・Windowsタスクスケジューラ at, schtasks の悪用のバックアップ(No.4)

IPAセキュリティPT評価版?

・Windowsタスクスケジューラ at, schtasks の悪用 †

↑

戦術 †

悪意あるプログラムの実行

↑

対象OS †

Windows

↑

概説 †

atコマンド(Windows 8.1まで）や、schtasksコマンド(windows10)は、予め定めた時刻にプログラムを実行させるOS標準のツールです。これらを使い悪意あるプログラム（マルウェア）を密かに実行することが可能です。
また、AdministratorsのメンバーのID/Passwordがあればネットワーク上の他の端末に対しても同様のことが可能です。これは「ファイルとプリンターの共有」が有効な場合ですので、必要に応じて、「ファイルとプリンターの共有」を無効にすることも検討してください。
ローカルのAdministratorのID/Passwordが全社共通の場合は、LAPS (Local Administrator Password Solution) の導入を検討してください。参照:ロール運用

↑

緩和の方針 †

既定の実行権限を変更します。

↑

運用やNetworkが変更された場合の影響の有無 †

変更した認証済みアカウントの認証情報が漏洩すると、リスクが非常に高くなります。

↑

優先すべき措置 †

認証済みアカウントのコンテキストでタスクを実行するようにスケジュールされたタスクの設定を構成します。タスクスケジューラの登録を監査します。

↑

ユーザー運用管理責任 †

↑

リスクの受容 †

該当なし

↑

啓発・教育 †

該当なし

↑

利用規定 †

タスク登録を文書化する。タスクスケジューラの監査規定。

↑

情報システム設計開発部門・運用部門（ベンダー代行を含む) †

↑

ポリシー †

タスクの実行権限の変更 SYSTEMとして実行するのではなく、認証済みアカウントのコンテキストでタスクを実行するようにスケジュールされたタスクの設定を構成します。
関連するレジストリキーはHKLM\SYSTEM\CurrentControlSet\Control\Lsa\SubmitControlです。この設定は、GPOで構成できます。
[コンピューターの構成]>[ポリシー]>[Windowsの設定]>[セキュリティの設定]>[ローカルポリシー]>[セキュリティオプション：ドメインコントローラー：Server Operatorsがタスクのスケジュールを割りてるのを許可する。] で [このポリシー設定を定義する] にチェックし、[有効] をクリックします。
ドメインコントローラー：サーバーオペレーターがタスクをスケジュールできるようにします: https://docs.microsoft.com/ja-jp/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/jj852168(v=ws.11)?redirectedfrom=MSDN
特権アカウント管理管理者グループに優先プロセスをスケジュールする権限のみを許可するように、[スケジュールの優先度を上げる]オプションを構成します。これは、GPOで構成できます。[コンピューターの構成]> [ポリシー]> [Windowsの設定]> [セキュリティの設定]> [ローカルポリシー]> [ユーザー権利の割り当て]：スケジュールの優先度を上げます。
スケジューリング優先順位の繰り上げ
https://docs.microsoft.com/ja-jp/windows/security/threat-protection/security-policy-settings/increase-scheduling-priority

↑