- 追加された行はこの色です。
- 削除された行はこの色です。
#author("2019-10-16T10:17:07+09:00","","")
#author("2019-10-25T15:30:54+09:00","","")
[[設定対策]]
*認証方法のダンプ [#cddcc773]
**対象OS:Linux、Windows、macOS [#t9758f3c]
**戦術 [#gdc4fa75]
水平展開
**対象OS[#t9758f3c]
-Linux
-Windows
-macOS
**必要なアクセス許可 [#qefaa41a]
-Administrator
-SYSTEM
-root
**概説 [#g2dd4d4b]
認証情報のダンプは、OSに保存されているハッシュデータもしくはクリアテキストのパスワードを取得します。
**攻撃評価 [#j3989121]
|戦術分類|119 Value|Pen Value|
|初期侵入|RIGHT:3|RIGHT:3|
119 Value:Min:1 Max:3 数値が高いほど攻撃実績が多い~
Pen Value:Min:1 Max:3 数値が高いほどペネトレーションテストで攻撃が成功しやすい
**MITRE 緩和策 [#s6343a97]
***Active Directoryの構成 [#odf6c3cc]
「ディレクトリの変更の複製」のアクセス制御リストと、ドメインコントローラーの複製に関連するその他のアクセス許可を監査します。~
※ディレクトリ変更の複製の権限は以下に与えられているため、これ以外のユーザーが存在しないことを監査します。~
また、Administrators, EnterpriseAdmin,DomainAdminに属する管理者を最小限にします。
|LEFT;250|CENTER;300|CENTER;300|c
|アカウント|ディレクトリの変更の&br;レプリケート(Pull)|ディレクトリの変更を&br;すべてにレプリケート(Push)|h
|SYSTEM|〇|〇|
|Enteprise Read-Only Domain Controllers|〇||
|Domain Admin|〇|〇|
|Domain Controllers||〇|
|Enteprise Admin|〇|〇|
|Enterprise Key Admin|〇|〇|
|Administrators|〇|〇|
|Enteprise Domain Controllers||〇|
***資格情報アクセス保護 [#d4b1311a]
Windows 10では、Microsoftは、Credential Guardと呼ばれる新しい保護を実装して、資格情報のダンプ形式で資格情報を取得するために使用できるLSAシークレットを保護します。デフォルトでは設定されておらず、ハードウェアおよびファームウェアのシステム要件があります。また、すべての形式の資格情報のダンプから保護するわけではありません。
***オペレーティングシステムの構成 [#lacc19b8]
NTLMの無効化または制限を検討してください。
※NTLMを無効化すると、無線LANでの802.1X認証等で影響が出ます。十分な検証をしてください。~
[[NTLM使用ガイドの監査と制限:https://docs.microsoft.com/ja-jp/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/jj865670%28v%3dws.10%29]]
***パスワードポリシー [#vdb1e5cc]
ローカル管理者アカウントには、ネットワーク上のすべてのシステムにわたって複雑で一意のパスワードを設定してください。~
※アカウントロックアウト設定も併せて検討してください。~
[[NIST Special Publication 800-63B Digital Identity Guidelines:https://pages.nist.gov/800-63-3/sp800-63b.html]]
***特権アカウント管理 [#m6f64b60]
Windows~
厳密に制御されない限り、システム全体のローカル管理者グループにユーザーまたは管理者ドメインアカウントを配置しないでください。これは、多くの場合、すべてのシステムで同じパスワードを持つローカル管理者アカウントを持つことに相当します。エンタープライズネットワークの設計と管理のベストプラクティスに従って、管理層全体で特権アカウントの使用を制限します。~
※ローカルのAdministratorのパスワードを個別に設定するためには、Microsoft LAPSの使用を検討してく下さい。~
~
Linux~
メモリからパスワードをスクレイピングするには、ルート権限が必要です。特権アカウントへのアクセスを制限するベストプラクティスに従って、悪意のあるプログラムがこのような機密性の高いメモリ領域にアクセスするのを防ぎます。
***特権プロセスの整合性 [#u2febac0]
Windows 8.1およびWindows Server 2012 R2では、LSAのProtected Process Lightを有効にします。~
[[追加の LSA の保護の構成:https://docs.microsoft.com/ja-jp/windows-server/security/credentials-protection-and-management/configuring-additional-lsa-protection]] Microsoft~
[[Windowsの新セキュリティ機能を検証する LSAの保護モードとCredential Guard:https://blogs.jpcert.or.jp/ja/2016/09/lsa_protect.html]] JPCERT/CC
***ユーザートレーニング [#o97825e5]
ユーザーと管理者が複数のアカウントに同じパスワードを使用しないようにトレーニングすることにより、アカウントとシステム全体で資格情報の重複を制限します。~
※ローカルのAdministratorsのパスワードと、ドメインユーザーのパスワードが重複すると、ドメイン全体への攻撃が容易になります。
**Windows 10 STIG [#r8b89929]
[[V-71769:https://www.stigviewer.com/stig/windows_10/2019-01-04/finding/V-71769]] セキュリティアカウントマネージャー(SAM)へのリモート呼び出しは、管理者に制限する必要があります。~
[[V-63745://www.stigviewer.com/stig/windows_10/2019-01-04/finding/V-63745]] SAMアカウントの匿名列挙を許可しないでください。
**Windows Server 2016 STIG [#dad9c372]
[[V-73677:https://www.stigviewer.com/stig/windows_server_2016/2019-01-16/finding/V-73677]] セキュリティアカウントマネージャー(SAM)へのリモート呼び出しは、管理者に制限する必要があります。~
[[V-73667:https://www.stigviewer.com/stig/windows_server_2016/2019-01-16/finding/V-73667]] セキュリティアカウントマネージャー(SAM)アカウントの匿名列挙を許可しないでください。
