- 追加された行はこの色です。
- 削除された行はこの色です。
#author("2019-10-14T19:28:09+09:00","","")
[[設定対策]]
*PowerShellの悪用 [#zb08c4b7]
**攻撃評価 [#ae9aaba6]
|戦術分類|119 Value|Pen Value|
|初期侵入|RIGHT:3|RIGHT:3|
119 Value:Min:1 Max:3 数値が高いほど攻撃実績が多い~
Pen Value:Min:1 Max:3 数値が高いほどペネトレーションテストで攻撃が成功しやすい
**MITRE 緩和策 [#o8e8b91a]
***コード署名 [#z5ea7fc4]
PowerShell実行ポリシーを設定して、署名されたスクリプトのみを実行します。
***機能やプログラムの無効化または削除 [#qb54604f]
不要な場合はシステムからPowerShellを削除することもできますが、多くの正当な目的や管理機能に使用される可能性があるため、環境への影響を評価するためにレビューを実行する必要があります。[[WinRMサービスを無効化/制限]]して、リモート実行でPowerShellが使用されないようにします。
***特権アカウント管理 [#lcc7bc44]
PowerShellが必要な場合、[[PowerShell実行ポリシー]]を管理者に制限します。環境の構成に応じて、PowerShell実行ポリシーをバイパスする方法があることに注意してください。
**Windows 10 STIG [#s5d18a20]
[[V-68819:https://www.stigviewer.com/stig/windows_10/2019-01-04/finding/V-68819]] PowerShellスクリプトブロックのログは、Windows 10で有効にする必要があります。 ~
[[V-70637:https://www.stigviewer.com/stig/windows_10/2019-01-04/finding/V-70637]] システムでWindows PowerShell 2.0機能を無効にする必要があります。~
[[V-63345:https://www.stigviewer.com/stig/windows_10/2019-01-04/finding/V-63345]] オペレーティングシステムは、許可されたソフトウェアプログラムの実行を許可するために、すべて拒否、例外による許可ポリシーを採用する必要があります。~
[[V-68817:https://www.stigviewer.com/stig/windows_10/2019-01-04/finding/V-68817]] コマンドラインデータをプロセス作成イベントに含める必要があります。
**Windows 2016 STIG [#y9dd5eb2]
[[V-73591:https://www.stigviewer.com/stig/windows_server_2016/2019-01-16/finding/V-73591]] PowerShellスクリプトブロックのログを有効にする必要があります。~
[[V-73301:https://www.stigviewer.com/stig/windows_server_2016/2019-01-16/finding/V-73301]] Windows PowerShell 2.0をインストールしないでください。~
[[V-73235:https://www.stigviewer.com/stig/windows_server_2016/2017-11-20/finding/V-73235]] Windows Server 2016は、承認されたソフトウェアプログラムの実行を許可するために、すべて拒否、例外による許可ポリシーを採用する必要があります。~
[[V-73511:https://www.stigviewer.com/stig/windows_server_2016/2019-01-16/finding/V-73511]] コマンドラインデータを、プロセス作成イベントに含める必要があります。
[[Windows監査(イベントログ)設定]]
#br
#br
----
#article
