トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

LSA 保護モードの有効化 のバックアップ(No.3)


・Pass the Hash

利用可能OS

Windows 8.1、Windows Server 2012R2以降

Active Directory 要件

なし

機能

LSASS プロセス (Lsass.exe) に読み込まれるプラグインは認定された署名を必要とすることで、プロセスを保護する。

効果

LSASS プロセスに対する悪意のあるプラグインやコードの挿入を防止し、プロセスが保持している資格情報の窃盗を防ぐ。

注意事項

LSASS プロセスへの攻撃すべてが防げるわけではない。LSASS 以外に保持されている資格情報の保護は対象外。 現在利用中のプラグインがエラーになる可能性がある。事前に監査ログを設定し利用中のプラグインをイベントから確認する。

関連情報

追加の LSA の保護の構成 https://msdn.microsoft.com/ja-jp/library/dn408187(v=ws.11).aspx

単独のコンピューターに LSA の保護を有効にする

  1. レジストリ エディター (RegEdit.exe) を開き、次の場所にあるレジストリ キーに移動します。
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  2. レジストリ キーに次の値を設定します。"RunAsPPL"=dword:00000001
  3. コンピューターを再起動します。

グループ ポリシーを使用して LSA の保護を有効にする

  1. グループ ポリシー管理コンソール (GPMC) を開きます。
  2. GPO を右クリックし、 [編集] をクリックしてグループ ポリシー管理エディターを開きます。
  3. [コンピューターの構成]>[基本設定]>[Windows の設定]>[レジストリ] を右クリックし、 [新規] をポイントして、 [レジストリ項目] をクリックします。 [新しいレジストリのプロパティ] ダイアログ ボックスが表示されます。
  4. [ハイブ] の一覧で、HKEY_LOCAL_MACHINE をクリックします。
  5. キー パス 一覧の SYSTEM\CurrentControlSet\Control\Lsaを参照してください。
  6. [値の名前] ボックスに「RunAsPPL」と入力します。
  7. [値の種類] ボックスで、 [REG_DWORD] をクリックします。
  8. [値のデータ] ボックスに「00000001」と入力します。
  9. [OK] をクリックします。

LSA の保護の確認

[イベントビューワー]> [Windows ログ]>[System] ログで次の WinInit イベントを検索し ます。

  • 12: LSASS.exe がレベル 4 で保護されたプロセスとして起動されました

リンク

追加の LSA の保護の構成:https://docs.microsoft.com/ja-jp/windows-server/security/credentials-protection-and-management/configuring-additional-lsa-protection