PowerShellの悪用 のバックアップ差分(No.5)

• バックアップ一覧
• ソース を表示
• バックアップ を表示
• PowerShellの悪用 は削除されています。
  • 1 (2019-10-11 (金) 10:17:30)
  • 2 (2019-10-11 (金) 10:28:04)
  • 3 (2019-10-11 (金) 11:25:36)
  • 4 (2019-10-11 (金) 17:13:27)
  • 5 (2019-10-12 (土) 14:43:44)
  • 6 (2019-10-14 (月) 14:47:33)
  • 7 (2019-10-14 (月) 19:28:09)
  • 8 (2019-10-23 (水) 16:27:04)
  • 9 (2019-10-25 (金) 10:04:13)
  • 10 (2019-10-25 (金) 12:30:00)
  • 11 (2019-11-15 (金) 10:04:50)
  • 12 (2020-03-19 (木) 15:20:00)
  • 13 (2020-08-12 (水) 12:42:33)

• 追加された行はこの色です。
• 削除された行はこの色です。

#author("2019-10-11T17:13:26+09:00","","")
#author("2019-10-12T14:43:44+09:00","","")
[[設定対策]]
*PowerShellの悪用 [#zb08c4b7]
**攻撃評価 [#ae9aaba6]


|戦術分類|119 Value|Pen Value|
|初期侵入|RIGHT:3|RIGHT:3|
119 Value:Min:1 Max:3 数値が高いほど攻撃実績が多い~
Pen Value:Min:1 Max:3 数値が高いほどペネトレーションテストで攻撃が成功しやすい 

**MITRE 緩和策 [#o8e8b91a]
***コード署名 [#z5ea7fc4]
PowerShell実行ポリシーを設定して、署名されたスクリプトのみを実行します。

[[V-70637:https://www.stigviewer.com/stig/windows_server_2016/2019-01-16/finding/V-70637]] システムでWindows PowerShell 2.0機能を無効にする必要があります。


***機能やプログラムの無効化または削除 [#qb54604f]
不要な場合はシステムからPowerShellを削除することもできますが、多くの正当な目的や管理機能に使用される可能性があるため、環境への影響を評価するためにレビューを実行する必要があります。[[WinRMサービスを無効化/制限]]して、リモート実行でPowerShellが使用されないようにします。




***特権アカウント管理 [#lcc7bc44]
PowerShellが必要な場合、[[PowerShell実行ポリシー]]を管理者に制限します。環境の構成に応じて、PowerShell実行ポリシーをバイパスする方法があることに注意してください。



**Windows 10 STIG [#s5d18a20]
>[[V-68819 PowerShellスクリプトブロックのログは、Windows 10で有効にする必要があります。:https://www.stigviewer.com/stig/windows_10/2019-01-04/finding/V-68819]] 
>[[V-70637 システムでWindows PowerShell 2.0機能を無効にする必要があります。:https://www.stigviewer.com/stig/windows_10/2019-01-04/finding/V-70637]]

**Windows 2016 STIG [#y9dd5eb2]
>[[V-73591 PowerShellスクリプトブロックのログを有効にする必要があります。:https://www.stigviewer.com/stig/windows_server_2016/2019-01-16/finding/V-73591]]
>[[V-73301 Windows PowerShell 2.0をインストールしないでください。:https://www.stigviewer.com/stig/windows_server_2016/2019-01-16/finding/V-73301]]