Windowsタスクスケジューラ at, schtasks の悪用 の変更点
Top/Windowsタスクスケジューラ at, schtasks の悪用
- 追加された行はこの色です。
- 削除された行はこの色です。
- Windowsタスクスケジューラ at, schtasks の悪用 は削除されています。
- Windowsタスクスケジューラ at, schtasks の悪用 の差分を削除
#author("2019-10-25T14:50:02+09:00","","") [[設定対策]] #author("2020-08-12T12:43:14+09:00","","") *Windowsタスクスケジューラ at, schtasks の悪用 [#o9fec4a6] **対象OS [#bcb1dc9c] -Windows **必要なアクセス許可 [#h46237da] -User -Administrator -SYSTEM **概説 [#x0094c38] atコマンド(Windows 8.1まで)や、schtasksコマンド(windows10)は、予め定めた時刻にプログラムを実行させるOS標準のツールです。これらを使い悪意あるプログラム(マルウェア)を密かに実行することが可能です。また、AdministratorsのメンバーのID/Passwordがあればネットワーク上の他の端末に対しても同様のことが可能です。これは「ファイルとプリンターの共有」が有効な場合ですので、必要に応じて、「ファイルとプリンターの共有」を無効にすることも検討してください。~ ローカルのAdministratorのID/Passwordが全社共通の場合は、[[LAPS:https://msrc-blog.microsoft.com/2015/05/14/local-administrator-password-solution-laps/]] (Local Administrator Password Solution) の導入を検討してください。~ [[マイクロソフト セキュリティ アドバイザリ 3062591:https://docs.microsoft.com/ja-jp/security-updates/securityadvisories/2015/3062591]] **攻撃評価 [#w7777360] |戦術分類|119 Value|Pen Value| |初期侵入|RIGHT:3|RIGHT:3| 119 Value:Min:1 Max:3 数値が高いほど攻撃実績が多い~ Pen Value:Min:1 Max:3 数値が高いほどペネトレーションテストで攻撃が成功しやすい **MITRE 緩和策 [#z548a1b1] ***監査(イベントログ) [#f2027b38] Microsoft-Windows-TaskScheduler /Operational を有効にし、次のイベントを監視します。~ イベントID 106-スケジュールされたタスクが登録されました~ イベントID 140-スケジュールされたタスクが更新されました~ イベントID 141-スケジュールされたタスクが削除されました~ [[PowerShellのログ]] ***オペレーティングシステムの構成 [#x9b9e291] SYSTEMとして実行するのではなく、認証済みアカウントのコンテキストでタスクを実行するようにスケジュールされたタスクの設定を構成します。~ 関連するレジストリキーはHKLM\SYSTEM\CurrentControlSet\Control\Lsa\SubmitControlです。~ この設定は、GPOで構成できます。~ [コンピューターの構成]> [ポリシー]> [Windowsの設定]> [セキュリティの設定]> [ローカルポリシー]> [セキュリティオプション:ドメインコントローラー:サーバーオペレーターがタスクをスケジュールできるようにします。]~ [[docs.microsoft:https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/jj852168(v=ws.11)?redirectedfrom=MSDN]] ドメインコントローラー:サーバーオペレーターがタスクをスケジュールできるようにします。 ***特権アカウント管理 [#x93e8fee] 管理者グループに優先プロセスをスケジュールする権限のみを許可するように、[スケジュールの優先度を上げる]オプションを構成します。~ これは、GPOで構成できます。[コンピューターの構成]> [ポリシー]> [Windowsの設定]> [セキュリティの設定]> [ローカルポリシー]> [ユーザー権利の割り当て]:スケジュールの優先度を上げます。~ [[スケジューリング優先順位の繰り上げ:https://docs.microsoft.com/ja-jp/windows/security/threat-protection/security-policy-settings/increase-scheduling-priority]] ***ユーザーアカウント管理 [#t4c62959] ユーザーアカウントの権限を制限し、権限エスカレーションベクターを修正して、許可された管理者のみがリモートシステムでスケジュールされたタスクを作成できるようにします。 **Windows 10 STIG [#r2f060b5] [[V-74411:https://www.stigviewer.com/stig/windows_10/2019-01-04/finding/V-74411]] Windows 10は、オブジェクトアクセス-その他のオブジェクトアクセスイベントの成功を監査するように構成する必要があります。~ その他のオブジェクトアクセスの監査は、タスクスケジューラジョブとCOM +オブジェクトの管理に関連するイベントを記録します。 [[V-74409:https://www.stigviewer.com/stig/windows_10/2019-01-04/finding/V-74409]] オブジェクトアクセス-その他のオブジェクトアクセスイベントの失敗を監査するように構成する必要があります。~ その他のオブジェクトアクセスの監査は、タスクスケジューラジョブとCOM +オブジェクトの管理に関連するイベントを記録します。 [[V-63873:https://www.stigviewer.com/stig/windows_10/2019-01-04/finding/V-63873]] ドメインに参加しているワークステーションでのバッチジョブとしてのログオンを拒否するユーザー権利は、高度な特権を持つドメインアカウントからのアクセスを防ぐように構成する必要があります。 **Windows Server 2016 STIG [#p3ce263c] [[V-90359:https://www.stigviewer.com/stig/windows_server_2016/2019-01-16/finding/V-90359]] Windows 2016は、オブジェクトアクセス-その他のオブジェクトアクセスイベントの成功を監査するように構成する必要があります。~ その他のオブジェクトアクセスの監査は、タスクスケジューラジョブとCOM +オブジェクトの管理に関連するイベントを記録します。 [[V-90361:https://www.stigviewer.com/stig/windows_server_2016/2019-01-16/finding/V-90361]] Windows 2016は、オブジェクトアクセス-その他のオブジェクトアクセスイベントのエラーを監査するように構成する必要があります。~ その他のオブジェクトアクセスの監査は、タスクスケジューラジョブとCOM +オブジェクトの管理に関連するイベントを記録します。 [[V-73761:https://www.stigviewer.com/stig/windows_server_2016/2019-01-16/finding/V-73761]] ドメインコントローラーのバッチジョブとしてログオンを拒否するユーザー権利は、認証されていないアクセスを防ぐように構成する必要があります。~ [[V-73763:https://www.stigviewer.com/stig/windows_server_2016/2019-01-16/finding/V-73763]] メンバサーバーでのバッチジョブとしてのログオンを拒否するユーザー権利は、ドメインシステム上の高度な特権を持つドメインアカウントからのアクセスおよびすべてのシステムでの認証されていないアクセスを防ぐように構成する必要があります。 #br #br ---- #article