トップ   編集 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

コマンドラインインターフェース の変更点

Top/コマンドラインインターフェース
#author("2019-10-25T12:28:42+09:00","","")
#author("2019-10-25T12:31:22+09:00","","")
[[設定対策]]
*コマンドラインインターフェース [#g51d2f95]

**戦術 [#v385ea52]
悪意あるプログラムの実行

**対象OS [#oc00ff1a]
-Linux
-Windows
-macOS

**必要なアクセス許可 [#g1ad51ac]
-Linux
-Windows
-Mac
-User
-Administrator
-SYSTEM


**概説 [#zc7d820d]
OSの標準機能であるコマンドラインインターフェースを悪用することで、悪意あるプログラムを実行することができます。~
Windowsの場合、ユーザーアカウント制御 (UAC) をバイパスして、悪意あるプログラムを密かに実行できる開発用のコマンドがあるため、必要に応じて、これらを削除するなども検討します。~
また、[[Windows AppLocker:https://docs.microsoft.com/ja-jp/windows/security/threat-protection/windows-defender-application-control/applocker/applocker-overview]]、[[Windows Defender アプリケーション制御:https://docs.microsoft.com/ja-jp/windows/security/threat-protection/windows-defender-application-control/windows-defender-application-control]]などで、UACをバイパスするコマンドの実行を制限することが可能です。

**攻撃評価 [#s90e6621]
|戦術分類|119 Value|Pen Value|
|初期侵入|RIGHT:3|RIGHT:3|
119 Value:Min:1 Max:3 数値が高いほど攻撃実績が多い~
Pen Value:Min:1 Max:3 数値が高いほどペネトレーションテストで攻撃が成功しやすい

**MITRE 緩和策 [#t9bd0295]
***ホワイトリスト [#o3215d30]
必要に応じて、[[Windows Defender アプリケーション制御:https://docs.microsoft.com/ja-jp/windows/security/threat-protection/windows-defender-application-control/windows-defender-application-control]]、[[AppLocker:https://docs.microsoft.com/ja-jp/windows/security/threat-protection/windows-defender-application-control/applocker/applocker-overview]]、ソフトウェア制限ポリシーなどのアプリケーションホワイトリストツールを使用して、不要なコマンドラインインタープリターを監査および/またはブロックします。

**Windows 10 STIG [#c3cf7630]
[[V-63345:https://www.stigviewer.com/stig/windows_10/2019-01-04/finding/V-63345]] オペレーティングシステムは、許可されたソフトウェアプログラムの実行を許可するために、すべて拒否、例外による許可ポリシーを採用する必要があります。~
[[V-68817:https://www.stigviewer.com/stig/windows_10/2019-01-04/finding/V-68817]] コマンドラインデータをプロセス作成イベントに含める必要があります。

**Windows Server 2016 STIG [#s989560a]
[[V-73235:https://www.stigviewer.com/stig/windows_server_2016/2017-11-20/finding/V-73235]] Windows Server 2016は、承認されたソフトウェアプログラムの実行を許可するために、すべて拒否、例外による許可ポリシーを採用する必要があります。~
[[V-73511:https://www.stigviewer.com/stig/windows_server_2016/2019-01-16/finding/V-73511]] コマンドラインデータを、プロセス作成イベントに含める必要があります。

**Others [#o4d0d853]

[[Microsoft が推奨するブロックの規則]]

[[Windows監査(イベントログ)設定]]


#br
#br
----
#article