設定対策 のバックアップの現在との差分(No.12)

• バックアップ一覧
• ソース を表示
• バックアップ を表示
• 設定対策 は削除されています。
  • 1 (2019-09-28 (土) 14:35:58)
  • 2 (2019-09-29 (日) 11:21:55)
  • 3 (2019-10-11 (金) 10:26:55)
  • 4 (2019-10-11 (金) 17:56:54)
  • 5 (2019-10-13 (日) 15:28:56)
  • 6 (2019-10-14 (月) 10:26:24)
  • 7 (2019-10-14 (月) 15:22:56)
  • 8 (2019-10-18 (金) 10:55:40)
  • 9 (2019-10-21 (月) 10:22:40)
  • 10 (2019-10-21 (月) 14:36:33)
  • 11 (2019-10-25 (金) 15:35:29)
  • 12 (2019-10-27 (日) 15:47:26)
  • 13 (2019-10-28 (月) 09:23:28)
  • 14 (2019-10-28 (月) 11:45:43)
  • 15 (2019-11-02 (土) 11:16:00)
  • 16 (2024-01-07 (日) 17:52:21)
  • 17 (2024-02-24 (土) 10:24:23)

• 追加された行はこの色です。
• 削除された行はこの色です。

#author("2019-10-27T15:47:26+09:00","","")
[[FrontPage]]

*すべての設定対策にとって必要な基本設定 [#s5fdb3e8]
**Windows Group Policyの再読み込み [#z57349ba]
対策設定はGroup Policyによる設定に依存するため、Group Policyが改ざんされた場合に例外を許すこととなる。このため、Group Policyに変更がなくても、起動時には必ず読み込み、上書きする必要がある。
***Windows 10 STIG [#vbed1bce]
[[V-63609:https://www.stigviewer.com/stig/windows_10/2019-01-04/finding/V-63609]] グループポリシーオブジェクトは、変更されていない場合でも再処理する必要があります。

***Windows Server 2016 STIG [#v25066f7]
[[V-73525:https://www.stigviewer.com/stig/windows_server_2016/2019-01-16/finding/V-73525]] グループポリシーオブジェクトは、変更されていない場合でも再処理する必要があります。

*MITRE ATT&CKによる設定対策（絞り込み済み） [#s054f661]
|LEFT:120|LEFT:200|CENTER:|CENTER:|LEFT:|c
|CENTER:戦術|CENTER:手法|CENTER:[[119 Value>設定対策#q2c4d186]]|CENTER:[[Pen Value>設定対策#q2c4d186]]|CENTER:緩和策|h
|初期侵入|[[悪意のあるファイルを添付したフィッシングメール]]|3|3|アンチウイルスの適用|
|~|~|3|3|ネットワーク侵入防止システムの適用|
|~|~|3|3|厳格なWebベースのコンテンツ制限|
|~|~|3|3|ユーザートレーニング|
|悪意あるプログラムの実行|[[コマンドラインインターフェース]]|3|3|ホワイトリスト|
|~|~|3|3|監査（イベントログ）|
|~|[[PowerShellの悪用]]|3|3|コード署名|
|~|~|3|3|機能やプログラムの無効化または削除|
|~|~|3|3|特権アカウント管理|
|~|[[Windowsタスクスケジューラ at, schtasks の悪用]]|3|3|監査(イベントログ）|
|~|~|3|3|オペレーティングシステムの構成|
|~|~|3|3|特権アカウント管理|
|~|~|3|3|ユーザーアカウント管理|
|~|[[悪意あるスクリプティングの実行]]|3|3|アプリケーションの分離とサンドボックス化|
|~|~|3|3|機能やプログラムの無効化または削除|
|~|[[悪意あるWindowsサービスの実行]]|3|3|特権アカウント管理|
|~|~|3|3|厳格なファイルとディレクトリのアクセス許可制限|
|~|[[メールに添付されたマルウェアファイルやリンクをユーザーが実行する]]|3|3|実行防止|
|~|~|3|3|ネットワーク侵入防止システムの適用|
|~|~|3|3|厳格なWebベースのコンテンツ制限|
|~|~|3|3|ユーザートレーニング|
|~|[[ローカルジョブスケジューリング(cron,at,launchd)の悪用]]|3|3|ユーザーアカウント管理|
|権限昇格|[[不正なWindowsサービスの追加]]|3|3|ユーザーアカウント管理|
|永続化|[[レジストリRunキーやスタートアップフォルダの悪用]]|3|3|簡単に軽減できない|
|防御の回避|[[ファイル削除]]|3|3|簡単に軽減できない|
|~|[[不正なWindowsサービスの追加]]|3|3|アンチウイルスの適用|
|~|[[悪意あるスクリプティングの実行]]|3|3|アプリケーションの分離とサンドボックス化|
|~|~|3|3|機能やプログラムの無効化または削除|
|認証情報アクセス|[[認証方法のダンプ]]|3|3|Active Directoryの構成|
|~|~|3|3|情報の収集|
|~|~|3|3|オペレーティングシステムの構成|
|~|~|3|3|パスワードポリシー|
|~|~|3|3|特権アカウント管理|
|~|~|3|3|特権プロセスの整合性確保|
|~|~|3|3|ユーザートレーニング|
|~|[[脆弱性を悪用した認証情報アクセス]]|3|3|アプリケーションの分離とサンドボックス化|
|~|~|3|3|脆弱性保護プログラムの利用|
|~|~|3|3|脅威インテリジェンスプログラム|
|~|~|3|3|ソフトウェアアップデート|
|情報の探索|[[アカウントの探索]]|3|3|オペレーティングシステムの構成|
|~|[[ファイルとディレクトリの探索]]|3|3|簡単に軽減できない|
|~|[[ネットワークサービスのスキャン]]|3|3|機能やプログラムの無効化または削除|
|~|~|3|3|ネットワーク侵入防止システムの適用|
|~|~|3|3|ネットワークのセグメント化|
|~|[[システム情報の探索]]|3|3|簡単に軽減できない|
|~|[[システムのネットワーク設定の探索]]|3|3|簡単に軽減できない|
|~|[[システムユーザーの探索]]|3|3|簡単に軽減できない|
|横展開|[[Pass the Hash]]|3|3|パスワードポリシー|
|~|~|3|3|特権アカウント管理|
|~|~|3|3|ソフトウェアアップデート|
|~|~|3|3|ユーザーアカウント制御|
|~|~|3|3|ユーザーアカウント管理|
|情報の収集|[[ローカルシステムからのデータ収集]]|3|3|簡単に軽減できない|
|~|[[ネットワーク共有ドライブからのデータ収集]]|3|3|簡単に軽減できない|
|外部からの指令統制|一般的に利用されるポートの悪用|3|3|ネットワーク侵入防止システムの適用|
|~|~|3|3|ネットワークのセグメント化|
|~|標準アプリケーションレイヤプロトコル(HTTP,SMTPなど)|3|3|ネットワーク侵入防止システムの適用|
|持ち出し|[[データの圧縮]]|3|3|ネットワーク侵入防止システムの適用|
|~|データの暗号化|3|3|簡単に軽減できない|

*備考 [#b912e441]
**119 Value [#q2c4d186]
LAC社の緊急対応サービス「サイバー119」での評価値
**Pen Value [#v7c6ecae]
LAC社のペネトレーションテスターの評価値