#author("2020-03-27T09:18:48+09:00","default:hagiken","hagiken")
[[FrontPage]]
*対象システム [#w030b242]
本ガイドラインは、以下の環境を対象とします。~
-Server OS: Windows Server 2016 以上
-Client OS: Windows 10 (1903) 以上
-ドメイン: Active Directory
-Office: Office 2016/2019 (バージョン16)
-その他:
--Windows 8.1, Windows Server 2012R2以降に実装されたセキュリティ機能は、Windows 8.1, Windows Server 2012R2で動作しませんが、本ガイドラインの適用で、限定的ではありますが、脅威に対する緩和策となるものもあります。
-対象外:
--サポートが終了している Windows 7、Windows Server 2008/2008R2は本ガイドラインの対象外となります。
--''重要'' サポートの終了しているOS、アプリケーションの使用は、被害を被るだけでなく、第三者にインシデントを起こす原因となる可能性が高いため、すぐに使用を中止し、ネットワークから切り離すこと検討してだください。
*利用上の注意 [#e8e33c42]
本ガイドラインを適用した際に、以下のネットワーク接続や共有ができなくなることがあります。事前の調査、検証をお勧めします。
**SMBv1 の禁止 [#wbf4f53b]
SMBv1 は脆弱性が報告されており、この脆弱性を利用したランサムウェアの被害が発生しています。このため本ガイドラインでは、使用を禁止する設定がなされています。この設定を実施した場合、古いNAS やファイルサーバー、複合機などに接続できない場合があります。
**SSL3.0、TLS1.0、TLS1.1 の禁止 [#tcc3c052]
SSL3.0、TLS1.0、TLS1.1 は脆弱性が報告されており、主要ブラウザーベンダーは2020年上半期までにサポートを終了する旨の告知をしています。このため、本ガイドラインでは、使用を禁止する設定がなされています。~この設定をした場合、組織内、組織外のWebサーバーとの接続ができない場合があります。
*[[・攻撃ベクトルの研究]] [#z751e201]
攻撃は様々な手法が存在しており、2020年3月現在、MITRE ATT&CK で330もの攻撃手法が確認されています。一方で、現時点でも多くの攻撃者グループが良く使う手法と、既に脆弱性対策が施され利用されない、もしくは、頻度の少ない攻撃手法も存在します。本ガイドラインでは、有識者の知見に基づきこの攻撃手法を絞り込んでいますが、これらの攻撃手法は初期侵入から情報漏洩に至るまでで、様々な役割と連携を果たします。[[・攻撃ベクトルの研究]]では、代表的なマルウェアの攻撃ベクトルを紹介します。(本稿は適宜、更新します。)
*設定対策に必要な措置 [#z6e8d891]
セキュリティ対策は、OS、アプリケーションの設定、ネットワークデザイン、運用によって緩和策が有効であったり、場合によっては無効になるケースが存在します。そのため、すべての設定対策が効果を発揮するための基本的な措置が必要です。
-[[・Windows の 管理者の設定]]
-[[・プロトコル設定]]
-[[・暗号スイート設定]]
-[[・管理インターフェースの保護]]
-[[・パスワードについて]]
-[[・Windows Group Policyの再読み込み]]
-[[・レベル1セキュリティ構成(Windows 10)]]
-[[・Windows Server 2016 Domain Controller]]
*MITRE ATT&CKによる設定対策(絞り込み済み) [#s054f661]
|LEFT:120|LEFT:200|CENTER:|CENTER:|LEFT:|c
|CENTER:戦術|CENTER:手法|CENTER:緩和策|h
|初期侵入|[[・悪意のあるファイルを添付したフィッシングメール]]|アンチウイルスの適用|
|~|~|ネットワーク侵入防止システムの適用|
|~|~|厳格なWebベースのコンテンツ制限|
|~|~|ユーザートレーニング|
|悪意あるプログラムの実行|[[・コマンドラインインターフェースの悪用]]|ホワイトリスト|
|~|~|監査(イベントログ)|
|~|[[・PowerShellの悪用]]|コード署名|
|~|~|機能やプログラムの無効化または削除|
|~|~|特権アカウント管理|
|~|[[・Windowsタスクスケジューラ at, schtasks の悪用]]|監査(イベントログ)|
|~|~|オペレーティングシステムの構成|
|~|~|特権アカウント管理|
|~|~|ユーザーアカウント管理|
|~|[[・悪意あるスクリプティングの実行]]|アプリケーションの分離とサンドボックス化|
|~|~|機能やプログラムの無効化または削除|
|~|[[・悪意あるWindowsサービスの実行]]|特権アカウント管理|
|~|~|厳格なファイルとディレクトリのアクセス許可制限|
|~|[[・メールに添付されたマルウェアファイルやリンクをユーザーが実行する]]|実行防止|
|~|~|ネットワーク侵入防止システムの適用|
|~|~|厳格なWebベースのコンテンツ制限|
|~|~|ユーザートレーニング|
|永続化|[[・不正なWindowsサービスの追加]]|ユーザーアカウント管理|
|~|[[・レジストリRunキーやスタートアップフォルダの悪用]]|簡単に軽減できない|
|防御の回避|[[・ファイル削除]]|簡単に軽減できない|
|~|[[・難読化されたファイルまたは情報]]|アンチウイルスの適用|
|~|~|機能やプログラムの無効化または削除|
|~|[[・悪意あるスクリプティングの実行]]|アンチウイルスの適用|
|認証情報アクセス|[[・認証情報のダンプ]]|Active Directoryの構成|
|~|~|情報の収集|
|~|~|オペレーティングシステムの構成|
|~|~|パスワードポリシー|
|~|~|特権アカウント管理|
|~|~|特権プロセスの整合性確保|
|~|~|ユーザートレーニング|
|~|[[・脆弱性を悪用した認証情報アクセス]]|アプリケーションの分離とサンドボックス化|
|~|~|脆弱性保護プログラムの利用|
|~|~|脅威インテリジェンスプログラム|
|~|~|ソフトウェアアップデート|
|情報の探索|[[・アカウントの探索]]|オペレーティングシステムの構成|
|~|[[・ファイルとディレクトリの探索]]|簡単に軽減できない|
|~|[[・ネットワークサービスのスキャン]]|機能やプログラムの無効化または削除|
|~|~|ネットワーク侵入防止システムの適用|
|~|~|ネットワークのセグメント化|
|~|[[・システム情報の探索]]|簡単に軽減できない|
|~|[[・システムのネットワーク設定の探索]]|簡単に軽減できない|
|~|[[・システムユーザーの探索]]|簡単に軽減できない|
|水平展開|[[・Pass the Hash]]|パスワードポリシー|
|~|~|特権アカウント管理|
|~|~|ソフトウェアアップデート|
|~|~|ユーザーアカウント制御|
|~|~|ユーザーアカウント管理|
|情報の収集|[[・ローカルシステムからのデータ収集]]|簡単に軽減できない|
|~|[[・ネットワーク共有ドライブからのデータ収集]]|簡単に軽減できない|
|外部からの指令統制|[[・一般的に利用されるポートの悪用]]|ネットワーク侵入防止システムの適用|
|~|~|ネットワークのセグメント化|
|~|[[・標準アプリケーションレイヤプロトコル(HTTP,SMTPなど)]]|ネットワーク侵入防止システムの適用|
|持ち出し|[[・データの圧縮]]|ネットワーク侵入防止システムの適用|
|~|[[・データの暗号化]]|簡単に軽減できない|
*著作権表示 [#n1525cb3]
このページからリンクされているグループポリシーの説明は、米国Microsoft Corporation. の著作物が含まれています。
*商標 [#j1cc22e0]
Microsoft®、Windows®、Windows® Server 2016、Windows® 10は、米国Microsoft Corporation.の米国およびその他の国における登録商標です。
その他、すべてのページに記載の会社名、製品名は、それぞれの会社の商標もしくは登録商標です。
*LICENSE [#f4c34399]
© 2020 The MITRE Corporation. This work is reproduced and distributed with the permission of The MITRE Corporation.
