・Windowsタスクスケジューラ at, schtasks の悪用 のバックアップ(No.1)
- バックアップ一覧
- 差分 を表示
- 現在との差分 を表示
- ソース を表示
- ・Windowsタスクスケジューラ at, schtasks の悪用 へ行く。
- 1 (2019-11-10 (日) 13:04:22)
- 2 (2019-11-10 (日) 13:15:00)
- 3 (2019-11-15 (金) 10:26:23)
- 4 (2019-11-20 (水) 14:16:50)
- 5 (2019-11-27 (水) 10:55:23)
- 6 (2019-12-11 (水) 09:42:11)
- 7 (2020-02-08 (土) 15:41:31)
- 8 (2020-03-19 (木) 14:44:15)
- 9 (2020-03-24 (火) 13:43:00)
- 10 (2020-03-26 (木) 14:23:46)
- 11 (2020-07-25 (土) 16:25:37)
- 12 (2020-08-12 (水) 10:42:35)
- 13 (2020-08-28 (金) 09:53:29)
- 14 (2020-10-19 (月) 15:38:37)
- 15 (2020-10-20 (火) 08:50:25)
- 16 (2020-10-20 (火) 16:54:34)
- 17 (2020-11-04 (水) 11:41:38)
†
戦術 †
悪意あるプログラムの実行
対象OS †
- Windows
概説 †
atコマンド(Windows 8.1まで)や、schtasksコマンド(windows10)は、予め定めた時刻にプログラムを実行させるOS標準のツールです。これらを使い悪意あるプログラム(マルウェア)を密かに実行することが可能です。
また、AdministratorsのメンバーのID/Passwordがあればネットワーク上の他の端末に対しても同様のことが可能です。これは「ファイルとプリンターの共有」が有効な場合ですので、必要に応じて、「ファイルとプリンターの共有」を無効にすることも検討してください。
ローカルのAdministratorのID/Passwordが全社共通の場合は、LAPS (Local Administrator Password Solution) の導入を検討してください。
マイクロソフト セキュリティ アドバイザリ 3062591
緩和の方針 †
schtasksの実行権限を変更するようにWindowsを構成します。 特権アカウント管理の設定を変更します。
運用やNetworkが変更された場合の影響の有無 †
変更した認証済みアカウントの認証情報が漏洩すると、リスクが非常に高くなります。
優先すべき措置 †
ユーザー運用管理責任 †
リスクの受容 †
啓発・教育 †
利用規定 †
情報システム設計開発部門・運用部門(ベンダー代行を含む) †
NWデザイン †
アクセスコントロール †
SYSTEMとして実行するのではなく、認証済みアカウントのコンテキストでタスクを実行するようにスケジュールされたタスクの設定を構成します。
関連するレジストリキーはHKLM\SYSTEM\CurrentControlSet\Control\Lsa\SubmitControlです。
この設定は、GPOで構成できます。
[コンピューターの構成]> [ポリシー]> [Windowsの設定]> [セキュリティの設定]> [ローカルポリシー]> [セキュリティオプション:ドメインコントローラー:サーバーオペレーターがタスクをスケジュールできるようにします。]
docs.microsoft ドメインコントローラー:サーバーオペレーターがタスクをスケジュールできるようにします。