します。|
|LocalService|ローカル コンピューター上で非特権ユーザーとして機能し、リモート サーバーに匿名の資格情報を提示するアカウントのコンテキストで実行します。|
|LocalSystem|広範なローカル特権を提供し、リモート サーバーにコンピューターの資格情報を提示するアカウントのコンテキストで実行します。|
|NetworkService|ローカル コンピューター上で非特権ユーザーとして機能し、リモート サーバーにコンピューターの資格情報を提示するアカウントのコンテキストで実行します。|
システムの特性に合わせて、アプリケーションのインストール権限を付与できるユーザーを限定し、これらのユーザーの端末のサービスを監査する事を検討します。~

**フィルタリング [#x98baf92]
UTM（悪意あるサイト、コンテンツのブロック）、侵入検知システムの導入。

**ロール運用 [#a8233db1]
システム管理者、ローカル管理者の文書化、監査。

**仮想端末運用 [#ac472899]
該当なし

**エンドポイント対策 [#u2014aae]
アンチウイルス、Endpoint Detection and Responseの導入。

*受託開発ベンダー管理責任 [#n87a00cb]
**セキュアコーディング [#v6885f78]

**開発環境管理 [#w0ba2ff4]
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。
**サプライチェーン正常性維持" [#j1f3010e]
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。