・Windowsタスクスケジューラ at, schtasks の悪用 のバックアップの現在との差分(No.2)

• バックアップ一覧
• 差分 を表示
• ソース を表示
• バックアップ を表示
• ・Windowsタスクスケジューラ at, schtasks の悪用 へ行く。
  • 1 (2019-11-10 (日) 13:04:22)
  • 2 (2019-11-10 (日) 13:15:00)
  • 3 (2019-11-15 (金) 10:26:23)
  • 4 (2019-11-20 (水) 14:16:50)
  • 5 (2019-11-27 (水) 10:55:23)
  • 6 (2019-12-11 (水) 09:42:11)
  • 7 (2020-02-08 (土) 15:41:31)
  • 8 (2020-03-19 (木) 14:44:15)
  • 9 (2020-03-24 (火) 13:43:00)
  • 10 (2020-03-26 (木) 14:23:46)
  • 11 (2020-07-25 (土) 16:25:37)
  • 12 (2020-08-12 (水) 10:42:35)
  • 13 (2020-08-28 (金) 09:53:29)
  • 14 (2020-10-19 (月) 15:38:37)
  • 15 (2020-10-20 (火) 08:50:25)
  • 16 (2020-10-20 (火) 16:54:34)
  • 17 (2020-11-04 (水) 11:41:38)

• 追加された行はこの色です。
• 削除された行はこの色です。

#author("2019-11-10T13:15:12+09:00","","")
[[IPA一般公開用]] [[設定対策]]
* [#g636b735]
#freeze
#author("2020-11-04T16:28:04+09:00","","")
[[情報システム開発契約のセキュリティ仕様作成のためのガイドライン]]~
[[MITRE ATT＆CKに基づく詳細設定対策]]

**戦術 [#k44553b3]
悪意あるプログラムの実行
*戦術：悪意あるプログラムの実行 [#k44553b3]

**対象OS [#u85f1e5b]
-Windows
-MITRE ATT&CK 
--[[T1053.002 Scheduled Task/Job: At (Windows)>https://attack.mitre.org/techniques/T1053/002/]]
--[[T1053.005 Scheduled Task/Job: Scheduled Task>https://attack.mitre.org/techniques/T1053/005/]]

*概説 [#o4b0f4e4]
at コマンド(Windows 8.1まで）や、schtasks コマンド(windows10) は、予め定めた時刻にプログラムを実行させるOS標準のツールです。これらを使い悪意あるプログラム（マルウェア）を密かに起動することが可能です。~
また、schtasks コマンドは、リモートコンピュータに対しても設定が可能なため、AdministratorsのメンバーのID/Passwordが窃取されていた場合、ネットワーク上の他の端末、サーバーに対してタスクの設定が可能です。但し、リモートコンピュータ上のパーソナルファイアーウォールで「ファイルとプリンターの共有」が閉じている場合はリモート設定が不可能になりますので、必要に応じて、パーソナルファイアーウォールの「ファイルとプリンターの共有」を無効にすることも検討してください。同様に、ローカルのAdministratorのID/Passwordが全社共通の場合は、大規模な水平展開が可能となります。この手法の防御については、[[・Pass the Hash]]、[[LAPS (Local Administrator Password Solution)>・LAPS]] を参照してください。


**概説 [#o4b0f4e4]
atコマンド(Windows 8.1まで）や、schtasksコマンド(windows10)は、予め定めた時刻にプログラムを実行させるOS標準のツールです。これらを使い悪意あるプログラム（マルウェア）を密かに実行することが可能です。~
また、AdministratorsのメンバーのID/Passwordがあればネットワーク上の他の端末に対しても同様のことが可能です。これは「ファイルとプリンターの共有」が有効な場合ですので、必要に応じて、「ファイルとプリンターの共有」を無効にすることも検討してください。~
ローカルのAdministratorのID/Passwordが全社共通の場合は、LAPS (Local Administrator Password Solution) の導入を検討してください。
[[マイクロソフト セキュリティ アドバイザリ 3062591:https://docs.microsoft.com/ja-jp/security-updates/securityadvisories/2015/3062591]]
*緩和の方針 [#t73cf5be]
新たなタスクの登録の検出に努めます。

**緩和の方針 [#t73cf5be]
Windowsの既定の実行権限を変更します。
*運用やNetworkが変更された場合の影響の有無 [#bcc060d0]
アカウントの認証情報が漏洩すると、悪用されるリスクが非常に高くなります。極力、限定された権限のアカウントを利用します。

*優先すべき措置 [#sa5da49e]
検出を優先します。
-タスクスケジューラの登録を監査する。詳細は18.9 タスクスケジューラのポリシー設定を参照。
--イベントログ「Microsoft-Windows-TaskScheduler/Operational」で、イベントID 106 [タスクが登録されました] を調査し、文書化された登録タスク以外のタスクを検索する。
-認証済みアカウントのコンテキストでタスクを実行するようにスケジュールされたタスクの設定を構成する。

**運用やNetworkが変更された場合の影響の有無 [#bcc060d0]
変更した認証済みアカウントの認証情報が漏洩すると、リスクが非常に高くなります。

**優先すべき措置 [#sa5da49e]

*ユーザー運用管理責任 [#ja44f954]
**リスクの受容 [#k3c190a8]
ドメインコントローラー、メンバーサーバと特権管理者の端末に対して新たなTaskが追加されているかを監査します。
|180|||c
|COLOR(WHITE):BGCOLOR(#44546A):CENTER:業務|COLOR(WHITE):BGCOLOR(#44546A):CENTER:特権|COLOR(WHITE):BGCOLOR(#44546A):CENTER:リスク受容のための条件例|h
|プログラム開発担当者|Local Administrator|ドメインコントローラー、メンバーサーバー、担当者端末のTask Scheduler ログ監査。|
|Help Desk 担当者|Domain/Local Administrator|~|
|システム管理者|Enterprise/Domain/Local Administrator|~|
|部門管理者（OUの委任）|OUのパスワードリセット、セキュリティグループ管理、ドメイン参加等|~|
|役職者、研究者、秘書|標準ユーザー|Local Administrators に含めない|
|上記以外の一般業務担当者|標準ユーザー|Local Administrators に含めない|


**ユーザー運用管理責任 [#ja44f954]
***リスクの受容 [#k3c190a8]
該当なし
***啓発・教育 [#xccb6023]
該当なし
***利用規定 [#nc9d6fe8]
変更された特権について文書化する。
**情報システム設計開発部門・運用部門（ベンダー代行を含む) [#z17f54e9]
***NWデザイン [#h7082c2d]
該当なし
***アクセスコントロール [#r8700176]
+タスクの実行権限の変更
SYSTEMとして実行するのではなく、認証済みアカウントのコンテキストでタスクを実行するようにスケジュールされたタスクの設定を構成します。~
関連するレジストリキーはHKLM\SYSTEM\CurrentControlSet\Control\Lsa\SubmitControlです。
この設定は、GPOで構成できます。~
[コンピューターの構成]> [ポリシー]> [Windowsの設定]> [セキュリティの設定]> [ローカルポリシー]> [セキュリティオプション：ドメインコントローラー：サーバーオペレーターがタスクをスケジュールできるようにします。]~
[[docs.microsoft ドメインコントローラー：サーバーオペレーターがタスクをスケジュールできるようにします。:https://docs.microsoft.com/ja-jp/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/jj852168(v=ws.11)?redirectedfrom=MSDN]]~
+特権アカウント管理
管理者グループに優先プロセスをスケジュールする権限のみを許可するように、[スケジュールの優先度を上げる]オプションを構成します。
これは、GPOで構成できます。[コンピューターの構成]> [ポリシー]> [Windowsの設定]> [セキュリティの設定]> [ローカルポリシー]> [ユーザー権利の割り当て]：スケジュールの優先度を上げます。
**啓発・教育 [#xccb6023]
特権管理者に対しTask Scheduler の危険性の理解を求めます。

[[docs.microsoft スケジューリング優先順位の繰り上げ:https://docs.microsoft.com/ja-jp/windows/security/threat-protection/security-policy-settings/increase-scheduling-priority]]
**管理規程 [#nc9d6fe8]
以下の規程の整備を検討します。
-タスク登録を文書化し保存します。
-ドメインコントローラー、メンバーサーバー、特権管理者の端末のタスクスケジューラの監査規程を策定します。


*情報システム設計開発部門・運用部門（ベンダー代行を含む) [#z17f54e9]
**ポリシー [#xec97221]
[[・タスクスケジューラのポリシー設定]] を参照してください。

***フィルタリング [#jc863ddc]
該当なし
***ロール運用 [#u3d606e2]
端末のローカルの管理者のID/パスワードが同一の場合、水平展開に悪用されるリスクが高まるので、この場合は、状況を文書化の上、LAPS (Local Administrator Password Solution) の導入を検討してください。~
[[マイクロソフト セキュリティ アドバイザリ 3062591:https://docs.microsoft.com/ja-jp/security-updates/securityadvisories/2015/3062591]]
***仮想端末運用 [#cad0f70e]
該当なし
***エンドポイント対策 [#v0030cef]
該当なし
**受託開発ベンダー管理責任 [#ic86ee0a]
***セキュアコーディング [#m30eba4d]
該当なし
***開発環境管理 [#f8544467]
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。
***サプライチェーン正常性維持" [#o086507a]
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。
**19.7.3	ネットワークデザイン、アクセスコントロール、フィルタリング [#m68f9c8a]
該当しません。

**仮想端末運用 [#cad0f70e]
これは将来のためのプレースフォルダーです。

**エンドポイント対策 [#v0030cef]
Endpoint Detection and Response もしくは、侵入検知システムの導入を検討してください。

*受託開発ベンダー管理責任 [#ic86ee0a]
**セキュアコーディング [#m30eba4d]
タスクスケジューラが起動するプログラム、スクリプトの権限を最小化し、文書化し、ユーザーと合意してください。
**開発環境管理 [#f8544467]
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じます。 例外はすべて文書化し、適切な監査を実施します。
**サプライチェーン正常性維持" [#o086507a]
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じます。 例外はすべて文書化し、適切な監査を実施します。

#br
#br
----
#article