- 追加された行はこの色です。
- 削除された行はこの色です。
#author("2019-12-11T13:00:07+09:00","","")
#author("2019-12-11T15:01:50+09:00","","")
[[IPAセキュリティPT評価版]]
*基本的な考え方 [#y94de2ac]
一般的な攻撃の初期侵入経路は、電子メールの添付ファイルもしくはWebサイトのリンクです。従って、電子メールやWebサイトの閲覧を行う端末は攻撃のリスクが高く、VBAやスクリプトが許可されている端末は、さらにリスクが高く、すでに何らかの攻撃を受けている可能性も考えられます。~
Microsoft は、Pass The Hash に対抗するための封じ込め策を提唱しています。これは攻撃者に対する管理者の露出を制限することで、重要資産にアクセスできる特権の窃取を防ぐ狙いがあります。
|Tier|管理者グループ|管理対象|禁止されている接続先|h
|0|Domain Admin|ドメインコントローラー|Tier 1, Tier 2|
|1|Member Server Admin|業務サーバー|Tier 0, Tier 2|
|2|Workstation Admin|業務端末|Tier 1, Tier 2|
-各層のネットワーク
--セグメント化する
--管理端末は同じ居室に設置するか、VLANで接続する
-各層の管理者
--IDはすべてユニークにする(層をまたいで同じIDを使用しない)
--多要素認証にする~
--ロール権限を最小にする~
-各層の管理端末
--クリーンセットアップされたものに限定する
--リムーバブルメディア、スマートフォン等の接続を禁止する
--明示的に必要なポート以外はすべて着信接続を拒否する
--すべてのインターネットアクセスをブロックする
--管理に不要なアプリケーションのアンインストール
--Web、電子メールの閲覧の禁止、Office、PDFの閲覧の禁止
-グループポリシー
--ネットワーク経由でのコンピュータへのアクセス拒否
--バッチジョブとしてログオンを拒否
--サービスとしてログオンを拒否
--リモートデスクトップけいゆのログオンを拒否
-管理者
--最新のスピアフィッシングの傾向を共有する
管理端末でのメール、Web、Officeアプリケーション閲覧と操作を禁止することで、初期侵入時に最も利用されている添付ファイルやリンクを伴うスピアフィッシングメールからの感染を防止しします。~
-Tier 0
管理インターフェイスを保護する: https://www.ncsc.gov.uk/blog-post/protect-your-management-interfaces
