・管理インターフェースの保護 のバックアップ差分(No.7)

• バックアップ一覧
• 現在との差分 を表示
• ソース を表示
• バックアップ を表示
• ・管理インターフェースの保護 へ行く。
  • 1 (2019-11-26 (火) 10:19:11)
  • 2 (2019-11-26 (火) 10:24:04)
  • 3 (2019-11-26 (火) 10:24:22)
  • 4 (2019-11-26 (火) 10:25:08)
  • 5 (2019-12-11 (水) 13:00:07)
  • 6 (2019-12-11 (水) 15:01:50)
  • 7 (2019-12-11 (水) 17:29:48)
  • 8 (2019-12-11 (水) 17:43:29)
  • 9 (2019-12-12 (木) 10:07:29)
  • 10 (2019-12-12 (木) 12:02:46)
  • 11 (2019-12-18 (水) 10:34:30)
  • 12 (2020-02-16 (日) 10:17:06)
  • 13 (2020-03-16 (月) 10:54:58)
  • 14 (2020-03-19 (木) 14:38:00)
  • 15 (2020-07-17 (金) 15:52:07)
  • 16 (2020-07-25 (土) 14:48:06)
  • 17 (2020-09-17 (木) 09:44:07)
  • 18 (2020-11-08 (日) 11:16:30)

• 追加された行はこの色です。
• 削除された行はこの色です。

#author("2019-12-11T15:01:50+09:00","","")
#author("2019-12-11T17:29:48+09:00","","")
[[IPAセキュリティPT評価版]]

*基本的な考え方 [#y94de2ac]
Microsoft は、Pass The Hash に対抗するための封じ込め策を提唱しています。これは攻撃者に対する管理者の露出を制限することで、重要資産にアクセスできる特権の窃取を防ぐ狙いがあります。

**ネットワークレイヤーの分離 [#r3db5fee]
|Tier|管理者グループ|管理対象|禁止されている接続先|h
|0|Domain Admin|ドメインコントローラー|Tier 1, Tier 2|
|1|Member Server Admin|業務サーバー|Tier 0, Tier 2|
|2|Workstation Admin|業務端末|Tier １, Tier 2|
~
***各レイヤーの設定 [#ncb7cd07]
-各層のネットワーク
--セグメント化する
--管理端末は同じ居室に設置するか、VLANで接続する
-各層の管理者
--IDはすべてユニークにする（層をまたいで同じIDを使用しない）
--多要素認証にする~
--ロール権限を最小にする~
-各層の管理端末
--クリーンセットアップされたものに限定する
--リムーバブルメディア、スマートフォン等の接続を禁止する
--明示的に必要なポート以外はすべて着信接続を拒否する
--すべてのインターネットアクセスをブロックする
--管理に不要なアプリケーションのアンインストール
--Web、電子メールの閲覧の禁止、Office、PDFの閲覧の禁止
--[[端末緩和設定 を参照>管理インターフェースの保護#t45e9138]]

~
~
*管理すべき対象と緩和策 [#web2b680]
**管理者（通常の動作を特定し、誰がどのようなリソースにアクセスるかを特定し、封じ込め策を検討する） [#g13378e4]
-厳重に管理すべきセキュリティグループ、管理者、従業員アカウント
--Domain Admin
--Enterprise Admin
--Schema Admin
--Account Operators
--Backup Operators
--BUILTIN\Administrator
--ハイパーバイザー管理者
--アプリケーション管理システム、アンチウイルス管理システムなどの管理者
--ソフトウェアのインストール、アップデート、バックアップのためのサービスアカウント
--セキュリティスキャンに使用するサービスアカウント
--共有ローカル管理者アカウント
-付加価値の高いビジネス資産へのアクセス権を持っているアカウント
--メールシステム
--ファイル共有
--SharePoint、DropBox、VOXなどのコンテンツ管理システム
--File Server、オンラインバンキング端末などの重要なインフラ
--経営幹部
--研究者
--経理・財務担当者
--秘書
*特権アカウントを使用することが想定される端末 [#kf7f56be]
-ヘルプデスクなどのサポートに使用されるコンピュータ
-バッチ処理管理サーバー
-セキュリティスキャナ
-RDP を使用する端末
-PS Remotting を使用する端末
-Debugツール、開発環境を使用する端末

*端末緩和設定 [#t45e9138]
-クリーンセットアップされたものに限定する
-BitLockerによる暗号化
-リムーバブルメディア、スマートフォン等の接続を禁止する
-明示的に必要なポート以外はすべて着信接続を拒否する
-すべてのインターネットアクセスをブロックする、もしくはポートを最小限にし、可能な場合、IPアドレスを制限する
-管理に不要なアプリケーションのアンインストール
-Web、電子メールの閲覧の禁止、Office、PDFの閲覧の禁止
-グループポリシー
--ネットワーク経由でのコンピュータへのアクセス拒否
--バッチジョブとしてログオンを拒否
--サービスとしてログオンを拒否
--リモートデスクトップけいゆのログオンを拒否
-管理者
--最新のスピアフィッシングの傾向を共有する


管理端末でのメール、Web、Officeアプリケーション閲覧と操作を禁止することで、初期侵入時に最も利用されている添付ファイルやリンクを伴うスピアフィッシングメールからの感染を防止しします。~





-Tier 0

--リモートデスクトップ経由のログオンを拒否
~
~
管理インターフェイスを保護する: https://www.ncsc.gov.uk/blog-post/protect-your-management-interfaces