#author("2019-11-27T18:30:18+09:00","","")
[[IPAセキュリティPT評価版]]
*・悪意あるWindowsサービスの実行 [#x072760e]
**戦術 [#i4af84ff]
悪意あるプログラムの実行
**対象OS [#f36a4f09]
-Windows
**必要なアクセス許可 [#bc280f65]
Administrator, SYSTEM
**概説 [#df9df928]
Windowsサービスとは、ユーザーインターフェースを持たずにバックグラウンドで常駐して動作するプログラムで、SYSTEM権限で動作するため、最も高い権限を有します。~
Windowsが起動した際に自動起動するように設定できるため、悪意あるプログラム(マルウェア)をWindows サービスとしてインストールできれば、最上位の権限での設定実行や永続化が可能となります。~
悪意あるWindowsサービスは、キーボード・画面の窃取、C&Cサーバーとの通信、リモート操作などの機能が考えられます。~
新しいWindowsサービスをインストールするか、既存のサービスを変更することで実現されます。
**緩和の方針 [#i45ea24b]
上位のアクセス許可レベルで実行されるサービスが、下位のアクセス許可レベルを持つユーザーによって作成または操作されないようにします。
標準ユーザーアカウントは、ビルトインAdministratorsグループのメンバーであってはなりません。
**運用やNetworkが変更された場合の影響の有無 [#pbeb91dc]
標準ユーザーアカウントを、ビルトインAdministratorsグループのメンバーにした場合、リスクが非常に高まります。
「CWE-428:引用符で囲まれていない検索パスまたは要素」の脆弱性が存在すると、これを利用される可能性があります。新規にサードパーティーのプログラムをインストールした場合は、CWE-428が存在しないか、確認が必要となります。
https://cwe.mitre.org/data/definitions/428.html
**優先すべき措置 [#a8c84264]
標準ユーザーアカウントは、ビルトインAdministratorsグループのメンバーであってはなりません。
CWE-428の脆弱性を排除します。
**ユーザー運用管理責任 [#o4d09f0e]
***リスクの受容 [#h06d4411]
アプリケーションのインストール権限をユーザーに委ねたい場合、この手法のリスクが高くなります。対象端末の文書化と監査による検知を強化し緩和します。
***啓発・教育 [#t6d5a3a7]
ローカルの管理者権限で、インターネット接続、Web閲覧、メール閲覧をした場合のリスクを研修します。
***利用規定 [#f0cb340e]
ローカル管理者権限を業務ユーザーに付与した場合の文書化、監査による不正なWindowsサービスのインストールの検出。
**情報システム設計開発部門・運用部門(ベンダー代行を含む) [#f004436f]
***ポリシー [#p2100cf4]
***モニタリング [#k765066f]
***NWデザイン [#xfb11796]
端末、サーバーのネットワークセグメントからインターネットの接続を禁止する。
***アクセスコントロール [#mc4e471b]
該当なし
***フィルタリング [#u425c029]
該当なし
***ロール運用 [#f475674b]
標準ユーザーアカウントは、ビルトインAdministratorsグループのメンバーであってはなりません。
***仮想端末運用 [#v2e369ca]
該当なし
***エンドポイント対策 [#j8911a8b]
CWE-428の脆弱性の検出と排除
**受託開発ベンダー管理責任 [#jc57a4a6]
***セキュアコーディング [#oc9db074]
CWE-428の脆弱性の排除
***開発環境管理 [#t25a59e4]
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。
***サプライチェーン正常性維持" [#qd97f7e2]
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。
~
~
----
#article
