・Pass the Hash のバックアップ差分(No.2)

• バックアップ一覧
• 現在との差分 を表示
• ソース を表示
• バックアップ を表示
• ・Pass the Hash へ行く。
  • 1 (2019-11-14 (木) 13:46:46)
  • 2 (2019-11-14 (木) 14:48:00)
  • 3 (2019-11-15 (金) 10:00:26)
  • 4 (2020-01-28 (火) 15:49:36)
  • 5 (2020-01-28 (火) 17:00:20)
  • 6 (2020-01-29 (水) 14:59:51)
  • 7 (2020-01-30 (木) 11:42:29)
  • 8 (2020-02-01 (土) 11:20:36)
  • 9 (2020-02-01 (土) 12:48:06)
  • 10 (2020-02-09 (日) 17:04:25)
  • 11 (2020-02-10 (月) 10:27:24)
  • 12 (2020-03-16 (月) 16:48:10)
  • 13 (2020-03-19 (木) 14:56:00)
  • 14 (2020-03-26 (木) 15:32:39)
  • 15 (2020-07-25 (土) 16:33:18)
  • 16 (2020-08-12 (水) 14:46:53)
  • 17 (2020-08-30 (日) 08:19:05)
  • 18 (2020-10-28 (水) 16:48:05)
  • 19 (2020-10-29 (木) 17:33:15)
  • 20 (2020-11-07 (土) 15:34:32)

• 追加された行はこの色です。
• 削除された行はこの色です。

#author("2019-11-14T13:46:46+09:00","","")
#author("2019-11-14T14:48:43+09:00","","")
[[IPA一般公開用]] [[設定対策]]
*・Pass the Hash [#fce66f87]

**戦術 [#c1589d41]
水平展開

**対象OS [#i72cc068]
-Windows

**必要なアクセス許可 [#k64ff354]
User
Administrator

**概説 [#sb0c6142]
Windowsには、Kerberos認証、NTLM認証があります。このうちNTLM認証は、Kerberos認証が使えないドメインに参加していないメンバーサーバーやNASでの認証や、ローカルアカウントなどで利用される認証方法です。~
このNTLM認証は端末のメモリ、レジストリにパスワードのNTLMハッシュ値を保存します。攻撃者はこのNTLMハッシュ値をツールを利用して窃取し、ログオンの際に、NTLMハッシュ値をベースにした認証情報を送信します。サーバー側も同様の情報を保有しているため、NTLMハッシュ値をベースに送られた認証情報をサーバー側でも計算し、合致すれば正しい資格情報が入力されたとしてログオンを許可します。1~
攻撃者は、ツールを使いメモリ上やレジストリのNTLMハッシュ値を取得し、正規のユーザーをなりすましパスワードを利用せず認証情報を計算してサーバーに送信し、ログオンします。~
攻撃者は、ツールを使いメモリ上やレジストリのSAM（Security Account Manage、アクセスには管理者権限が必要)にNTLMハッシュ値を取得し、正規のユーザーをなりすましパスワードを利用せず認証情報を計算してサーバーに送信し、ログオンします。~
ローカルのAdministratorは端末の管理を容易にするため、全社的に統一されている場合が多く見受け荒れますが、ローカルのAdministratorのNTLMハッシュ値が取得されると、全社的な水平展開が可能となり、危険です。


**緩和の方針 [#pdfbc86d]
水平展開の防御の観点から、ローカルのAdministratorのパスワードをすべてユニークにします。また、UACをバイパスするビルトインAdministratorの使用を禁止します。~
さらに、端末のNTLMハッシュ値のダウンプを阻止するため、Windowsの保護機能であるLSA保護モードを展開します。
Pass The Hashは影響が大きいことから、Hashの取得阻止、取得された場合の展開の阻止の観点で防御を講じます。
***Hashの取得阻止 [#zc38f398]
-Windows 8.1/Windows Server 2012から有効となっているLSA保護モードを展開します。
-Windows 10 Enterprise Editionの場合、Credential Guardを展開します。

***水平展開の阻止 [#q0c21d7d]
-UACをバイパスするビルトインAdministratorの使用を禁止し、他のIDでAdministratorsに参加します。
-その上で、ネットワークログオンでローカルアカウントにUAC制限を適用するか、ネットワークログオンを禁止します。
-端末のローカルAdministraotrsのパスワードをすべてユニークにします。Microsoftから提供されているツール、LAPS(Local Administrator Password Solution) を利用します。

**運用やNetworkが変更された場合の影響の有無 [#o7f480ff]
ローカルのAdmnistratorのパスワードの重複や、ビルトインAdministratorを使用した場合、攻撃のリスクが高まります。
ローカルのAdministratorのパスワードの重複や、ビルトインAdministratorを使用した場合、攻撃のリスクが高まります。

**優先すべき措置 [#y50ad94f]
LSA保護モード
LSA保護モードは、認証プロセスの一つであるlsass.exeを解析し、NTLM ハッシュ値のダンプを阻止します。



**ユーザー運用管理責任 [#f28d8b29]
***リスクの受容 [#g256381d]


***啓発・教育 [#t0ea9e25]


***利用規定 [#zb0573a7]


**情報システム設計開発部門・運用部門（ベンダー代行を含む) [#mc4e6311]
***ポリシー [#i4290acf]


***NWデザイン [#j6eccedd]


***アクセスコントロール [#s329f881]
LSA保護を構成する方法：https://docs.microsoft.com/ja-jp/windows-server/security/credentials-protection-and-management/configuring-additional-lsa-protection#BKMK_HowToConfigure


***フィルタリング [#wdaadd39]


***ロール運用 [#v9afd8ed]
マイクロソフト セキュリティ アドバイザリ 3062591 Local Administrator Password Solution (LAPS) の提供を開始：https://docs.microsoft.com/ja-jp/security-updates/securityadvisories/2015/3062591?redirectedfrom=MSDN


***仮想端末運用 [#u3c85ffa]


***エンドポイント対策 [#l27c4fa5]


**受託開発ベンダー管理責任 [#tac506bd]
***セキュアコーディング [#cceeba2c]



***開発環境管理 [#g3d28ba8]
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。
***サプライチェーン正常性維持" [#f8f77365]
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。




#br
#br
----
#article