トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

・Windowsタスクスケジューラ at, schtasks の悪用 のバックアップ(No.2)


IPA一般公開用? 設定対策?

戦術

悪意あるプログラムの実行

対象OS

  • Windows

概説

atコマンド(Windows 8.1まで)や、schtasksコマンド(windows10)は、予め定めた時刻にプログラムを実行させるOS標準のツールです。これらを使い悪意あるプログラム(マルウェア)を密かに実行することが可能です。
また、AdministratorsのメンバーのID/Passwordがあればネットワーク上の他の端末に対しても同様のことが可能です。これは「ファイルとプリンターの共有」が有効な場合ですので、必要に応じて、「ファイルとプリンターの共有」を無効にすることも検討してください。
ローカルのAdministratorのID/Passwordが全社共通の場合は、LAPS (Local Administrator Password Solution) の導入を検討してください。 マイクロソフト セキュリティ アドバイザリ 3062591

緩和の方針

Windowsの既定の実行権限を変更します。

運用やNetworkが変更された場合の影響の有無

変更した認証済みアカウントの認証情報が漏洩すると、リスクが非常に高くなります。

優先すべき措置

ユーザー運用管理責任

リスクの受容

該当なし

啓発・教育

該当なし

利用規定

変更された特権について文書化する。

情報システム設計開発部門・運用部門(ベンダー代行を含む)

NWデザイン

該当なし

アクセスコントロール

  1. タスクの実行権限の変更 SYSTEMとして実行するのではなく、認証済みアカウントのコンテキストでタスクを実行するようにスケジュールされたタスクの設定を構成します。
    関連するレジストリキーはHKLM\SYSTEM\CurrentControlSet\Control\Lsa\SubmitControlです。 この設定は、GPOで構成できます。
    [コンピューターの構成]> [ポリシー]> [Windowsの設定]> [セキュリティの設定]> [ローカルポリシー]> [セキュリティオプション:ドメインコントローラー:サーバーオペレーターがタスクをスケジュールできるようにします。]
    docs.microsoft ドメインコントローラー:サーバーオペレーターがタスクをスケジュールできるようにします。
  2. 特権アカウント管理 管理者グループに優先プロセスをスケジュールする権限のみを許可するように、[スケジュールの優先度を上げる]オプションを構成します。 これは、GPOで構成できます。[コンピューターの構成]> [ポリシー]> [Windowsの設定]> [セキュリティの設定]> [ローカルポリシー]> [ユーザー権利の割り当て]:スケジュールの優先度を上げます。

docs.microsoft スケジューリング優先順位の繰り上げ

フィルタリング

該当なし

ロール運用

端末のローカルの管理者のID/パスワードが同一の場合、水平展開に悪用されるリスクが高まるので、この場合は、状況を文書化の上、LAPS (Local Administrator Password Solution) の導入を検討してください。
マイクロソフト セキュリティ アドバイザリ 3062591

仮想端末運用

該当なし

エンドポイント対策

該当なし

受託開発ベンダー管理責任

セキュアコーディング

該当なし

開発環境管理

ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。

サプライチェーン正常性維持"

ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。