- 追加された行はこの色です。
- 削除された行はこの色です。
#author("2019-11-13T08:37:07+09:00","","")
#author("2019-11-13T10:00:02+09:00","","")
[[IPA一般公開用]] [[設定対策]]
*認証方法のダンプ [#v7b081e3]
**戦術 [#ddd263bf]
水平展開
認証情報アクセス
**対象OS [#h2d571d0]
-Linux
-Windows
-macOS
**必要なアクセス許可 [#la04e9dd]
-Administrator
-SYSTEM
-root
**概説 [#o554df20]
認証情報のダンプは、OSに保存されているアカウントのIDとパスワードを取得するプロセスです。その後、窃取した資格情報を利用して、水平展開を図ります。このため、認証情報のダンプを阻止することは、被害の拡大を防ぐ重要なポイントとなります。Windowsの場合、攻撃者は以下の手法を試みることが判明しています。
認証情報のダンプは、OSに保存されているアカウントのIDとパスワードを取得するプロセスです。その後、窃取した資格情報を利用して、情報の収集や水平展開を図ります。このため、認証情報のダンプを阻止することは、被害の拡大を防ぐ重要なポイントとなります。~
認証情報はOSによってHashされ安全な状態で保管され、AdministratorやSYSTEM権限でアクセスされますので、一般的な標準ユーザーの場合は安全といえます。しかし、Administrator権限でログオン中に悪意あるプログラムのインストールを招くと、Administrator権限やSYSTEM権限を取得されてしまい、認証情報のアクセスを許してしまうこととなります。
***Windows [#h30ced74]
-Security Account Manager(SAM)への攻撃
SAMはローカルアカウントのデータベースです。ツールを使ってSAMからハッシュされた認証情報を取得します。また、RegコマンドでレジストリからSAMをダンプします。アクセスにはAdministrator権限が必要です。
-ドメインコントローラーが利用できない場合のキャッシュログオン情報への攻撃
キャッシュログオンを実現するための DCC2(Domain Cached Credentials version 2) のハッシュを取得します。メモリ上もしくはレジストリのDCC2ハッシュはツールを使いダンプします。
-Local Security Authority (LSA) への攻撃
LSAとはローカル認証やドメイン認証を実現する認証コンポーネントの中核です。このLSAに対して、SYSTEM権限(Administrator権限より上位)でツールを使い、アクセスする事で、アカウント情報へアクセスが可能となります。
-ドメインコントローラーのNTDSへの攻撃
NTDSにはドメインのユーザー情報(認証情報、アクセス権)が保存されています。ドメインコントローラー上でツールを使うことでハッシュされた情報を取得できます。
-SSPのプレーンテキストの資格情報
上記の攻撃はハッシュされた資格情報であり、辞書攻撃やブルートフォース攻撃でハッシュ値と合致するパスワードを取得しなければならないため、容易ではありません。一方で、WindowsはHTTPアクセスの際のダイジェスト認証(Wdigest)をはじめとする様々な資格情報を保存します。これらの情報はプレーンテキストで保存されるため、AdministratorもしくはSYSTEM権限でツールを利用することでダンプが可能です。
**緩和の方針 [#nb3d986a]
認証情報のダンプにはローカルの管理者権限もしくはSYSTEM権限が必要です。このため、認証情報のダンプの阻止は、ユーザーのセキュリティコンテキストが
ユーザーのセキュリティコンテキストを標準ユーザーにすることで、認証情報のダンプを阻止します。高位の権限が必要な場合は、OSの保護機能を適用します。
重要ですが、被害の拡大を防止するため水平展開を阻止することが重要です。
、管理者の認証情報の使いまわしの防止も有効です。
このため端末の初期導入のキッティングの際のローカル管理者の認証情報をユニークにすることを原則として、他の緩和策を付加します。
**運用やNetworkが変更された場合の影響の有無 [#d7797d83]
ローカル管理者の認証情報がユニークであることが担保されない場合、水平展開のリスクが高まります。
意図しない管理者権限でのアプリケーションのインストールや、電子メール、Webサイトの閲覧は悪意あるプログラムに高位の権限を与えるため、十分な管理が必要です。
**優先すべき措置 [#yca3f50a]
Windowsの場合、LAPSの導入でローカル管理者のパスワードをユニークにします。
***Windows [#nae0d92b]
ローカルAdministrator権限を有するユーザーの監査。~
互換性維持のための弱いハッシュ、暗号方式の禁止。平文パスワードの禁止。~
LSASSプロセスの保護。~
クレデンシャルガードの採用。
**ユーザー運用管理責任 [#va91f9ce]
***リスクの受容 [#i5c77ff0]
優先すべき措置を講じることができない場合、このリスクは回避が困難になり、他の緩和策も代替になるとはいえないため、慎重な検討が必要です。
***啓発・教育 [#j172e3b9]
システム管理者に対して、認証情報のダンププロセスを理解させるとともに、管理者の認証情報の適切な運用について討議させる。
システム管理者に対して、認証情報のダンププロセスと攻撃プロセスを理解させるとともに、管理者の認証情報の適切な運用について討議させる。
***利用規定 [#u3a821ac]
**情報システム設計開発部門・運用部門(ベンダー代行を含む) [#d7aa44ed]
***NWデザイン [#xa511562]
該当なし。
***アクセスコントロール [#acdc3948]
+ローカルAdministratorの無効化をします。
+ローカルポリシーの設定で、ビルトインローカルAdministrator (既定:無効)を有効にしている場合は、推測が困難な他のIDに変更します。~
[コンピュータの構成]-[ポリシー]-[Windowsの設定]-[セキュリティの設定]-[ローカルポリシー]-[セキュリティオプション]-[アカウント:Administrator アカウント名の変更]-[このポリシーの設定を定義する]を有効にし新しいIDを設定する。~
この場合、[アカウント:Administrator アカウントの状態]が有効であることを確認する。
+LSASSプロセスを保護する
資格情報を管理するLSASSプロセスへの攻撃を防御します。[グループポリシー]-[コンピュータの構成]-[基本設定]-[Windowsの設定]-[レジストリ] で [\HKLM\SYSTEM\CurrentControlSet\Control\Lsa] に値を新規に設定します。
+LSASSプロセスを保護します。
資格情報を管理するLSASSプロセスへの攻撃を防御します。[グループポリシー]-[コンピュータの構成]-[基本設定]-[Windowsの設定]-[レジストリ] で [\HKLM\SYSTEM\CurrentControlSet\Control\Lsa] に値を新規に設定する。
https://docs.microsoft.com/ja-jp/windows-server/security/credentials-protection-and-management/configuring-additional-lsa-protection#BKMK_HowToConfigure
+ドメインユーザーをローカルAdministratorグループから外す
ローカルのAdministratorグループに所属しているドメインユーザーをすべて削除します。
+クレデンシャルガードの導入
Windows Defender Credential Guard の要件:https://docs.microsoft.com/ja-jp/windows/security/identity-protection/credential-guard/credential-guard-requirements
***フィルタリング [#qb09dce7]
***ロール運用 [#f7ac4db5]
***仮想端末運用 [#e870d281]
***エンドポイント対策 [#s86d385a]
**受託開発ベンダー管理責任 [#uc37b2dd]
***セキュアコーディング [#mfb95ce5]
***開発環境管理 [#qcd8c290]
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。
***サプライチェーン正常性維持" [#ob0677f0]
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。
#br
#br
----
#article
